Lo que aprendimos en la conferencia de ACFCS en Nueva York: ataques cibernéticos de dos puntas, tácticas de lavado de dinero a través del comercio internacional, ciberconvergencia

by ACFCS - 17/06/2016

Por Brian Monroe
15 de Junio, 2016

En la conferencia sobre delitos financieros que la ACFCS realizó la semana pasada en Nueva York cientos de profesionales de cumplimiento, reguladores y representantes de la policía se unen para hacer frente a los retos persistentes y emergentes para mejorar la detección y prevención de la delincuencia financiera en todas sus formas ilícitas.

El nutrido evento que se realizó en el Yale Club en la ciudad de Nueva York el 1 y 2 de junio y la conferencia digital el 8 y 9 de junio cubrieron algunos de los problemas más acuciantes en el campo de la delincuencia financiera, incluyendo la evolución agresiva de las amenazas informáticas para crear “iniciados virtuales” o virtual insiders, los errores humanos que dan lugar a violaciones de datos, el poder convergente de los sistemas antilavado de dinero (ALD) para capturar los datos cibernéticos, las grandes deficiencias en los programas de cumplimiento identificados por los reguladores, el lavado de dinero basado en el comercio, y mucho más.

Si bien es difícil de extraer y condensar la inmensa amplitud de conocimientos en ambos eventos que se llevaron a cabo durante dos días en el mundo real y dos en el mundo virtual, lo que sigue es nuestro intento de capturar algunos de los puntos clave, temas e inesperado reglamentario momentos de la conferencia.

No nos es posible cubrir todo de una sola vez, visítenos nuevamente la próxima semana para una segunda parte. Y muchas gracias a nuestros presentadores, asistentes y patrocinadores por su enorme aporte.

La evolución de los cibeataques

En un panel de Ed McAndrew, socio de Ballard Spahr y ex fiscal federal de delitos informáticos, y Roy Zur, el director ejecutivo de CYBINT, describieron el enfoque de dos puntas adoptado por los atacantes cibernéticos:

Ataques increíblemente sofisticados por parte del crimen organizado, piratas informáticos y hasta gobiernos extranjeros resultan en agresores que se ubican en sistemas durante semanas o meses, incluso se apodaran de los sistemas de las cámaras para registrar los movimientos de las personas en diferentes niveles de la organización. Se convierten en una “iniciados virtuales” o virtual insiders para obtener un mayor acceso a la información. Esta fue una enseñanza clave que dejó el reciente hackeo del banco central de Bangladesh.

El segundo vector de ataque es la «fruta madura», donde las organizaciones de hackers con menos experiencia o conocimiento, pero igualmente oportunistas lanzan ataques phishing o spear phishing contra las organizaciones y se aprovechan de la «elemento humano» de los ataques cibernéticos, para que un empleado haga clic en un enlace infectado o que responde a un «e-mail empresarial».

El panel destacó que casi todas las violaciones de datos se vieron favorecidas por la arrogancia humana. El IBM 2014 Cyber Intelligence Index, índice de inteligencia cibernética, indicó que el 95% de los ataques debidos se debieron a errores humanos.

Zur incluso mostró a los asistentes lo fácil que era encontrar los líderes de una organización, mediante una búsqueda que realizó de la empresa matriz de ACFCS, Barbri, pudo determinar rápidamente quién está en qué posición, incluidos profesionales en el área de tecnología de la información. Los hackers pueden utilizar herramientas de inteligencia de fuente abierta para tratar de convertirse en su blanco, buscando sus socios en presentaciones, amigos e incluso viajes, y luego comenzar a enviar mensajes de correo electrónico como si fueran esta persona.

En un segundo ejemplo, mostró lo fácil que era hackear una empresa y luego entrar en su sistema de vigilancia inalámbrica porque la empresa nunca cambió la contraseña por defecto de las cámaras, que era «admin».

El panel mostró las seis principales formas en que el elemento humano puede dar lugar a filtraciones: contraseñas débiles, conexiones Wi-Fi abiertas, respuesta a un correo electrónico phishing, utilizar una unidad de disco USB cargados de malware, la destrucción indebida de hardware e incluso algo tan simple como no la actualización de los programas de una computadora, que por lo general se crean para hacer frente a las vulnerabilidades cibernéticas.

Fundamental para la comprensión de un incidente cibernético está la documentación de:

Tipo de ataque

Medios de Acceso

Datos sujetos a exposición

Los movimientos dentro de la/s red/es

Datos comprometidos

Período de tiempo del incidente

Estado actual de las redes y aparatos

Mitigación y Remediación

TBML o Lavado de Dinero a través del Comercio Internacional

En una sesión sobre el comercio por Kim Manchester, jefe de ManchesterCF, detalló la enormidad del problema de lavado de dinero ligada al comercio.

Por ejemplo, el PIB mundial en 2015 fue de aproximadamente US$ 73.1 billones (Fondo Monetario Internacional), de esa cantidad se estima que del 7% al 15 % participa en TBML o US$ 5 billones a US$ 11 billones (OMA / OMC).

Esa cifra sería «más grande que la economía de cualquier país en el mundo que no sea EE.UU., China o la Unión Europea», señaló en la presentación, agregando que TBML existe en todos los países que tiene acceso a la comunidad comercial internacional.

También detalló algunas preguntas clave que los bancos y otros negocios deben realizar cuando participan en los acuerdos comerciales:

–¿Tiene sentido lo que tiene frente a usted? ¿Sentido de negocios? ¿Sentido logístico? Los criminales tratarán de ocultar su participación a través de empresas fantasmas, contrapartes, terceros y múltiples jurisdicciones y bancos. Si un oficial de cumplimiento no puede penetrar a las personas titulares de las ofertas, deben replantearse ser parte del mismo.

–¿Cómo se conocen las partes involucradas en las operaciones? Si ellos parecen no estar relacionadas o no tienen ninguna razón sólida para trabajar entre ellas, es una señal de alerta que el acuerdo puede ser ilegal.

–Las excusas aceitan la mentira. Como banco, nunca tome un atajo y permita tácticas de demoras.

–Compañías pantalla + Comercio internacional + Negocios intensos en efectivo = ? ¿Puede usted explicarme en detalle las relaciones comerciales de los clientes de su banco? ¿Estás seguro? Explicaciones excesivamente complicadas probablemente significa que la persona está tratando de ocultar algo.

–No se pueden inventar estas cosas. Nunca subestime la creatividad de los grupos criminales.

Manchester también se refirió a algunas lagunas en informes vinculados con el comercio, señalando que si bien el SWIFT MT103 – el pago de persona a persona -> $ 10.000, por ejemplo. se informa a la unidad de inteligencia financiera de Canadá, Fintrac, los informes MT202 y MT203 – Arreglo entre las instituciones financieras – las cartas de crédito, fondos documentales, no se notifican a Fintrac, sin importar el tamaño de la operación.

Bromeó que es irónico que investigadores mundiales, con la brecha gigantesca en el comercio internacional, están «¿preocupado por US$ 5,233.12 en el mostrador de Western Union?»

El panel señaló que algunos bancos no sólo están haciendo un mal trabajo en el examen de los acuerdos comerciales, sino que están manejados por delincuentes.

Por ejemplo, algunos bancos en pequeñas jurisdicciones, posiblemente vinculados a grupos ilegales, están tomando el nombre de los bancos más grandes en Rusia y luego realizan operaciones para las organizaciones criminales.

En la conferencia virtual, Manchester dio una hoja de ruta para que el personal de cumplimiento comprendiera mejor los acuerdos comerciales, que incluye convertirse en un «aprendiz» de un avezado corredor para entender su mundo y también de un maestro del área de comercio internacional de prácticas antilavado de un banco.

Cumplimiento ALD, ciberconvergencia

En otro panel que trataba sobre tendencias regulatorias, un presentador señaló que hay una nueva terminología en el reporte de actividad sospechosa para capturar mejor los detalles vinculados a los ataques cibernéticos, que se describe como «intrusión electrónica no autorizada».

La información que los empleados en el campo de cumplimiento antilavado pueden incluir en los ROS que puede ser útil para identificar estas infracciones incluyen:

Descripción de la magnitud del incidente;

Conocimiento o sospecha de tiempo, la ubicación y las características o las firmas de ataque;

direcciones IP y sus correspondientes marcas de tiempo;

Metodología utilizada;

identificadores de dispositivos;

Los bancos también tienen más fuerza y protecciones para compartir información relacionada con ataques cibernéticos en virtud de la ley Cybersecurity Information Sharing Act de 2015 (CISA)—Ley de Intercambio de Información de Seguridad Cibernética—, y también estimula al gobierno a hacer lo mismo a la inversa, intercambio de ataque con los sectores vulnerables, incluidos los bancos.

El objetivo de CISA es animar a protección en la ciberseguridad para avanzar en la seguridad al proporcionar un puerto seguro en cuanto a la responsabilidad, según la presentación. Se crea un sistema voluntario de intercambio de información en el que se autorizan a las empresas a compartir cierta información con los gobiernos federales y estatales, así como con otras empresas y entidades privadas.

Los puntos sobresalientes de CISA son:

–Protección legal por compartir autorizado;

–Protecciones ante las leyes de divulgación pública;

–No renuncia a ninguno de los privilegios y la protección de los secretos comerciales;

–Protección de la propiedad de la información designada;

–Protecciones por el uso, por parte de los reguladores, de la información compartida en la supervisión o medidas de ley en contra de la compañía que comparte la información.

El panel también cubrió los temas típicos, lagunas y problemas en medidas de cumplimiento, que son:

Controles internos

Evaluaciones de riesgo con un enfoque muy específico

Incorrectas calificaciones de riesgo del cliente

Fallas para obtener y verificar información de identificación del cliente

Las filiales extranjeras no sometido a procesos de debida diligencia y debida diligencia reforzada adecuados

Documentación de la DDC y EDD

Monitoreo de transacciones / reporte de actividades sospechosas

Monitoreo manual de transacciones

El banco creció demasiado para el tamaño de los sistemas de vigilancia

Problemas de datos causadas por las fusiones

Límites en el número de alertas

Oficial de cumplimiento no está calificado, no tiene suficiente independencia o personal adecuado

La auditoría no tiene independencia

El entrenamiento no está actualizado, no tiene la frecuencia adecuada, o no incluye a los empleados relevantes

Falta de compromiso de la junta directiva

El programa no está implementado en toda la organización

Si bien la conferencia, que incluyó una mesa redonda ejecutiva de los oficiales de cumplimiento, actuales y ex reguladores y funcionarios de aplicación de la ley, no pudo resolver todos los problemas en la búsqueda de erradicar los grupos criminales, terroristas y quienes los financian y los atacantes cibernéticos, asistentes y panelistas por igual la izquierda la conferencia con una plétora de nuevas ideas y mejores prácticas.

Luego de estos cuatro días, los participantes volvieron a sus oficinas más preparados y armados para cambiar los patrones de conducta de los empleados, impulsar los procesos de detección y comunicación con otros departamentos y fortalecer las relaciones con las autoridades para obtener información crítica en manos de los investigadores para entender mejor cómo descubrir, monitorear y, finalmente, acabar con las diversas amenazas de actividad ilegal que el mundo enfrenta.

Buscar por Categoría