domingo, 23 de octubre de 2011

El fraude a través de medios tecnológicos. Más que predicciones, algunos pronósticos sobre su evolución


Introducción

Con frecuencia escuchamos hablar sobre el fraude, sobre como personas desarrollan actos intencionales o causados por omisión para engañar a otros, con resultados que generalmente terminan con una pérdida para alguien y una ganancia para un delincuente. El fraude es tan antiguo como la humanidad, la capacidad de traicionar, adulterar, falsificar, suplantar, de efectuar una acción con “dolus”, es decir, con ardid, treta o artimaña, está enraizada en cada una de los seres humanos en mayor o en menor medida, según su estructura de bienes libremente elegidos y su inclinación natural a lo menos bueno.

En ese sentido, tratar de establecer un patrón o perfil de los defraudadores pasa primero por identificar algunas situaciones que se presentan alrededor de las personas, que pueden llevar a la materialización de un fraude. Sin perjuicio de lo anterior, es importante anotar que los indicadores que se presentan a continuación son sencillamente una lista de consideraciones y alertas extraídas de las mejores prácticas internacionales, que generalmente han coincidido con una posterior ejecución de actividades ilícitas que terminan en apropiaciones de bienes tangibles o intangibles en las organizaciones y daños concretos en ellas.

Banderas rojas o alertas sobre el fraude

De acuerdo con la ACFE – Association of Certified Fraud Examiners, ésta son algunas banderas rojas (indicadores o alertas que pueden facilitar la materialización de un fraude) detalladas en su informe anual sobre el fraude a nivel global:

• Problemas de adicción (sustancias psicoactivas o problemas con el juego)
• Dificultades financieras o altas deudas personales
• Viviendo más allá de sus propios medios
• Divorcio reciente o problemas familiares (con los hijos, hermanos, etc)
• Problema legales pasados (no relacionados con el fraude)
• Irritabilidad inusual, sospechosa o defensiva
• Frecuentes reclamos acerca de pago de cuotas o préstamos
• Frecuentes reclamos acerca de la falta de autoridad
• Reusar o no busca alcanzar una promoción en la empresa
• Inusual asociación cercana con vendedores o clientes
• Presión excesiva de la familia o sus pares para tener éxito
• Presión excesiva por su rendimiento dentro de la organización
• Control excesivo relacionado con el trabajo, falta de voluntad para compartir asignaciones o aceptar la supervisión
• Inestabilidad en las circunstancias de la vida (cambios frecuentes de trabajo, cambios frecuentes de residencia, etc)
• Renuencia a tomar vacaciones
• Actitud negociante permanente (sagaz y sin escrúpulos)
• Historia de otros problemas relacionados con su trabajo (por ejemplo, bajo rendimiento o problemas éticos)

Si analizamos con detalle esta lista (parcial de alertas) encontramos que muchas de ellas hacen relación con situaciones y contextos personales que llevan a los individuos a ejecutar conductas que ponen a prueba su estructura de valores y principios. Cualquiera de las condiciones detalladas, debe someterse a un análisis detallado dado que cada persona y realidad son diferentes y muchas veces, lo que aparentemente es una alerta de los que pueda estar sucediendo, puede ser una condición de excepción para un individuo particular.

Como quiera que estos síntomas manifiestan conductas que llaman la atención para la gerencia de las organizaciones, es importante anotar que se hace necesario revisar igualmente, aquellas garantías que la empresa debe brindar a sus colaboradores, para generar un ambiente sano y psicológicamente estable que permitan el ejercicio adecuado del desarrollo individual y profesional de sus empleados.

El perfil de defraudador

En consecuencia con lo anterior, es importante anotar que, si bien es claro que debemos tener precaución frente a los juicios de valor ante situaciones o alertas como las mencionadas anteriormente, es igual de importante establecer aquellas características propias y más relevantes de las personas que pueden llegar a cometer un fraude. En este sentido, la firma KPMG en su estudio sobre la caracterización del defraudador publicado en 2011, anota de manera específica, algunas de ellas, como resultado de la encuesta realizada a nivel global. Ellas son:
• Generalmente son hombres
• Entre 36 y 45 años de edad
• Cometen el fraude en contra de su propio empleador
• Generalmente trabajan en el área de Finanzas o en un cargo relacionado con las finanzas
• Por lo general es un representante de la Dirección
• Cuenta con más de 10 años de servicio en la empresa
• Es una persona que a menudo comparte con otros.

Es interesante observar que los resultados muestran claramente que aquellas personas con mayor tiempo en la organización son más proclives a conductas ilícitas, posiblemente porque conocen con claridad los aciertos y debilidades de las medidas de control, y adicionalmente, saben hasta donde pueden llegar sin llegar a comprometerse y salir sin ninguna implicación. Igualmente, el rango de edad que se establece, nos habla de una persona que técnicamente ya ha alcanzado su madurez profesional y busca establecer un futuro más reposado y tranquilo, por lo cual contar con solidez y libertad financiera se vuelve algo clave para ellos y sus familiares.

Llama la atención que es el área financiera donde en mayor medida se identifican los casos de fraude, pues al estar allí la circulación de especies monetarias y la forma como la organización efectúa sus operaciones, se vuelve más detallado y más agudo el análisis de los posibles delincuentes para efectuar sus actividades ilícitas. En este contexto, los controles internos de operación y las estrategias de seguridad y control son un elemento fundamental para mantener un ambiente monitorizado, asegurado y con trazabilidad de lo que ocurre (un detalle de las actividades de control se puede encontrar en el informe de la ACFE mencionado previamente). Con esto la idea, es reducir las ocasiones o escenarios que motiven actividades que puedan afectar la caja de la organización.

Revisando la naturaleza del fraude

Identificar el perfil de posible delincuente y contextualizarlo aún en un ejercicio organizacional son actividades que dan cuenta de la necesidad de seguir de cerca las tendencias que la inseguridad misma nos plantea en el entorno corporativo y de actuación general. De igual forma, se hace cardinal, estudiar cada uno de los fraudes para adelantar las caracterizaciones de las pérdidas en sí mismas, que nos permitan afinar aún más las estrategias para cerrarle la brecha a aquellos que aún persistan en apropiarse de los bienes de las organizaciones.

En consecuencia y siguiendo los resultados del estudio realizado por la firma Deloitte sobre el fraude a nivel global, podemos advertir una priorización de la naturaleza de los fraudes identificados, que revelan tendencias sugestivas, que nos permiten visualizar los gustos y motivaciones de los defraudadores o mejor aún, sus movilizadores más frecuentes para concretar sus actos. Los resultados son:
1. Robo de activos físicos
2. Robo de información
3. Fraude en la contratación
4. Corrupción y soborno
5. Fraudes externos

Como se puede apreciar los tres primeros resultados nos manifiestan que son los activos físicos, los temas de la información y la contratación los que con mayor frecuencia son materializados por los delincuentes. Esto nos indica que cada vez más se hace imperioso contar con buenas prácticas para el tratamiento de la información, para evitar que caiga en las manos equivocadas y con ella se puedan motivar actuaciones que lleven a pérdidas significativas en las empresas. No es de extrañar, que todo aquello donde se manejen grandes volúmenes de dinero sea susceptible de incidentes de fraude. En este sentido, los controles y buenas prácticas de contratación se vuelven factores críticos de éxito para alcanzar mayor transparencia y agilidad en las empresas y mitigar la brecha de posibles ilícitos que se quieran o puedan plantear.

Es importante anotar, que no es posible tener un contexto organizacional sin incidentes o sin fraudes, pues la ocasión para el riesgo siempre se presenta en mayor o menor medida y siempre habrá personas con debilidades de personalidad y con estructuras de valores débiles, los cuales serán terreno fértil para la inseguridad y la inclinación propia de nuestra naturaleza caída.

Fraude a través de los medios tecnológicos

De otra parte, como toda evolución natural de los fenómenos delincuenciales, éstos han encontrado en la tecnología un vehículo eficaz para materializar sus acciones, pues la velocidad, la presencia anónima que se tiene, el alcance de sus actos y la limitada preparación de los entes de policía judicial, configuran un escenario motivador para repensar nuevamente sus estrategias y avanzar en el desarrollo de nuevos modelos para defraudar a los individuos y organizaciones.

En consecuencia, las acciones relevantes que se puedan adelantar por parte de los entes investigadores para dar con la identificación y modus operandi de los delincuentes a través de medios tecnológicos, es un reto que implica reconstruir un escenario de fraude y encontrar las evidencias informáticas relacionadas con el mismo. Si bien, las organizaciones hoy cuentan con diferentes elementos de seguridad y control en sus operaciones, cuando no trasladamos al mundo de internet, éstos pierden claramente su efectividad, dada la heterogeneidad de ambientes y configuraciones existentes que posiblemente no sigan las buenas prácticas que se exigen frente al aseguramiento de las infraestructuras y aseguramiento de flujos de información.

Amén de lo anterior, el reporte de la encuesta global de fraude 2011 realizado por la firma Ernst & Young corrobora esta situación, cuando establece que una tercera parte de los participantes en la encuesta advierten de los altos costos que implica la revisión exhaustiva de correos electrónicos (u otra información electrónicamente almacenada) con el fin de ofrecer asesoría legal efectiva, dejando a las organizaciones un sabor agridulce de lo que requiere hacer para procesar o judicializar a un posible delincuente en la organización. El mismo informe anota que se evalúa la disminución de los presupuestos en estos temas dado que en muchas ocasiones estos esfuerzos resultan infructuosos frente al resultado final de proceso jurídico y la reparación para la organización.

En línea con lo comentado previamente, los delincuentes utilizan igualmente los medios sociales informáticos para generar expectativas, rumores o desinformación que le permitan tener una posición más estratégica para avanzar en sus métodos de fraude. En este escenario, las redes sociales son el medio más expedito para generar situaciones premeditadas que impacten la imagen y buen nombre de las empresas. Mal utilizadas son tácticas de inteligencia que pueden desviar la atención o generar tráficos de información sensibles que comprometan las prácticas de negocio de las empresas y por ende, su posicionamiento dentro de un sector empresarial.

Lo anterior se confirma en el reporte global sobre el fraude 2011 desarrollado por la firma Kroll, donde se advierten estrategias utilizando la tecnología o internet para afectar la imagen de las firmas y ocasionar daños emergentes que comprometan la estabilidad de las empresas. Particularmente se habla del caso de la British Petroleum y el incidente internacional del derrame de crudo en el Golfo. En este sentido, el informe afirma:

“(…) En 2010, BP recibió un ataque online por cómo manejaba el derrame en el Golfo de México. Además de campañas en su contra en blogs y en Facebook, la compañía debió luchar contra mensajes enviados desde una cuenta falsa de Twitter, el aparentemente “real” BPGlobalPR. En un punto, la cuenta de relaciones públicas falsa en Twitter tenía más seguidores que la real. El desafío para BP fue responder a un ataque desde varios flancos en Internet. No había un único ISP ni sitio web para ocuparse de los varios ataques. (…)”

Avances interdisciplinarios para entender el fraude a través de medios tecnológicos

Todos estos elementos comentados nos hablan claramente que existe una nueva evolución del fraude y la inseguridad en los diferentes contextos empresariales; que la delincuencia continua observado y aprovechando los adelantos informáticos y las oportunidades que ofrecen los desarrollos tecnológicos, para evolucionar rápidamente, sin dejar margen de reacción a los entes de seguridad y control tanto de las empresas como de los estados.

Pese a lo mencionado, se vienen adelantando importantes avances a nivel jurídico, criminológico y criminalístico que nos permiten avizorar nuevas condiciones y actividades para enfrentar a la delincuencia en un mundo digital e interconectado. El entendimiento jurídico de las escenas asociadas con crímenes de alta tecnología comienza a arrojar los primeros resultados, los cuales se advierten en nuevas propuestas de regulación que buscan asegurar mejor la información y los datos, para lo cual las organizaciones debe tomar las medidas del caso, no para interpretar dicha norma, sino para afianzar sus prácticas en este sentido.

Como parte de este análisis interdisciplinario, se viene generando propuestas para continuar cercando a los delincuentes, para decirles que estamos preparados para enfrentar los retos propios de una delincuencia organizada e interconectada. Es así que, trabajos como el de los doctores VASIU nos permiten continuar aprendiendo y repensando los elementos legales a considerar frente al fraude a través de medios tecnológicos. Dichos elementos:
• El conocimiento e intención de cometer fraude
• El acceso a un computador protegido o excediendo su autorización
• La obtención de un beneficio para el que comete el fraude

Nos muestran que es posible avanzar en una vista sistémica de la inseguridad, de las motivaciones de los facinerosos informáticos y sus técnicas apalancadas en tecnologías emergentes.

Fruto de estos avances se han venido formulando leyes en los diferentes países que poco a poco permean las agendas legislativas y ponen de manifiesto que las inseguridad de las calles y los “raponazos” callejeros, son tan relevantes como la inseguridad de la información en internet y los “raponazos” electrónicos que día a día ocurren en la “ciudad” que es Internet.

Reflexiones finales

Así las cosas y como quiera que la mente humana puede desarrollar las más bellas expresiones de alegría, cariño y generosidad, así como diseñar y explotar las más oscuras, egoístas y perversas intenciones, se hace necesario hacer un llamado a todas las naciones para que se desarrolle un frente común de contención y acción que haga de internet un lugar más sano y generoso con todos sus habitantes, con las prácticas de negocio y con los niños, población que generalmente es la más vulnerable.

Debemos propender y confirmar que nuestras acciones en internet, son tan reales como nuestras actuaciones en la vida cotidiana y por tanto, no podemos soslayar nuestros principios y valores habituales por el solo hecho de estar “conectado a internet”. La cultura de que “todo se puede” en internet, no debe ser la norma que se erija frente a la transformación social que exige nuestra actual sociedad, pues de hacerlo estaríamos avocados a una degeneración del tejido humano que afectaría las buenas intenciones y las posibilidades que trae consigo la tecnología para las empresas, los individuos y las naciones.

Ackoff en su libro “Differences that make a difference” establece que una cosa es hacer un pronóstico (en inglés forecast) y otra hacer una predicción. Mientras un pronóstico es una declaración de un futuro esperado basado en una proyección de qué ha pasado y qué pasa hoy, una predicción es una declaración de un futuro esperado que no está basado en hechos y datos, sino en las creencias acerca de lo que se prevé, sus causas o generadores. En otras palabras, la predicción puede ser sobre cosas que no han ocurrido en el pasado y los pronósticos basados en estadísticas y métodos de proyección normalizados y verificables.

En este contexto, todos los reportes e informes que hemos comentado en este documento nos hablan sobre pronósticos acerca del fraude en sus diferentes manifestaciones, como una forma de establecer líneas de investigación y acción que nos permitan caminar cerca de los movimientos conocidos de los delincuentes. Predecir las tendencias y comportamientos del fraude en un mundo gobernado por las comunicaciones y la información instantánea, es una apuesta abierta y sin límites para encontrar en la inseguridad de la información nuevas razones para continuar aprendiendo, es decir, lanzarnos a experimentar la incertidumbre y declarar que no sabemos.

Referencias

ACKOFF, R. (2011) Differences that make a difference. Editorial Triarchy Press.
VASIU, L. y VASIU, I. (2004) Dissecting computer fraud: from definitional issues to a taxonomy. Proceedings of the 37th Hawaii International Conference on System Sciences. Disponible en: http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.108.9517 (Consultado: 23-10-2011)
KROLL (2011) Global Fraud Report. Mayo. Disponible en: http://www.krollconsulting.com/media/pdfs/Kroll_Global_Fraud_Report_May_2011_Spanish_Final.pdf (Consultado: 23-10-2011)
ERNST & YOUNG (2011) Global Fraud Survey. Disponible en: http://www.ey.com/Publication/vwLUAssets/EY_11th_GLOBAL_FRAUD_Survey/$FILE/EY_11th_GLOBAL_FRAUD_Survey.pdf (Consultado: 23-10-2011)
DELOITTE (2011) Global Fraud Survey 2011. Disponible en: http://www.deloitte.com/assets/Dcom-Lebanon/Local%20Assets/Documents/FAS/Deloitte%20%20GCC%20Fraud%20%20Survey%202011.pdf (Consultado: 23-10-2011)
KPMG (2011) Who is the tipical fraudster? Disponible en: http://www.kpmg.com/EE/en/IssuesAndInsights/ArticlesPublications/Documents/Forensic-Fraudster-Survey-WEB.pdf (Consultado: 23-10-2011)
ACFE (2010) Report to nations on occupational fraud and abuse. 2010 Global Fraud Survey. Disponible en: http://www.acfe.com/uploadedFiles/ACFE_Website/Content/documents/rttn-2010.pdf (Consultado: 23-10-2011)

2 comentarios:

  1. Siempre ha de llegarse a señalar el factor humano como aquel que incide en la inseguridad y el modo de mitigarlo. A mis alumnos siempre recalco la importancia de la segregación de funciones en todos los entornos, de modo que el control interno transparente la labor individual, lo que permite también la mejora continua. El control desincentiva -sobre todo internamente- cualquier posibilidad de fraude, y es el primer paso para el logro de los objetivos de gestión efectiva en la seguridad IT.
    RAMON MUJICA.

    ResponderEliminar
  2. Recientemente en un banco de mi país, esta pasando por un serio incidente de seguridad, dado a que una combinación de pishing asistida por algunos malos empleados del banco, han vaciado las cuentas de clientes, lo mas curioso es el tema de que el acceso a las cuentas vía internet tienen un acceso con clave para internet + un código aleatorio con key (RSA). No me quedo claro el incidente dado a que el banco para evitar el "pánico" esta llevando el tema cubierto con la policía y los medios de comunicación, aunque el asunto fue muy serio dado a que en una sola semana y en una sola provincia se cargaron 2 millos de dolares. ¿Hasta que punto el problemas de vulnerabilidad anunciado por RSA, tuvo que ver en el problema?

    Otro dato, los autores fueron empleados jóvenes menos de 30 años, este banco los contrata jóvenes para pagarles menos.

    ResponderEliminar