{"id":75203,"date":"2025-07-09T08:00:00","date_gmt":"2025-07-09T06:00:00","guid":{"rendered":"https:\/\/entelgy.com\/?p=75203"},"modified":"2025-07-02T13:10:29","modified_gmt":"2025-07-02T11:10:29","slug":"fraude-silencioso-el-coste-oculto-de-la-complejidad-en-sistemas-legacy","status":"publish","type":"post","link":"https:\/\/entelgy.com\/en\/actualidad-es\/fraude-silencioso-el-coste-oculto-de-la-complejidad-en-sistemas-legacy\/","title":{"rendered":"Fraude silencioso: El coste oculto de la complejidad en sistemas legacy"},"content":{"rendered":"\n

\u00bfAlguna vez te has preguntado por qu\u00e9 los sistemas cr\u00edticos con millones de l\u00edneas de c\u00f3digo son un terreno f\u00e9rtil para fraudes? La respuesta reside en las fallas de seguridad tradicionales, y en algo m\u00e1s sutil y peligroso: la complejidad estructural acumulada a lo largo de los a\u00f1os.<\/strong> <\/h4>\n\n\n\n

Las organizaciones que operan con sistemas legacy enfrentan una paradoja preocupante: cu\u00e1nto m\u00e1s antiguo y completo es el sistema, mayor es su superficie de ataque para fraudes sofisticados. <\/p>\n\n\n\n

Esto se debe sobre todo a la creciente complejidad generada por m\u00faltiples integraciones, APIs y personalizaciones a lo largo del tiempo \u2014 sin documentaci\u00f3n actualizada ni est\u00e1ndares de seguridad definidos. Cada nuevo endpoint, cada biblioteca legada y cada desarrollador que pas\u00f3 por el c\u00f3digo deja \u201cgrietas\u201d en la trazabilidad de los flujos de negocio. Los defraudadores expertos explotan precisamente esos vac\u00edos: reglas dispersas entre m\u00f3dulos, falta de especificaci\u00f3n (como un Swagger) y ausencia de \u201csecurity gates\u201d en el pipeline de desarrollo. <\/p>\n\n\n\n

El enemigo invisible: entendiendo los fraudes basados en l\u00f3gica de negocio<\/strong> <\/h3>\n\n\n\n

A diferencia de los ataques tradicionales que explotan vulnerabilidades t\u00e9cnicas conocidas, los fraudes basados en l\u00f3gica de negocio operan dentro de las reglas aparentes del sistema. Se aprovechan de la fragmentaci\u00f3n de las reglas de negocio, que con frecuencia est\u00e1n distribuidas en m\u00faltiples capas sin documentaci\u00f3n adecuada ni control formal. <\/p>\n\n\n\n

Imagina un sistema financiero donde una regla de validaci\u00f3n se implement\u00f3 en tres lugares distintos a lo largo de cinco a\u00f1os, por equipos diferentes. Cada implementaci\u00f3n tiene sutiles diferencias que, aisladas, parecen leg\u00edtimas. Un defraudador que comprenda esas inconsistencias puede crear transacciones que pasen por todos los controles, pero exploten esas peque\u00f1as variaciones para obtener una ventaja indebida. <\/p>\n\n\n\n

Anatom\u00eda de un sistema vulnerable<\/strong> <\/h3>\n\n\n\n

Los sistemas legacy desarrollan caracter\u00edsticas que los hacen particularmente susceptibles a fraudes silenciosos. La l\u00f3gica de negocio fragmentada en m\u00faltiples capas crea un entorno donde las reglas cr\u00edticas quedan incrustadas en el c\u00f3digo sin documentaci\u00f3n ni control formal adecuados. La acumulaci\u00f3n de deuda t\u00e9cnica provoca c\u00f3digo duplicado, obsoleto y poco comprendido, mientras que la rotaci\u00f3n de equipos agrava la p\u00e9rdida de conocimiento sobre la l\u00f3gica completa del sistema. <\/p>\n\n\n\n

Estos factores generan puntos ciegos severos que limitan dr\u00e1sticamente la efectividad de los an\u00e1lisis de seguridad tradicionales. Fragmentos de c\u00f3digo sin registros, pruebas ni monitoreo adecuado se convierten en territorios inexplorados donde los comportamientos maliciosos pueden ocultarse. Los comportamientos condicionales enmascarados por l\u00f3gica obsoleta o reglas heredadas representan otro desaf\u00edo significativo, al igual que la falta de trazabilidad entre los eventos de negocio y el c\u00f3digo que los ejecuta. <\/p>\n\n\n\n

\u00bfPor qu\u00e9 es tan dif\u00edcil detectar fraudes en sistemas legacy?<\/strong> <\/h3>\n\n\n\n

La detecci\u00f3n de fraudes en sistemas con m\u00e1s de un mill\u00f3n de l\u00edneas de c\u00f3digo enfrenta desaf\u00edos \u00fanicos. Las acciones pueden ocultarse en funciones aparentemente leg\u00edtimas, activarse por condiciones raras o datos espec\u00edficos, o aprovechar flujos poco auditados como jobs por lotes o integraciones heredadas. <\/p>\n\n\n\n

La ausencia de rastros claros entre el comportamiento del sistema y su c\u00f3digo fuente dificulta enormemente el an\u00e1lisis forense. Las herramientas automatizadas de seguridad encuentran limitaciones cuando el sistema carece de observabilidad granular o no posee un mapeo funcional del c\u00f3digo en producci\u00f3n. <\/p>\n\n\n\n

Es como buscar una aguja en un pajar, pero sin saber el tama\u00f1o de la aguja ni el del pajar. La escala y la deuda t\u00e9cnica convierten la detecci\u00f3n de fraudes en una tarea tit\u00e1nica que exige enfoques especializados. <\/p>\n\n\n\n

Una abordaje estructurado para el problema<\/strong> <\/h2>\n\n\n\n

Para enfrentar este desaf\u00edo se requiere una metodolog\u00eda que combine inteligencia artificial, an\u00e1lisis sem\u00e1ntico y una gobernanza robusta del ciclo de desarrollo de software. La soluci\u00f3n consta de siete fases interconectadas que abarcan desde la evaluaci\u00f3n inicial hasta el monitoreo continuo. <\/p>\n\n\n\n

La primera fase implica la evaluaci\u00f3n del ciclo de desarrollo actual y de las herramientas utilizadas, buscando identificar debilidades procesales o de gobernanza que puedan facilitar fraudes basados en l\u00f3gica. Esto incluye analizar herramientas de control de versiones, CI\/CD, seguimiento de incidencias y revisi\u00f3n de c\u00f3digo, adem\u00e1s de evaluar pr\u00e1cticas de gesti\u00f3n de cambios, flujos de aprobaci\u00f3n y control de acceso. <\/p>\n\n\n\n

Para lidiar con la complejidad de los sistemas legacy, adoptamos una metodolog\u00eda en siete fases que va desde la evaluaci\u00f3n inicial hasta el monitoreo continuo: <\/p>\n\n\n\n

    \n
  1. Evaluaci\u00f3n de procesos<\/strong>\u00a0<\/li>\n<\/ol>\n\n\n\n
      \n
    1. An\u00e1lisis est\u00e1tico y sem\u00e1ntico<\/strong>\u00a0<\/li>\n<\/ol>\n\n\n\n
        \n
      1. Mapeo de dependencias<\/strong>\u00a0<\/li>\n<\/ol>\n\n\n\n
          \n
        1. Verificaci\u00f3n de security gates<\/strong>\u00a0<\/li>\n<\/ol>\n\n\n\n
            \n
          1. Pruebas de l\u00f3gica de negocio<\/strong>\u00a0<\/li>\n<\/ol>\n\n\n\n
              \n
            1. Controles automatizados<\/strong>\u00a0<\/li>\n<\/ol>\n\n\n\n
                \n
              1. Monitoreo continuo<\/strong>\u00a0<\/li>\n<\/ol>\n\n\n\n

                A continuaci\u00f3n, detallamos las dos primeras fases para ilustrar nuestro enfoque:\u00a0
                Fase 1 \u2013 Evaluaci\u00f3n de Procesos<\/strong>\u00a0
                Implica revisar el ciclo de desarrollo actual y las herramientas en uso (Git, Jenkins, Jira, etc.), identificando lagunas de gobernanza, puntos de control ausentes y flujos de aprobaci\u00f3n que puedan facilitar fraudes.\u00a0
                Fase 2 \u2013 An\u00e1lisis Est\u00e1tico y Sem\u00e1ntico<\/strong>\u00a0
                Utilizando IA, realizamos un escaneo sem\u00e1ntico del c\u00f3digo fuente para mapear dependencias, localizar bloques no utilizados y se\u00f1alar complejidades an\u00f3malas. Este diagn\u00f3stico genera indicadores de riesgo que orientan las fases siguientes.\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

                \u00bfAlguna vez te has preguntado por qu\u00e9 los sistemas cr\u00edticos con millones de l\u00edneas de c\u00f3digo son un terreno f\u00e9rtil […]<\/p>\n","protected":false},"author":4,"featured_media":75187,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"rank_math_lock_modified_date":false,"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[40,119],"tags":[4905,4699],"class_list":["post-75203","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad-es","category-articulos-es","tag-desarrollo-de-software-cloud-es","tag-entelgy-en-brasil-es"],"acf":[],"_links":{"self":[{"href":"https:\/\/entelgy.com\/en\/wp-json\/wp\/v2\/posts\/75203","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/entelgy.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/entelgy.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/entelgy.com\/en\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/entelgy.com\/en\/wp-json\/wp\/v2\/comments?post=75203"}],"version-history":[{"count":0,"href":"https:\/\/entelgy.com\/en\/wp-json\/wp\/v2\/posts\/75203\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/entelgy.com\/en\/wp-json\/wp\/v2\/media\/75187"}],"wp:attachment":[{"href":"https:\/\/entelgy.com\/en\/wp-json\/wp\/v2\/media?parent=75203"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/entelgy.com\/en\/wp-json\/wp\/v2\/categories?post=75203"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/entelgy.com\/en\/wp-json\/wp\/v2\/tags?post=75203"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}