VR1: Delito Informatico
La seguridad no pasa solamente por el Backup
La consecuencia lógica de un conflicto gremial es por lo general una conciliación obligatoria, despidos o juicios. Es muy difícil que éste termine en el descubrimiento de una estafa, que venía realizándose desde dos años atrás. Esta es la historia real de la que hoy nos ocuparemos.
Según dicen las estadísticas, la persona que delinque por medio de una computadora es por lo general el operador que tomó conciencia de la falta de seguridad el sistema. El caso de María del Carmen no fue la exepción a la regla. Ella se desempeñaba como empleada de personal de una compañía mixta formada por capitales estatales y alemanes. De esta última nacionalidad era el director de la empresa, quien tenía como política una férrea disciplina con sus empleados.
El centro de cómputos contaba con un gran equipo IBM de la línea 4300, con varias terminales que brindaban todo tipo de servicio, incluyendo el de sueldos, sector del cual era responsable María del Carmen.
La gerencia de sistemas, con el objetivo de facilitar la liquidación de sueldos, adquirió un software muy versátil para el equipamiento central, que permitía al área de personal encargarse en forma autónoma de las liquidaciones y del mantenimiento. El mismo consistía en tablas que se cargaban o se modificaban según las necesidades del usuario, y el archivo maestro del personal tenía un campo llamado actividad, donde los activos se cargaban con el número nueve, los de baja con el uno y las liquidaciones por última vez con cero. Un día, María del Carmen, luego de la emisión de los cheques de haberes, se dio cuenta de que se efectuó una liquidación en una persona dada de baja, que ya no trabajaba en la empresa desde hacía tiempo. En el registro del archivo maestro esa persona figuraba con 1, esto quería decir que no se debería haber emitido el cheque. No tenía manera de comprobar lo que sucedió sin llamar la atención, y en el caso de que fuera un error lo debía ocultar, dado que su trabajo corría riesgo por la disciplina existente. La solución fue mandar a cobrar el cheque y luego averiguar qué había pasado. De esta forma, fue cobrado por el cadete de la empresa sin ningún problema, ya que era el día de pago de una empresa prestigiosa. Por esto, sumado a la gran cantidad de gente que concirría al banco, el cajero no verificaba la documentación del cobrador.
Pasó el tiempo, y nadie dijo nada, con lo que se dio cuenta de que en los controles de tesorería sólo se auditaba la suma a pagar, sin controlar qué empleados fueron liquidados. El error de esa liquidación había sido poner cero en el campo de actividad, de esa manera este empleado fantasma tuvo una liquidación por última vez, y pasó nuevamente como baja.
A finales de la década de los 80, los sueldos en las empresas estatales y de capitales mixtos descendieron rápidamente, y a nuestra empleada le aumentaron sus necesidades económicas. La tentación fue tan grande como las facilidades para cometer el delito. La única traba era que no podía utilizar un cadete de la empresa, y debía mandar personas distintas a cobrar. Esto no fue difícil, ella era una mujer agraciada y consiguió rápidamente cuatro amigos, los que periódicamente concurrían solícitos al banco a hacerle un favor a su amiga. Como es obvio, no se conocían entre ellos. Todo siguió sin problemas por el término de dos años, aproximadamente, hasta que estalló un conflito gremial por el congelamiento de los salarios. Los empleados del centro de cómputos, para fundamentar sus reclamos, decidieron listar los archivos de los sueldos de los directivos y empleados de la empresa de acuerdo al monto. Los primeros eran extranjeros y aparentemente sus salarios no habían sido congelados. Fue así como figuró en primer lugar, cobrando más que los cargos gerenciales, un empleado dado de baja desde un año atrás. Primero se pensó en un error, y la gente de cómputos se lanzó a su búsqueda. Se investigó la auditoría del sistema, que guardaba las liquidaciones mes a mes y daba estadísticas. Esta nunca había sido inspeccionada, y allí se pudo ver que esos "errores" fueron cometidos periódicamente, y que algunos esos sueldos tenían sumados conceptos especiales, como horas extras o bonificaciones. Las liquidaciones fantasmas disminuían cuando se hacía cargo un nuevo director, hasta que se reestablecía la confianza y la impunidad segura.
Los progresos económicos de la empleada, que en esos momentos pasó de sus apremios a poseer un auto último modelo y comprar una casa en un barrio residencial, dieron pie a las sospechas y la empresa efectuó la correspondiente denncia. Despues de una paciente investigación que duró diez meses, los técnicos policiales comprobaron la maniobra. Ella y sus cómplices fueron procesados por la justicia, si bien algunos sólo pensaban que le hacían un favor al ir a cobrar. Esta historia es real, no fueron mencionados los autores ni la empresa porque el trámite judicial aún sigue vigente.
Se puede definir la seguridad como "la certeza del cumplimiento de un orden". Aquí el sistema era seguro, dado que el orden se cumplía, pero ¿el orden de quien?. Por eso no solo es necesario tomar precauciones en lo que hace al software o hardware, sino tambien en las distintas áreas sistematizadas de la empresa. Una solución sería tener personal de auditoría, con oficinas descentralizadas y que ellos realicen inspecciones periódicas.
En los próximos artículos iremos viendo como la computación fue abarcando toda la actividad humana, hasta la delictiva. Mostraremos distintos casos, tan variados como el ingenio de cada persona.
Licenciado Juan Santa Ana.