Los días 26 de Abril y 08 de Mayo de 2018, 5 entidades financieras de México sufrieron pérdidas económicas por ataques cibernéticos via SPEI, cifras no oficiales en los diarios del país, señalan una afectación de 8 millones de dólares.
El monto probablemente no sea relevante por el tamaño de las entidades financieras y el volumen de operación del SPEI, pero este importe pudo ser mucho más significativo y en el futuro, pudiera tener consecuencias mayores, si no se implementan mejores prácticas para la detección y contención de ataques.
IMANES DEL FRAUDE COMO EMPRESA E INDUSTRIA:
Con imanes del fraude, me refiero a aquellos elementos que nos hacen atractivos para los delincuentes, como lo son el dinero, la información, las vulnerabilidades, etc.
En el sector financiero, siempre han existido imanes que nos hacen blanco de ataques, anteriormente los robos a sucursal eran los preferidos de los ampones y la banca los ha sufrido durante toda su existencia.
La industria del cine se ha encargado de promocionar lo que actualmente es una gran falacia, “Roba una sucursal bancaria y serás millonario”. El problema para los ladrones es que actualmente la banca, tanto en lo individual y como gremio, se ha esforzado para que el botín obtenido en los atracos cada vez sea menor. Esto se ha logrado mejorando los controles y buscando que cada vez el dinero se mueva de manera electrónica. Esto último, ha cambiado el mapa del riesgo…
No quiere decir que el robo a sucursal no exista, simplemente que hoy en día es más lucrativo el robo al transporte de mercancías o algún otro tipo de actividad delictiva. Sin embargo, los imanes (dinero e información) continúan presentes.
El nuevo panorama es que ahora los controles internos han permitido que los impactos en los robos sean menores. La seguridad de la banca (por lo menos en México) se ha estandarizado con una serie requerimientos indispensables, lo que ha generado, protocolos, canales de comunicación para compartir información de los atracadores, modos de operar, etc., Y esto ha desestimado el robo a sucursal por los bajos montos obtenidos más la exposición de sus identidades.
En los medios electrónicos no es igual, ya que en todo momento, el ciberdelincuente está detrás de una computadora, lo que le da mayor confianza y sigilo a sus operaciones.
LA NEGACIÓN DE LAS VULNERABILIDADES:
En el ámbito cibernético cada banco tiene diferentes formas de interpretar y asimilar lo que la seguridad informática y la prevención del fraude representa. Es muy difícil que las empresas del sector financiero acepten haber sido vulneradas y se entiende, el riesgo reputacional puede ser mucho más amplio que el riesgo materializado.
Identificar estos nuevos ataques, es muy distinto de lo que solía ser… Las empresas al negar que están vulnerables ante la delincuencia organizada y los hackers, no están conscientes de la primera regla, “Sin apoyo, no se puede hacer frente a estos eventos”, porque al no reconocer cuan vulnerable se está, menos se busca la ayuda necesaria para resolver el problema y menos se hace equipo con el gremio para defenderse. Es muy importante contar con la asesoría profesional de firmas reconocidas en materia de seguridad informática y prevención de fraudes.
LA CONCIENCIA Y LA CORRESPONSABILIDAD EN LA ADMINISTRACIÓN E IDENTIFICACIÓN DE ATAQUES.
En esta era tecnológica y globalizada, el fraude no puede ser identificado solo para evitar que la empresa tenga pérdidas, o afecte a sus clientes, ahora tenemos un nuevo rol como áreas de prevención del fraude; actualmente somos uno de varios elementos en la identificación de ciberataques al ecosistema financiero.Tenemos que estar preparados para comunicarnos con nuestros pares, debemos validar que las operaciones de nuestros clientes no provienen de un fraude cometido en contra de otra institución o sus clientes y en caso de ser positiva la identificación del fraude en otra institución, debemos reportarla y apoyar en la contención de los impactos.
Muy posiblemente no se comprenda de primera instancia, pero tenemos que entender que el fraude está diseñado para burlar los esquemas tradicionales y por ende tenemos que monitorear conscientes de que las afectaciones hoy pueden ser en contra de otra institución y mañana pueden ser en nuestra contra. Es por ello que debemos ser corresponsables de la identificación y contención del fraude.
Si un defraudador logra su cometido estafando a un cliente de otro banco y el recurso lo recibe nuestra institución, nosotros debemos retener, analizar y confirmar la operación con el banco emisor e identificar si el origen del recurso es legítimo o fraudulento. El resto del gremio deberá actuar igual. El objetivo es que cada uno de nosotros podamos ver el fraude que se comete en contra de los demás para reportarlo y ayudar a controlarlo para evitar que la delincuencia obtenga mayores ganancias y afectaciones a nuestro gremio.
Esto es como un cáncer, se expande…, entre más recursos consiga el defraudador, más fácilmente obtendrá las herramientas que necesita para cometer más fraudes.
De lo contrario, tendrá que buscar otro gremio más vulnerable… En el ejemplo más simple, esto se traduce en la diferencia que tiene un grupo de casas con seguridad y comunicación entre vecinos contra los que están aislados y vulnerables.
La fórmula para la detección oportuna: A mayor comunicación y aceptación de la ayuda como gremio, menor vulnerabilidad como empresa y como gremio.
Cada empresa consciente y corresponsable del fraude que sufre su gremio, aumenta exponencialmente la seguridad y posibilidades de identificar ataques, de todo tipo, desde estafas entre particulares hasta ciberataques.
Artículo elaborado por: L.C.E.A. Gabriel Díaz Rodríguez
Egresado de la Universidad Iberoamericana
Miembro de la ACFE (Association of Certified Fraud Examiners) No. 82941
3 años como responsable del control y la prevención del fraude en Banco del Bajío.
9 años como auditor interno en varias posiciones. Simultáneamente 4 años como secretario del Comité de Auditoría y del Comité de Proyectos en Banco del Bajío.
Banco del Bajío S.A. Institución de Banca Múltiple.
Algunas cifras:
• Nace en 1994, cumpliendo en diciembre 25 años de existencia.
• 8vo banco del sistema financiero mexicano,
+300 sucursales,
+4 mil empleados,
+600 ATM´S,
+32 mil TPV´S,
+50 mil tarjetas de crédito
+800 mil tarjetas de débito
+800 mil clientes
Las posiciones expresadas en este documento no necesariamente son un reflejo de la posición de la institución en la que trabaja el autor.
Las opiniones reflejadas en este artículo son de exclusiva responsabilidad del autor y no reflejan necesariamente la posición oficial de SmartSoft S.A.
