AMDAD. Ciberseguridad para el contador, fiscalista, financiero y auditor
| Autor | Ignacio J. Domínguez Castillo |
| Cargo | Miembro académico de la Asociación Mexicana de Auditoría al Desempeño, A.C., Titular de Administración y Finanzas en EVCON-GROUP, S.A. de C.V. Catedrático de maestría en materias fiscales, financieras y de alta dirección |
| Páginas | 72-73 |
AMDAD
72
CONTADURÍA PÚBLICA
73
fiscalista, financiero y auditor
MBA, CAC, LBF IGNACIO J. DOMÍNGUEZ CASTILLO
Miembro académico de la Asociación Mexicana de Auditoría al Desempeño, A.C.
Titular de Administración y Finanzas en EVCON-GROUP, S.A. de C.V. Catedrático de
maestría en materias fiscales, financieras y de alta dirección
idominguez@evcon-group.com
Home Office y tecnología vs. vulnerabilidad de
la información
En Fairfield, California, una pequeña población de apenas 105,000
habitantes, una Firma de Contadores fue “hackeada”1 en el periodo
comprendido entre el cierre de declaraciones anuales y la devolu-
ción de impuestos, alterando las cuentas bancarias de sus clientes,
logrando que estos hackers, mediante creación temporal de cuen-
tas bancarias en el ciberespacio, desviaran todos los recursos de
impuestos devueltos y no fueran rastreables, haciendo uso de es-
trategias no solo en la Web, sino en la “Dark Web” y en la “Deep Web”.
Aquí se plantea una primera reflexión: ¿quién no le cona la clave
de usuario y password de su Firma Electrónica (FIEL) personal o
corporativa a sus Contadores y responsables financieros? ¿Hay
certidumbre en la seguridad de manejo de información y de la
no vulnerabilidad de la firma del Contador o fiscalista? ¿Cómo
la garantiza? Un contrato de confidencialidad no evita los cibe-
rataques. Esto contraviene las recomendaciones de seguridad
estipuladas por el CiberCompliance y por la Norma ISO 27001.2
El 24 de febrero de este año, una de las entidades del Gobier-
no Federal fue víctima de un ataque cibernético,3 y 177 de sus
servidores fueron hackeados, resultando en el “secuestro” de la
información de varios proyectos, adquisiciones, proveedores,
información personal y otra información estratégica; solicitando
a cambio de liberar y recuperar el acceso a la información, un
“rescate” en cibermonedas. Paralizando por más de 48 horas la
operación de la entidad.
Aquí se plantea una segunda reflexión: ¿cuál es la responsabili-
dad, riesgo y posibles consecuencias de ser poseedor temporal
de información de terceros o de estrategias de entidades guber-
namentales que son hackeadas? ¿Hay conciencia de los alcan-
ces de la legislación vigente, tanto en el sector público4 como en
el privado,5 más allá de las sanciones estipuladas en el Código
Fiscal de la Federación y demás regulación fiscal?¿Hay concien-
cia de la posibilidad de incurrir en delitos penales?
Hoy, el sistema bancario y bursátil cuenta, entre otras, con las
Disposiciones de Carácter General aplicables a las Instituciones
de Crédito6 y a las Casas de Bolsa;7 que prevén criterios de con-
trol y gestión para prevenir ciberataques; aun así, no están exen-
tos de ser objetivo de los cibercriminales.
El pasado 9 de septiembre se llevó a cabo en la Ciudad de Méxi-
co, el 2º Congreso Financial Sec & Tec©, virtual de ciberseguridad
financiera y tecnológica, donde se hizo énfasis en la vulnerabili-
dad cibernética de la información financiera, contable y fiscal de
Los sistemas y métodos de Hacking se desarrollan día con día, mientras muchos de no-
sotros lo hacemos en otros temas. Por otra parte, la operación de Home Office y el uso
de Banca Digital con dispositivos celulares abre nuevas brechas de oportunidad para
la ciberdelincuencia. ¿Has reflexionado que la gestión financiera desde tu casa (Banca
electrónica) o tu celular puede no tener la misma seguridad que en tu oficina?
Es importante considerar, sin necesariamente ser experto, la asesoría y actuación opor-
tuna ante un posible ataque de ciberseguridad. Una vez que sucede, no siempre hay ac-
ción correctiva. ¿Cuál es la acción correctiva después del daño de tu imagen en Internet?
¿O del robo de información?, o incluso que vacíen tus cuentas o roben tu identidad para
robos/compras por internet.
Lo que siempre existe, tanto en la empresa como en el Home Office, es la oportunidad de
actuar de manera preventiva en cualquiera de las tres principales aristas de ciberseguri-
dad: Hardware, Soware y CiberCompliance.
Finalmente, en alcance a las anteriores reflexiones, no se puede dejar de lado la reflexión
de seguridad básica, respecto de la generación de un password y su actualización perió-
dica, ya que definitivamente es el punto de partida de cualquier cibervulnerabilidad. Para
lo cual, y como se muestra en el cuadro anterior,8 a mayor combinación, mejor seguridad.
En conclusión, la actuación preventiva de recursos de ciberseguridad son el mejor aliado
de la gestión contable y financiera, y han sido esenciales desde hace años; pero ahora, en
la nueva normalidad y en un entorno donde se privilegia el Home Office y el teletrabajo,
una buen asesoría de seguridad informática es relevante y fortalece de manera importan-
te la actuación financiera, contable y fiscal.
las entidades gubernamentales, empresas privadas y entidades
financieras, la preocupación por parte de las áreas informáticas
y del CiberCompliance; mientras que en este frente, las propias
áreas financieras y contables, incluso de Compliance, concen-
tran sus principales esfuerzos en atender la normatividad, legis-
lación, tipologías y regulación preventiva; sin considerarse, en
una gran mayoría de la práctica real, que ambas actuaciones no
son excluyentes, sino complementarias.
Por otra parte, en abril de este año, un e-mail enviado a cuentas
de correo electrónicos provocó el desconcierto de los contribu-
yentes que los recibieron. Se trata de un correo electrónico con
un membrete que simula al oficial. En el mismo mensaje se in-
forma al destinatario de que el SAT ha aprobado, tras la revisión
de su situación fiscal, una devolución de dinero. No suelen ser
grandes cantidades, pero lo suficientemente atractivas como
para tener la tentación de seleccionar un enlace que le redirige a
otra página web. En realidad, todo es falso. Se trata de un fraude,
conocido popularmente como phishing, que ha activado el pro-
tocolo de seguridad informática del SAT.
Aquí se plantea una tercera reflexión: cuando estamos realizando
análisis financieros, planeaciones fiscales o estrategias financieras,
¿quién se fija si el correo del SAT tiene un guion (“-“) de más al final
del “buzón tributario”, o si la dirección de internet, al comienzo inicia
con hps://, en vez de “hp://”? Nuestra prioridad se centra en otro
tema. Entonces, ¿tenemos cubierto ese frente de ciberseguridad?
¿Cómo? ¿Con Hardware? ¿Con Soware? ¿Con CiberCompliance?
¿Quién es responsable? ¿Se puede prevenir o corregir?
Y ahora, en la nueva normalidad, en un entorno de Home Offi-
ce que llegó para quedarse más allá del COVID, en el que, en
muchos negocios y entidades, se ha detectado y reconocido el
potencial de una gran rentabilidad al ubicar algunas funciones
en coordenadas remotas, y la reducción de costos de operación.
Sin embargo, el operar desde casa con información confidencial
y sensible de la empresa, el grado de vulnerabilidad y exposure de
riesgo que tiene la administración de la información, se eleva al
“cuadri-cubo”.
1 Cybersecurity in CPA and Professional Services Firms. 2013. hps://www.cybersecuritymastersdegree.org/accounting/
2 ISO-27001. Norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la
información, así como de los sistemas que la procesan.
3 Hackearon 177 Servidores de la Secretaría de Economía. Febrero 25, 20202. hps://codigoespagueti.com/noticias/tecno-
logia/hackearon-177-servidores-de-la-secretaria-de-economia/
4 Ley General de Responsabilidades Administrativas (de los Servidores Públicos). Diario Oficial de la Federación. Nov.19,
2019; Ley Federal Contra la Delincuencia Organizada. Diario Oficial de la Federación. Noviembre 8, 2019.
5 Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación. Julio 5,
2010; Ley Federal Contra la Delincuencia Organizada. Diario Oficial de la Federación. Noviembre 8, 2019.
6 Disposiciones de carácter general aplicables a las instituciones de crédito (Circular Única de Bancos). CNBV. Diciembre 2, 2005.
7 Disposiciones de carácter general aplicables a las casas de bolsa (Circular Única de Casas de Bolsa). CNBV. Septiembre 6, 2004.
8 Hive Systems. Ciberseguridad.
Para continuar leyendo
Solicita tu prueba