EE.UU. agudiza la supervisión del ciberdelito y pide una mayor cooperación con el área antilavado

La semana pasada, la Red de Control de Crímenes Financieros de Estados Unidos (FinCEN) emitió su mensaje más claro y directo para mejorar la colaboración entre las unidades de cumplimiento antilavado y los equipos responsables de seguridad cibernética, en un comunicado que refleja expectativas de incluir eventos y delitos cibernéticos en los Reportes de Operaciones Sospechosas, o ROS.

La mayor parte del documento de nueve páginas de FinCEN y la hoja de preguntas frecuentes de cinco páginas se dedican a explicar cuándo y cómo las instituciones deben realizar informes obligatorios y voluntarios sobre ataques cibernéticos. Reitera el umbral de US$ 5,000 para reportar sobre transacciones sospechosas, e indica que los reportes deben ser presentados cada vez que una institución financiera conoce, sospecha o tiene motivos para sospechar que un evento cibernético estaba destinado a conducir, facilitar o afectar una transacción.

En la práctica, es probable que esta guía aliente a las instituciones a informar sobre una amplia gama de eventos cibercriminales. Los ataques cibernéticos que desencadenan un movimiento directo de fondos, como los esquemas de adquisición de cuentas y los pagos de rescate de cuentas conocidos como ransomware payment, podrían caer dentro de los estándares de reporte establecidos en el aviso de FinCEN.

También podrían verse incluidas una serie de ataques y actividades cibernéticas que no impactan directamente en las transacciones. Un ataque de denegación de servicio lanzado contra un banco como una cortina de humo para otra actividad nefasta también podría ser reportado, al igual que los incidentes cibernéticos que podrían exponer información sensible.

Un ejemplo que FinCEN proporciona en el comunicado es un ataque cibernético que expone la información del cliente como credenciales bancarias en línea y números de tarjetas de pago, ya que se puede esperar que la pérdida de datos lleve a US$ 5,000 o más en transacciones ilícitas.

FinCEN reconoce que con esta guía está peinando un amplio campo en un intento por reunir la mayor cantidad de información posible para que la utilicen las agencias de aplicación de la ley en los senderos a menudo evasivos de los ciberdelincuentes.

«La presentación de ROS por eventos cibernéticos, incluso aquellos que no cumplen con los requisitos obligatorios de presentación de ROS, son muy valiosos en las investigaciones de las agencias de ley», señala el documento. Aunque no se menciona en el documento, la recomendación hace referencia a lo que parece ser el caso de Liberty Reserve como ejemplo de cómo la presentación de ROS relacionados con incidentes cibernéticos respaldó una acción de aplicación importante. En ese caso, los informes de 20 instituciones diferentes respaldaron un esfuerzo multinacional de aplicación de la ley para desmantelar un servicio de moneda digital ejecutando una presunta operación de lavado de dinero valorada en US$6.000 millones.

La presentación de informes colaborativos y la respuesta a incidentes cibernéticos puede resultar difícil de implementar

 

Si bien es potencialmente beneficioso para los investigadores y los organismos de ley, la amplitud de los informes cibernéticos que se requieren y fomentan en el documento de FinCEN puede implicar algunos dolores de cabeza para el personal encargado del cumplimiento de delitos financieros de las distintas organizaciones.

Un aspecto potencialmente difícil del documento es que se les aconseja a las instituciones considerar el valor total de fondos, datos vendibles y otros activos robados, expuestos o involucrados en un incidente cibernético cuando se contempla cuándo y qué reportar. Sin embargo, la naturaleza amorfa y encubierta de muchos ataques cibernéticos puede, en algunos casos, dificultar la plena consideración del impacto de un ataque en sus consecuencias inmediatas, si es que alguna vez se puede llegar a tener un panorama más claro.

Otra dificultad para implementar la guía de FinCEN: algunas instituciones, particularmente las más pequeñas, carecen de la experiencia y la infraestructura necesarias para que los departamentos de cumplimiento antilavado de dinero, de fraude y de ciberseguridad compartan información y coordinen las respuestas al grado que el documento parece contemplar.

Después de que FinCEN emitiera en septiembre una guía sobre el fraude de transacciones de correo electrónico empresarial que también exigía un vínculo más estrecho entre las unidades ALD, de fraude y cibernéticas, algunos profesionales del cumplimiento señalaron que puede tomar un año o más para que sus instituciones elaboren programas de capacitación, políticas y plataformas tecnológicos para para permitir tal colaboración.

El documento insta a un enfoque convergente para la mitigación del riesgo de delitos cibernéticos, afirmando que «se alienta a las instituciones a compartir información interna con el personal ALD, de seguridad cibernética, equipos de prevención de fraude y otras unidades afectadas». Sin embargo, FinCEN también se esfuerza por aclarar que no es una condición sine qua non ser hábil en la ciberseguridad y la cibercriminalidad para los roles de cumplimiento antilavado.

Dos preguntas en la sección de preguntas y respuestas dejan este punto claro. La primera: «¿FinCEN ahora requiere que las unidades antilavado de las instituciones financieras cuenten con personal / sistemas dedicados a la seguridad cibernética?», Y el otro «¿Se requiere ahora que el personal antilavado esté bien informado sobre ciberseguridad y eventos cibernéticos?

Para ambas preguntas, la respuesta es no. FinCEN señala que no hay nuevas obligaciones asociadas con el documento, pero sí aclara que «una unidad antilavado puede trabajar y colaborar, según sea necesario, con el personal de ciberseguridad de su institución para ayudar a identificar y reportar actividades sospechosas» conectadas con aspectos de la ciberdelincuencia.

FinCEN también señala que esta relación puede ser bidireccional, no solo los equipos de cumplimiento antilavado y antifraude apoyando (y reportando) incidentes cibernéticos, sino que los equipos de ciberseguridad y de TI también pueden alimentar información que puede reforzar el monitoreo de transacciones y la debida diligencia del cliente.

«La información proporcionada por las unidades de seguridad cibernética podría revelar patrones adicionales de comportamiento sospechoso e identificar a sospechosos no conocidos previamente por las unidades de cumplimiento antilavado», dice el comunicado. «Por ejemplo, las unidades ALD pueden utilizar información relacionada con el campo cibernético, tales como patrones y los momentos cuando ocurrieron los eventos cibernéticos e instrucciones de transacción codificadas en malware, entre otras cosas», para ayudar a identificar actores de amenaza y comprender mejor la naturaleza de los riesgos ALD.

FinCEN pide un reporte completo, que capture los detalles técnicos

El documento también proporciona orientación sobre qué información deben capturar las instituciones cuando reportan incidentes cibernéticos como direcciones IP, identificadores de dispositivos y (para transacciones que involucran monedas digitales) carteras digitales.

En la sección de preguntas y respuestas, FinCEN ofrece una lista más detallada, aunque no «exhaustiva», de los tipos de información y datos que pueden ser útiles para capturar los ROS, incluyendo elementos como direcciones de correo electrónico o contenido de correo electrónico, nombres de cuentas de redes sociales, y detalles más técnicos como los nombres de los malware que se sospecha que fueron utilizados. Capturar y describir con exactitud estos detalles en los ROS puede requerir ayuda o colaboración del personal de ciberseguridad en muchos casos.

En el pasado, las instituciones financieras y otras compañías se mostraban reacias a compartir información sobre los incidentes cibernéticos que les hubieran impactado, por temor a que se expongan sus vulnerabilidades de seguridad o que queden expuestas a responsabilidad legal. Ese cálculo se ha desplazado a medida que los ataques cibernéticos crecen en gran número y en daños causados. Un número creciente de compañías está viendo el intercambio frecuente y completo de incidentes cibernéticos e inteligencia de amenazas como una técnica de supervivencia en un paisaje cibernético cada vez más incómodo.