Los profesionales del cumplimiento reconsideran el uso de direcciones IP para hacer cumplir las sanciones en medio de la crisis entre Rusia y Ucrania
Expertos señalan que las direcciones IP son susceptibles de manipulación y necesitan herramientas de apoyo para ayudar a garantizar el cumplimiento de las sanciones.
Se espera que las direcciones de protocolo de Internet (datos de ubicación disponibles públicamente vinculados a un dispositivo, que potencialmente pueden vincular una transacción a un país en particular) se conviertan en una herramienta cada vez más importante para hacer cumplir las sanciones económicas de EE. UU.
Pero abundan las preocupaciones entre los profesionales de cumplimiento de que estas direcciones en sí mismas no son suficientes para determinar de dónde proviene una transacción y son vulnerables a la manipulación por parte de actores ilícitos.
En el último esfuerzo por hacer cumplir las sanciones, en particular las relacionadas con la invasión rusa de Ucrania, el Departamento del Tesoro de EE.UU. ha emitido una guía para las empresas que ofrecen servicios en línea, destacando la importancia de que las empresas utilicen el monitoreo de direcciones IP como parte de sus programas de cumplimiento de sanciones.
El mes pasado, FinCEN, la UIF de EE.UU., emitió una alerta advirtiendo a las instituciones financieras y las empresas de criptomonedas de los intentos de evadir las sanciones, incluso a través de transacciones provenientes o enviadas a direcciones IP ubicadas en Rusia o Bielorrusia, o desde direcciones IP ya marcadas como sospechosas. Las sanciones de EE.UU. prohíben realizar transacciones con personas o entidades en ciertas jurisdicciones, incluidas las de las regiones de Donetsk y Lugansk en Ucrania, que están bajo embargo y controladas por separatistas respaldados por Moscú.
Estados Unidos apuntó a las empresas y redes de tecnología rusas que, según dijo, ayudaron al Kremlin a evadir las sanciones y adquirir tecnología occidental.
Una dirección IP, una cadena de números separados por puntos, es un identificador único disponible públicamente para un dispositivo en Internet o una red local que contiene información de ubicación. Aunque las direcciones IP en circunstancias normales pueden indicar de dónde se deriva el tráfico en línea, son susceptibles de manipulación porque las redes privadas virtuales pueden ocultar la ubicación real del usuario. La demanda de VPN se disparó desde fines de febrero, particularmente en Rusia, donde la demanda aumentó un 2692 % entre el 24 de febrero y el 24 de marzo, según una investigación del sitio web de reseñas Top10VPN.com.
Según un artículo de The Wall Street Journal, durante los últimos seis meses, GeoComply Solutions Inc., que proporciona datos de cumplimiento de geolocalización, vio más de 15 millones de intentos de transacciones en las plataformas de sus clientes en los que los usuarios de jurisdicciones sancionadas manipularon las direcciones IP para que pareciera que estaban ubicadas en EE. UU., según Elizabeth Cronan, vicepresidenta de relaciones gubernamentales de GeoComply. Las consecuencias de las duras sanciones económicas contra Rusia ya se están sintiendo en todo el mundo.
“Entre la gran cantidad de puntos de datos de ubicación [que analiza GeoComply], las direcciones IP son las más débiles, menos confiables y más posibles de ser manipuladas”, señala Cronan en el artículo.
Otro problema con el uso de direcciones IP para aplicar sanciones es que no son lo suficientemente precisas porque muestran ubicaciones en un nivel regional más grande en lugar de uno territorial, lo que puede dificultar la delimitación de áreas específicas, como las regiones respaldadas por Rusia: Donetsk, Lugansk y Crimea en Ucrania, que enfrentan sanciones específicas de Estados Unidos.
A pesar de que muchos consideran que las direcciones IP son indicadores poco fiables del origen del tráfico en línea, las empresas corren el riesgo de recibir sanciones cuando no analizan las direcciones IP en busca de aquellas en áreas bajo sanción. La empresa de activos digitales BitGo Inc. pagó en 2020 unos US$100.00 a la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE. UU. para que se desestimen las acusaciones de que violó múltiples programas de sanciones, incluidos los contra Crimea. El acuerdo, aunque relativamente pequeño, dejó en claro que la OFAC espera que las empresas consideren los datos de geolocalización de direcciones IP al evaluar si sus clientes en línea están ubicados en jurisdicciones sancionadas.
Las empresas están utilizando servicios que pueden proporcionar información de ubicación más precisa para cerrar esa brecha. GeoComply, por ejemplo, determina dónde se encuentra realmente una persona tomando y verificando la autenticidad de una variedad de puntos de datos, incluidos datos y señales Wi-Fi, así como el Sistema de Posicionamiento Global y datos celulares, según Cronan.
Los profesionales de cumplimiento de los regímenes de sanciones aconsejan a las empresas que incorporen otras herramientas en su proceso de incorporación para conocer a sus clientes, como solicitar números de teléfono, nombres de empresas y direcciones de correo electrónico.