EL CONTROL INTERNO EN UNA AUDITORÍA DE SISTEMAS

¿Qué son los Controles Internos? Están constituidos por las políticas,
procedimientos, prácticas y estructuras organizacionales implementadas
para reducir los riesgos para la organización.
DEFINICIÓN DEL CONTROL INTERNO
El Control Interno es un proceso establecido por el Directorio, la Gerencia y
todos los niveles del personal, para brindar una seguridad razonable de
que se lograrán los objetivos de negocios de la organización.
CONTROL INTERNO
Existen dos aspectos clave que los controles deben atender:
1) Qué debería lograrse 2) Qué debería evitarse.
Los controles internos no sólo tratan los objetivos de negocio/operativos,
sino que también deberían estar preparados para tratar eventos no
deseados
CLASIFICACIÓN DE LOS CONTROLES INTERNOS
Los elementos de control que se deberían considerar al evaluar la fortaleza
de un control, están clasificados como: A. Controles Preventivos B.
Controles Detectivos C. Controles Correctivos
A. CONTROLES PREVENTIVOS • Son aquellos que detectan los
problemas antes de que surjan. • Monitorear tanto las operaciones
como el ingreso de datos. • Tratar de predecir problemas potenciales
antes de que estos ocurran y hacer ajustes. • Impedir que ocurra un
error, una omisión o un acto malicioso
CONTROLES PREVENTIVOS (EJEMPLOS) • Emplear sólo personal
calificado • Segregar funciones (factor disuasivo) • Controlar el acceso
físico a las instalaciones • Usar documentos bien diseñados (prevenir
errores) •
Establecen procedimientos adecuados para la autorización de transac
ciones. • Usar software de control de acceso que permita que sólo el
personal autorizado tenga acceso a archivos sensibles. • Utilizar
software de encriptación para evitarla divulgación no autorizada de
datos.
 B. CONTROLES DETECTIVOS Son controles que detectan y reportean
que ha ocurrido un error, una omisión o un acto fraudulento.
EJEMPLO: • Puntos de verificación en los trabajos (jobs) • Controles
de eco en las telecomunicaciones • Doble verificación de cálculos •
Reportes de cuentas vencidas • Funciones de auditoria interna • Pistas
de Auditoría (Logs) de actividad para detectar intentos de acceso no
autorizado
C. CONTROLES CORRECTIVOS
“Cuando gastas todo tu tiempo luchando contra incendios, difícilment
e tendrás tiempo para pensar en nuevas formas para construir cosa
s que no quemen”
D. CONTROLES CORRECTIVOS Son aquellos que minimizan el
impacto de una amenaza, remedian problemas descubiertos,
identifican la causa del problema, corrigen en los errores. EJEMPLOS:
• Planeación de contingencias • Procedimientos de copias de
seguridad (Backup´s) • Procedimientos de segunda ejecución de
programas
OBJETIVOS DEL CONTROL INTERNO• Salvaguarda de los activos de
tecnología de información. Cumplimiento con las políticas corporativas o
requerimientos legales.• Autorización/Introducción de información.•
Exactitud e integridad del procesamiento de transacciones. • Salida de
información (reportes, usb). • Confiabilidad de los procesos. • Respaldo
/recuperación (backup’s). • Eficiencia y economía de las operaciones.
CONTROL INTERNO DE S.I.
OBJETIVOS DEL CONTROL INTERNO DE S.I.: • Los objetivos de control,
en un ambiente de Sistemas de Información, no cambian respecto a los de
un ambiente manual. • Sin embargo, pudieran cambiar los mecanismos de
control. • Entonces los objetivos del control interno se deben de enfocar
según los procesos relacionados con los S.I. • Garantizar la integridad de
los entornos sensitivos y críticos de los Software de Sistemas. • Garantizar
la integridad de los software de Aplicaciones, incluyendo información
contable/financiera. *Asegurar la eficiencia y eficacia de las operaciones. •
Cumplimiento con los requerimientos de los usuarios y con las políticas y
procedimientos organizativos y leyes aplicables. Desarrollo de Planes de
Continuidad del Negocio y Recuperación de Desastres. • Desarrollo de un
plan de manejo y respuestas a incidentes.
PROCEDIMIENTOS DE CONTROL EN S.I.
Los procedimientos de control incluyen políticas y prácticas establecidas
por la Gerencia, para proveer una seguridad razonable de lograr objetivos
específicos. Reduce el riesgo; es aquel que se efectúa adicionalmente
para verificar si lo que está es lo correcto.
PROCEDIMIENTOS DE CONTROL GENERAL
Los controles generales son aplicables a todas las áreas de la
organización, incluyendo infraestructura y servicios de soporte de TI. Aún
nivel macro. Los controles generales incluyen: • Controles internos de
contabilidad que están principalmente dirigidos a las operaciones de
contabilidad. • Controles operativos que se ocupan de las operaciones,
funciones y actividades cotidianas. • Controles administrativos relacionados
con la eficiencia operacional en un área funcional y el acatamiento de las
políticas de la gerencia. • Políticas y procedimientos organizacionales de
seguridad lógica. •
Políticas generales para el diseño y uso de documentos y registros adecua
dos para ayudar a asegurar el registro apropiado de las transacciones. •
Procedimientos y prácticas para asegurar la protección adecuada en el acc
eso y el uso de activos e instalaciones •
Políticas de seguridad física y lógica para todos los centros de cómputo y r
ecursos de TI (por ejemplo, servidores e infraestructura de telecomunicacio
nes
PROCEDIMIENTOS DE CONTROL EN S.I
Se requiere de: Estrategia y Dirección Organización y Administración
General Acceso a los recursos de TI, datos y programas
Metodologías de desarrollo de sistemas y control de cambios
 Operaciones de procesamiento de datos.  Controles de acceso físicos 
Redes y Comunicaciones  Administración de Base de Datos 
Procedimientos de aseguramiento de calidad (QA) 
Administración de la Base de Datos 
Planificación de la Continuidad del Negocio (BCP)
/Recuperación en Caso de Desastre (DRP)
LAS EVIDENCIAS EN UNA AUDITORÍA DE SISTEMAS
Las Evidencias en Auditorías de SI
Definición: La evidencia es cualquier información usada por el auditor de SI
para determinar si la entidad o los datos que están siendo auditados
cumplen con los criterios u objetivos establecidos, y soporta las
conclusiones de auditoría. Es un requerimiento que las conclusiones del
auditor se basen en evidencia suficiente, relevante y competente.
Aun cuando toda la evidencia apoyará al auditor de SI en el desarrollo de
las conclusiones de la auditoría, alguna evidencia es más confiable que
otra. La evidencia debe obtenerse a partir de un proceso de Indagación
Corroborativa y esta debe de apoyarse de: 1) Un reproceso, 2) Una revisión
documentaria o 3) La observación del proceso auditado
Los determinantes para evaluar la confiabilidad de la evidencia de auditoría
incluyen:
Independencia del proveedor de la evidencia

 Credenciales de la persona que suministra la información o evidencia

 Objetividad de la evidencia
 Tiempo de disponibilidad de la evidencia
INDEPENDENCIA DEL PROVEEDOR DE LA EVIDENCIA: La evidencia
obtenida de fuentes externas es más confiable que la obtenida dentro de la
organización. • Esta es la razón por la cual se usan las cartas de
confirmación para verificar los saldos de las cuentas por cobrar •
Adicionalmente, los contratos o acuerdos firmados con partes externas
podrían ser considerados confiables si los documentos originales se ponen
a disposiciones para revisión.
CREDENCIALES DE LA PERSONA QUE SUMINISTRA LA
INFORMACIÓN O EVIDENCIA • El auditor de SI debería siempre
considerar las calificaciones de las personas que suministran la
información, estén dentro o fuera de la organización. • Si un Auditor de SI
no tiene un buen entendimiento del área técnica que está en revisión, la
información recopilada puede no ser confiable.
OBJETIVIDAD DE LA EVIDENCIA La evidencia objetiva es más confiable
que la evidencia que requiere opinión o interpretación considerable.
EJEMPLO: • La revisión de inventario de medios de un auditor de SI es una
evidencia objetiva y directa. • El análisis de un auditor de SI de la eficiencia
de una aplicación, basado en discusiones con determinado personal, puede
no ser una evidencia de auditoría objetiva.
TIEMPO DE DISPONIBILIDAD DE LA EVIDENCIA El auditor de SI
debería considerar el tiempo durante el cual la información existe o está
disponible al determinar la naturaleza, el tiempo y la extensión de las
pruebas de cumplimiento. EJEMPLO: • La evidencia de auditoría procesada
por sistemas dinámicos, tales como hojas de trabajo pueden no ser
rescatables después de un período de tiempo determinado si los cambios a
los archivos no son controlados o si los archivos no son respaldados.
TÉCNICAS PARA RECOPILAR EVIDENCIAS
Las siguientes son técnicas para la recopilación de evidencia: 1. Revisión
de las estructuras organizacionales de SI 2. Revisión de políticas y
procedimientos de SI 3. Revisión de los estándares de SI 4. Revisión de la
documentación de SI 5. Observación de procesos y desempeño de
empleados 6. Entrevistas al personal apropiado 7. Observación de
procesos y desempeño de empleados 8. Redesempeño 9. Pruebas de
recorrido
ENTREVISTA Y OBSERVACIÓN AL PERSONAL APROPIADO
La Observación al personal en el desempeño de sus funciones ayuda a un
auditor de SI a identificar: a) Funciones reales b) Procesos / Procedimientos
reales c) Concienciación sobre seguridad d) Líneas de reporte
A) FUNCIONES REALES : La observación podría ser una prueba
adecuada para asegurar que la persona asignada y autorizada para realizar
una función en particular es la persona que está realmente haciendo el
trabajo.Permite al auditor de SI: Contar con una oportunidad de
presenciar cómo se entienden y ponen en practica las políticas y los
procedimientos.
B) PROCESOS / PROCEDIMIENTOS REALES : La ejecución de un
recorrido de proceso/procedimiento permite que el auditor de SI obtenga
evidencia de cumplimiento y observe posibles fraudes, si las hubiera.
Permite al auditor de SI: Obtener una mejor observación que podría
resultar ser útil para la verificación de los controles físicos.
C) CONCIENCIACIÓN SOBRE SEGURIDAD : Se debe observar el grado
de concienciación sobre seguridad que una persona tiene para verificar la
comprensión y la práctica de buenas medidas de seguridad preventivas y
de detección para salvaguardar los activos y datos de la compañía Permite
al auditor de SI: Tener mejor información que podría ser complementado
con un examen de capacitación de seguridad previo y planificado.
D) LÍNEAS DE REPORTE : Las líneas de reporte deben observarse para
asegurar que se practiquen las responsabilidades asignadas y una
segregación de funciones adecuada. A menudo, los resultados de este tipo
de prueba deben ser comparados con los respectivos derechos de acceso
lógico.
Las entrevistas al personal y a la gerencia de procesamiento de información
deberían proveer una certeza adecuada de que el personal tiene las
destrezas técnicas requeridas para realizar su trabajo. Este es un factor
importante que contribuye a que la operación de auditoría sea efectiva y
eficiente.
ANÁLISIS DE RIESGO EN LA AUDITORÍA DE SISTEMAS
DEFINICIÓN DE RIESGO Es el potencial de que una determinada
amenaza explote las vulnerabilidades de un activo o grupo de activos, para
producir la pérdida o el daño a dichos activos.
RIESGO = Vulnerabilidad * Amenaza * Valor de Información
Factor de Exposición = Vulnerabilidad * Amenaza
COMPONENTES DEL ANÁLISIS DE RIESGO
• Amenazas y Vulnerabilidades de procesos y/o Activos (incluyendo
activos físicos y de información) • Impacto sobre los activos basado en las
amenazas y vulnerabilidades • Probabilidades de amenazas (combinación
de la probabilidad y la frecuencia de la ocurrencia) RIESGO ES TODO
EVENTO QUE AMENACE EL CUMPLIMIENTO DE LOS OBJETIVOS DEL
NEGOCIO.
el análisis de riesgo
El Análisis de Riesgo es parte de la Planificación de Auditoría de SI y ayuda
a identificar los controles que se necesitan para mitigar esos riesgos.
GESTIÓN DEL RIESGO
Es un proceso de identificación de las Vulnerabilidades y Amenazas para
los recursos de información utilizados por una organización para lograr los
objetivos del negocio y decir que contramedidas tomar.
*Identificar* Analizar* Evaluar* Tratar* Monitorear* Comunicar
GESTIÓN DEL RIESGO
Dependiendo del Tipo de Riesgo y su importancia para el negocio, la
Administración y la Junta pueden optar por:
1. EVITAR—por ejemplo, donde sea factible, escoger no implementar
ciertas actividades o procesos que generen un riesgo (es decir, eliminar el
riesgo al eliminar la causa). 2. MITIGAR—por ejemplo, definir, implementar
y monitorear controles apropiados para reducir la probabilidad o el impacto
del riesgo. 3. TRANSFERIR (evitar o asignar)—por ejemplo, compartir el
riesgo con los compañeros o transferir a través de la cobertura del seguro,
el acuerdo contractual, o por otros medios. 4. ACEPTAR—es decir,
reconocer formalmente la existencia del riesgo y monitorearlo. 5.
ELIMINAR—donde sea posible, eliminar la fuente del riesgo
Una organización también puede optar por rechazar el riesgo ignorándolo,
hecho que puede ser peligroso y que el auditor de SI debería considerar
como bandera roja.
DESARROLLO DE UN PROGRAMA DE GESTIÓN DE RIESGOS
Para desarrollar un programa de gestión de riesgos, se debe: 1) Establecer
el propósito del programa de gestión de riesgos. 2) Asignar responsabilidad
para el plan de gestión de riesgos.
*ESTABLECER EL PROPÓSITO DEL PROGRAMA DE GESTIÓN DE
RIESGOS: • El primer paso es determinar el propósito de la organización
para crear un programa de gestión de riesgos. • Al determinar su intención
antes de iniciar la planificación de la gestión de riesgos, la organización
puede definir los indicadores clave de desempeño (KPIs ‐ siglas del término
en inglés: Key Performance Indicators) y evaluar los resultados para
determinar su efectividad. • En general, la alta dirección, junto con el
consejo de dirección, marca la pauta para el programa de gestión de
riesgos.
ASIGNAR RESPONSABILIDAD PARA EL PLAN DE GESTIÓN DE
RIESGOS: • El segundo paso es designar una persona o un equipo
responsable de desarrollar e implementar el programa de gestión de
riesgos de la organización. • Aunque el equipo es principalmente
responsable del plan de gestión de riesgos, un programa exitoso requiere la
integración de la gestión de riesgos dentro de todos los niveles de la
organización. • El personal de operaciones y los miembros del consejo de
dirección deben apoyar al comité de gestión de riesgos para identificar los
riesgos y desarrollar estrategias adecuadas para el control de pérdidas e
intervención.
MÉTODOS DEL ANÁLISIS DE RIESGOS
Existen tres métodos que se aplican en el análisis de riesgos:
Métodos de análisis cuantitativo* Métodos de análisis semicuantit ativo*
Método de Análisis Cualitativo
Métodos de análisis cualitativo • Usan clasificaciones descriptivas o
verbales para describir los impactos o la probabilidad. • Son los más
sencillos y los más comúnmente usados. • Normalmente se basan en listas
de verificación y en calificaciones subjetivas del riesgo, tales como alto,
medio o bajo.
Métodos de análisis semicuantitativo • En el análisis semicuantitativo,
las clasificaciones descriptivas están asociadas con una escala numérica. •
Dichos métodos se usan frecuentemente cuando no es posible utilizar un
método cuantitativo o para reducir la subjetividad en los métodos
cualitativos.
Métodos de análisis cuantitativo • Usan valores numéricos para describir
la probabilidad y el impacto de los riesgos, usando datos provenientes de
varios tipos de fuentes, tales como registros históricos, experiencias
pasadas, prácticas y registros de la industria, teorías estadísticas, pruebas
y experimentos. • Un análisis de riesgo cuantitativo se realiza generalmente
durante un análisis de impacto al negocio (BIA). • El principal problema en
este proceso es la evaluación de activos de información.
EL ANÁLISIS DE RIESGO
El enfoque de la Matriz es localizar y visualizar los activos de una
organización, que están más en peligro de sufrir un daño por algún impacto
negativo, para posteriormente ser capaz de tomar las decisiones y medidas
adecuadas para la superación de las vulnerabilidades y la reducción de las
amenazas
CLASIFICACIÓN DE RIESGO• El objetivo de la clasificación de riesgo es
determinar hasta que grado es factible combatir los riesgos encontrados. •
La factibilidad normalmente depende de la voluntad y posibilidad
económica de una institución, sino también del entorno donde nos
ubicamos. Los riesgos que no queremos o podemos combatir se llaman
riesgos restantes y no hay otra solución que aceptarlos.
FUNDAMENTO DE LA MATRIZ DE RIESGOS
• La Matriz se basa en el método de Análisis de Riesgo con un grafo de
riesgo, usando la formula: RIESGO = PROBABILIDAD DE AMENAZA X
MAGNITUD DE DAÑO • La Probabilidad de Amenaza y Magnitud de Daño
pueden tomar los valores y condiciones respectivamente : 1 = Insignificante
(incluido Ninguna) 2 = Baja 3 = Mediana 4 = Alta
EL RIESGO, que es el producto de la multiplicación Probabilidad de
Amenaza por Magnitud de Daño, está agrupado en tres rangos, y para su
mejor visualización, se aplica diferentes colores. • Bajo Riesgo = 1 – 6
(verde) • Medio Riesgo = 8 – 9 (amarillo) • Alto Riesgo = 12 – 16 (rojo)
1_DATOS: • Es la hoja para valorar el riesgo para los Elementos de
Información “Datos e Informaciones”, llenando los campos “Magnitud de
Daño” y “Probabilidad de Amenaza” conforme a sus valores estimados
(solo están permitidos valores entre 1 y 4). • Los valores de Probabilidad de
Amenaza solo se aplica en está hoja, porque las demás hojas, hacen
referencia a estos.• Los tres campos de “Clasificación” (Confidencial…,
Obligación por ley…, Costo de recuperación…) no tienen ningún efecto
sobre el resultado de riesgo y no necesariamente tiene que ser llenados. •
Sin embargo pueden ser usados como campos de apoyo, para justificar o
subrayar el valor de Magnitud de Daño estimado. • En caso de usarlo, hay
que marcar los campos respectivos con una “x” (cualquier combinación de
los campos está permitido, todos marcados, todos vacíos etc.).
2_SISTEMAS: • Es la hoja para valorar el riesgo para los Elementos de
Información “Sistemas e Infraestructura”. • Hay que llenar solo los valores
de Magnitud de Daño, debido a que los valores de Probabilidad de
Amenaza están copiados automáticamente desde la hoja “1_Datos”. • Igual
como en “1_Datos”, los tres campos de “Clasificación” (Acceso exclusivo,
Acceso ilimitado, Costo de recuperación…) otra vez no tienen ningún efecto
sobre el resultado de riesgo y solo sirven como campo de apoyo
3_PERSONAL: • Es la hoja para valorar el riesgo para los Elementos de
Información “Personal”. • Igual como en “2_Sistemas”, solo hay que llenar
los valores de Magnitud de Daño. • Otra vez, los tres campos de
“Clasificación” (Imagen pública…, Perfil medio…, Perfil bajo…) solo sirven
como campo de apoyo.
ANÁLISIS_PROMEDIO: • Esta hoja muestra el promedio aritmético de los
diferentes riesgos, en relación con los diferentes grupos de amenazas y
daños. • La idea de esta hoja es ilustrar, en que grupo (combinación de
Probabilidad de Amenaza y Magnitud de Daño) hay mayor o menor peligro.
• No hay nada que llenar en esta hoja.
ANÁLISIS_FACTORES: • Esta hoja tiene el mismo propósito como la hoja
“Análisis_Promedio”, con la diferencia que esta vez el promedio aritmético
de los grupos está mostrado en un grafo, dependiendo de la Probabilidad
de Amenaza y Magnitud de Daño. • La línea amarilla muestra el traspaso
de la zona Bajo Riesgo a Mediano Riesgo y la línea roja, el traspaso de
Mediano riesgo a Alto Riesgo. • La idea de esta hoja es ilustrar el nivel de
peligro por grupo y la influencia de cada factor (Probabilidad de amenaza,
Magnitud de Daño). I
FUENTE: • Esta hoja se usa solo para la definición de algunos valores
generales de la matriz.
EXPOSICIONES Y CONTROLES DE ACCESO LÓGICO
Los Controles de Accesos Lógicos son los principales medios de Gestionar
y Proteger los Activos para reducir los riesgos a un nivel aceptable para la
organización.
1. Fuga de datos 2. Intercepción de Líneas (Wire‐Tapping) 3. Caballos
de Troya 4. Virus 5. Bombas Lógicas 6. Ataque de negación de
servicio (DOS) 7. Piggybacking 8. Puertas Traseras (Trap Doors) 9.
Redondeo hacia Abajo 10. Técnicas del Salami 11. War Driving
FUGA DE DATOS • Implica extraer o efectuar un escape de información
fuera de la computadora. • Esto puede involucrar imprimir archivos a papel,
o puede ser tan sencillo como robar los informes y archivos de la
computadora.
2. INTERCEPCIÓN DE LÍNEAS (WIRE‐TAPPING) • Consiste en escuchar
furtivamente la información que es transmitida a través de las líneas de
telecomunicación.
3. CABALLOS DE TROYA/BACKDOORS • Estos implican ocultar código
malicioso, fraudulento en un programa informático autorizado o pseudo‐
autorizado. • Este código oculto será ejecutado cada vez que se ejecute el
programa autorizado. • UN EJEMPLO es una aplicación de la Web con un
caballo de Troya que permite que el perpetrador/ asaltante ejecute
comandos arbitrarios del sistema operativo para ganar acceso no
autorizado a un servidor de Web.
4. VIRUS • Implican la inserción de un código malicioso de programa en
otro código ejecutable que puede auto replicarse y diseminarse de una
computadora a otra, al compartirse los discos, USB’s de computadora,
transferir programas por líneas de telecomunicación o por contacto directo
con una máquina y/o código infectado • Un virus puede mostrar de una
manera inocua mensajes agradables en las terminales de computadora,
borrar peligrosamente o alterar los archivos automatizados o simplemente
llenar la memoria de la computadora con basura hasta el punto en que la
computadora ya no puede funcionar.
5. BOMBAS LÓGICAS • Son similares a los virus de computadora, pero no
se auto replican. • La creación de bombas lógicas requiere algún
conocimiento especializado, ya que involucra programar la destrucción o la
modificación de datos a una hora específica en el futuro. • Sin embargo, a
diferencia de los virus y de los gusanos, las bombas lógicas son muy
difíciles de detectar antes que estallen; es por eso que, de todos los
esquemas criminales informáticos, son las que tienen mayor potencial de
daño. • La detonación puede ser sincronizada para que cause un máximo
de daño y para que ocurra mucho después de que el perpetrador se haya
ido. • La bomba lógica puede también ser usada como una herramienta de
extorsión, donde se pide un rescate a cambio de revelar la ubicación de la
bomba.
6. ATAQUE DE NEGACIÓN DE SERVICIO • Perturba o niega
completamente el servicio a los. usuarios legítimos, redes, sistemas u otros
recursos.
7. PIGGYBACKING • Es el acto de seguir a una persona autorizada a
través de una puerta asegurada o conectarse electrónicamente a un enlace
autorizado de telecomunicaciones para interceptar y posiblemente alterar
las TRANSMISIONES
8. PUERTAS TRASERAS (TRAP DOORS) • Las puertas traseras existen
porque a veces los programadores insertan código que les permiten evadir
una integridad del sistema de información con el fin de descontaminar
(debugging) programas durante el desarrollo de un sistema de aplicación y
posteriormente durante el mantenimiento y las mejoras al sistema. • Las
puertas traseras son típicamente eliminadas en la edición final del código,
pero a veces se las olvida o se las deja intencionalmente para accesos
futuros al sistema.transmisiones
9. REDONDEO HACIA ABAJO • Implica retirar pequeñas cantidades de
dinero de una transacción computarizada o de una cuenta y desviar este
monto a la cuenta del perpetrador. • El término "redondeo hacia abajo” se
refiere a redondear pequeñas fracciones de una denominación hacia abajo
y transferir estas pequeñas fracciones a la cuenta no autorizada. Como las
cantidades son tan pequeñas, muy rara vez se nota.
10. TÉCNICA DEL SALAMI • Implica rebanar o truncar pequeñas sumas
de dinero desde una transacción computarizada o cuenta y es similar a la
técnica del redondeo hacia abajo. • La diferencia entre la técnica del
redondeo hacia abajo y la técnica del salami radica en que al redondear
hacia abajo retira centavos.
11. WAR DRIVING • La practica de conducir alrededor de negocios o de
vecindarios residenciales escaneando (scanning) con un computador
notebook, software de herramientas de hacking y a veces con un sistema
de posición global (GPS) en busca de nombres de redes inalámbricas.