de la a a la z fraude bancario - temenos.com · transacciones de buena fe que diariamente lleva a...

“El fraude bancario tuvo un costo estimado de $67 mil

millones en 2014. EL 70% DE ESTE COSTO SE

INCURRIÓ A NIVEL INTERNO. En su mayoría permanece

inadvertido.”

De la A a la ZFRAUDE BANCARIO2016

Asociación de Examinadores de Fraude Certificados Informe a las Naciones

QUÉ, CÓMO Y POR QUÉ

Fraude Bancario de la A a la Z – Temenos y NetGuardians – 20162

Bienvenido a Fraude Bancario de la A a la Z - Temenos y NetGuardians - 2016, un libro electrónico completo que resume el qué, el cómo y el porqué del fraude, explorando la magnitud del tema, quién lo comete y, lo que es más importante, qué se puede hacer al respecto.

De acuerdo a la Asociación de Examinadores de Fraude Certificados, el fraude es un negocio a gran escala que cuesta a la industria bancaria $67 mil millones al año. Es un problema que nadie puede darse el lujo de ignorar, teniendo en cuenta que las empresas luchan por recuperarse de la crisis financiera mundial y las principales economías del mundo se tambalean al borde de la recesión. Lo más preocupante es que su incidencia es creciente.

La Encuesta sobre el Estado de los Delitos Cibernéticos de los Estados Unidos mostró en 2014 un incremento anual de 141% en el número de instituciones financieras que reportan pérdidas entre $10 mil millones y $19,9 millones. Es posible que, en la práctica, ese número sea mayor, pues muchas nunca se denuncian a las autoridades.

Las estadísticas más alarmantes se refieren al fraude cometido desde el interior de las mismas instituciones: en el 70% de los casos, el crimen fue perpetrado por un empleado bancario. Quienes tienen los niveles más altos de acceso a los sistemas informáticos, como es el caso de los administradores de sistemas y bases de datos, están en la posición precisa para cometer o facilitar el fraude, pudiendo al mismo tiempo borrar toda evidencia de sus acciones.

El comportamiento fraudulento puede ser muy difícil de detectar debido a la gran cantidad de transacciones de buena fe que diariamente lleva a cabo un banco. Inclusive los nuevos canales como la banca en línea, las aplicaciones móviles y las redes sociales aumentan la complejidad de la tarea, la cual además se ve obstaculizada por los sistemas heredados que hacen más difícil el control de la seguridad del sistema.

No obstante, en la actualidad contamos con tecnologías innovadoras tales como auditorías continuas, análisis de información masiva (big data) y evaluación de perfiles. El procesamiento en tiempo real detecta actividades fraudulentas inclusive antes de que ocurran y las reporta de una forma que no requiere de expertos para su interpretación. Las divisiones de Riesgo, Auditoría y Cumplimiento están en capacidad de ver mucho más que solo la punta del iceberg.

Dicho conocimiento es poder. Temenos y NetGuardians han unido esfuerzos para apoyar a la banca mediante la compilación de esta guía indispensable de la A a la Z. Esperamos que invite a la reflexión –sin ser muy preocupante-, estimule la discusión y promueva la confianza en el futuro…

Atentamente,

Ben Robinson, Temenos

Joel Winteregg, NetGuardians

Cuantía del Fraude

70%de los casos de fraude es

causado por actores del sector, por ejemplo, los empleados.

www.temenos.comwww.netguardians.ch

Es difícil determinar con precisión la cuantía del fraude cometido en contra de los bancos, pues muchos casos no se denuncian. Sin embargo, la información con que cuenta el sector sugiere lo siguiente:

Valor total del fraude bancario en 2014. (Fuente: Asociación de Examinadores de Fraude Certificados)

de las utilidades totales de los bancos antes de impuestos constituyeron pérdida como resultado de una actividad criminal.*

6%

$67mil millones

Tres cuartos de las compañías de servicios financieros experimentaron al menos una incidencia de fraude en 2012-13.

En promedio, estos negocios incurrieron en

pérdidas equivalentes al

1.5% de sus ingresos.

(Fuente: Economist Intelligence Unit)

141%

es el porcentaje de incremento en la cantidad de empresas financieras que denunciaron pérdidas de

entre $10millones y $19.9millones .(Fuente: Encuesta sobre el Estado de la Ciberdelincuencia

en los Estados Unidos en 2014)

Las organizaciones citaron a la complejidad de los

sistemas informáticos como el factor de mayor riesgo

que ellas deben enfrentar.

30% de las compañías de servicios financieros ha sido afectada por robo de información, individualmente la forma más común de fraude en el sector.

El temor a la mala publicidad es la razón principal por la que los casos de fraude no se denuncian a los fiscales. Además del costo y tiempo necesarios para llevar a cabo la investigación.

*Valor del fraude bancario calculado como un porcentaje de las utilidades antes de impuestos de los 1.000 bancos más importantes en 2014, según datos provistos por The Banker.


AEl ACCESO es el componente más importante de cualquier fraude bancario y, ante todo, implica acceso a los sistemas informáticos que procesan las operaciones diarias del banco y permiten a sus clientes manejar sus cuentas. El acceso no controlado a los sistemas informáticos del banco permite al estafador robar o alterar información sensible, procesar transacciones ilícitas y eliminar la evidencia de sus actividades. Sin embargo, también existe la posibilidad de que los estafadores violenten los sistemas informáticos del banco desde el exterior, aprovechándose de las debilidades en su seguridad. No obstante, en la práctica es mucho más probable que un banco experimente fraude originado dentro de la organización debido al alto nivel de acceso a datos sensibles que debe conceder a miles de empleados para que puedan desempeñar sus funciones.

Muchos miembros del personal pueden ver información sensible del cliente en el curso de su trabajo, pero sobre todo el personal que desempeña ciertas funciones cruciales tiene mayores privilegios en cuanto a información que la mayoría de sus colegas. Por ende, este personal tendrá un acceso mucho más amplio al sistema y con ello la capacidad de modificar o actualizar la información sin atraer la atención. En particular, los administradores de los sistemas informáticos y los administradores de bases de datos, necesitan tener niveles muy altos de acceso a los sistemas críticos del banco. Por ello, las actividades de los administradores de sistemas y administradores de bases de datos deberían contar con atención especial de parte de quienes monitorean la seguridad de un banco; además, es vital que este personal con grandes privilegios de usuario no sea capaz de evadir las pistas de auditoría y operar sin ser detectado.

ACCESO


AEn la banca moderna, donde se automatizan enormes cantidades de transacciones estandarizadas a través del procesamiento directo, la necesidad de aplicar y hacer cumplir un conjunto bien estructurado de controles tiene gran prioridad. Estos controles automatizados constituyen la primera línea de defensa tecnológica del banco contra los intentos de llevar a cabo transacciones fraudulentas, pues definen los parámetros de la actividad legítima.

Sin embargo, con el fin de garantizar que los controles automáticos incorporados en los sistemas informáticos del banco están operando de manera efectiva y no están siendo anulados o eludidos, éstos deben ser monitoreados constantemente. El ANÁLISIS TRANSACCIONAL es el proceso por el cual se lleva a cabo este control, de manera tal que cualquier infracción al sistema de control del banco resulte en la activación de alertas de seguridad para permitir que se tomen las acciones apropiadas. De ahí que el uso del análisis transaccional permite al banco automatizar parte de su proceso de auditoría interna y asegurar que se aplique de forma continua.

En vista de que el análisis transaccional se puede aplicar a todas las transacciones que el sistema procesa, el mismo ofrece mayor ventaja que los métodos tradicionales de verificación de los controles internos. Anteriormente se utilizaba el muestreo manual para verificar que los controles se aplicaban adecuadamente, y se utilizaban los resultados de la muestra para sacar conclusiones sobre el sistema en su conjunto. Sin embargo, el muestreo manual no solo involucra uso intensivo de mano de obra, es lento y costoso, sino que también deja sin escrudiñar a la mayoría de las transacciones. Al automatizar el proceso de análisis de transacciones para detectar violaciones de los controles, los bancos pueden lograr un nivel muy superior de escrutinio comparado con el que los métodos tradicionales les permiten.

ANÁLISIS TRANSACCIONAL


ALas AUTORIDADES DE CONTROL están sometiendo a todas las compañías de servicios financieros a una creciente presión con el fin de garantizar que estén haciendo lo suficiente para proteger los datos sensibles de sus clientes contra pérdida accidental o robo, y demostrar que efectivamente lo están haciendo. En el pasado, gran parte de las regulaciones sobre protección de datos era “declarativa” y exigía a las empresas simplemente confirmar su cumplimiento de las normas. En la actualidad, nuevas regulaciones están obligando a las organizaciones a demostrar que éste efectivamente es el caso. Éste es un cambio importante que incrementa significativamente la responsabilidad de cumplimiento que tienen las empresas.

Las nuevas normas sobre seguridad informática y protección de datos provienen tanto de autoridades de control nacionales como a nivel europeo, entre ellas podemos mencionar el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la UE, que se espera entre en vigencia en 2018, así como las normas para proteger la información de identificación del cliente emitidas por el ente regulador suizo, FINMA, que rastrean violaciones graves de datos en los bancos, incluyendo al HSBC en Ginebra. Las reglas del GDPR asignarán nuevas obligaciones a las organizaciones; en tal sentido, los profesionales que fueron consultados por la publicación británica Computer Weekly en el verano de 2015 creen que los bancos que operan en la Unión Europea serán el primer grupo sujeto al escrutinio de las autoridades de control que buscan endurecer las normas de seguridad de la información.

Las nuevas regulaciones exigirán que cualquier violación a la seguridad de los datos se informe a las autoridades de control durante las primeras 72 horas de ocurrido el incidente y, en los casos más graves, permitirán a las autoridades de control imponer multas de hasta 2% de los ingresos totales de la institución involucrada. Los bancos también serán responsables por sus datos confidenciales cuando éstos estén en manos de terceros proveedores de bienes y servicios; en tal sentido, deberán llevar a cabo las respectivas verificaciones de cumplimiento y evaluaciones de la situación general de dichos proveedores.

AUTORIDADES DE CONTROL


BEl rápido crecimiento de la BANCA PARA DISPOSITIVOS MÓVILES, tales como teléfonos y tabletas, refleja el papel central que estos dispositivos juegan en la actualidad en la vida de los consumidores alrededor del mundo. También destaca algunos de los retos, cada vez mayores, que enfrentan los bancos durante la migración de sus clientes a los nuevos canales de la banca. En el Reino Unido, una investigación llevada a cabo por la Asociación de Banqueros Británicos (BBA, por sus siglas en inglés) encontró que los consumidores británicos utilizaron sus dispositivos móviles para revisar sus cuentas corrientes 895 millones de veces durante el año 2015, en contraposición con los 427 millones de transacciones realizadas en las sucursales bancarias. La BBA estima que, para 2020 los clientes verificarán sus cuentas corrientes desde sus dispositivos móviles 2,3 mil millones de veces al año, más que a través de Internet, las sucursales y la banca telefónica juntas.

Mientras más consumidores eligen al teléfono móvil como su método principal para administrar la mayoría de los aspectos de su vida diaria, el potencial de que los bancos experimenten un crecimiento muy rápido en la cantidad de clientes es evidente. El ejemplo de un banco africano que vio crecer su base de clientes de 4 millones hasta 14 millones en menos de dos años después de incluir en sus servicios la banca para dispositivos móviles es más bien común. Un cambio de esta magnitud y velocidad inevitablemente agrega una enorme carga a los sistemas informáticos de los bancos en la medida del aumento del volumen de transacciones; y, por otro lado, ofrece una ruta de acceso a los sistemas informáticos de los bancos, los mismos que pueden volverse vulnerables al fraude y al uso no autorizado. Las crecientes exigencias al personal y a los sistemas informáticos pueden hacer muy difícil la implementación de controles eficaces de riesgo y la ampliación de los mismos para poder servir al creciente número de clientes.

Los teléfonos móviles también se están convirtiendo en un medio importante para verificar la identidad de un cliente, dejando al banco potencialmente vulnerable a fraudes sencillos tales como el remplazo del número de teléfono móvil de un cliente, registrado en la base de datos CRM del banco, con el de un estafador; de esa forma el estafador está en condiciones de llamar al servicio telefónico del banco y acceder a la información de la cuenta de la víctima, utilizando el número de teléfono móvil falso para autenticar su identidad.

Sin embargo, debido a que las transacciones de banca para dispositivos móviles son absolutamente diseñadas en función del cliente y totalmente automatizadas, su desarrollo también debería ayudar a reducir el riesgo de fraude que los bancos enfrentan, en particular el fraude llevado a cabo por empleados del banco.

BANCA PARA DISPOSITIVOS MÓVILES


CLa COMPLEJIDAD representa probablemente la fuente más importante de vulnerabilidad de los bancos en sus intentos por detectar y prevenir el fraude. En la medida en que la banca depende cada vez más de la tecnología -y a falta de una estrategia compensatoria- los sistemas de los que los bancos dependen para brindar sus servicios se han multiplicado y se han vuelto mucho más complejos. Como resultado de este aumento de complejidad, se han creado más oportunidades para que los estafadores accedan a sistemas críticos; al mismo tiempo, se ha hecho más difícil que los bancos tengan una visión clara de toda la actividad en sus sistemas.

La complejidad en los sistemas bancarios se refleja en el creciente número de canales a través de los cuales los bancos ofrecen sus servicios en la actualidad, incluyendo sitios web y plataformas de banca en línea, aplicaciones móviles y redes sociales. Todos estos canales representan nuevas oportunidades para que los estafadores accedan al sistema informático bancario. La tecnología de la información de los bancos se ha vuelto más compleja a medida que se implementan nuevos sistemas de información sobre los antiguos, lo cual resulta en capas de tecnología que no necesariamente se vinculan entre sí; esto hace que sea mucho más difícil lograr una visión unificada de las operaciones. En vista de que las computadoras centrales han dado paso a la computación en red, los sistemas críticos también se han descentralizado; hoy en día, incluso una institución relativamente pequeña cuenta con múltiples bases de datos que se ejecutan en diferentes servidores a los que puede acceder una gran cantidad de empleados. Los complejos y altamente descentralizados sistemas informáticos como estos son difíciles de controlar y presentan más oportunidades para el ingreso de los estafadores. La modernización de los sistemas antiguos de los que muchos bancos aún dependen, permite a las instituciones incrementar su capacidad de detectar el fraude, lo cual a menudo no es tomado en cuenta.

COMPLEJIDAD

Tecnología y complejidad


Desde las plataformas de banca en línea hasta las aplicaciones para dispositivos móviles y redes sociales, un número creciente de canales nuevos hace cada vez más difícil para los bancos tener una visión clara de

toda la actividad en sus sistemas.

RIESGOLa seguridad de TI se ha vuelto más compleja a medida que se implementan nuevos sistemas de información sobre los antiguos. Esto resulta en capas de tecnología que no necesariamente se vinculan bien entre sí y son difíciles de controlar.

BENEFICIODebido a que las transacciones de banca para dispositivos móviles son absolutamente diseñadas en función del cliente y totalmente automatizadas, su desarrollo debería ayudar a reducir la exposición de los bancos al fraude - en particular el fraude llevado a cabo por empleados del banco…

RIESGOIncluso una institución relativamente pequeña cuenta con múltiples bases de datos que se ejecutan en diferentes servidores a los que puede acceder una gran cantidad de empleados –y las personas son el eslabón más débil.

… SIN EMBARGOEl uso del procesamiento directo, que no requiere intervención humana en la transacción, pone un gran énfasis en la fortaleza y la eficacia de los sistemas de control interno.

0

500

1,000

1,500

2,000

2,500Millones

2015 2020 (pronóstico)

Número de veces que los consumidores británicos utilizaron sus dispositivos móviles para revisar sus cuentas corrientes

895m

2.3mm427m

Número de transacciones en las sucursales en 2015

Más que a través de internet,

sucursal y banca telefónica

combinadas(Fuente: Asociación

de Banqueros Británicos)


CEs difícil determinar con precisión la CUANTÍA del fraude cometido en contra de los bancos, pues muchos casos no se denuncian. Sin embargo, en su Informe a las Naciones de 2014, la Asociación de Examinadores de Fraude Certificados estimó que el fraude bancario en ese año ascendió a $67 mil millones, aproximadamente 6% de las utilidades totales antes de impuestos de las 1.000 instituciones más importantes. Se dice que alrededor del 70% de esta cifra fue el resultado de fraudes realizados por empleados. La asociación trabaja en una amplia gama de sectores, pero sus hallazgos indican que los servicios bancarios y financieros tienen de lejos la más alta incidencia de fraude que cualquiera de dichos sectores. Los casos de fraude bancario representan el 17,8% de los casos, en comparación con el 10,3% de la segunda categoría más alta, es decir el gobierno y la administración pública. Otra evidencia proviene de la Encuesta sobre el Estado de la Ciberdelincuencia en los Estados Unidos en 2014, que encontró que el número de empresas financieras que reportaron pérdidas de entre $10 millones y $ 19,9 millones se disparó en un 141% año tras año.

Según el trabajo de investigación de Economist Intelligence Unit, en 2012-13 tres cuartas partes de las compañías de servicios financieros a nivel mundial experimentaron al menos un fraude y, en promedio, estos negocios incurrieron en pérdidas equivalentes al 1,5% de sus ingresos. El robo de datos y el fraude financiero interno, en conjunto, afectaron aproximadamente al 30% de las compañías de servicios financieros; violaciones regulatorias y de cumplimiento ocurrieron en 26% de ellas; y, lavado de dinero en 8%. Los encuestados que participaron en el estudio de EIU citan a la complejidad de los sistemas informáticos como el factor de mayor riesgo que enfrenta su organización, aunque casi el 40% dijo que la alta rotación de personal fue otra fuente importante de vulnerabilidad.

El Informe a las Naciones mostró que el temor a la mala publicidad es la razón principal por la que los casos de fraude no se denuncian a los fiscales, y muchas compañías indican que los procedimientos disciplinarios internos fueron suficientes para lidiar con el problema. Sin embargo, en muchos casos, el costo y tiempo necesarios para investigar las instancias de fraude se consideraron también como otra de las razones para no denunciar los casos de fraude a las autoridades externas.

CUANTÍA


CEl método predeterminado para validar una amplia gama de procedimientos del día a día que se lleva a cabo dentro de un banco es el llamado principio de CUATRO OJOS. Esto significa simplemente que las operaciones realizadas por un empleado deben ser validadas por otro con el fin de asegurar que están en línea con los controles internos del banco. En la mayoría de los casos, este reparto de tareas proporciona una forma sencilla de asegurar que los controles del banco son eficaces y que los empleados corruptos no pueden eludirlos con facilidad.

Sin embargo, el principio de cuatro ojos es claramente vulnerable a la colusión entre dos o más empleados que, actuando juntos, serían capaces de manipular el reparto normal de tareas y validar transacciones fraudulentas sin levantar sospecha dentro del banco. En vista de que este tipo de fraude se lleva a cabo dentro del sistema de controles del banco, el mismo pasa desapercibido y es extremadamente difícil de detectar. Es por ello que la colusión entre empleados sigue siendo la forma más fácil de cometer fraude dentro de un banco.

Aparte de la colusión directa, los empleados también pueden frustrar el principio de cuatro ojos cuando la seguridad de las contraseñas en el banco es muy baja. Si un empleado del banco puede acceder a las contraseñas de un colega, será capaz de realizar operaciones fraudulentas en el sistema, e iniciar una sesión bajo la identidad de otra persona para validarlas. Tal como mencionamos anteriormente, los fraudes realizados de esta manera son muy difíciles de detectar entre la gran cantidad de transacciones de buena fe que procesa el banco cada día.

CUATRO OJOS


DLa DENUNCIA DE IRREGULARIDADES (o whistleblowing como se la conoce en inglés) es la fuente principal e inicial de información que conduce a la detección de fraudes realizados por empleados de organizaciones del sector público y privado. De acuerdo al Estudio Global sobre Fraude en 2014, publicado por la Asociación de Examinadores de Fraude Certificados, esta fuente representa más del 40% de los casos. Estos hallazgos incluyen a todos los sectores, pero tienen directa relevancia en la banca.

En vista de la importancia primordial que tienen las denuncias en la detección de fraudes, los bancos deben instaurar procedimientos que les aseguren que son capaces de obtener el mayor beneficio posible de la información que reciben de parte de los informantes. El primer paso es verificar que la organización tenga una política bien estructurada de denuncia de irregularidades, que permita al personal que se anima a denunciar sentirse confiado de que no será victimizado o comprometerá sus perspectivas de carrera por causa de la denuncia. Frecuentemente, los denunciantes se han visto afectados como resultado de sus acciones, puesto que sus superiores no quieren que se revelen los incidentes de irregularidades o fraude, o que se corra el riesgo de dañar la reputación y el nombre de la organización. Por lo tanto, cualquier política de denuncia debe ofrecer garantías confiables al personal y, a la vez, debe ser ampliamente comunicada de modo que la gente esté consciente de la protección que dicha política le brinda. Sin embargo, la organización igualmente debe tomar medidas para protegerse contra acusaciones maliciosas y, por otro lado, los expertos usualmente recomiendan que las denuncias por parte de los empleados tengan un trato confidencial en lugar de ser anónimas.

Igualmente, es importante que los bancos se den cuenta de que muchas denuncias se originan fuera de la organización: por ejemplo, de parte de clientes y proveedores. Es por ello que muchos bancos mantienen un área dedicada al fraude, que se encarga de recibir las denuncias de los clientes y bloquear las cuentas que se han visto comprometidas. En junio de 2015, el Banco Central de Nigeria ordenó a todos los bancos y proveedores de pago del país que establezcan secciones dedicadas a la prevención de fraude como parte clave de sus defensas. En combinación con un sistema de controles internos bien estructurado y un software avanzado antifraude, la denuncia de irregularidades desempeña un papel vital en la lucha contra el fraude.

DENUNCIA DE IRREGULARIDADES


DLa batalla entre las instituciones y los estafadores se asemeja a una carrera armamentística. Los desarrolladores de tecnología trabajan en ambos lados: los hackers crean nuevas formas de penetrar en los sistemas para robar información y llevar a cabo transacciones fraudulentas, mientras que los proveedores de software trabajan para bloquear estos ataques y descubrir nuevas vulnerabilidades en sus programas antes que los piratas informáticos.

De vez en cuando, los piratas informáticos tienen éxito aprovechándose de las fallas en los sistemas de software que utilizan las organizaciones antes de que el personal de seguridad de dichas organizaciones se dé cuenta de estas debilidades. Estos son conocidos como ataques en el DÍA CERO y se refieren a tomar ventaja de una falla de software previamente desconocida. Se han llevado a cabo ataques de DÍA CERO en sistemas ampliamente utilizados de software, incluyendo sistemas operativos de PC y Mac y navegadores web. Los proveedores de software lanzan miles de parches de seguridad para tapar las brechas que se descubren en su código pero, en algunos casos, ellas se descubren solo después de que las personas ya han sido víctimas de un ataque.

Pueden pasar años antes de descubrir un ataque de DÍA CERO. El malware Octubre Rojo se descubrió después de cinco años, tiempo durante el cual se lo utilizó para robar información de gobiernos, embajadas, empresas de energía e instalaciones nucleares en 39 países. La compañía de seguridad rusa Kapersky Labs lo descubrió en octubre de 2012. Sus creadores habían implantado el malware en documentos de Microsoft Word y Excel que se enviaron a destinatarios específicos mediante correo electrónico.

A pesar de que estas brechas de seguridad son causa de preocupación, la tecnología sigue desarrollándose con rapidez y la seguridad que rodea a los sistemas informáticos que forman la infraestructura crítica de la banca se está volviendo más poderosa cada día. Los principales avances en áreas como el análisis de datos masivos y el monitoreo en tiempo real permiten que las actividades no autorizadas se puedan detectar y tratar con mayor rapidez que en el pasado. Asimismo, la creación del análisis predictivo promete aumentar aún más la fortaleza de las defensas de las que los bancos dependen. La capacidad de la tecnología para proporcionar una protección eficaz contra el fraude nunca ha sido mayor de lo que es hoy en día -y está en constante mejora.

DÍA CERO


EEn los casos en que la actividad fraudulenta no involucra violación de cualquiera de los controles internos del banco -y por lo tanto no activa una bandera roja de alerta en sus sistemas de seguridad- la EVALUACIÓN DE PERFILES constituye una de las más eficaces contramedidas. Este aspecto del análisis de información masiva es semejante al aprendizaje automático, en el sentido de que el sistema antifraude analiza grandes grupos de datos a lo largo del tiempo con el fin de establecer patrones relacionados con cuentas y clientes específicos que reflejan su comportamiento normal.

En un ejemplo sencillo, esto podría involucrar pagos a una cuenta en un día determinado del mes por parte de una fuente regular como es el caso de un empleador, retiros de cajeros automáticos dentro de un área geográfica característica y compras de una cuantía promedio en un rango de fuentes tanto físicas como en línea. Al organizar datos de este tipo durante un período, el sistema puede crear un perfil nacional de ese cliente o cuenta, contra el cual se pueden evaluar y consultar las transacciones que aparentemente salen de los parámetros reconocidos.

Ellas podrían incluir un retiro del cajero automático o pago con tarjeta en otro país, una transacción de tamaño inusual o una que se lleve a cabo en un momento inesperado del día. En el contexto de la banca de inversión, la evaluación de perfiles de las posiciones netas y actividad de negociación de un grupo de negociadores podría permitir a un banco identificar si alguno de ellos muestra un patrón de actividad diferente al de sus colegas que trabajan en el mismo equipo. En última instancia, la capacidad de crear perfiles de esta manera permitirá a los sistemas antifraude llevar a cabo el análisis predictivo continuo del comportamiento del usuario y de los patrones de transacción a medida que ocurren, con el fin de emitir una alerta temprana sobre actividades sospechosas.

EVALUACIÓN DE PERFILES


FEl FRAUDE EXTERNO, que implica la violación de la seguridad de los sistemas bancarios y el acceso no autorizado a información sensible o procesamiento de transacciones fraudulentas por parte de una persona ajena al banco, se puede lograr de varias maneras. Por ejemplo, las contraseñas con poca seguridad podrían permitir al defraudador acceder a los sistemas informáticos del banco sin necesidad de contar con sofisticada piratería informática. Sin embargo, un gran porcentaje del fraude llevado a cabo por personas ajenas a la institución depende de la ayuda y complicidad de los empleados de la institucion, quienes pueden haber recibido sumas relativamente pequeñas de dinero para facilitar el delito.

Por ejemplo, gracias a la generalización de las aplicaciones para dispositivos móviles, los teléfonos móviles se han convertido en una forma aceptada por los bancos para autenticar la identidad de un usuario sin que el mismo esté presente. Esto implica una vulnerabilidad potencial con respecto a los controles del banco, la misma que puede ser fácilmente aprovechada por personas ajenas a la institución, en complicidad con un empleado del banco que tiene acceso a la base de datos de administración de relaciones con el cliente del banco. Para llevar a cabo el fraude, el empleado cambia temporalmente el número de teléfono móvil de un cliente en la base de datos del banco por el número que usará el defraudador. A continuación, un cómplice externo llama a la línea de servicio al cliente del banco y resetea la contraseña de la cuenta del cliente utilizando el número de teléfono móvil que aparece ahora en la base de datos del banco para validar su identidad. Una vez que la cuenta ha sido asaltada, el empleado del banco nuevamente cambia el número de móvil que aparece en la base de datos por el correcto y de esta forma completa el fraude.

Esto demuestra una vez más la facilidad con la que un administrador de base de datos puede realizar cambios a la información de un cliente, sin crear una alerta que sugiera que se han violentado los controles.

FRAUDE EXTERNO

Posibilidad externa


El fraude externo, que implica la violación de la seguridad de los sistemas bancarios y el acceso no autorizado a información sensible o procesamiento de transacciones fraudulentas por parte de

una persona ajena al banco, se puede lograr de varias maneras.

Las contraseñas con poca seguridad podrían permitir al defraudador acceder a los sistemas informáticos del banco sin necesidad de contar con sofisticada piratería informática.

Hay un vibrante mercado negro en Internet para información robada de clientes, el mismo

que incluye detalles de banca en línea y tarjetas de crédito.

El robo de datos confidenciales es perjudicial para la reputación de un banco, incluso si no

ha habido pérdida financiera directa a consecuencia de dicho robo.

direct financial loss as a consequence

Monto saqueado por una banda criminal en los EE.UU.

en un caso extremo de fraude de cajeros automáticos.

Las personas ajenas a la institución usualmente dependen de la ayuda y complicidad de los empleados de la institución, quienes pueden haber recibido sumas de dinero relativamente pequeñas para facilitar el delito.

1 1

1

111

1

1 0

00

00

00

0

1 1

1

111

1

1 0

00

000

0

0

Los teléfonos móviles son un medio para verificar la

identidad de un cliente, sin necesidad de su presencia;

sin embargo, dejan al banco vulnerable a fraudes

simples.

Así es como esto opera: un empleado interno remplaza el número de teléfono móvil de un cliente,

registrado en la base de datos CRM del banco, con el que

utilizará el estafador.

El cómplice externo llama a la línea de

servicio al cliente del banco y resetea la

contraseña del cliente…

Una vez que la cuenta ha sido asaltada, se cambia de nuevo la información

en la base de datos.

PASSWOPASSWORD:

1 1

1

111

1

1 0

00

000

0

0

1 1

1

111

1

1 0

00

00

00

0

1 1

1

111

1

1 0

00

00

00

0

$45m

£100

£

£0


FEl FRAUDE INTERNO representa la forma más común de pérdida para los bancos. Las estimaciones varían, pero la encuesta Global de Delitos Económicos realizada por PwC en 2014, que incluye no solo bancos sino también otras instituciones financieras, sugiere que los responsables del 56% de los fraudes son los empleados. Otros análisis expertos ubican a la participación interna en el fraude bancario hasta en el 70%.

El fraude por parte de los empleados ocurre en todos los niveles de las organizaciones. Según las encuestas realizadas por Economist Intelligence Unit (unidad de inteligencia del grupo The Economist) entre las organizaciones que habían sido víctimas de fraude cuyos autores eran conocidos, en 32% de los casos la figura principal era un gerente de nivel medio o alto, mientras que en 42% de los casos se trataba de un empleado de menor jerarquía. En muchos casos que involucran a bancos, los fraudes internos implican colusión entre al menos dos individuos con el fin de eludir los controles del banco, en particular el principio de los cuatro ojos que está diseñado para garantizar que una persona lleve a cabo una operación y otra la valide. Empleados tales como administradores de sistemas y bases de datos, con privilegios de usuario que les permiten altos niveles de acceso a los sistemas informáticos del banco, están particularmente bien ubicados para cometer o facilitar fraude al interior de los bancos y, a menudo, son capaces de eliminar del sistema la evidencia de sus acciones.

Los expertos en fraude sugieren que el proceso de llevar a cabo un fraude, por lo general, toma un largo período y a menudo empieza con una “exploración” de los sistemas informáticos del banco para ver hasta dónde se puede llegar de acuerdo a los derechos de acceso del individuo. Los sujetos pueden buscar una cuenta inactiva que les permita operar sin ser detectados o empezar a hacer pequeños cambios temporarios a la información del sistema, tales como un número de teléfono, para verificar si son detectados y en cuánto tiempo. La criminóloga Janet Goldstraw-White sugiere que las personas que descubren vulnerabilidades en los sistemas informáticos y de control de su empleador podrían sentirse “seducidas” a cometer fraude. “Cuando se dan cuenta de lo fácil que es hacerlo y lo pueden hacer con impunidad, a menudo siguen repitiendo el delito”, declara.

FRAUDE INTERNO

Un trabajo interno: quién y por qué


El fraude interno representa la forma más común de pérdida para los bancos y puede ocurrir a cualquier nivel de una organización. Los cargos con un alto nivel de acceso a los sistemas informáticos, tales como

los administradores de bases de datos, presentan un mayor riesgo.

Casos cuyo líder fue un gerente de nivel medio o alto

Casos cuyo líder fue un empleado de menor jerarquía

Cuando se dan cuenta de lo fácil que es hacerlo y lo pueden hacer con impunidad, a menudo siguen

repitiendo el delitoJanet Goldstraw-White, Criminóloga

“

”

El criminólogo Donald Cressey identificó un patrón para la evolución del fraude en el lugar de trabajo.

Su "triángulo del fraude", consiste en tres elementos: presión, oportunidad y racionalización.

Pres

ión

Oportunidad

Racionalización

PresiónMotivación que impulsa al empleado a cometer el fraude. Puede ir desde problemas personales tales como alcohol, drogas o ruptura de relaciones, hasta la necesidad de rendir mejor que sus colegas o tomar venganza.

OportunidadControles internos deficientes o el hecho de que el individuo ocupa una posición de confianza.

RacionalizaciónLos defraudadores no se ven a sí mismos como criminales y, por tanto, necesitan justificar sus acciones para que se sientan lógicas y razonables. Ellos podrían argumentar que “solo estaban pidiendo prestado” el dinero que robaron o que su empleador es corrupto.

Muchos casos de fraude interno implican colusión entre al menos dos individuos con el fin de eludir los controles del banco.

32% 42%


GEl GÉNESIS DE UN FRAUDE cometido en el lugar de trabajo generalmente sigue un patrón identificado en 1953 por primera vez por Donald Cressey, un criminólogo estadounidense. Cressey postuló el “triángulo del fraude”, que establece los tres factores que deben estar presentes en un lugar de trabajo para que el fraude pueda llevarse a cabo, lo cual sigue vigente 60 años más tarde.

El triángulo del fraude de Cressey consiste en tres factores: presión, oportunidad y racionalización. El primero, la presión o el incentivo, describe la motivación que impulsa al empleado a cometer el fraude. La presión puede ir, por ejemplo, desde problemas personales provocados por abuso de alcohol o drogas, ruptura de relaciones o adicción al juego, hasta presiones corporativas tales como la necesidad de demostrar un mejor rendimiento a los superiores o a actores externos como es el caso de inversionistas o reguladores. Por otra parte, el incentivo puede darse por un problema en la relación del empleado con sus superiores, con un consiguiente deseo de venganza, o una sensación de que su esfuerzo y logros no están siendo valorados o recompensados.

La oportunidad puede surgir por causa de controles internos deficientes o inexistentes o porque el individuo en cuestión ocupa una posición de confianza que es vulnerable al abuso. Si el defraudador es capaz de cubrir sus huellas, puede llegar a la conclusión de que tiene una buena oportunidad para lograr una ganancia sustancial con bajo riesgo de ser descubierto.

Cressey sugiere que la racionalización es necesaria para el fraude puesto que los defraudadores no se ven a sí mismos como criminales y, por tanto, necesitan justificar sus acciones para que se sientan lógicas y razonables. Los estafadores dan un sinnúmero de excusas para sus acciones, entre otras, que solo estaban pidiendo prestado el dinero que robaron; que su empleador les debe dinero; que son mal pagados y merecen un sueldo más alto; que cometieron fraude para poder mantener a su familia; o que su robo está justificado debido a que su empleador es deshonesto o corrupto.

GÉNESIS DE UN FRAUDE


HEl HACKEO abarca una gran variedad de técnicas utilizadas para encontrar las debilidades en la seguridad informática de una organización y así acceder ilícitamente a sistemas informáticos para varios efectos, que incluyen fraude y robo de datos. En su forma más sencilla, la piratería puede implicar algo tan simple como tratar de adivinar las contraseñas; esto tiene una mayor probabilidad de éxito en el caso de organizaciones con controles deficientes de seguridad de contraseñas y aquellas que no exigen a sus usuarios cambiar su contraseña con regularidad.

El hackeo también puede incluir intentos de inducir a los usuarios a que divulguen su información de cuenta mediante “phishing” (suplantación de identidad) por correo electrónico, o incluso llamadas telefónicas que supuestamente provienen del banco o del proveedor de servicios financieros del usuario. Enfoques como estos pueden simplemente implicar acceso a la cuenta de la víctima con el fin de robar su dinero, pero también pueden proporcionar los medios para cometer un “robo de identidad” más intrincado, en el que se utilizan datos personales de un individuo para configurar cuentas falsas que luego servirán para obtener crédito o hacer compras fraudulentas.

Los tipos más sofisticados de piratería tecnológica pueden incluir intentos para introducir software malicioso en los sistemas informáticos de una organización, por ejemplo a través de adjuntos de correo electrónico, con el fin de obtener información sensible o para permitir a los hackers encontrar una ruta para ingresar en el sistema. Los riesgos para la seguridad cibernética que plantean los hackers hoy en día motivaron a la agencia de calificación estadounidense Standard & Poor’s a alertar al público en septiembre de 2015 que, en adelante, sus calificaciones de crédito para bancos tomarán en cuenta la calidad y la fortaleza de sus sistemas de seguridad informática. “Consideramos que la seguridad cibernética débil constituye una amenaza emergente que tiene el potencial de volverse un riesgo mayor para las empresas financieras en el futuro y posiblemente resultar en calificaciones crediticias bajas”, manifestó la agencia.

HACKEO (PIRATERÍA INFORMÁTICA)

El hackeo y cómo se lleva a cabo


Abarca las técnicas utilizadas para acceder al sistema informático de un banco con el fin de llevar a cabo fraude o robo de datos. Ambos lados están en constante actividad: los hackers ideando nuevos métodos y los proveedores de software

buscando formas de bloquear los ataques.

ConjeturasEs más probable que tengan éxito contra organizaciones con controles deficientes en cuanto a seguridad de contraseñas y que no solicitan a sus usuarios cambiar sus contraseñas de forma regular.

Robo de identidadSe utilizan datos personales de la víctima para configurar cuentas falsas que luego servirán para obtener crédito o hacer compras fraudulentas.

Phishing (suplantación de identidad)Se intenta inducir a los clientes a divulgar información de sus cuentas mediante correo electrónico o inclusive llamadas telefónicas fraudulentas que dicen originarse en proveedor de servicios financieros del usuario.

Ataques en el día ceroSe aprovecha de una falla desconocida en un sistema de software ampliamente utilizado, como es el caso de un sistema operativo. Ellos pueden pasar desapercibidos por varios años.

Standard & Poor’s alertó al público que, en el futuro, sus calificaciones de crédito para bancos tomarán en cuenta la calidad y la fortaleza de sus

sistemas de seguridad informática.

MalwareLos ataques más sofisticados introducen software malicioso en los sistemas informáticos de un banco mediante anexos a correos electrónicos, por ejemplo para captar información sensible.

Nombre:

Contraseña:

ADMIN

12345

1 1 1 0 1


IINFORMACIÓN MASIVA se refiere a la capacidad de los sistemas informáticos modernos para reunir grandes cantidades de datos procedentes de múltiples fuentes y analizarlos con el fin de desbloquear valiosos detalles -en este caso, señales de actividad fraudulenta. En línea con la amplitud y bajos costos de la tecnología informática en los últimos años, han surgido sistemas capaces de analizar grandes cantidades de datos casi en tiempo real, aumentando considerablemente la velocidad para obtener valiosa información y detalles.

En el caso de los bancos, se puede aprovechar el análisis de la información masiva con el fin de compilar, interpretar y detectar correlaciones representativas en datos provenientes de diferentes sistemas informáticos dentro del banco, que no están conectados y normalmente no interactúan entre sí, yendo desde la banca para dispositivos móviles, la banca electrónica y los sistemas transaccionales hasta el core bancario, CRM y datos de acceso físico. Por ejemplo, al comparar información en los sistemas transaccionales del banco con datos de acceso físico al edificio por parte del personal, pocos minutos después de una intrusión se puede detectar el uso de la clave de acceso de un empleado que no está en el edificio.

Las tres principales formas de aprovechar el análisis de información masiva para buscar y detectar fraude bancario son:

• La detección de infracciones a los controles del banco: búsqueda de un patrón de actividad en el sistema, preciso y bien definido, que infringe el sistema bancario.

• El análisis para detectar el comportamiento inusual que, por sí mismo, no podría infringir control alguno. Éste implica que el sistema aprenda a reconocer patrones “normales” de actividad y destaque ejemplos que no encajan con el patrón establecido.

• Evaluación de perfiles: capacidad de llevar a cabo, de forma muy eficiente, un análisis de las actividades de un usuario de cuenta o sistema en particular durante un largo período, manejando grupos de datos de múltiples sistemas que podrían ejecutar miles de millones de transacciones.

INFORMACIÓN MASIVA (BIG DATA)

Cómo pueden ayudar los datos masivos y la evaluación de perfiles


Ésta es la capacidad con que cuentan los sistemas informáticos modernos para reunir grandes cantidades de datos procedentes de múltiples fuentes y analizarlos con el fin de desbloquear valiosos detalles -en este caso,

señales de actividad fraudulenta.

POR EJEMPLOAl comparar información en los sistemas transaccionales del banco con datos de acceso físico al edificio por parte del personal, pocos minutos después de una intrusión se puede detectar el uso de la clave de acceso de un empleado que no está en el edificio.

Las tres principales formas de aprovechar el análisis de información masiva para buscar fraude bancario son:

En el contexto del consumidor, las actividades fuera del perfil normal pueden incluir, retiros de cajeros automáticos en otro país, una transacción de tamaño inusual o una que se lleve a cabo en un momento inesperado del día.

En el contexto de la banca de inversión, la evaluación de perfiles de las posiciones netas y

actividad de negociación de un grupo de negociadores podría permitir a su empleador identificar patrones que difieren a los de sus colegas que trabajan en el mismo equipo.

Próximamente: análisis predictivos de comportamientos de usuarios y patrones de transacción que emitirán una alerta temprana sobre actividades sospechosas.

1. Búsqueda de patrones de actividad precisos que infringen el sistema de controles del banco.

2. Detección de comportamiento inusual que, por sí mismo, podría no infringir control alguno, pero permite que el sistema aprenda los patrones "normales" de actividad y destaque ejemplos que no encajen.

3. Análisis de una cuenta en particular o las actividades de un usuario en el sistema durante un largo período, las cuales que podrían ejecutar miles de millones de transacciones.


IJ

El delito de fraude a menudo puede abarcar más de una JURISDICCIÓN, en particular cuando se trata de organizaciones multinacionales tales como grandes bancos que tienen operaciones en varios países, o cuando los elementos del fraude se dirigen desde o llevan a cabo en otra parte del mundo. En el caso de fraudes mediante el uso de sistemas de información digital, es posible que la actividad técnicamente se haya realizado en más de una jurisdicción y, por tanto, implique la participación de autoridades de diferentes países.

En la práctica, las autoridades han demostrado en casos recientes que están preparadas para reclamar jurisdicción sobre las actividades que involucran autores que operan desde otros territorios, especialmente cuando estos delitos afectan a mercados financieros globales.

Las multas impuestas a los bancos estadounidenses y europeos en mayo de 2015 por su papel en un intento de manipular los mercados de divisas son un buen un ejemplo de ello. El Departamento de Justicia de los Estados Unidos y la Autoridad de Conducta Financiera del Reino Unido impusieron multas por un total de más de $5 mil millones a un grupo de bancos estadounidenses y europeos, cuyos empleados estaban involucrados en el intento de manipular los mercados de divisas.

Las sanciones impuestas a una serie de bancos internacionales por parte de las autoridades de los Estados Unidos por violar las sanciones internacionales contra Irán también demuestran cómo el fraude puede cruzar las fronteras. En 2014, el Departamento de Justicia de los Estados Unidos impuso una multa de $9,6 mil millones al banco francés BNP Paribas después de haberse declarado culpable de violar las sanciones contra Irán, Sudán y Cuba. Las autoridades estadounidenses afirmaron que se había removido información de transferencias electrónicas de modo que éstas pudieran pasar a través de la cámara de compensación estadounidense sin desencadenar señales de alerta. A pesar de que el fraude estaba diseñado para eludir las sanciones de los Estados Unidos, el centro de la actividad fraudulenta estaba en otro país. Sin embargo, la presencia del banco en los EE.UU., junto con el uso de la cámara de compensación de los Estados Unidos, resulto en que el crimen recayera en la jurisdicción del Departamento de Justicia de ese país.

JURISDICCIÓN


JDurante las últimas dos décadas, la rápida propagación de la economía digital ha aumentado exponencialmente la cantidad de datos que generan las organizaciones y, con ello, los desafíos de maximizar el valor de estas vastas reservas de información. En enero de 2009, Hal Varian, Jefe Economista de Google, comentó a la publicación McKinsey Quarterly: “Sigo diciendo que los cargos más atractivos en los próximos 10 años serán los de los profesionales en estadística… La capacidad de tomar datos -poder entenderlos, procesarlos, extraer el valor de los mismos, visualizarlo, comunicarlo– será una habilidad inmensamente importante en las próximas décadas”. Las tecnologías antifraude que dependen de estas habilidades cruciales se encuentran todavía en su etapa de JUVENTUD -muchas se desarrollaron sólo en los últimos años y, en muchos casos, los bancos solo recientemente han comenzado a implementar proyectos pilotos que utilizan técnicas modernas tales como el análisis de datos masivos. Hay mucho camino por recorrer antes de que estas tecnologías se conviertan en una parte rutinaria de la operación diaria de los bancos: a principios de 2014, Gartner, analista del mercado de la tecnología, indicó que sólo el 8% de las empresas grandes y globales había aplicado el análisis de datos masivos en al menos un caso relacionado con violación de seguridad o detección de fraude. Se prevé que la proporción aumente a una de cada cuatro en 2016.

Estas nuevas tecnologías se están desarrollando rápidamente, y esto trae tanto oportunidades como desafíos para las organizaciones que quieren aprovecharlas. Por un lado, la rápida evolución de los sistemas exigirá a los bancos adaptar y actualizar sus controles de forma frecuente y capacitar continuamente a su personal con el fin de mantenerse al tanto de los avances tecnológicos y la evolución de las metodologías para cometer fraude. Por otro lado, en la misma medida que los sistemas antifraude evolucionan, las organizaciones son cada vez mejores. Su mayor capacidad de procesamiento les permite volverse más rápidas e inteligentes, y la calidad y facilidad de uso de sus análisis dirigidos al personal de seguridad están mejorando, lo cual facilita su uso. La banca está cada vez más dominada por las tecnologías digitales y a medida que este proceso continúa, la tecnología inevitablemente será un arma indispensable en la constante lucha contra el fraude.

JUVENTUD


KEl nombre de Jérôme Kerviel estará siempre asociado con uno de los casos más notorios de comercio fraudulento en un banco de inversión de gran escala. Este ciudadano francés trabajó en Société Générale en París entre 2000 y 2008 y cometió un fraude a largo plazo que involucró la falsificación de información acerca de sus posiciones comerciales; finalmente, el banco terminó descubriendo una pérdida de € 4,9 mil millones cuando la apuesta de Kerviel por que los mercados iban a recuperarse en 2008 resultó estar desastrosamente equivocada. En la controversia resultante, el presidente ejecutivo del banco renunció y el banco se vio obligado a hacer una emisión emergente de capital para reparar su balance.

Durante sus primeros cinco años en SocGen, Kerviel trabajó en middle office, en donde ingresaba en el sistema informático del banco las negociaciones realizadas por front office. Esto le permitió aprender cómo operaban los controles del banco y descubrir maneras de evadirlos. Posteriormente lo ascendieron a la posición de negociador y utilizó el conocimiento aprendido en su cargo anterior para desarrollar enormes transacciones no autorizadas sin ser detectado por los sistemas de control del banco. Los oficiales de cuenta dicen que él cubría sus negociaciones con coberturas falsas equivalentes y las cerraba pocos días después, justo antes de que los controles automáticos temporizados del banco para las actividades de los negociadores las detectaran.

Con el pasar del tiempo sus transacciones comerciales no autorizadas crecían progresivamente y cada vez con menos control -en 2005, él logró una utilidad de €4 millones para el banco y en 2006, €11 millones; sin embargo, en 2007 sus actividades aumentaron de forma masiva -Kerviel desarrollo una exposición de €28 mil millones y su predicción en el sentido de que los mercados se desplomarían resultó correcta. Sus negociaciones ilegales rindieron una utilidad de €1,4 mil millones, aunque él oficialmente solo declaró €55 millones.

La caída de Kerviel ocurrió en enero de 2008, cuando él pensó erróneamente que los mercados iban a subir. Su posición abierta no autorizada, por un monto de €50 mil millones quebró y SocGen se encontró al borde de la insolvencia. Kerviel fue condenado por fraude, encarcelado y se le ordenó devolver €4.9 mil millones.

KERVIEL

Un trabajo interno: cómo


El acceso no controlado a los sistemas informáticos del banco permite al estafador robar o alterar información sensible, procesar transacciones ilícitas y eliminar la evidencia de sus actividades. Tal como lo demuestra el “triángulo del fraude” de

Cressey, puede ser solo cuestión de oportunidad…

Los expertos sugieren que el proceso de llevar a cabo un fraude, por lo general, toma un largo período y a menudo empieza con una "exploración" de los sistemas informáticos del banco para ver hasta dónde se puede llegar de acuerdo a los derechos de acceso del individuo.

El principio conocido como “cuatro ojos”, cuyo objetivo es asegurar que las operaciones realizadas por un empleado sean validadas por otro, es vulnerable a la colusión entre dos empleados.

No hace falta ser un genio, pero un empleado que puede acceder a las contraseñas de un colega, puede ser capaz de realizar operaciones fraudulentas en el sistema, e iniciar una sesión bajo la identidad de la otra persona para validarlas.

Los fraudes realizados de esta manera son muy difíciles de detectar entre la gran cantidad de transacciones de buena fe que procesa el banco cada día.

Los sujetos pueden buscar una cuenta inactiva que les permita operar sin ser detectados o empezar a hacer pequeños cambios temporarios a la información del sistema para verificar si son detectados y en cuánto tiempo.

Un estafador puede tratar de dividir una transacción fraudulenta grande en múltiples transacciones pequeñas que, en sí, no implican violación a los controles del banco.

Los encuestados que participaron en el estudio de la Economist Intelligence Unit citaron a la alta rotación de personal como una fuente importante de vulnerabilidad.

£

$

¥

€

4

0%4


LLa manipulación ilegal de la LIBOR, que es la tasa de interés de referencia clave del mercado, se dio a conocer en junio de 2012, cuando Barclays anunció un acuerdo con las autoridades de los Estados Unidos por un valor de $453 millones como compensación por la participación de sus negociadores en el fraude. La Libor -tasa interbancaria de oferta de Londres- se calcula diariamente con base en la información presentada por los principales bancos y su objetivo es presentar la tasa a la que dichos bancos pueden prestarse dinero entre sí. Este punto de referencia se utiliza a nivel mundial para calcular el precio de productos financieros con un valor de hasta US$ 3,5 billones de dólares, tanto mayoristas como de consumo, que van desde complejos contratos derivados hasta hipotecas y préstamos de consumo.

Tras el escándalo, se hizo público que los negociadores de varios bancos habían estado conspirando, a través de sistemas de mensajería privada, para acordar las tasas de interés que presentarían para el cálculo diario de la Libor, el mismo que, en esa época era responsabilidad de la Asociación de Banqueros Británicos. La presentación de cifras ligeramente superiores o inferiores podría tener un impacto directo sobre las utilidades de los bancos por sus actividades de negociación y, por ende, influir en los beneficios y bonificaciones de los negociadores individuales. Por ejemplo, en una demanda colectiva presentada en los Estados Unidos en 2012, los demandantes alegaron que los bancos conspiraron para asegurar un incremento en la Libor el primer día de cada mes –es decir, la fecha en que se calculaban los nuevos montos de pago de las hipotecas contratadas con tasa variable, con base en la tasa fija Libor de ese día. Es más, durante la crisis financiera, los bancos podían ocultar el alcance de sus dificultades financieras, conspirando para reducir artificialmente la Libor y dando así la apariencia de que podían prestar más barato de lo que en realidad ocurría.

Los grandes bancos han pagado miles de millones de dólares para llegar a un acuerdo en los casos relacionados con la manipulación de la tasa Libor alrededor del mundo, especialmente en los EE.UU. y el Reino Unido; por el contrario, algunos bancos, incluyendo UBS, han recibido inmunidad por revelar a las autoridades detalles sobre el “cártel Libor”. En abril de 2015, Deutsche Bank pagó a las autoridades del Reino Unido y EE.UU. $ 2,5 mil millones, el mayor acuerdo económico relacionado con la tasa Libor hasta el día de hoy.

LIBOR


PEn vista de que los sistemas informáticos han automatizado progresivamente la mayoría de las operaciones repetitivas y cotidianas que los bancos llevan a cabo, el uso del PROCESAMIENTO DIRECTO, que no requiere la intervención humana en la transacción, ha permitido que afloren nuevos riesgos de fraude. Es obvio que el procesamiento directo brinda grandes ventajas a los bancos en cuanto a costo y eficiencia, pues les permite manejar un mayor volumen de transacciones. Sin embargo, también pone un gran énfasis en la fortaleza y la eficacia de los sistemas de control interno que se emplean para monitorear estos miles de millones de transacciones automatizadas.

Si estos controles son débiles o tienen fallas, es posible que las transacciones fraudulentas que no involucran violación directa de cualquier control interno puedan completarse sin desencadenar una alerta de seguridad. Puede ser que estos fraudes nunca se detecten, e incluso cuando se detecten podría ser demasiado tarde para tomar cualquier medida eficaz. Un estafador puede tratar de dividir una transacción fraudulenta grande en múltiples transacciones pequeñas para asegurarse que, individualmente, ninguna de ellas sea objeto de sospecha. A menos que el banco cuente con sistemas de seguridad que emitan una alerta cuando se esté realizando una cantidad inusualmente grande de transacciones en la misma cuenta de cliente o en cuentas vinculadas, es probable que un intento de fraude de este tipo pueda tener éxito sin desencadenar una alerta de “bandera roja”. Cuando se realizan transacciones que no involucran violación a los controles del banco, los sistemas de monitoreo que analizan el comportamiento de los usuarios con el fin de detectar patrones que, se conoce, están conectados con actividades fraudulentas, son los que proporcionan una línea esencial de defensa.

PROCESAMIENTO DIRECTO


RAunque la mayoría de la gente piensa que fraude es el acto de llevar a cabo transacciones ilícitas, el ROBO DE INFORMACIÓN juega un papel muy importante en la facilitación del delito y es un tema de gran preocupación para los bancos y entidades de control. Los bancos manejan una gran cantidad de datos sensibles de sus clientes y la confidencialidad es una expectativa básica de cualquier cliente del banco. Por consiguiente, el robo de datos confidenciales es perjudicial para la reputación de un banco, incluso si no ha habido pérdida financiera directa a consecuencia de dicho robo. El robo de datos puede ocurrir como resultado del acceso a los sistemas informáticos por parte de personas ajenas a la organización, pero es igualmente probable que resulte de violaciones internas por parte de personal propio con altos niveles de acceso, como es el caso de los administradores bases de datos y sistemas. Hay un mercado negro en Internet para información robada de clientes, el mismo que incluye detalles de banca en línea y tarjetas de crédito.

El ejemplo reciente más famoso de robo de datos a gran escala es el del especialista informático Hervé Falciani, quien robó los datos de 24.000 clientes de banca privada de una sucursal en Ginebra mientras trabajaba en un proyecto de TI en 2007. Al final, él entregó los archivos robados a las autoridades fiscales francesas. En este caso, el robo de datos no facilitó el fraude contra el banco o sus clientes, pero sí una enérgica respuesta de las autoridades de control debido a la grave violación a la confidencialidad de los clientes.

En los últimos años, las autoridades de control han incrementado la presión sobre los bancos para que mejoren sus controles alrededor de la seguridad de datos y para proporcionar una mayor protección a los datos confidenciales de sus clientes. Por ejemplo, la autoridad de control suiza, FINMA, publicó nuevas normas con respecto a la seguridad de los datos de identificación del cliente.

ROBO DE DATOS


SLa SUPERVISIÓN de la actividad del usuario está en el centro de la detección y disuasión efectiva del fraude. Está basada en la capacidad de detectar actividades que violan controles internos, en cuyo caso emite una “bandera roja” de alerta, o identificar patrones de actividad que, por sí mismos, no violan dichos controles, pero en conjunto manifiestan una posible actividad fraudulenta. En ambos casos, el monitoreo efectivo del uso de los sistemas informáticos del banco por parte de miles de individuos y la interpretación de su comportamiento es la clave para una efectiva detección y presentación de informes sobre fraude.

En los casos en los que hay participación de empleados en cargos especialmente sensibles, se puede acudir a sistemas especializados que proporcionen un mayor nivel de seguridad en las áreas donde los bancos tienen vulnerabilidades potencialmente graves. Particularmente, estos sistemas especialmente diseñados están disponibles para monitorear las actividades de los administradores de sistemas y administradores de bases de datos en la plataforma informática del banco y así reducir el riesgo de fraudes cometidos por los usuarios del sistema que tienen muy altos privilegios de acceso.

El papel fundamental que la tecnología juega actualmente en la supervisión contra el fraude también ha dado lugar a grandes cambios en la forma en que los auditores internos de los bancos deben operar y las habilidades que necesitan para hacer su trabajo. Con frecuencia, los auditores están alejados del lado operativo del banco y, por tanto, pueden carecer del conocimiento detallado de cómo funcionan los sistemas informáticos del banco y sus potenciales vulnerabilidades. Es por ello que los auditores especializados en tecnología de la información se han convertido en una parte vital del arsenal de los bancos contra el fraude y proporcionan un apoyo esencial para el trabajo del equipo de auditoría interna.

SUPERVISIÓN


TUno de los mayores desafíos para el uso eficaz del análisis de datos masivos para efectos de detectar fraude es el tiempo requerido para procesar los vastos volúmenes de información involucrados. Para ser más eficaces, los sistemas de fraude deben tener una capacidad de procesamiento en TIEMPO CASI REAL, de modo que los patrones de actividad potencialmente fraudulentos en los sistemas informáticos de los bancos se puedan detectar y corregir rápidamente.

En la actualidad, muchos bancos ejecutan algoritmos diseñados para detectar fraude relacionado con los datos de sus sistemas de core bancario. El problema con este enfoque es que el procesamiento respectivo de datos constituye una carga pesada para el sistema de core bancario y, por ende, tiende a degradar su rendimiento.

En consecuencia, los algoritmos no se pueden ejecutar con mucha frecuencia, lo que lleva a un nivel más bajo de protección contra fraude. En contraste, el uso de un sistema antifraude más moderno, que extrae los datos necesarios del sistema de core bancario y los analiza en tiempo casi real, posibilita un enfoque mucho más proactivo a la detección y prevención de fraude y, a la vez, evita un impacto negativo en el rendimiento del sistema.

TIEMPO CASI REAL


UANÁLISIS DEL COMPORTAMIENTO DEL USUARIO (UBA, por sus siglas en inglés) es un área de rápido crecimiento en cuanto a detección de fraude dentro de los bancos. Se basa en el análisis de datos masivos y requiere contar con la capacidad suficiente para evaluar muy grandes volúmenes de datos procedentes de múltiples fuentes dentro de los sistemas informáticos del banco. Este análisis se hace a nivel de usuarios individuales, aunque los bancos también buscan identificar vínculos entre usuarios y entidades en el sistema. Una vez que el sistema de UBA se ha configurado para reflejar las prácticas de trabajo de una institución y ha establecido una línea de base para el comportamiento típico de sus usuarios, el mismo es capaz de identificar ejemplos anómalos, ya sea realizados por intrusos internos o externos, y marcarlos para una mayor investigación.

Esta área de detección de fraude aún está en desarrollo y, hasta la fecha, varía significativamente de un proveedor a otro. Las tendencias importantes en este mercado incluyen el nivel y el alcance del análisis de datos que el banco está obligado a llevar a cabo internamente. Los sistemas UBA más avanzados ahora incluyen grandes grupos de los conocidos “análisis enlatados”, que significan que el sistema proporciona información al banco en una forma fácilmente utilizable, por ejemplo a través de paneles de información. Con ello, los bancos no requieren tener sus propios expertos en datos para poder dar el uso apropiado a sus datos. Los proveedores de UBA también están proporcionando estos sistemas cada vez más en calidad de servicio, en cuyo caso es el personal del proveedor quien lleva a cabo los análisis y envía los informes sobre actividades anómalas al cliente.

U.B.A.


VUno de los mayores retos que enfrenta cualquier banco hoy en día en el intento de detectar y contrarrestar el fraude, es el VOLUMEN ampliamente incrementado de tráfico digital que sus sistemas tienen que procesar a diario. A medida que la banca utiliza cada vez más medios de pago digitales en lugar de efectivo, y aumenta la penetración en el mercado de productos financieros que van desde hipotecas hasta tarjetas de crédito, el volumen de transacciones que los sistemas informáticos del banco deben procesar electrónicamente a diario –que puede llegar a 20 millones o más en el caso de grandes organizaciones- seguirá aumentando.

Hasta hace relativamente poco tiempo, muchas de las operaciones bancarias se procesaban todavía manualmente en papel, lo que hacía que el proceso de comprobación y verificación fuera más lento pero menos vulnerable al abuso. Sin embargo, el aumento en el volumen de transacciones digitales ha hecho que este enfoque sea insostenible. En su lugar, los bancos se han visto obligados a automatizar la mayor cantidad posible de procesos rutinarios para dar cabida a altos volúmenes de transacciones digitales.

Inevitablemente, esto significa que la mayoría de las transacciones ya no serán sometidas a ningún tipo de comprobación humana, lo que permite que la actividad fraudulenta se infiltre a través de los sistemas del banco, siempre y cuando no contravenga ninguno de los sistemas de control interno. Esto también aumenta el riesgo de “falsos positivos” -transacciones legítimas que desencadenan una alerta de fraude y que requieren la participación del personal para confirmar que no son una amenaza. Es esencial contar con un sistema de control bien estructurado y bien monitoreado para permitir el procesamiento seguro de grandes volúmenes de transacciones. Pero, debido a que la velocidad y la calidad de los análisis de datos masivos mejoran a un ritmo acelerado, los sofisticados sistemas de detección de fraude también se están convirtiendo en el centro de los esfuerzos para detectar y prevenir fraudes ocultos entre los millones de operaciones que se realizan cada día.

Junto con el incremento continuo de los volúmenes de transacciones digitales, la creciente adopción de la banca para dispositivos móviles está disparando el número de consultas de los clientes que los sistemas bancarios deben procesar, debido a que los clientes de la banca para dispositivos móviles tienden a verificar sus saldos y transacciones recientes con mucha más frecuencia que las personas que utilizan la banca a través de otros canales. Las estimaciones recientes de la Asociación de Banqueros Británicos sugieren que los clientes del Reino Unido habrían accedido a sus cuentas a través de sus dispositivos móviles 895 millones de veces en 2015, llegando hasta 2,3 mil millones en 2020. Esto no necesariamente tendrá como resultado un volumen más alto de transacciones en general pero, sin duda, incrementará la carga sobre la infraestructura informática del banco.

VOLUMEN


XLa tecnología permite a los bancos procesar grandes cantidades de transacciones, pero el mismo principio aplica a los defraudadores. Esto significa que un solo fraude puede tener un impacto XXG, lo que da como resultado pérdidas enormes. En un caso extremo de fraude de cajeros automáticos descubierto en los EE.UU., una banda criminal saqueó $45 millones de cajeros automáticos alrededor del mundo, en dos ataques separados. La banda primero hackeó bases de datos que contenían datos de tarjetas de débito prepagadas que pertenecían a dos bancos con sede en el Medio Oriente. Los piratas informáticos obtuvieron datos de tarjetas de débito, eliminaron los límites de retiro de las cuentas y crearon códigos de acceso. Posteriormente, utilizaron los datos de las cuentas y los códigos de acceso fraudulentos para permitir el retiro de dinero de las cuentas comprometidas con cualquier tarjeta plástica con banda magnética.

En su segundo y mucho más impresionante ataque, la banda transfirió información a grupos de defraudadores en diferentes ciudades alrededor del mundo, quienes a continuación se trasladaron de un cajero automático a otro para retirar grandes sumas de dinero. En el transcurso de tan solo unas pocas horas, se realizaron más de 36.000 retiros fraudulentos que resultaron en el robo de alrededor de $40 millones.

La información sobre el robo salió a la luz se llevó a juicio a ocho miembros de la célula de Nueva York que participó en el fraude. El caso subrayó una serie de vulnerabilidades que los estafadores pudieron aprovechar, incluyendo la falta de seguridad y tecnología de filtro en los bancos afectados, las cuales les hubieran ayudado a detectar y contrarrestar a los piratas informáticos. Además, el uso continuo de tarjetas con bandas magnéticas en los Estados Unidos permitió a los defraudadores producir, con mucha facilidad, copias que funcionaban utilizando los códigos de acceso falsos. Estas tarjetas con banda magnética se habían dejado de usar en la mayoría de los otros países y ahora estaban siendo eliminadas paulatinamente en los EE.UU. para ser reemplazadas por la tecnología de chip y PIN, que es más difícil de copiar. Sin embargo, debido a que los bancos y comerciantes estadounidenses todavía utilizaban tarjetas magnéticas, ellas seguían siendo aceptadas en otras partes del mundo.

XXG

Un futuro cercano


La SUPERVISIÓN de la actividad del usuario está en el centro de la detección y disuasión del fraude. La confianza seguirá siendo fundamental, pero la tecnología para rastrear el comportamiento criminal es cada vez mejor, justo en la medida en que nuevas normas

salen a la luz para para regular aún más el sector.

El procesamiento en tiempo real está a la vuelta de la esquina y permitirá detectar la actividad fraudulenta a medida que ocurre.

El análisis del comportamiento del usuario muestra un rápido desarrollo y proporcionará información en una forma fácilmente utilizable sin la necesidad de recurrir a científicos especializados en datos – mediante una pantalla tipo "panel de información ", por ejemplo.

El papel fundamental que la tecnología juega en la supervisión contra el fraude ha dado lugar a cambios en la forma en que los auditores internos operan y las habilidades que necesitan para hacer su trabajo. Es por ello que los auditores especializados en tecnología de la información se han convertido en una parte vital del arsenal de los bancos.

En los casos en los que hay participación de empleados en cargos especialmente sensibles, tales como administradores de sistemas y bases de datos, se puede acudir a sistemas especializados para reducir el riesgo entre los usuarios con privilegios de acceso muy altos.

Volumen de casos de fraude revelados como resultado de denuncia de irregularidades. Los bancos deben cambiar su actitud e instaurar nuevos procedimientos que les aseguren que son capaces de obtener el mayor beneficio posible de la información que reciben de parte de los informantes.

2018Año en que se espera que el Reglamento General de Protección de Datos (GDPR) de la UE entre en vigencia.

72 hours Son el tiempo máximo permitido para denunciar violación a la seguridad de los datos, bajo las nuevas normas GDPR.

2%Es el porcentaje de los ingresos totales propuesto como multa máxima.

40 %


Temenos Group AG (SIX: TEMN), cuya oficina matriz se encuentra en Ginebra, es uno de los proveedores líderes en el mercado de software que, gracias a su alianza estratégica con bancos y otras instituciones financieras, les permite transformar sus negocios y mantenerse a la vanguardia en el mercado.

Más de 2.000 instituciones financieras alrededor del mundo, incluyendo 38 de los 50 bancos más importantes, confían en Temenos para procesar sus transacciones diarias para más de 500 millones de clientes y por más de USD 5 billones en activos.

Los clientes de Temenos han demostrado ser más rentables que sus competidores. En el período 2008-2012 disfrutaron en promedio, de un rendimiento sobre activos 32% mayor, un rendimiento de capital 42% más alto, y su relación costo a ingreso fue 8,1 puntos más baja que la de los bancos que todavía operan con software heredado.

Acerca de Temenos


NetGuardians es una empresa líder en software bancario, reconocida por su enfoque único con respecto a soluciones antifraude y de aseguramiento de riesgos. Nuestro galardonado software aprovecha los datos masivos para correlacionar y analizar comportamientos en todo el sistema bancario –y no solo a nivel de transacción. Esta visión más amplia es el secreto de nuestra ventaja creativa. Nos hacemos acreedores a la confianza de nuestros clientes mediante una combinación de conocimiento técnico por parte de nuestro equipo de investigación y desarrollo y nuestro profundo entendimiento de los desafíos cambiantes del riesgo que enfrentan los bancos en un mundo sin fronteras.

Fundada en 2007, NetGuardians fue la primera compañía en emerger de la incubadora de innovación, Y-Parc, en Yverdon-les-Bains, Suiza. Hoy en día, la empresa goza de una sólida presencia internacional con una clientela en constante crecimiento en Europa, el Medio Oriente y África. En 2015, Gartner nombró a NetGuardians “Cool Vendor” (proveedor genial) en el evento “Los Proveedores Geniales de Auditoría y Cumplimiento Innovan las Técnicas de Validación de Controles”: http://www.netguardians.ch/gartner

Acerca de NetGuardians

de la a a la z fraude bancario - temenos.com · transacciones de buena fe que diariamente lleva a...

Documents