Infolaft presenta a continuación la segunda parte de su cubrimiento del 8º Congreso de Prevención del Fraude y Seguridad, el cual reunió a expertos y entidades del Estado para abordar esta problemática. En este artículo se hace referencia a dos conferencias que suministraron señales de alertas de posibles fraudes y mejores prácticas para mitigar el riesgo.
Conocer a los defraudadores permite combatirlos
¿Quiénes son y cómo actúan?
Según Diego Cano, experto en prevención de fraudes corporativos, la Asociación de Examinadores Certificados de Fraude (Acfe por su sigla en inglés) ha establecido por medio de varios estudios que las empresas pierden anualmente hasta el 5% de sus ganancias por concepto de fraudes.
Recordó el caso de Kweku Adoboli, un funcionario con altos niveles de preparación académica y con una gran reputación al interior del banco suizo UBS, quien fue el responsable hace algunos años de la pérdida de U$2200 millones de dólares de dicha entidad tras tomar posiciones arriesgadas y sin sustento en numerosas inversiones, las cuales ocultó por varios meses al alterar archivos contables.
De acuerdo con Cano, los fraudes –al igual que otros delitos financieros- se masifican en momentos de crisis, ya que las personas sienten bastante presión por mantener un estilo de vida, pagar sus deudas o simplemente por mostrar mejores resultados a sus superiores. El expositor sostuvo que algunas estadísticas indican que en los países de América Latina el 10% de los fraudes los cometen personas deshonestas, otro 10% proviene de personas definitivamente deshonestas y el restante 80% es cometido por personas que pueden cometerlo, es decir, aquellas que tienen acceso a datos o información sensible de las organizaciones.
Según una encuesta citada por Cano, ‘‘los defraudadores dan indicios de que están atentando contra la organización al llevar un nivel de vida por encima de sus posibilidades (43% de los casos) o al evidenciar problemas financieros (36% de los casos)’’; sin embargo, es difícil hacer la detección porque cerca del 85% de los defraudadores no tenía antecedentes de conductas similares.
¿Cuándo tomar medidas?
El experto recomendó a las entidades, tanto públicas como privadas, ajustar sus sistemas de prevención del fraude cuando identifiquen alguna de las siguientes situaciones:
- Signos de deficiencia en los controles internos.
- Banderas rojas (red flags) y detección de irregularidades.
- Denuncias a través de llamados anónimos.
- Denuncias a través de correos electrónicos anónimos.
- Falta de cumplimiento de normas y regulaciones.
- Conflictos de intereses dentro de la empresa y con terceros.
- Comportamientos o actividades sospechosas de empleados.
Mejores prácticas
Cano sugirió a las entidades realizar una completa verificación de antecedentes de sus empleados antes de cualquier vinculación. Este control se puede ampliar incluso al momento de ascender a un funcionario o ampliarle sus responsabilidades dentro de la organización.
También es aconsejable realizar capacitaciones periódicas para mantener al personal atento ante la amenaza que representan los fraudes y para enviar el mensaje de que la entidad tiene controles rigurosos en la materia. Según cano en muchas entidades tienen manuales y políticas, pero los funcionarios las desconocen.
Finalmente, en varios países hay empresas que piden autorización a sus empleados para hacer consultas patrimoniales cada cierto tiempo. De acuerdo con el experto, esta podría ser una mejor práctica que se podría aplicar.
Lo que se puede aprender del caso Target
Dimensión del fraude
Daniel Brody, funcionario de Easy Solutions, recordó que el ataque contra la cadena de tiendas por departamentos Target tuvo lugar entre el 27 de noviembre y el 15 de diciembre de 2013 y comprometió más de 40 millones de tarjetas de crédito y la información personal de más de 70 millones de usuarios, por lo que hubo aproximadamente 110 millones de afectados.
Este hecho tuvo consecuencias catastróficas para Target: miles de demandas, una reducción del 46% en los ingresos durante el cuarto trimestre de 2013, una caída del 13% en las acciones durante los seis meses siguientes al ataque, la renuncia del presidente de la compañía, no pudieron contratar cientos de empleados que tenían previstos y han tenido que gastar alrededor de U$170 millones de dólares en mitigar el ataque, aunque se prevé que los gastos totales ascenderán a U$1000 millones de dólares.
Daniel Brody. Foto infolaft
Adicional a lo anterior, la mayoría de bancos que operan en EE.UU. fueron afectados. Incluso, según Brody, los piratas informáticos se robaron la información de 30 000 tarjetas de crédito de 10 bancos colombianos.
¿Cómo ocurrió?
De acuerdo con lo expuesto por Brody, los delincuentes robaron las credenciales de un tercero, que en este caso fue una empresa de refrigeración que prestaba sus servicios a Target, para posteriormente instalar software maliciosos (malware) en las terminales de punto de venta/servicio (POS por su sigla en inglés), tales como los datáfonos.
Al parecer los ladrones sabían que los datáfonos de Target almacenaban la información en texto plano, es decir, no estaban encriptados, y por esa razón desarrollaron un malware específico para estos aparatos. El malware salió de allí para un servidor de Target infectado y luego a un servidor externo que recaudó toda la información.
Una vez se concretó el ilícito, los delincuentes decidieron que no podían hacer compras con los 40 millones de tarjetas, razón por la cual se dispusieron a vender los datos en el mercado negro con el objetivo de que las tarjetas fueran compradas por personas de la misma zona de residencia de las víctimas.
Brody señaló que uno de los principales problemas es que los datos de las tarjetas de crédito llegan al mercado negro mucho después de ser robadas; es decir, los usuarios están muy atentos al principio para detectar si fueron víctimas de fraude, pero luego se relajan y ni siquiera revisan los extractos.
Errores de Target en el manejo de la situación
Apenas se dieron a conocer las denuncias, los voceros de Target se apresuraron a presentarse ante los medios de comunicación para negar el ataque; sin embargo, y tras ser conscientes de la dimensión del ilícito del que fueron objeto, tuvieron que cambiar su versión apenas una semana después.
Otra falla cometida, relacionada más con el mercadeo y el manejo de la imagen corporativa, fue la de ofrecer después del ataque descuentos del 10% en todas sus tiendas, con lo cual los usuarios percibieron que a Target solamente le interesaba mitigar las millonarias pérdidas aumentando sus ventas.
¿Qué hacer para detectar posibles fraudes?
El experto recomendó las siguientes medidas para identificar a tiempo situaciones que pueden indicar fraudes:
- Hacer monitoreo de los mercados negros virtuales en busca de tarjetas a la venta.
- Establecer alertas tempranas sobre posibles grandes violaciones de los sistemas.
- Hacer monitoreo de las menciones de la marca en redes sociales, incluyendo cuentas falsas y situaciones de ‘phishing’ (esto sirve para identificar si en una página web o por medio de un perfil se están ofreciendo tarjetas de crédito).
- Bloquear y desactivar páginas y aplicaciones que distribuyan malware entre los clientes de la entidad.
- Realizar un permanente monitoreo transaccional.