a
July 13, 2022 | Author: Anonymous | Category: N/A
Short Description
Download a...
Description
De la A a la Z FRAUDE BANCARIO 2016 QUÉ, CÓMO Y POR QUÉ
Asociación de Examinadores de Fraude Certificados Informe a las Naciones
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
2
Bienvenido a Fraude Bancario de la A a la Z - Temenos Temenos y NetGuardians - 2016, 201 6, un libro electrónico completo que resume el qué, el cómo y el porqué del fraude, explorando la magnitud del tema, quién lo comete yy,, lo que es más importante, qué se puede hacer al respecto. De acuerdo a la Asociación de Examinadores de Fraude Certicados, el fraude es un negocio a gran escala que cuesta a la industria bancaria $67 mil mil millones al año. Es un problem problemaa que nadie puede darse el lujo de ignorar, ignorar, teniendo en cuenta que las empresas luchan por recuperarse de la crisis nanciera mundial y las principales economías del mundo se tambalean al borde borde de la recesión. Lo más preocupante es que su incidencia es creciente. La Encuesta sobre el Estado de los Delitos Cibernéticos de los Estados Unidos mostró en 2014 un incremento anual de 141% en el número de instituciones nancieras que reportan pérdidas entre $10 mil millones y $19,9 millones. Es posible que, en la práctica, ese número sea mayor mayor,, pues muchas nunca se denuncian a las autoridades. Las estadísticas más alarmantes se reeren al fraude cometido desde el interior de las mismas instituciones: en el 70% de los casos, el crimen fue perpetrado por un empleado bancario. Quienes tienen los niveles más altos de acceso a los sistemas informáticos, como es el caso de los administradores de sistemas y bases de datos, están en la posición precisa para cometer o facilitar el fraude, pudiendo al mismo tiempo borrar toda evidencia de sus acciones. El comportamiento fraudulento puede ser muy difícil de detectar debido a la gran cantidad de transacciones de buena fe que diariamente lleva a cabo un banco. Inclusive los nuevos canales como como la banca en línea, las aplicaciones móviles y las redes sociales aumentan la complejidad de la tarea, la cual además se ve obstaculizada por los sistemas heredados que hacen más difícil el control de la seguridad del sistema. No obstante, en la actualidad contamos con tecnologías innovadoras tales como auditorías continuas, análisis de información información masiva (big data) y evaluación de perles. El procesamiento en tiempo real detecta actividades fraudulentas inclusive antes de que ocurran y las reporta de una forma que no requiere de expertos expertos para su interpretació interpretación. n. Las divisiones de Riesgo, Auditoría y Cumplimiento están en capacidad de ver mucho más que solo la punta del iceberg. Dicho conocimiento es poder. poder. Temenos y NetGuardians han unido esfuerzos para apoyar a la banca mediante la compilación compilación de esta guía indispensable de la A a la Z. Esperamos que invite a la reexión –sin ser muy preocupante-, estimule la discusión y promueva la conanza eenn el futuro… Atentamente, Ben Robinson, Temenos Joel Winteregg, NetGuardians
Cuantía del Fraude Es difícil determinar con precisión la cuantía del fraude cometido en contra de los bancos, pues muchos casos no se denuncian. Sin embargo, la información con que cuenta el sector sugiere lo siguiente:
En promedio, estos negocios incurrieron en pérdidas equivalentes al 1.5% de sus ingresos.
Tres cuartos
$67 $6 7
mil millones
Valor total del fraude bancario en 2014. (Fuente: Asociación de Examinadores de Fraude Certificados)
70% 70 %
de los casos de fraude es causado por actores del sector, por ejemplo, los empleados.
de las compañías de servicios financieros experimentaron al menos una incidencia de fraude en 2012-13.
(Fuente: Economist Intelligence Unit)
141%
6%
de las utilidades totales de los bancos antes de impuestos constituyeron pérdida como resultado de una actividad criminal.*
30% de las compañías de servicios financieros ha sido afectada por robo de información, individualmente la forma más común de fraude en el sector.
es el porcentaje de incremento en la cantidad de empresas financieras que denunciaron pérdidas de entre $10millones y $19.9millones . (Fuente: Encuesta sobre el Estado de la Ciberdelincuencia en los Estados Unidos en 2014)
Las organizaciones citaron a la complejidad de los sistemas informáticos como el factor de mayor riesgo que ellas deben enfrentar.
El temor a la mala publicidad es la razón principal por la que los casos de fraude no se denuncian a los fiscales. Además del costo y tiempo necesarios para llevar a cabo la investigación.
*Valor del fraude bancario calculado como un porcentaje de las utilidades antes de impuestos de los 1.000 bancos más importantes en 2014, según datos provistos por The Banker.
www.temenos.com www.netguardians.ch
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
4
A
ACCESO El ACCESO es el componente más importante de cualquier fraude bancario yy,, ante todo, implica acceso a los sistemas informáticos que procesan las operaciones diarias del banco y permiten a sus clientes manejar sus cuentas. El acceso no controlado controlado a los sistemas informáticos del banco permite al estafador robar o alterar información sensible, procesar transacciones ilícitas y eliminar la evidencia de sus actividades. Sin embargo, también existe la posibilidad de que los estafadores violenten los sistemas informáticos del banco desde el exterior exterior,, aprovechándose de las debilidades en su seguridad. No obstante, en la práctica es mucho más probable que un banco experimente fraude originado dentro de la organización debido al alto nivel de acceso a datos sensibles que debe conceder a miles de empleados para que puedan desempeñar sus funciones. Muchos miembros del personal pueden ver información sensible del cliente en el curso de su trabajo, pero sobre todo el personal que desempeña ciertas funciones cruciales tiene mayores privilegios en cuanto a información que la mayoría de sus colegas. Por ende, este personal tendrá un acceso mucho más amplio al sistema y con ello la capacidad de modicar o actualizar la información información sin atraer la atención. En particular particular,, los administradores de los sistemas informáticos y los administradores de bases de datos, necesitan tener niveles muy altos de acceso a los sistemas críticos del banco. Por ello, las actividades de los administradores de sistemas y administradores de bases de datos deberían contar con atención especial de parte de quienes monitorean la seguridad de un banco; además, es vital que este personal con grandes privilegios de usuario no sea capaz de evadir las pistas de auditoría y operar sin ser detectado.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
5
A
ANÁLISIS TRANSACCIONAL En la banca moderna, donde se automatizan enormes cantidades de transacciones estandarizadas a través del procesamiento directo, la necesidad de aplicar y hacer cumplir un conjunto bien estructurado de cont controles roles tiene gran prioridad. Estos controles automatizados constituyen la primera línea de defensa defen sa tecnológica del banco contra los intentos de llevar a cabo transacciones fraudulentas, pues denen los parámetros de la actividad legítima. Sin embargo, con el n de garantizar que los controles automáticos incorporado incorporadoss en los sistemas informáticos del banco están operando de manera efectiva y no están siendo anulados o eludidos, éstos deben ser monitor monitoreados eados constantemente. El ANÁLISIS TRANSACCIONAL es el proceso por el cual se lleva a cabo este control, de manera tal que cualquier infracción al sistema de control del banco resulte en la activación de alertas de seguridad para permitir que se tomen tomen las acciones apropiadas. apropiadas. De ahí que el uso del análisis transaccional permite al banco automatizar parte de su proceso de auditoría interna y asegurar que se aplique de forma continua. En vista de que el análisis transaccional se puede aplicar a todas las transacciones que el sistema procesa, el mismo ofrece mayor ventaja que los métodos tradicionales de vericación de los controles internos. internos. Anteriormente se utilizaba el muestreo manual para vericar que los controles se aplicaban adecuadamente, y se utilizaban los resultados de la muestra para sacar conclusiones sobre el sistema en su conjunto. Sin embargo, el muestreo manual no solo involucra uso intensivo de mano de obra, es lento y costoso, sino que también deja sin escrudiñar a la mayoría de las transacciones. Al automatizar el proceso de análisis de transacciones para detectar violaciones de los controles, los bancos pueden lograr un nivel muy superior de escrutinio comparado con el que los métodos tradicionales les permiten.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
6
A
AUTORIDADES DE CONTROL Las AUTORIDADES DE CONTROL están sometiendo a todas las compañías de servicios nancieros a una creciente presión con el n de garantizar que estén haciendo lo suciente para proteger los datos sensibles de sus clientes contra pérdida accidental o robo, y demostrar demostrar que efectivamente lo están haciendo. En el pasado, gran parte de las regulaciones sobre protección de datos era “declarativa” y exigía e xigía a las empresas simplemente conrmar su cumplimiento de las normas. En la actualidad, nuevas regulaciones están obligando a las organizaciones a demostrar que éste efectivamente es el caso. Éste es un cam cambio bio importante que incr incrementa ementa signicativamente la responsabilidad de cumplimiento que tienen las empresas. Las nuevas normas sobre seguridad informática y protección de datos provienen tanto de autoridades de control nacionales como a nivel europeo, entre ellas podemos mencionar el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la UE, que se espera entre en vigencia en 2018, así como las normas para proteger la información de identicación del cliente emitidas por el ente regulador suizo, FINMA, que rastrean violaciones graves de datos en los bancos, incluyendo al HSBC en Ginebra. Las reglas del GDPR GDPR asignarán nuevas obligaciones a las organizaciones; en tal sentido, los profesionales que fueron consultados por la publicación británica Computer Weekly en el verano de 2015 creen que los bancos que operan en la Unión Europea serán el primer grupo sujeto al escrutinio de las autoridades de control que buscan endurecer las normas de seguridad de la información. Las nuevas regulaciones exigirán que cualquier violación a la seguridad de los datos se informe a las autoridades de control durante las primeras 72 horas de ocurrido el incidente y, y, en los casos más graves, permitirán a las autoridades de control imponer multas de hasta 2% de los ingresos totales de la instituc institución ión involucrada. Los bancos también serán responsables por sus datos condenciales cuando éstos estén en manos de terceros proveedores de bienes y servicios; en tal sentido, deberán llevar a cabo las respectivas vericaciones de cumplimiento y evaluaciones de la situación general de dichos proveedores.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
7
B
BANCA PARA DISPOSITIVOS MÓVILES El rápido crecimiento de la BANCA PARA DISPOSITIVOS MÓVILES, tales como teléfonos y tabletas, reeja el papel central que estos dispositivos juegan en la actualidad en la vida de los consumidores alrededor alrededor del mundo. También destaca algunos de los retos, cada vez mayores, que enfrentan los bancos durante la migración de sus clientes a los nuevos canales de la banca. En el Reino Unido, una invest investigación igación llevada a cabo por la Asociación de Banqueros Británicos (BBA, por sus siglas en inglés) encontró que los consumidores británicos utilizaron sus dispositivos móviles para revisar sus cuentas corrientes 895 millones de veces durante el año 2015, en contraposición con los 427 millones de transacciones realizadas realizadas en las sucursales banc bancarias. arias. La BBA estima que, para 2020 los clientes vericarán sus cuentas corrientes desde sus dispositivos móviles 2,3 mil millones de veces al año, más que a través de Internet, las sucursales y la banca telefónica juntas. Mientras más consumidores eligen al teléfono móvil como su método principal para administrar la mayoría de los aspectos de su vida diaria, el potencial de que los bancos experimenten un crecimiento crecimiento muy rápido en la cantidad de clientes es evidente. El ejemplo de un banco africano que vio crecer su base de clientes de 4 millones hasta 14 millones en menos de dos años después de incluir en sus servicios la banca para dispositivos móviles es más bien común. Un cambio de esta magnitud y velocidad inevitablemente agrega una enorme carga a los sistemas informáticos de los bancos en la medida del aumento del volumen de transacciones; yy,, por otro lado, ofrece una ruta de acceso a los sistemas informáticos de los bancos, los mismos que pueden volverse vulnerables al fraude y al uso no autorizado. Las crecientes exigencias al personal y a los sistemas informáticos pueden hacer muy difícil la implementación de controles ecaces de riesgo y la ampliación de los mismos para poder servir al creciente número de clientes. Los teléfonos móviles también se están convirtiendo en un medio importante para vericar la identidad de un cliente, dejando al banco potencialmente vulnerable a fraudes sencillos tales como el remplazo del número de teléfono móvil de un cliente, registrado en la base de datos CRM del banco, con el de un estafador; de esa forma el estafador está en condiciones de llamar al servicio telefónico del banco y acceder a la información de la cuenta de la víctima, utilizando el número de teléfono móvil falso para autenticar su identidad. Sin embargo, debido a que las transacciones de banca para dispositivos móviles son absolutamente diseñadas en función del cliente y totalmente automatizadas, su desarrollo también debería ayudar a reducir el riesgo de fraude que los bancos enfrentan, en particular el fraude llevado a cabo por empleados del banco.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
8
C
COMPLEJIDAD La COMPLEJIDAD representa probablemente probablemente la fuente más importante de vulnerabilidad de los bancos en sus intentos por det detectar ectar y prevenir el fraude. En la medida en que la banca depende cada vez más de la tecnología -y a falta de una estrategia compensatoria- los sistemas de los que los bancos dependen para brindar sus servicios se han multiplicado y se han vuelto mucho más com complejos. plejos. Como resultado de este aumento de complejidad, se han creado más oportunidades para que los estafadores accedan a sistemas críticos; al mismo tiempo, se ha hecho más difícil que los bancos tengan una visión clara de toda la actividad en sus sistemas. La complejidad en los sistemas bancarios se reeja en el creciente número de canales a través de los cuales los bancos ofrecen sus servicios en la actualidad, incluyendo sitios web y plataformas de banca en línea, aplicaciones móviles y redes redes sociales. Todos estos canales representan nuevas oportunidades para que los l os estafadores accedan al sistema informático informático bancario. La tecnología de la infor información mación de los bancos se ha vuelto más compleja a medida que se implementan nuevos sistemas de información sobre los antiguos, lo cual resulta en capas de tecnología que no necesariamente se vinculan entre sí; esto hace que sea mucho más difícil lograr una visión unicada de las operaciones. En vista de que las computadoras centrales centrales han dado paso a la computación en red, los sistemas críticos también se han descentralizado; hoy en día, incluso una institución relativamente pequeña cuenta con múltiples bases de datos que se ejecutan en diferentes servidores a los que puede acceder una gran cantidad de empleados. Los complejos y altamente descentralizados sist sistemas emas informáticos como estos son difíciles de controlar y presentan más oportunidades para el ingreso de los estafadores. La modernización de los sistemas antiguos de los que muchos bancos aún dependen, permite a las instituciones incrementar su capacidad de detectar el fraude, lo cual a menudo no es tomado en cuenta.
Tecnología y complejidad Desde las plataformas de banca en línea hasta las aplicaciones para dispositivos móviles y redes sociales, un número creciente de canales nuevos hace cada vez más difícil para los bancos tener una visión clara de toda la actividad en sus sistemas.
Número de veces que los consumidores británicos utilizaron sus dispositivos móviles para revisar sus cuentas corrientes 2,500 Millones 2,000 1,500
427m Número de transacciones en las sucursales en 2015
2.3mm
1,000 500
895m
Más que a través de internet, sucursal y banca telefónica combinadas (Fuente: Asociación de Banqueros Británicos)
0
2015
2020 (pronóstico)
RIESGO
BENEFICIO
La seguridad de TI se ha vuelto más compleja a medida que se implementan nuevos sistemas de información sobre los antiguos. Esto resulta en capas de tecnología que no necesariamente se vinculan bien entre
Debido a que las transacciones de banca para dispositivos móviles son absolutamente diseñadas en función del cliente y totalmente automatizadas, su desarrollo debería ayudar a reducir la exposición de los
sí y son difíciles de controlar.
bancos al fraude - en particular el fraude llevado a cabo por empleados del banco…
RIESGO
… SIN EMBARGO
Incluso una institución relativamente pequeña cuenta con múltiples bases de datos que se ejecutan en diferentes servidores a los que puede acceder una gran cantidad de empleados –y las personas son el eslabón más débil.
El uso del procesamiento directo, que no requiere intervención humana en la transacción, pone un gran énfasis en la fortaleza y la eficacia de los sistemas de control interno.
www.temenos.com www.netguardians.ch
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
10
C
CUANTÍA Es difícil determinar con precisión la CUANTÍA del fraude cometido en contra de los bancos, pues muchos muchos casos no se denuncian. Sin embargo, en su Informe a las Naciones de 2014, la Asociación de Examinadores de Fraude Certicados estimó que el fraude bancario en ese año ascendió a $67 mil millones, aproximadamente 6% de las utilidades totales antes de im impuestos puestos de las 1.000 instituciones instituciones más importantes. importantes. Se dice que alrededor del 70% de esta cifra fue el resultado de fraudes realizados por empleados. La asociación trabaja en una amplia gama de sectores, sectores, pero sus hallazgos indican que los servicios bancarios y nancieros tienen de lejos la más alta incidencia de fraude que cualquiera de dichos sectores. Los casos de fraude bancario repr representan esentan el 17,8% de los casos, en comparación con el 10,3% de la segunda categoría más alta, es decir el gobierno y la administración pública. Otra evidencia pr proviene oviene de la Encuesta sobre el Estado de la Ciberdelincuencia en los Estados Unidos en 2014, que encontró que el número de empresas nancieras que reportaron pérdidas de entre $10 millones y $ 19,9 millones se disparó en un 141% año tras año. Según el trabajo de investigación de Economist Intelligence Unit, en 201213 tres cuartas partes de las compañías de servicios nancieros a nivel mundial experimentaron al menos un fraude y, en promedio, estos negocios incurrieron en pérdidas equivalentes al 1,5% de sus ingresos. El robo de datos y el fraude nancier nanciero o interno, en conjunto, afectaron aproximadamente al 30% de las compañías de servicios nancieros; violaciones regulatorias y de cumplimiento ocurrieron en 26% de ellas; y, lavado de dinero en 8%. Los encuestados que par participaron ticiparon en el estudio estudio de EIU citan a la complejidad de los sistemas informáticos como el factor de mayor riesgo que enfrenta su organización, aunque casi el 40% dijo que la alta rotación de personal fue otra fuente importante de vulnerabilidad. El Informe a las Naciones mostró que el temor a la mala publicidad es la razón principal por la que los casos de fraude no se denuncian a los scales, y muchas compañías indican que los procedimientos disciplinarios internos fueron sucientes para lidiar con el problema. Sin embargo, en muchos casos, el co costo sto y tiempo necesarios para investigar las instancias de fraude se consideraron también como otra de las razones para no denunciar los casos de fraude a las autoridades externas.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
11
C
CUATRO OJOS El método predeterminado predeterminado para validar una amplia gama de procedimientos del día a día que se lleva a cabo dentro de un banco es el llamado principio de CUATRO CUATRO OJOS. Esto signica simplemente que las operaciones realizadas por un empleado deben ser validadas por otro con el n de asegurar que están en línea con los controles controles internos del banco. banco. En la mayoría de los casos, este reparto de tareas proporciona una forma sencilla de asegurar que los controles del banco son ecaces y que los empleados corruptos no pueden eludirlos con facilidad. Sin embargo, el principio de cuatro ojos es claramente vulnerable a la colusión entre dos o más empleados que, actuando juntos, serían capaces de manipular el reparto normal de tareas y validar transacciones fraudulenta fraudulentass sin levantar sospecha dentro del banco. En vista de que este tipo de fraude se lleva a cabo dentro del sistema de controles controles del banco, el mismo pasa desapercibido y es extremadamente difícil de detectar. Es por ello que la colusión entre empleados sigue siendo la forma más fácil de cometer fraude dentro de un banco. Aparte de la colusión directa, los empleados también pueden frustrar el principio de cuatro ojos cuando la seguridad de las contraseñas contraseñas en el banco es muy baja. Si un empleado del banco puede acceder a las contraseñas contraseñas de un colega, será capaz de realizar operac operaciones iones fraudulentas en el sistema, e iniciar una sesión bajo la identidad de otra persona para validarlas. Tal como mencionamos anteriormente, los fraudes realizados de esta manera son muy difíciles de detectar entre la gran cantidad de transacciones de buena fe que procesa el banco cada día.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
12
D
DENUNCIA DE IRREGULARIDADES La DENUNCIA DE IRREGULARIDADES (o whistleblowing como se la conoce en inglés) es la fuente principal e inicial de información que conduce a la detección de fraudes realizados por empleados de organizaciones organizaciones del sector público y privado. De acuerdo al Estudio Global sobre Fraude en 2014, publicado por la Asociación de Examinadores de Fraude Certicados, esta fuente representa representa más del 40% de los casos. Estos hallazgos incluyen a todos los sectores, pero tienen directa relevancia en la banca. En vista de la importancia primordial que tienen las denuncias en la detección de fraudes, los bancos deben instaurar procedimientos que les aseguren que son capaces de obtener el mayor benecio posible de la información que reciben de parte de los informantes. El primer paso es vericar que la or organización ganización tenga una política bien estructurada de denuncia de irregularidades, que permita al personal que se anima a denunciar sentirse conado de que no será victimizado o comprometerá sus perspectivas de carrera carrera por causa de la denuncia. Frecuentemente, los denunciantes se han visto afectados como resultado de sus acciones, puesto que sus superiores no quieren que se revelen los incidentes de irregularidades o fraude, o que se corra el riesgo de dañar la reputación y el nombre nombre de la organización. Por lo tanto, cualquier política de denuncia debe ofrecer garantías conables al personal y, a la vez, debe ser ampliamente comunicada de modo que la gente esté consciente de la protección que dicha política le brinda. Sin embargo, la organización organización igualmente debe ttomar omar medidas para protegerse contra acusaciones maliciosas yy,, por otro lado, los expertos usualmente recomiendan que las denuncias por parte de los empleados tengan un trato condencial en lugar de ser anónimas. Igualmente, es importante que los bancos se den cuenta de que muchas denuncias se originan fuera de la organización: por ejemplo, de parte de clientes y proveedores. Es por ello que muchos bancos mantienen un área dedicada al fraude, que se encarga de recibir las denuncias de los clientes y bloquear las cuentas que se han visto comprometidas. comprometidas. En junio de 2015, el Banco Central de Nigeria ordenó a todos todos los bancos y proveedores de pago del país que establezcan secciones dedicadas a la prevención de fraude fraude como parte cclave lave de sus defensas. En combinación con un sistema de controles controles internos bien estructurado y un software avanzado antifra antifraude, ude, la denuncia de irregularidades desempeña un papel vital en la lucha contra el fraude.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
13
D
DÍA CERO La batalla entre las instituciones in stituciones y los estafadores se asemeja a una carrera armamentística. Los desarrollador desarrolladores es de tecnología trabajan en ambos lados: los hackers crean nuevas formas de penetrar en los sistemas para robar información y llevar a cabo transacciones fraudulentas, mientras que los proveedores de software trabajan para bloquear estos ataques y descubrir nuevas vulnerabilidades en sus programas antes que los piratas informáticos. i nformáticos. De vez en cuando, los piratas informáticos tienen éxito aprovechándose de las fallas en los sistemas de software que utilizan las organizaciones antes de que el personal de seguridad de dichas organizaciones organizaciones se dé cuenta de estas debilidades. Estos son conocidos como ataques en el DÍA CERO y se reeren a tomar ventaja de una falla de software previamente previamente desconocida. Se han llevado a cabo ataques de DÍA CERO en sistemas ampliamente utilizados de software, incluyendo sistemas operativos de PC y Mac y navegadores web. web. Los proveedores de so software ftware lanzan miles de parc parches hes de seguridad para tapar las brechas que se descubren en su código pero, en algunos casos, ellas se descubren solo después de que las personas ya han sido víctimas de un ataque. Pueden pasar años antes de descubrir un ataque de DÍA CERO. CERO. El malware Octubr Octubree Rojo se descubrió después de cinco años, tiempo durante el cual se lo utilizó para robar información de gobiernos, embajadas, empresas de energía e instalaciones nucleares en 39 países. La compañía de seguridad rusa Kapersky Labs lo descubrió en octubre de 2012. Sus creadores habían implant implantado ado el malware en documentos de Microsoft Word Word y Excel que se enviaron a destinatarios especícos mediante correo electrónico. A pesar de que estas brechas de seguridad son causa de preocupación, la tecnología sigue desarrollándose con rapidez y la seguridad que rodea a los sistemas informáticos que forman la infraestructura crítica de la banca se está volviendo más poderosa cada día. Los principales avances en áreas com como o el análisis de datos masivos y el monitor monitoreo eo en tiempo real permiten que las actividades no autorizadas se puedan detectar y tratar con mayor rapidez rapidez que en el pasado. Asimismo, la cr creación eación del análisis predict predictivo ivo promete aumentar aún más la fortaleza de las defensas de las que los bancos dependen. La capacidad de la tecnología tecnología para proporcionar proporcionar una pr protección otección ecaz contra el fraude nunca ha sido mayor de lo que es hoy en día -y está en constante mejora.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
14
E
EVALUACIÓN DE PERFILES En los casos en que la actividad fraudulenta no involucra violación de cualquiera de los controles internos del banco -y por lo tanto no activa una bandera roja de alerta en sus sistemas de seguridad- la EV EVALUACIÓN ALUACIÓN DE PERFILES constituye una de las más ecaces contramedidas. Este aspecto del análisis de información masiva es semejante al aprendizaje automático, en el sentido de que el sistema antifraude analiza grandes grupos de datos a lo largo del tiempo con el n de establecer patrones relacionados con cuentas y clientes especícos que reejan su comportamiento normal. En un ejemplo sencillo, esto podría involucrar pagos a una cuenta en un día determinado del mes por parte de una fuente regular como es el caso de un empleador,, retiros de cajeros automáticos dentro de un área geográca característica empleador y compras de una cuantía promedio en un rango de fuentes tanto físicas como en línea. Al organizar datos de este tipo durante un período, el sistema puede crear un perl nacional de ese cliente o cuenta, contra el cual se pueden evaluar y consultar las transacciones que aparentemente salen de los parámetros reconocidos. reconocidos. Ellas podrían incluir un retiro del cajero automático o pago con tarjeta en otro país, una transacción de tamaño inusual o una que se lleve a cabo en un momento inesperado del día. En el contexto de la banca de inversión, la evaluación de perles de las posiciones netas y actividad de negociación de un grupo de negociadores podría permitir a un banco identicar si alguno de ellos muestra un patrón de actividad diferente al de sus colegas que trabajan en el mismo equipo. En última instancia, la capacidad de crear perles de esta manera permitirá a los sistemas antifraude llevar a cabo el análisis predictivo continuo del comportamiento del usuario y de los patrones de transacción a medida que ocurren, con el n de emitir una alerta temprana sobre actividades sospechosas.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
15
F
FRAUDE EXTERNO El FRAUDE EXTERNO, que implica la violación de la seguridad de los sistemas bancarios y el acceso no autorizado a información sensible o procesamiento de transacciones fraudulentas por parte de una persona ajena al banco, se puede lograr de varias maneras. Por ejemplo, las contraseñas con poca seguridad podrían permitir al defraudador acceder a los sistemas informáticos del banco sin necesidad de contar con sosticada piratería informática. Sin embargo, un gra grann porcentaje del fraude llevado a cabo por personas ajenas a la institución depende de la ayuda y complicidad de los empleados de la institucion, quienes pueden haber recibido sumas relativamente pequeñas de dinero para facilitar el delito. Por ejemplo, gracias a la generalización de las aplicaciones para dispositivos móviles, los teléfonos móviles se han convertido en una forma aceptada por los bancos para autenticar la identidad de un usuario sin que el mismo esté presente. Esto implica una vulnerabilidad potencial con respecto a los controles del banco, la misma que puede ser fácilmente aprovechada por personas ajenas a la institución, en complicidad con un empleado del banco que tiene acceso a la base de datos de administración de relaciones con el cliente del banco. Para llevar a cabo el fraude, el empleado cambia temporalmente el número de teléfono móvil de un cliente en la base de datos del banco por el número que usará el defraudador. defraudador. A continuación, un cómplice externo llama a la línea de servicio al cliente del banco y resetea la contraseña de la cuenta del cliente utilizando el número de teléfono móvil que aparece ahora en la base de datos del banco para para validar su identidad. Una vez que la cuenta ha sido asaltada, el empleado del banco nuevamente cambia el número de móvil que aparece en la base de datos por el correcto y de esta forma completa el fraude. Esto demuestra una vez más la facilidad con la que un administrador de base de datos puede realizar cambios a la información de un cliente, sin crear una alerta que sugiera que se han violentado los controles.
Posibilidad externa El fraude externo, que implica la violación de la seguridad de los sistemas bancarios y el acceso no autorizado a información sensible o procesamiento de transacciones fraudulentas por parte de una persona ajena al banco, se puede lograr de varias maneras.
PASSWORD: PASSWO Las contraseñas con poca seguridad podrían permitir al defraudador acceder a los sistemas informáticos del banco sin necesidad de contar con sofisticada piratería informática.
Las personas ajenas a la institución usualmente dependen de la ayuda y complicidad de los empleados de la institución, quienes pueden haber recibido sumas de dinero relativamente pequeñas para facilitar el delito.
£100
£0
Los teléfonos móviles son un medio para verificar la identidad de un cliente, sin necesidad de su presencia; sin embargo, dejan al banco vulnerable a fraudes simples.
Así es como esto opera: un empleado interno remplaza el número de teléfono móvil de un cliente, registrado en la base de datos CRM del
£ El cómplice externo llama a la línea de servicio al cliente del banco y resetea la contraseña del cliente…
Una vez que la cuenta ha sido asaltada, se cambia de nuevo la información en la base de datos.
banco, el con el que utilizará estafador.
0 1 0 1
1
0
0
1
1
0 1 0 1
1
0
1
0
0
0 1 0 1
0
1
1 0
0 1
0
1
1
0
0
1
1
0
0 1 0 1
1
0 1
1
0
1 1 0
1 0
www.temenos.com www.netguardians.ch
0
1
1 0 1 0
0
0
$45m
0 1 0 1
1
1 0
1
1 0 1 0
0
0
1
0
Hay un vibrante mercado negro en Internet para información robada de clientes, el mismo que incluye detalles de banca en línea y tarjetas de crédito. El robo de datos confidenciales es perjudicial para la reputación de un banco, incluso si no ha habido pérdida financiera directa a consecuencia de dicho robo. direct financial loss as a consequence
Monto saqueado por una banda criminal en los EE.UU. en un caso extremo de fraude de cajeros automáticos.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
17
F
FRAUDE INTERNO El FRAUDE INTERNO representa la forma más común de pérdida para los bancos. Las estimaciones varían, pero la encuesta Global de Delitos Económicos realizada por PwC en 2014, que incluye no solo bancos sino también otras instituciones nancieras, sugiere que los responsables del 56% de los fraudes fraudes son los empleados. Otros análisis expertos ubican a la participación interna en el fraude bancario hasta en el 70%. El fraude por parte de los empleados ocurre en todos los niveles de las organizaciones. Según las encuestas realizadas por Economist Intelligence Unit (unidad de inteligencia del grupo The Economist) entre las organizaciones que habían sido víctimas de fraude cuyos autores eran conocidos, en 32% de los casos la gura principal era un gerente de nivel medio o alto, mientras que en 42% de los casos se trataba de un empleado de menor jerarquía. jerarquía. En muchos casos que involucran a bancos, los fraudes internos implican colusión entre al menos dos individuos con el n de eludir los controles del banco, en particular el principio de los cuatro ojos que está diseñado para garantizar que una persona persona lleve a cabo una opera operación ción y otra la valide. Empleados tales como administradores de sistemas y bases de datos, con privilegios de usuario que les permiten altos niveles de acceso a los sistemas informáticos del banco, están particularmente bien ubicados para cometer o facilitar fraude al interior de los bancos y, a menudo, son capaces de eliminar del sistema la evidencia de sus acciones. Los expertos en fraude sugieren que el proceso de llevar a cabo un fraude, por lo general, toma un largo período y a menudo empieza con una “exploración” de los sistemas informáticos del banco para ver hasta dónde se puede llegar de acuerdo a los derechos de acceso del individuo. Los sujetos pueden buscar una cuenta inactiva que les permita operar sin ser detectados o empezar a hacer pequeños cambios temporarios a la información del sistema, tales como un número de teléfono, para vericar si son detectados y en cuánto tiempo. La criminóloga Janet Goldstraw-W Goldstraw-White hite sugiere que las personas que descubren vulnerabilidades en los sistemas informáticos y de control de su empleador podrían sentirse “seducidas” a com cometer eter fraude. “Cuando se dan cuenta de lo fácil que es hacerlo y lo pueden hacer con impunidad, a menudo siguen repitiendo el delito”, declara.
Un trabajo interno: quién y por qué El fraude interno representa la forma más común de pérdida para los bancos y puede ocurrir a cualquier nivel de una organización. organización. Los cargos con un alto nivel de acceso a los sistemas informáticos, tales tales como los administradores de bases de datos, presentan un mayor riesgo.
Casos cuyo líder fue un gerente de nivel medio o alto
32%
42%
Casos cuyo líder fue un empleado de menor jerarqu jer arquía ía
El criminólogo Donald Cressey identificó Cressey identificó un patrón paraSu la evolución enconsiste el lugaren detres trabajo. "triángulo del del fraude fraude", elementos: presión, oportunidad y racionalización.
n ó i s r e P
O p o r t u n i d a d
Racionalización
Presión
Oportunidad
Racionalización
Motivación que impulsa al empleado a cometer el fraude. Puede ir desde problemas personales tales como alcohol, drogas o ruptura de relaciones, hasta la necesidad de rendir mejor que sus colegas o tomar venganza.
Controles internos deficientes o el hecho de que el individuo ocupa una posición de confianza.
Los defraudadores no se ven a sí mismos como criminales y, por tanto, necesitan justificar sus acciones para que se sientan lógicas y razonables. Ellos podrían argumentar que “solo estaban pidiendo prestado” el dinero que robaron o que su empleador es corrupto.
Muchos casos de fraude interno implican colusión entre al menos dos individuos con el fin de
eludir los controles del banco.
www.temenos.com www.netguardians.ch
“
Cuando se dan cuenta de lo fácil que es hacerlo y lo pueden hacer con impunidad, a menudo siguen repitiendo el delito Janet Jan et Golds Goldstraw traw-Wh -White, ite, Crim Criminól inóloga oga
”
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
19
G
GÉNESIS DE UN FRAUDE El GÉNESIS DE UN FRAUDE cometido en el lugar de trabajo generalmente sigue un patrón identicado en 1953 por primera vez por Donald Cressey Cressey,, un criminólogo estadounidense. Cressey postuló el “triángulo del fraude”, que est establece ablece los tres factores que deben estar presentes en un lugar de trabajo para que el fraude pueda llevarse a cabo, lo cual sigue vigente 60 años más tarde. El triángulo del fraude de Cressey consiste en tres factores: presión, oportunidad y racionalización. El primero, la presión o el incentivo, describe la mot motivación ivación que impulsa al empleado a cometer el fraude. La presión puede ir ir,, por ejemplo, desde problemas personales provocados por abuso de alcohol o drogas, ruptura de relaciones o adicción al juego, hasta presiones corporativas tales como la necesidad de demostrar un mejor rendimiento a los superiores o a actores externos como es el caso de inversionistas o reguladores. reguladores. Por otra parte, el incentivo puede darse por un problema en la relación del empleado con sus superiores, con un consiguiente deseo de venganza, o una sensación de que su esfuerzo y logros no están siendo valorados o recompensados. La oportunidad puede surgir por causa de controles internos decientes o inexistentes o porque el individuo en cuestión ocupa una posición de conanza que es vulnerable al abuso. Si el defraudador es capaz de cubrir sus huellas, puede llegar a la conclusión de que tiene una buena oportunidad para lograr una ganancia sustancial con bajo riesgo de ser descubierto. Cressey sugiere que la racionalización es necesaria para el fraude puesto que los defraudadores no se ven a sí mismos como criminales y, por tanto, necesitan justicar sus acciones para que se sientan lógicas y razonables. Los estafadores dan un sinnúmero de excusas para sus acciones, entre e ntre otras, que solo estaban pidiendo prestado el dinero que robaron; que su empleador les debe dinero; que son mal pagados y merecen un sueldo más alto; que cometieron fraude para poder mantener a su familia; o que su robo está justicado debido a que su empleador es deshonesto o corrupto.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
20
H
HACKEO (PIRA (PIRATERÍA TERÍA INFORMÁ INFORMÁTICA) TICA) El HACKEO abarca una gran variedad de técnicas utilizadas para encontrar las debilidades en la seguridad informática de una organización y así acceder ilícitamente a sistemas informáticos para para varios efectos, que incluyen fraude y robo de datos. datos. En su forma más sencilla, la piratería puede implicar algo tan simple como tratar de adivinar las contraseñas; esto tiene una mayor probabilidad de éxito en el caso de organizaciones con controles decientes de seguridad de contraseñas y aquellas que no exigen a sus usuarios cambiar su contraseña con regularidad. El hackeo también puede incluir intentos de inducir a los usuarios a que divulguen su información de cuenta mediante “phishing” (suplantación de identidad) por correo electrónico, o incluso llamadas telefónicas que supuestamente provienen del banco o del proveedor de servicios nanciero nancieross del usuario. Enfoques como est estos os pueden simplemente implicar acceso a la cuenta de la víctima con el n de robar su dinero, pero también pueden proporcionar los medios para cometer un “robo de identidad” más intrincado, en el que se utilizan datos personales de un individuo para congurar cuentas falsas que luego servirán para obtener crédito o hacer compras fraudulentas. Los tipos más sosticados de piratería tecnológica pueden incluir intentos para introducir software software malicioso en los sistemas informáticos de una organización, por ejemplo a través de adjuntos de correo electrónico, con el n de obtener información sensible o para permitir a los hackers encontrar una ruta para ingresar en el sistema. Los riesgos para la seguridad cibernética que plantean los hackers hoy en día d ía motivaron a la agencia de calicación estadounidense Standard & Poor’ Poor’ss a alertar al público en septiembre de 2015 que, en adelante, sus calicaciones de crédito para bancos tomarán en cuenta la calidad y la fortaleza de sus sistemas de seguridad informática. “Consideramos que la seguridad cibernética débil constituye una amenaza emergente que tiene el potencial de volverse un riesgo mayor para las empresas nancieras en el futuro y posiblemente resultar en calicaciones crediticias bajas”, manifestó la l a agencia.
El hackeo y cómo se lleva a cabo Abarca las técnicas utilizadas para acceder al sistema informático de un banco con el fin de llevar a cabo fraude o robo de datos. Ambos lados están en constante actividad: los hackers ideando nuevos métodos y los proveedores de software buscando formas de bloquear los ataques.
Nombre: Contraseña:
ADMIN 12345
Conjeturas
Malware
Es más probable que tengan éxito contra organizaciones con controles deficientes en cuanto a seguridad de contraseñas y que no
Los ataques más sofisticados introducen software malicioso en los sistemas informáticos de un banco mediante anexos a correos
solicitan sus usuarios cambiar sus contraseñas de formaaregular.
electrónicos, por ejemplo para captar información sensible.
1 Robo de identidad Se utilizan datos personales de la víctima para configurar cuentas falsas que luego servirán para obtener crédito o hacer compras fraudulentas.
1
1
0
Phishing (suplantación de identidad)
Ataques en el día cero
Se intenta inducir a los clientes a divulgar información de sus cuentas mediante correo electrónico o inclusive llamadas telefónicas fraudulentas que dicen originarse en proveedor de servicios financieros del usuario.
desconocida en un sistema de software ampliamente utilizado, como es el caso de un sistema operativo. Ellos pueden pasar desapercibidos por varios años.
Se aprovecha de una falla
Standard & Poor’s alertó al público que, en el futuro, sus calificaciones de crédito para bancos tomarán en cuenta la calidad y la fortaleza de sus sistemas de seguridad informática. www.temenos.com www.netguardians.ch
1
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
22
I
INFORMACIÓN MASIVA (BIG DATA) DATA) INFORMACIÓN MASIVA MASIVA se reere a la capacidad de los sistemas informáticos modernos para reunir grandes cantidades de datos procedentes de múltiples fuentes y analizarlos con el n de desbloquear valiosos detalles -en este caso, señales de actividad fraudulenta. En línea con la amplitud y bajos costos de la tecnología informática en los últimos años, han surgido sistemas capaces de analizar grandes cantidades de datos casi en tiempo real, aumentando considerablemente la velocidad para obtener valiosa información y detalles. En el caso de los bancos, se puede aprovechar el análisis de la información masiva con el n de compilar compilar,, interpretar y detectar correlaciones representativas en datos provenientes de diferentes sistemas informáticos dentro del banco, que no están conectados y normalmente no interactúan entre sí, yendo desde la banca para dispositivos móviles, la banca electrónica y los sistemas transaccionales hasta el core bancario, CRM CRM y datos de acceso físico. Por ejemplo, al comparar información información en los sistemas transaccionales del banco con datos de acceso físico al edicio por parte del personal, pocos minutos después de una intrusión se puede detectar el uso de la clave de acceso de un empleado que no está en el edicio. Las tres principales formas de aprovechar el análisis análi sis de información masiva para buscar y detectar fraude bancario son: •
•
•
La detección de infracciones a los controles del banco: búsqueda de un patrón de actividad en el sistema, preciso y bien denido, que infringe el sistema bancario. El análisis para detectar el comportamiento que, poraprenda sí mismo, no podría infringir control alguno. Éste implica inusual que el sistema a rreconocer econocer patrones “normales” de actividad y destaque ejemplos que no encajan con el patrón establecido. Evaluación de perles: capacidad de llevar a cabo, de forma muy eciente, un análisis de las actividades de un usuario de cuenta o sistema en particular durante un largo período, manejando grupos de datos de múltiples sistemas que podrían ejecutar miles de millones de transacciones.
Cómo pueden ayudar los datos masivos y la evaluación de perfiles Ésta es la capacidad con que cuentan los sistemas informáticos modernos para reunir grandes cantidades de datos procedentes de múltiples fuentes y analizarlos con elfraudulenta. fin de desbloquear valiosos detalles -en este caso, señales de actividad
POR EJEMPLO Al comparar información en los sistemas transaccionales del banco con datos de acceso físico al edificio por parte del personal, pocos minutos después de una intrusión se puede detectar el uso de la clave de acceso de un empleado que no está en el edificio. Las tres principales formas de aprovechar el análisis de información masiva para buscar fraude bancario son: 1. Búsqueda de
2. Detección de comportamiento inusual
3. Análisis de una cuenta en
patrones de actividad
que, por sí mismo, podría no infringir control alguno, pero permite que el sistema
particular o las actividades de
aprenda los patrones "normales" de
durante un largo período, las
actividad y destaque ejemplos que no encajen.
cuales que podrían ejecutar miles de millones de
precisos que infringen el sistema de controles del banco.
un usuario en el sistema
transacciones.
En el contexto del consumidor, las actividades fuera del perfil normal pueden incluir, retiros de cajeros automáticos en otro país, una transacción de tamaño inusual o una que se lleve a cabo en un momento inesperado del día.
En el contexto de la banca de inversión, la evaluación de perfiles de las posiciones netas y actividad de negociación de un grupo de
negociadores podría permitir a su empleador identificar patrones que difieren a los de sus colegas que trabajan en el mismo equipo.
Próximamente: análisis predictivos de comportamientos de usuarios y patrones Próximamente: análisis de transacción que emitirán una alerta temprana sobre actividades sospechosas. www.temenos.com www.netguardians.ch
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
24
I
J
JURISDICCIÓN El delito de fraude a menudo puede abarcar más de una JURISDICCIÓN, en particular cuando se trata de organizaciones multinacionales tales como grandes bancos que tienen operaciones en varios países, o cuando los elementos del fraude se dirigen desde o llevan a cabo en otra parte del mundo. En el caso de fraudes fraudes mediante el uso de sistemas de información digital, es posible que la actividad técnicamente se haya realizado en más de una jurisdicción y, por tanto, implique la participación de autoridades de diferentes países. En la práctica, las autoridades han demostrado en casos recientes que están preparadas para reclamar jurisdicción sobre las actividades que involucran autores que operan desde otros territorios, especialmente cuando estos delitos afectan a mercados nancieros globales. Las multas impuestas a los bancos estadounidenses y europeos en mayo de 2015 por su papel en un intento de manipular los mercados de divisas son un buen un ejemplo de ello. El Departamento de Justicia de los Es Estados tados Unidos y la Autoridad de Conducta Financiera del Reino Unido impusieron multas por un total de más de $5 mil millones a un grupo de bancos estadounidenses y europeos, cuyos empleados estaban involucrados en el intento de manipular los mercados de divisas. Las sanciones impuestas a una serie de bancos internacionales por parte de las autoridades de los Estados Unidos por violar las sanciones internacionales contra Irán también demuestran cómo el fraude puede ccruzar ruzar las fronteras. fronteras. En 2014, el Departamento de Justicia de los Estados Unidos impuso una multa de $9,6 mil millones al banco francés BNP Paribas después de haberse declarado culpable de violar las sanciones contra contra Irán, Sudán y Cuba. Cuba. Las autoridades estadounidenses armaron que se había removido información de transferencias electrónicas de modo que éstas pudieran pasar a través de la cámara de compensación estadounidense sin desencadenar señales de alerta. A pesar de que el fraude estaba diseñado para eludir las sanciones de los Estados Unidos, el centro de la actividad fraudulenta estaba en otro país. Sin embargo, la presencia del banco en los EE.UU., junto con el uso de la cámara de compensación de los Estados Unidos, resulto en que el crimen recayera en la jurisdicción del Departamento de Justicia de ese país.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
25
J
JUVENTUD Durante las últimas dos décadas, la rápida propagación de la economía digital ha aumentado exponencialmente la cantidad de datos que generan las organizaciones y, con ello, los desafíos de maximizar el valor de estas vastas reservas de iinformación. nformación. En enero de 2009, Hal Var Varian, ian, Jefe Economista de Google, comentó a la publicación McKinsey Quarterly: “Sigo diciendo que q ue los cargos más atractivos en los próximos 10 años serán los de los profesionales en estadística… La capacidad de tomar datos -poder entenderlos, procesarlos, extraer el valor de los l os mismos, visualizarlo, comunicarlo– será una habilidad inmensamente importante en las próximas décadas”. Las tecnologías antifraude que dependen de estas habilidades cruciales se encuentran todavía en su etapa de JUVENTUD -muchas se desarrollaron sólo en los últimos años y, en muchos casos, los bancos solo recientemente han comenzado a implementar proyectosHay pilotos quecamino utilizan por técnicas modernas tales análisis dese datos masivos. mucho rrecorrer ecorrer antes de quecomo estaseltecnologías tecnologías conviertan en una parte rutinaria de la operación diaria de los bancos: a principios de 2014, Gartner,, analista del mercado de la tecnología, indicó que sólo el 8% de las empresas Gartner grandes y globales había aplicado el análisis de datos masivos en al menos un caso relacionado con violación de seguridad o detección detección de fraude. Se prevé que la proporción proporc ión aumente a un unaa de cada cuatro en 2016. Estas nuevas tecnologías se están desarrollando de sarrollando rápidamente, y esto trae tanto oportunidades como desafíos para las organizaciones que quieren apr aprovecharlas. ovecharlas. Por un lado, la rápida evolución de los sistemas exigirá a los bancos adaptar y actualizar sus controles de forma frecuente y capacitar continuamente a su personal con el n de mantenerse al tanto de los avances tecnológicos y la evolución de las metodologías para cometerlas fraude. Por otro lado lado, en la vez misma medida los capacidad sistemas antifraude evolucionan, organizaciones organizaciones son, cada mejores. Suque mayor de procesamiento les permite volverse más rápidas e inteligentes, y la calidad y facilidad de uso de sus análisis dirigidos al personal de seguridad están mejorando, lo cual facilita su uso. La banca está cada vez más dominada po porr las tecnologías digitales y a medida que este proceso continúa, la tecnología inevitablemente será un arma indispensable en la constante lucha contra el fraude.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
26
K
KERVIEL El nombre de Jérôme Kerviel estará siempre asociado con uno de los casos más notorios de comercio comercio fraudulento en un banco de inversión de gran escala. Este ciudadano francés trabajó en Société Générale en París entre 2000 y 2008 y cometió un fraude a largo plazo que involucró la falsicación de información acerca de sus posiciones comerciales; nalmente, el banco terminó descubriendo una pérdida de € 4,9 mil millones cuando la apuesta de Kerviel por que los mercados iban a recuperarse en 2008 resultó estar desastrosamente desastrosamente equivocada. En la controversia resultante, resultante, el presidente ejecutivo del banco renunció y el banco se vio obligado a hacer una emisión emergente de capital para reparar su balance. Durante sus primeros cinco años en SocGen, Kerviel trabajó en middle ofce, en donde ingresaba en el sistema informático del banco las negociaciones realizadas por front ofce. ofce. Esto le permitió aprender aprender cómo operaban los contr controles oles del banco y descubrir maneras de evadirlos. Posteriormente lo as ascendieron cendieron a la pos posición ición de negociador y utilizó el conocimiento aprendido en su cargo anterior para desarrollar enormes transacciones no autorizadas sin ser detectado por los sistemas de control del banco. Los ociales de cuenta dicen que él cubría sus negoc negociaciones iaciones con cobertura coberturass falsas equivalentes y las cerraba pocos días después, justo antes de que los controles automáticos temporizados del banco para las actividades de los negociadores las detectaran. Con el pasar del tiempo sus transacciones comerciales no autorizadas crecían progresivamente progresivam ente y cada vez con menos control -en 2005, ééll logró una utilidad de €4 millones para el banco y en 2006, €11 millones; sin embargo, en 2007 sus actividades aumentaron de forma masiva -Kerviel desarrollo una exposición de €28 mil millones y su predicción en el sentido de que los l os mercados se desplomarían resultó correcta. Sus negociaciones ilegales rindieron una utilidad de €1,4 mil millones, aunque él ocialmente solo declaró €55 millones. La caída de Kerviel ocurrió en enero de 2008, cuando él pensó erróneamente que los mercados iban a subir. subir. Su posición abierta no autorizada, por un monto monto de €50 mil millones quebró y SocGen se encontr encontró ó al borde de la insolvencia. Kerviel fue condenado por fraude, encarcelado y se le ordenó devolver €4.9 mil millones.
Un trabajo interno: cómo El acceso no controlado a los sistemas informáticos del banco permite al estafador robar o alterar información sensible, procesar transacciones ilícitas y eliminar la evidencia de sus actividades. Tal como lo demuestra el “triángulo del fraude” de Cressey, puede ser solo cuestión de oportunidad…
£ Los expertos sugieren que el proceso de llevar a cabo un fraude, por lo general, toma un largo período y a menudo empieza con una "exploración" de los sistemas informáticos del banco para ver hasta dónde se puede llegar de acuerdo a los derechos de acceso del individuo.
Los sujetos pueden buscar una cuenta inactiva que les permita operar sin ser detectados o empezar a hacer pequeños cambios temporarios a la información del sistema para verificar si son detectados y en cuánto tiempo.
¥
€ $
4
El principio conocido como “cuatro ojos”, cuyo objetivo es asegurar que las operaciones realizadas por un empleado
No hace falta ser un genio, pero un empleado que puede acceder a las contraseñas de un colega, puede ser capaz de realizar operaciones fraudulentas en el
Los fraudes realizados de esta manera son muy difíciles de
sean validadas por otro, es vulnerable a la colusión entre dos empleados.
sistema, e iniciar una sesión bajo la identidad de la otra persona para validarlas.
detectar entre la gran cantidad de transacciones de buena fe que procesa el banco cada día.
Un estafador puede tratar de dividir una transacción fraudulenta grande en múltiples transacciones pequeñas que, en sí, no implican violación a los controles del banco.
www.temenos.com www.netguardians.ch
40
Los encuestados que participaron en el estudio de la Economist Intelligence Unit citaron a la alta rotación de personal como una fuente importante de vulnerabilidad.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
28
L
LIBOR La manipulación ilegal de la LIBOR, que es la tasa de interés de referencia clave del mercado, se dio a conocer en junio de 2012, cuando Barclays anunció un acuerdo con las autoridades de los Estados Unidos por un valor de $453 millones como compensación por la participación de sus nego negociadores ciadores en el fraude. La Libor -tasa interbancaria de oferta de Londres- se calcula diariamente con base en la información presentada por los principales bancos y su objetivo es presentar la tasa a la que dichos bancos pueden prestarse dinero dinero entre sí. Este punto de referencia ssee utiliza a nivel mundial para calcular el precio de productos nancieros con un valor de hasta US$ 3,5 billones de dólares, tanto mayoristas como de consumo, que van desde complejos contratos derivados hasta hipotecas y préstamos de consumo. Tras el escándalo, se hizo público que llos os negociadores de varios bancos habían estado conspirando, a través de sistemas de mensajería privada, para acordar las tasas de interés que presentarían para el cálculo diario de la Libor, Libor, el mismo que, en esa época era responsabilidad de la Asociación Asociación de Banqueros Británicos. La presentación de cifras ligeramente superiores o inferiores podría tener un impacto directo sobre las utilidades de los bancos por sus actividades de negociación y, por ende, inuir en los benecios y bonicaciones bonicaciones de los negociadores negociadores individuales. Por ejemplo, en una demanda colectiva presentada en los Estados Unidos en 2012, los demandantes alegaron que los bancos conspiraron para asegurar un incremento en la Libor el primer día de cada mes –es decir, la fecha en que se calculaban los nuevos montos de pago de las hipotecas contratadas con con tasa variable, con base en la tasa ja Libor de ese día. Es más, durante la crisis nanciera, los bancos podían ocultar el alcance de sus dicultades nancieras, conspirando para reducir articialmente la Libor y dando así la apariencia de que podían prestar más barato de lo que en realidad ocurría. Los grandes bancos han pagado miles de millones de dólares para llegar a un acuerdo en los casos relacionados con la manipulación de la tasa Libor alrededor del mundo, especialmente en los EE.UU. y el Reino Unido; por el contrario, algunos bancos, incluyendo UBS, han recibido inmunidad por revelar a las autoridades detalles sobre el “cártel Libor”. En abril de 2015, Deuts Deutsche che Bank pagó a las autoridades del Reino Unido y EE.UU. $ 2,5 mil millones, el mayor acuerdo económico relacionado con la tasa Libor hasta el día de hoy.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
29
P
PROCESAMIENTO DIRECTO En vista de que los sistemas informáticos han automatizado progresivamente la mayoría de las operaciones repetitivas y cotidianas que los bancos llevan a cabo, el uso del PROCESAMIENTO DIRECTO, que no requiere la intervención in tervención humana en la transacción, ha permitido que aoren aoren nuevos riesgos de fraude. Es obvio que el procesamiento directo brinda grandes ventajas a los bancos en cuanto a costo y eciencia, pues les permite manejar un mayor volum volumen en de transacciones. Sin embargo, también pone un gran énfasis en la fortaleza y la ecacia de los sistemas de control interno que se emplean para monitorear estos miles de millones de transacciones automatizadas. Si estos controles son débiles o tienen fallas, es posible que las transacciones fraudulentas que no involucran violación directa de cualquier control interno puedan completarse sin desencadenar una alerta de seguridad. Puede ser que estos fraudes nunca se detecten, e incluso cuando se detecten podría ser demasiado tarde para tomar cualquier medida ecaz. Un estafador puede tra tratar tar de dividir una transa transacción cción fraudulenta grande en múltiples transacciones pequeñas para asegurarse que, individualmente, ninguna de ellas sea objeto de sospecha. A menos que el banco cuente con sistemas de seguridad que emitan una alerta cuando se esté realizando una cantidad inusualmente grande de transacciones en la misma cuenta de cliente o en cuentas vinculadas, es probable que un intento de fraude de este tipo pueda tener éxito sin desencadenar una alerta de “bandera rroja”. oja”. Cuando se rrealizan ealizan transacciones que no involucran violación a los controles del banco, los sistemas de monitoreo que analizan el comportamiento de los usuarios con el n de detectar patrones que, se conoce, están conectados con actividades fraudulentas, son los que proporcionan una línea esencial de defensa.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
30
R
ROBO DE DATOS Aunque la mayoría de la gente piensa que fraude es el acto de llevar a cabo transacciones ilícitas, el ROBO DE INFORMACIÓN juega un papel muy importante en la facilitación del delito y es un tema de gran preocupación para los bancos y entidades de control. Los bancos manejan una gr gran an cantidad de datos sensibles de sus clientes y la condencialidad es una expectativa básica de cualquier cliente del banco. Por consiguiente, el robo de datos condenciales es perjudicial para la reputación de un banco, incluso si no ha habido pérdida nanciera directa a consecuencia de dicho robo. El robo de datos puede ocurrir como resultado del acceso a los sistemas informáticos por parte de personas ajenas a la organización, pero es igualmente probable que resulte de violaciones internas por parte de personal propio con altos niveles de acceso, como es el caso de los administradores bases de datos y sistemas. Hay un mercadode negro enen Internet información robada de clientes, el mismo que incluye detalles banca línea ypara tarjetas de crédito. El ejemplo reciente más famoso de robo de datos a gran escala es el del especialista informático Hervé Falciani, quien robó los datos de 24.000 clientes de banca privada de una sucursal en Ginebra mientras trabajaba en un proyecto de TI en 2007. Al nal, él entregó los archivos archivos robados a las autoridades scales scales francesas. En este caso, el robo de datos no facilitó el fraude contra el banco o sus clientes, pero sí una enérgica respuesta de las autoridades de control debido a la grave violación a la condencialidad de los clientes. En los últimos años, las autoridades de control han incrementado la presión sobre los bancos para que mejoren sus controles alrededor de la seguridad de datos y para proporcionar proporc ionar una mayor protec protección ción a los datos condenciales de sus clientes. Por ejemplo, la autoridad de control suiza, FINMA, publicó nuevas normas con respecto a la seguridad de los datos de identicación del cliente.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
31
S
SUPERVISIÓN La SUPERVISIÓN de la actividad del usuario está en el centro de la detección y disuasión efectiva del fraude. Está basada en la ccapacidad apacidad de detectar ac actividades tividades que violan controles internos, en cuyo caso emite una “bandera roja” de alerta, o identicar patrones de actividad que, por sí mismos, no violan dichos controles, pero en conjunto maniestan una posible actividad fraudulenta. En ambos caso casos, s, el monitoreo efectivo del uso de los sistemas informáticos del banco por parte de miles de individuos y la interpretación de su comportamiento es la clave para una efectiva detección y presentación de informes sobre fraude. En los casos en los que hay participación de empleados en cargos especialmente sensibles, se puede acudir a sistemas especializados que proporcionen un mayor nivel de seguridad en las áreas donde los bancos tienen vulnerabilidades potencialmente graves. Particularmente, esto estoss sistemas especialmente diseñados es están tán disponibles para monitorear las actividades de los administradores de sistemas y administradores de bases de datos en la plataforma informática del banco y así reducir el riesgo de fraudes cometidos por los usuarios del sistema que tienen muy altos privilegios de acceso. El papel fundamental que la tecnología juega actualmente en la supervisión contra el fraude también ha dado lugar a grandes cambios en la forma en que los auditores internos de los bancos deben operar y las habilidades que necesitan para hacer su trabajo. Con frecuencia, los auditor auditores es están alejados del lado operativo del banco yy,, por tanto, pueden carecer del conocimiento detallado de cómo funcionan los sistemas informáticos del banco y sus potenciales vulnerabilidades. Es por ello que los auditores especializados en tecnología de la información se han convertido en una parte vital del arsenal de los bancos contra el fraude y proporcionan un apoyo esencial para el trabajo del equipo de auditoría interna.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
32
T
TIEMPO CASI REAL Uno de los mayores desafíos para el uso ecaz del análisis de datos masivos para efectos de detectar fraude es el tiempo requerido para procesar los vastos volúmenes de información involucrados. Para ser más ecaces, los sistem sistemas as de fraude deben tener una capacidad de procesamiento en TIEMPO CASI REAL, de modo que los patrones de actividad potencialmente fraudulentos en los sistemas informáticos de los bancos se puedan detectar y corregir rápidamente. En la actualidad, muchos bancos ejecutan algoritmos diseñados para detectar fraude relacionado con los datos datos de sus sistemas de core bancario. bancario. El problema con este enfoque es que el procesamiento respectivo de datos constituye una carga pesada para el sistema de core bancario yy,, por ende, tiende a degradar su rendimiento. En consecuencia, los algoritmos no se pueden ejecutar con mucha frecuencia, lo que lleva a un nivel más bajo de protección contra contra fraude. En contraste, el uso de un sistema antifraude más moderno, que extrae los datos necesarios del sistema de core bancario y los analiza en tiempo casi real, posibilita un enfoque mucho más proactivo a la detección y prevención de fraude y, a la vez, evita un impacto negativo en el rendimiento del sistema.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
33
U
U.B.A. ANÁLISIS DEL COMPORTAMIENTO COMPORTAMIENTO DEL USUARIO (UBA, por sus siglas en inglés) es un área de rápido crecimiento en cuanto a detección de fraude dentro de los bancos. Se basa en el análisis de datos masivos y requiere contar con la capacidad suciente para evaluar muy grandes volúmenes de datos procedentes de múltiples fuentes dentro de los sistemas informáticos informáticos del banco. Este análisis se hace a nivel de usuarios individuales, aunque los bancos también buscan identicar vínculos entre usuarios y entidades en el sistema. Una vez que el sistema de UBA se ha congurado para rreejar eejar las prácticas de trabajo de una institución y ha establecido una línea de base para el comportamiento típico de sus usuarios, el mismo es capaz de identicar ejemplos anómalos, ya sea realizados por intrusos internos o externos, y marcarlos para una mayor investigación. Esta área de detección de fraude aún está en desarrollo yy,, hasta la ffecha, echa, varía signicativamente de un proveedor proveedor a otr otro. o. Las tendencias important importantes es en este mercado incluyen el nivel y el alcance del análisis de datos que el banco está obligado a llevar a cabo internamente. Los sistemas UBA más avanzados ahora ahora incluyen grandes grupos de los conocidos “análisis enlatados”, que signican que el sistema proporciona información al banco en una forma fácilmente utilizable, por ejemplo a través de paneles de información. Con ello, los bancos no requieren requieren tener sus propios expertos en datos para poder dar el uso apropiado a sus datos. Los proveedores de UBA también están proporcionando estos sistemas cada vez más en calidad de servicio, en cuyo caso es el personal del proveedor quien lleva a cabo los análisis y envía los informes sobre actividades anómalas al cliente.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
34
V
VOLUMEN Uno de los mayores retos que enfrenta cualquier banco hoy en día en el intento de detectar y contrarrestar el fraude, es el VOLUMEN ampliamente incrementado de tráco digital que sus sistemas tienen que pr procesar ocesar a diario. A medida que la banca utiliza cada vez más medios de pago digitales en lugar de efectivo, y aumenta la penetración en el mercado de productos nancieros que van desde hipotecas hasta tarjetas de crédito, el volumen de transacciones que los sistemas informáticos del banco deben procesar electrónicamente a diario –que puede llegar a 20 millones o más en el caso de grandes organizaciones- seguirá aumentando. Hasta hace relativamente poco tiempo, muchas de las operaciones bancarias se procesaban todavía manualmente en papel, lo que hacía que el proceso de comprobación y vericación fuera más lento pero meno menoss vulnerable al abuso. Sin embargo, el aumento en el volumen de transacciones digitales ha hecho que este enfoque sea insostenible. En su lugar lugar,, los bancos se han visto obligados a automatizar automatizar la mayor cantidad posible de procesos rutinarios para dar cabida a altos volúmenes de transacciones digitales. Inevitablemente, esto signica que la mayoría de las transacciones ya no serán sometidas a ningún tipo de comprobación humana, lo que permite que la actividad fraudulenta se inltre a través de los sistemas del banco, siempre y cuando no contravenga ninguno de los sistemas de control control interno. Esto también aum aumenta enta el riesgo de “falsos positivos” -transacciones legítimas que desencadenan una alerta de fraude y que requieren la participación del personal para conrmar que no son una amenaza. Es esencial contar con un sistema de co control ntrol bien estructurado y bien monitoreado para permitir el procesamiento seguro de grandes volúmenes de transacciones. Pero, debido a que la velocidad y la calidad de los análisis de datos masivos mejoran a un ritmo acelerado, los sosticados sistemas de detección de fraude también se están convirtiendo en el centro de los esfuerzos para detectar y prevenir fraudes ocultos entre los millones de operaciones que se realizan cada día. Junto con el incremento continuo de los volúmenes de transacciones digitales, la creciente adopción de la banca para dispositivos móviles está disparando el número de consultas de los clientes que los sistemas bancarios b ancarios deben procesar procesar,, debido a que los clientes de la banca para dispositivos móviles tienden a vericar sus saldos y transacciones recientes con mucha más frecuencia que las personas que utilizan la banca a través de otros otros canales. Las estimaciones recientes de la As Asociación ociación de Banqueros Británicos sugieren que los clientes del Reino Unido habrían accedido a sus cuentas a través de sus dispositivos móviles 895 millones de veces en 2015, llegando hasta 2,3 mil millones en 2020. Esto no necesariament necesariamentee tendrá como resultado resultado un volumen más alto de transacciones en general pero, sin duda, incrementará la carga sobre la infraestructura informática del banco.
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
35
X
XXG La tecnología permite a los l os bancos procesar grandes cantidades de transacciones, pero el mismo principio aplica a los defraudadores. Esto signica que un solo fraude puede tener un impacto XXG, lo que da como resultado resultado pérdidas enormes. En un caso extremo de fraude de cajeros automáticos descubierto en los EE.UU., una banda criminal saqueó $45 millones de cajeros automáticos alrededor del mundo, en dos ataques separados. La banda primero hackeó bases de datos datos que contenían datos de tarjetas de débito prepagadas que pertenecían a dos bancos con sede en el Medio Oriente. Los piratas informáticos obt obtuvieron uvieron datos de tarjetas de débito, eliminaron eliminaron los límites de retiro de las cuentas y crearon códigos de acceso. Posteriormente, utilizaron los datos de las cuentas y los códigos de acceso fraudulentos para permitir el retiro de dinero de las cuentas comprometidas con cualquier tarjeta plástica con banda magnética. En su segundo y mucho más impresionante ataque, la banda transrió información a grupos de defraudadores en diferentes ciudades alrededor del mundo, quienes a continuación se trasladaron de un cajero automático a otro para retirar grandes sumas de dinero. En el transcurso de tan solo unas poca pocass horas, se realizaro realizaronn más de 36.000 retiros fraudulentos que resultaron en el robo de alrededor de $40 millones. La información sobre el robo salió a la luz se llevó a juicio a ocho miembros de la célula de Nueva York York que participó en el fraude. El caso subrayó una serie de vulnerabilidades que los estafadores pudieron aprovechar aprovechar,, incluyendo la falta de seguridad y tecnología de ltro en los bancos afectados, las cuales les hubieran ayudado a detectar y contrarrestar contrarrestar a los piratas informát informáticos. icos. Además, el uso continuo de tarjetas con bandas magnéticas en e n los Estados Unidos permitió a los defraudadores producir,, con mucha facilidad, copias que funcionaban utili producir utilizando zando los códigos de acceso falsos. Estas tarjetas con banda magnética se habían dejado de usar en la mayoría de los otros países y ahora estaban siendo eliminadas paulatinamente en los EE.UU. para ser reemplazadas por la tecnología tecnología de chip y PIN, que es más difícil de copiar. copiar. Sin embargo, debido a que los bancos y comerciantes estadounidenses todavía utilizaban tarjetas magnéticas, ellas seguían siendo aceptadas en otras partes del mundo.
Un futuro cercano La SUPERVISIÓN de la actividad del usuario está en el centro de la detección y disuasión del fraude. La confianza seguirá siendo fundamental, fundamental, pero la tecnología para rastrear el comportamiento criminal es cada vez mejor, justo en la medida en que nuevas normas salen a la luz para para regular aún más el sector.
El procesamiento en tiempo real está a la vuelta de la esquina y permitirá detectar la actividad fraudulenta a medida que
ocurre.
En los casos en los que hay participación de empleados en
El análisis del comportamiento del usuario muestra un rápido desarrollo y proporcionará información en una forma fácilmente utilizable sin la necesidad de recurrir a científicos especializados en datos – mediante una pantalla tipo "panel de información ", por ejemplo.
cargos especialmente sensibles, tales como administradores de sistemas y bases de datos, se puede acudir a sistemas especializados para reducir el riesgo entre los usuarios con privilegios de acceso muy altos. El papel fundamental que la tecnología juega jue ga en la la supe supervis rvisión ión cont contra ra el el fraud fraude e ha dado lugar a cambios en la forma en que los auditores internos operan y las habilidades que necesitan para hacer su trabajo. Es por ello que los auditores especializados en tecnología de la información se han convertido en una parte vital del arsenal de los bancos.
4 0 %
Volumen de casos de fraude revelados como resultado de denuncia de irregularidades. Los bancos deben cambiar su actitud e instaurar nuevos procedimientos que les aseguren que son capaces de obtener el mayor beneficio posible de la información que reciben de parte de los informantes.
2018
72 hours
2%
Año en que se espera que el Reglamento General de Protección de Datos (GDPR) de la UE entre en vigencia.
Son el tiempo máximo permitido para denunciar violación a la seguridad de los datos, bajo las nuevas normas GDPR.
Es el porcentaje de los ingresos totales propuesto como multa máxima.
www.temenos.com www.netguardians.ch
Fraude Bancario de la A a la Z – Temeno Temenoss y NetGuardians – 2016
37
Acerca de Temenos Temenos Group AG (SIX: AG (SIX: TEMN), cuya ocina matriz se encuentra en Ginebra, es uno de los proveedores líderes en el mercado de software que, gracias a su alianza estratégica con bancos y otras instituciones nancieras, les permite transformar sus negocios y mantenerse a la vanguardia en el mercado. Más de 2.000 instituciones nancieras alrededor del mundo, incluyendo 38 de los 50 bancos más importantes, confían en Tem Temenos enos para procesar sus transacciones diarias para más de 500 millones de clientes y por más de USD 5 billones en activos. Los clientes de Temenos han demostrado ser más rentables que sus competidores. En el período 2008-2012 disfrutaron en promedio, promedio, de un rendimiento sobre activos 32% mayor, un rendimiento de capital 42% más alto, y su relación costo a ingreso fue 8,1 puntos más baja que la de los bancos que todavía operan con software heredado.
Fraude Bancario de la A a la Z – Temenos Temenos y NetGuardians – 2016
38
Acerca de NetGuardians NetGuardians es una empresa líder en software bancario, reconocida por su enfoque único con respecto a soluciones antifraude y de aseguramiento de riesgos. Nuestro galardonado software aprovecha los datos masivos para correlacionar y analizar comportamientos en todo el sistema bancario –y no solo a nivel de transacción. Esta visión más amplia es el secreto secreto de nuestra ventaja creativa. Nos hacemos acreedores de nuestros mediante u na una combinacióna la deconanza conocimiento técnicoclientes por parte de nuestro equipo de investigación y desarrollo y nuestro profundo entendimiento de los desafíos cambiantes del riesgo que enfrentan los bancos en un mundo sin fronteras. Fundada en 2007, NetGuardians fue la primera compañía en emerger de la incubadora de innovación, Y Y-Parc, -Parc, en Yverdonles-Bains, Suiza. Hoy en día, la empr empresa esa goza de una sólida presencia internacional con una clientela en constante crecimiento en Europa, el Medio Oriente y África. En 2015, Gartner nombró a NetGuardians “Cool Vendor” (proveedor genial) en el evento “Los y Cumplimiento Innovan lasProveedores Técnicas Técnicas de Geniales ValidacióndedeAuditoría Controles”: http://www.netguardians.ch/gartner
View more...
Comments
