Un cambio fundamental se produce en la gestión de riesgo cibernético. La noción de que los ataques cibernéticos son cada vez más probables, y tal vez inevitables, está empezando a tomar fuerza entre los altos ejecutivos de las distintas compañías y sus juntas directivas. Los líderes de negocios se están dando cuenta de que el mundo se está interconectado mediante tecnologías diseñadas para compartir información, no para protegerla.

Las compañías saben que tienen que confiar información sensible a sus empleados, terceros y otros, y perciben con mayor claridad que la conexión entre sus agendas estratégicas y la creación de riesgo cibernético hace que sea inviable para ellos bloquear todo y poner siempre la seguridad como la prioridad.

El número de incidentes cibernéticos y los costos asociados siguen aumentando a pesar de los niveles sin precedentes de inversión en seguridad. De hecho, un reciente informe de Deloitte: Beneath the surface of a cyberattack: A deeper look at business impacts –debajo de la superficie de un ataque cibernético: una mirada más profunda a los impactos comerciales— señala que puede haber hasta 14 factores de impacto que puede afectar a una organización después de un ataque cibernético.

Estos incluyen costos directos muy conocidos, comúnmente asociados con cyberbreaches o ciberataques tales como los costos para notificar a los clientes o proporcionar protección personal de crédito, honorarios de abogados y costos judiciales, así como costo de relaciones públicas y por mejoras en la seguridad cibernética. También hay costos para abordar cuestiones menos tangibles después de un ataque cibernético, como el impacto sobre la calificación de crédito, la pérdida de la propiedad intelectual, etc.

Las organizaciones pueden tomar medidas para revertir la creciente brecha entre la inversión para protegerse contra incidencias en el área cibernética y su eficacia. En primer lugar, los altos ejecutivos deben tener en cuenta la relación directa entre la innovación y el riesgo cibernético. Las medias que las organizaciones toman para ganar mercado o impulsar la eficiencia operativa tienden a aumentar o introducir nuevos riesgos cibernéticos.

Las compañías deben equilibrar la innovación con la seguridad. Enfrentar esos riesgos con un programa seguro y resistente es esencial para alcanzar los objetivos.

Las distintas organizaciones necesitan adoptar un enfoque más holístico e integral al riesgo cibernético y equilibrar adecuadamente las inversiones en seguridad cibernética con los esfuerzos para desarrollar una mejor visibilidad de la amenaza, y la capacidad de responder de manera más rápida y más eficaz en el caso de un incidente cibernético. Las organizaciones deben entender los tipos de riesgo cibernético a los que se enfrentan y ser capaces de medir adecuadamente la probabilidad de que ocurran. Es igual de importante que estas organizaciones entiendan los impactos en el área comercial que estos incidentes pueden presentar.

Un reto importante, sin embargo, es que la idea general sobre el impacto de los ataques cibernéticos está vinculada, en general, a lo que las empresas están obligadas a reportar públicamente—principalmente el robo de información de identificación personal (PII, por sus siglas en inglés), datos de pago, y la información personal sobre asuntos de salud (PHI por sus siglas en inglés). Las conversaciones tienden a centrarse en los costos relacionados con la notificación al cliente, vigilancia de crédito, y la posibilidad de juicios legales o sanciones. La industria en general converge en el cálculo de un «costo por registro» en las filtraciones de datos de los consumidores.

Los costos comúnmente asociados con las violaciones de datos están por lo general relacionados con los impactos más comunes y mejor entendidos, pero este es el daño observado por encima de la superficie. El robo de información de identificación personal no siempre es el objetivo de un atacante. Rara vez se muestran casos relacionados con robo de propiedad intelectual (IP), espionaje, destrucción de datos, ataques a las operaciones básicas, o las tentativas de neutralizar infraestructura crítica. Debajo de la superficie, estos ataques pueden tener un impacto mucho más importante en las organizaciones. Pero las consecuencias no son cabalmente entendidas y son mucho más difíciles de cuantificar.

Las organizaciones pueden entender estos impactos menos obvios utilizando un enfoque multidisciplinario que integre el conocimiento cabal de los incidentes cibernéticos con el contexto empresarial, técnicas de valoración y cuantificación financiera, señala el informe de Deloitte.

Con una mejor visión de los posibles impactos de negocios, las compañías pueden maximizar la estructura que utilizan para gestionar los riesgos para recuperarse de un ataque cibernético.

Para comenzar en la transformación de un programa de seguridad de TI tradicional a un programa integral de riesgos cibernéticos es importante saber dónde se encuentra ubicada una organización en el proceso. Para aquellas organizaciones que acaba de empezar a planificar, los siguientes pasos pueden ayudar a avanzar en la dirección correcta:

Ubicar un alto ejecutivo al mando de la iniciativa. La persona a cargo del programa de riesgo cibernético debe ser capaz de dirigir y ser respetado por otros altos ejecutivos en la compañía y también a nivel de la junta directiva o consejo de administración.

Vincular las amenazas con los activos de la empresa. Determinar el apetito de riesgo de la organización y priorizar áreas del programa que encarne su estrategia para obtener seguridad, vigilancia y resistencia.

Centrarse en áreas o iniciativas piloto que impacten directamente en el éxito del negocio o de cumplimiento de la misión, con objetivos que se puedan medir.

Acelerar el cambio de comportamiento a través de incentivos e interés basado en la experiencia. Además de la capacitación tradicional en materia de seguridad, proporcionar escenarios de aprendizaje activos que profundicen la comprensión del impacto de la actividad diaria de la organización en su estructura de riesgo cibernético, e identificar oportunidades visibles para reforzar el comportamiento correcto a través de programas que recompensen hablar abiertamente, plantear preguntas y obtener el logro de los objetivos básicos del programa.

El propietario de múltiples compañías del sector energético en EE.UU. se declaró culpable de cargos de soborno de funcionarios públicos en el extranjero por su papel en un ardid de corrupción para obtener contratos energéticos de la compañía estatal de Venezuela, Petróleos de Venezuela, S.A. (PDVSA).

Roberto Enrique Rincón Fernández, de 55 años, se declaró culpable en una corte federal en Houston de conspiración para violar la Ley de Prácticas Corruptas en el Extranjero (FCPA por sus siglas en inglés), de violación de la FCPA y de hacer declaraciones falsas en sus documentos de impuestos federales de 2010. El juez Gray Miller del Distrito Sur de Texas aceptó la declaración de Rincón y le impuso una sanción monetaria personal. La sentencia está prevista para el 30 de septiembre 2016.

Rincón fue detenido el 16 de diciembre de 2015, luego de que un gran jurado en el Distrito Sur de Texas emitiera una acusación formal de 18 cargos contra él y Abraham José Shiera Bastidas, de 53 años, de Coral Gables, Florida.

De acuerdo con las confesiones en relación con la declaración de culpabilidad de Rincón, él y Shiera trabajaron juntos para presentar ofertas para proveer equipos y servicios a PDVSA a través de sus diversas empresas. Rincón admitió que a partir de 2009 acordaron pagar sobornos y proveer otras cosas de valor a los analistas de compra de PDVSA para asegurarse de que las compañías que controlaban fueran incluidas en los pliegos de licitación de PDVSA, lo que permitió que éstas obtuvieran lucrativos contratos energéticos con PDVSA.

Rincón también admitió haber realizado el pago de sobornos a otros funcionarios de PDVSA con el fin de asegurarse que sus empresas fueran colocadas en listas de proveedores aprobados por PDVSA y obtuvieran prioridad para que se les pagara antes que a otros proveedores de la estatal venezolana. En su declaración de culpabilidad, Rincón admitió que no informó en sus declaraciones de impuestos los US$6 millones por dividendos obtenidos en el extranjero que recibió de una corporación venezolana de la que era dueño.

Rincón, quien sería un muy importante proveedor de ciertos equipos para PDVSA, es la sexta persona en declararse culpable como parte de una investigación en curso que está realizando el gobierno de EE.UU. por actos de cohecho en PDVSA. Shiera previamente se declaró culpable ante el juez Miller de un cargo de conspiración para violar la FCPA y cometer fraude electrónico y de un cargo de violación de la FCPA y su sentencia está programada para el 30 de septiembre.

En marzo de 2016, el juez Miller también presentó cargos contra otros cuatro individuos acusados en relación con la investigación en curso, entre ellos tres funcionarios extranjeros. Los funcionarios extranjeros admitieron que mientras trabajaban para PDVSA o sus subsidiarias o filiales, en capacidad de empleados, aceptaron sobornos de Rincón y Shiera a cambio de tomar ciertas medidas para ayudar a las empresas propiedad de Rincón y Shiera en la obtención de contratos con PDVSA.

Los funcionarios extranjeros también conspiraron con Rincón y Shiera para lavar las ganancias producto del ardid de corrupción, admitieron. Como parte de sus declaraciones de culpabilidad, Rincón, Shiera y los otros acusados acordaron renunciar a los fondos producto de su actividad criminal.

Esta investigación que sigue su curso está liderada por Homeland Security Investigation y la división de Criminal Investigation del IRS con ayuda por parte del FBI.

La Comisión de Bolsa y Valores de EE.UU., SEC por sus siglas en inglés, anunció este jueves que Merrill Lynch acordó pagar US$ 415 millones para resolver cargos en su contra por haber utilizado ilegalmente dinero de sus clientes para financiar actividades y generar beneficios para la empresa y también de no haber protegido títulos valores de sus clientes ante el reclamo de sus acreedores.

Una investigación de la SEC encontró que Merrill Lynch violó la Customer Protection Rule de la SEC–Regla de Protección al Cliente– por el mal uso de dinero de clientes que debería haber estado depositado en una cuenta de reserva. Merrill Lynch participó en complejas operaciones, de comercio y préstamo, que carecían de sustancia económica y artificialmente reducían el depósito requerido de dinero en efectivo de los clientes en la cuenta de reserva. La maniobra liberó miles de millones de dólares por semana de 2009 al 2012 que Merrill Lynch utilizó para financiar sus propias actividades comerciales, según un comunicado de la SEC. Si Merrill Lynch hubiera fracasado en estas operaciones, los clientes de la empresa habrían quedado expuestos a un enorme déficit en la cuenta de reserva.

Merrill Lynch, filial de Bank of America, reconoció los hechos y aseguró en un comunicado que ninguno de sus clientes se vio afectado por esas prácticas. «Las cuestiones vinculadas a nuestros procedimientos y controles fueron corregidas», afirmó uno de sus portavoces a medios de prensa.

La investigación y el acuerdo están relacionados con la llamada Regla 15c3-3, que fue diseñado para asegurar que los bancos y las empresas comerciales protejan los activos de los clientes, mediante la reserva de suficiente dinero en efectivo por lo que, si las empresas fallan o caen, éstas pueden pagar lo que deben los clientes.

Desde 2009 a 2015, Merrill Lynch mantuvo hasta US$ 58.000 millones por día de títulos valores de clientes en una cuenta de compensación que estaba sujeta a derechos de retención o prendarios por parte de su banco de compensación y mantuvo adicionales títulos valores de clientes en cuentas de todo el mundo que también estaban sujetas a estos derechos de retención. Si Merrill Lynch colapsaba en cualquier momento, sus clientes se hubieran visto expuestos a importantes riesgos y a la incertidumbre de poder recuperar sus títulos valores, señala la SEC en un comunicado.

La SEC también demandó al jefe de reporte de asuntos regulatorios William Tirrell, en relación con el caso. La División de Cumplimiento de la SEC alega que Tirrell era en última instancia el responsable de determinar la cantidad de dinero que Merrill Lynch reservaría en su cuenta especial, y no pudo controlar adecuadamente las operaciones y proporcionar información específica a los reguladores de la firma sobre la sustancia y la mecánica de las operaciones. El procedimiento administrativo contra Tirrell será programado para una audiencia pública ante un juez administrativo quien emitirá una decisión inicial indicando las medidas correctivas apropiadas, si corresponde.

«Las normas sobre la seguridad del dinero y títulos valores de los clientes son fundamentales para la protección de los inversionistas e imponen límites que simplemente no se pueden cruzar», dijo Andrew J. Ceresney, Director de la División de Cumplimiento de la SEC. «Merrill Lynch ha violado estas reglas, incluso durante la crisis financiera y la sanción impuesta hoy refleja la gravedad de sus falencias».

En conjunción con este caso, la SEC anunció una iniciativa de dos partes diseñada para descubrir abusos adicionales de la regla de protección al cliente. La primera busca incentivar a los agentes de bolsa para que informen posibles violaciones de la regla de la SEC y ofrece crédito por cooperar y condiciones favorables ante un acuerdo legal por auto informar las falencias. En segundo lugar, la División de Cumplimiento, en coordinación con la División de Comercio y Mercados y la Oficina de Inspecciones y Exámenes de Cumplimiento, llevará a cabo los exámenes basados en el riesgo de ciertos agentes de bolsa para evaluar el cumplimiento de la regla de protección al cliente.

Además de las violar la regla de protección de los clientes, Merrill Lynch violó otra regla — Exchange Act Rule 21F-17 – por el uso de lenguaje en arreglos de indemnización con la intención de impedir a los empleados que faciliten voluntariamente información a la SEC.

Merrill Lynch también participa en importantes tareas de remediación en relación con la violación de la Regla 21F-17, que incluye la revisión de sus acuerdos, políticas y procedimientos, y la implementación de un programa de entrenamiento de denunciantes anual obligatorio para todos los empleados de Merrill Lynch y su empresa matriz, Bank of America. Merrill Lynch y Bank of America también acordaron proporcionar a los empleados, sobre una base anual, con un resumen de sus derechos y protecciones bajo el Programa de Denunciantes de la SEC.

Según la SEC Merrill Lynch cooperó con la investigación y adoptó medidas correctivas incluyendo la contratación de un consultor independiente de cumplimiento para que revise su cumplimiento con la regla. Merrill Lynch acordó pagar US$57 millones en concepto de devolución de ganancias más intereses y US$358 millones de multo, y reconoció públicamente la violación de las leyes fed

El uso de terceros no es nada nuevo, distintos tipos de compañías y entidades han trabajado con proveedores, agentes, y otros operadores tercerizados, durante años. Lo que ha cambiado es la frecuencia y nivel del uso de terceros y el la mayor presión por parte de las autoridades sobre los tercero, en especial saber cómo las organizaciones están administrando los terceros para lidiar con los riesgos inherentes.

El hecho de que en la mayoría de los casos, incluso en las grandes organizaciones mundiales, es una rareza que alguien en la organización tenga una visión completa y general de los terceros con los que la empresa está haciendo negocios –o los riesgos que estos terceros representan para la empresa—es un tema que genera preocupación.

En la actualidad las juntas directivas están considerando el riesgo de terceros como un riesgo muy importante a tener en cuenta, como un peligro estratégico a mitigar. Sin embargo, este peligro todavía no se ha traducido en una clara responsabilidad de la supervisión de riesgos de terceros.

Existen varias variables relacionadas con el crecimiento de los riesgos de terceros, una de ellas es que en los últimos tiempos muchas organizaciones han dirigido parte de sus negocios a terceras partes, entidades, personas, etc., para reducir costos; por otro lado los reguladores se han vuelto mucho más exigentes sobre cómo las compañías están manejando la tercerización y los riesgos de terceros en general; y las sanciones por violaciones han crecido en forma exponencial y estas penalidades han añadido un nuevo factor para que las entidades tengan en cuenta, que es el daño o impacto reputacional.

Cuando muchos clientes se ven afectados por fallas en los sistemas de terceros, por ejemplo, o cuando una compañía experimenta severas sanciones o recibe repetidos llamados de atención por parte de las autoridades, la reputación de la organización puede experimentar un duro golpe. Otro factor a tener en cuenta es que es que la tecnología actual permite un movimiento libre y veloz de información, algo que no tiene precedentes, hace décadas una falla en una localidad, ciudad o país posiblemente se limitaba a esa zona geográfica, en la actualidad cualquier problema se vuelve global.

Como consecuencia del incremento del riesgo y las consecuencias de estos riesgos, las compañías están prestando más atención y haciendo más preguntas.

En muchas organizaciones el jefe de ventas debe asumir este papel, pero esto puede llevar a una visión sesgada sobre los proveedores, en lugar de una visión general de toda la empresa.

Cuando se trata de los riesgos de terceros, por lo general han sido tratados como algo independiente, separado del resto, no con un enfoque holístico, integral. Ciertos individuos dentro de las organizaciones prestaban atención a riesgos. En el sector bancario, por ejemplo, el enfoque podría ser puesto en el departamento de tecnología de la información y los temas relacionados con la protección de datos y las cuestiones relacionadas con el hecho de compartir información con terceros.

En el sector de productos de consumo, el enfoque podría estar en los riesgos de calidad y seguridad de los productos, con la intención de proteger los usuarios y salvaguardar la reputación de la empresa. Si bien las organizaciones se han mostrado proactivas en la gestión de riesgos para ciertas funciones o aspectos del negocio, muchas han tenido un enfoque estrecho sin analizar la exposición general, la visión holística que es esencial para la comprensión de la exposición general del riesgo de terceros y la administración de este riesgo en toda la empresa.

Muchas compañías se están preparando para administrar en forma certera el riesgo de terceros, pero también hay muchas que todavía no han llegado a este punto. El primer paso posiblemente sea el más complicado, poder discernir con quién tiene relación comercial o está haciendo negocios la compañía. Una vez que se tenga esta información se podrá comenzar a pensar cómo administrar el riesgo asociado con estos terceros que han sido identificados, para enfocarse principalmente en aquellos que representan los mayores riesgos.

Un enfoque completo incluye un marco y procesos definidos para evaluar el riesgo de terceros, como por ejemplo un cuestionario para terceros y la posibilidad de clasificar los posibles riesgos sobre la base de sus respuestas. Deberá existir una política sólida para definir los siguientes pasos una vez que el riesgo es identificado, incluyendo orientación para decidir si se debe aceptar este riesgo y cómo manejarlo correctamente. La compañía debe contar con profesionales en la organización con sólidos antecedentes en gestión de riesgos.

Es importante que las entidades actúen con base en esta información, ya que hay muchas que toman muchas de estas medidas pero no se lanzan a la implementación total de las mismas. Muchas veces, parte de la problemática es que existen obstáculos tecnológicos que les impiden implementarlas y no es que las soluciones tecnológicas no existan, son los esfuerzos y costos que se requieren para ponerlas en práctica los que están frenando a  muchas de estas compañías.

Por Brian Monroe
15 de Junio, 2016

En la conferencia sobre delitos financieros que la ACFCS realizó la semana pasada en Nueva York cientos de profesionales de cumplimiento, reguladores y representantes de la policía se unen para hacer frente a los retos persistentes y emergentes para mejorar la detección y prevención de la delincuencia financiera en todas sus formas ilícitas.

El nutrido evento que se realizó en el Yale Club en la ciudad de Nueva York el 1 y 2 de junio y la conferencia digital el 8 y 9 de junio cubrieron algunos de los problemas más acuciantes en el campo de la delincuencia financiera, incluyendo la evolución agresiva de las amenazas informáticas para crear “iniciados virtuales” o virtual insiders, los errores humanos que dan lugar a violaciones de datos, el poder convergente de los sistemas antilavado de dinero (ALD) para capturar los datos cibernéticos, las grandes deficiencias en los programas de cumplimiento identificados por los reguladores, el lavado de dinero basado en el comercio, y mucho más.

Si bien es difícil de extraer y condensar la inmensa amplitud de conocimientos en ambos eventos que se llevaron a cabo durante dos días en el mundo real y dos en el mundo virtual, lo que sigue es nuestro intento de capturar algunos de los puntos clave, temas e inesperado reglamentario momentos de la conferencia.

No nos es posible cubrir todo de una sola vez, visítenos nuevamente la próxima semana para una segunda parte. Y muchas gracias a nuestros presentadores, asistentes y patrocinadores por su enorme aporte.

La evolución de los cibeataques

En un panel de Ed McAndrew, socio de Ballard Spahr y ex fiscal federal de delitos informáticos, y Roy Zur, el director ejecutivo de CYBINT, describieron el enfoque de dos puntas adoptado por los atacantes cibernéticos:

Ataques increíblemente sofisticados por parte del crimen organizado, piratas informáticos y hasta gobiernos extranjeros resultan en agresores que se ubican en sistemas durante semanas o meses, incluso se apodaran de los sistemas de las cámaras para registrar los movimientos de las personas en diferentes niveles de la organización. Se convierten en una “iniciados virtuales” o virtual insiders para obtener un mayor acceso a la información. Esta fue una enseñanza clave que dejó el reciente hackeo del banco central de Bangladesh.

El segundo vector de ataque es la «fruta madura», donde las organizaciones de hackers con menos experiencia o conocimiento, pero igualmente oportunistas lanzan ataques phishing o spear phishing contra las organizaciones y se aprovechan de la «elemento humano» de los ataques cibernéticos, para que un empleado haga clic en un enlace infectado o que responde a un «e-mail empresarial».

El panel destacó que casi todas las violaciones de datos se vieron favorecidas por la arrogancia humana. El IBM 2014 Cyber Intelligence Index, índice de inteligencia cibernética, indicó que el 95% de los ataques debidos se debieron a errores humanos.

Zur incluso mostró a los asistentes lo fácil que era encontrar los líderes de una organización, mediante una búsqueda que realizó de la empresa matriz de ACFCS, Barbri, pudo determinar rápidamente quién está en qué posición, incluidos profesionales en el área de tecnología de la información. Los hackers pueden utilizar herramientas de inteligencia de fuente abierta para tratar de convertirse en su blanco, buscando sus socios en presentaciones, amigos e incluso viajes, y luego comenzar a enviar mensajes de correo electrónico como si fueran esta persona.

En un segundo ejemplo, mostró lo fácil que era hackear una empresa y luego entrar en su sistema de vigilancia inalámbrica porque la empresa nunca cambió la contraseña por defecto de las cámaras, que era «admin».

El panel mostró las seis principales formas en que el elemento humano puede dar lugar a filtraciones: contraseñas débiles, conexiones Wi-Fi abiertas, respuesta a un correo electrónico phishing, utilizar una unidad de disco USB cargados de malware, la destrucción indebida de hardware e incluso algo tan simple como no la actualización de los programas de una computadora, que por lo general se crean para hacer frente a las vulnerabilidades cibernéticas.

Fundamental para la comprensión de un incidente cibernético está la documentación de:

Tipo de ataque

Medios de Acceso

Datos sujetos a exposición

Los movimientos dentro de la/s red/es

Datos comprometidos

Período de tiempo del incidente

Estado actual de las redes y aparatos

Mitigación y Remediación

TBML o Lavado de Dinero a través del Comercio Internacional

En una sesión sobre el comercio por Kim Manchester, jefe de ManchesterCF, detalló la enormidad del problema de lavado de dinero ligada al comercio.

Por ejemplo, el PIB mundial en 2015 fue de aproximadamente US$ 73.1 billones (Fondo Monetario Internacional), de esa cantidad se estima que del 7% al 15 % participa en TBML o US$ 5 billones a US$ 11 billones (OMA / OMC).

Esa cifra sería «más grande que la economía de cualquier país en el mundo que no sea EE.UU., China o la Unión Europea», señaló en la presentación, agregando que TBML existe en todos los países que tiene acceso a la comunidad comercial internacional.

También detalló algunas preguntas clave que los bancos y otros negocios deben realizar  cuando participan en los acuerdos comerciales:

–¿Tiene sentido lo que tiene frente a usted? ¿Sentido de negocios? ¿Sentido logístico? Los criminales tratarán de ocultar su participación a través de empresas fantasmas, contrapartes, terceros y múltiples jurisdicciones y bancos. Si un oficial de cumplimiento no puede penetrar a las personas titulares de las ofertas, deben replantearse ser parte del mismo.

–¿Cómo se conocen las partes involucradas en las operaciones? Si ellos parecen no estar relacionadas o no tienen ninguna razón sólida para trabajar entre ellas, es una señal de alerta que el acuerdo puede ser ilegal.

–Las excusas aceitan la mentira. Como banco, nunca tome un atajo y permita tácticas de demoras.

–Compañías pantalla + Comercio internacional + Negocios intensos en efectivo = ? ¿Puede usted explicarme en detalle las relaciones comerciales de los clientes de su banco? ¿Estás seguro? Explicaciones excesivamente complicadas probablemente significa que la persona está tratando de ocultar algo.

–No se pueden inventar estas cosas. Nunca subestime la creatividad de los grupos criminales.

Manchester también se refirió a algunas lagunas en informes vinculados con el comercio, señalando que si bien el SWIFT MT103 – el pago de persona a persona -> $ 10.000, por ejemplo. se informa a la unidad de inteligencia financiera de Canadá, Fintrac, los informes MT202 y MT203 – Arreglo entre las instituciones financieras – las cartas de crédito, fondos documentales, no se notifican a Fintrac, sin importar el tamaño de la operación.

Bromeó que es irónico que investigadores mundiales, con la brecha gigantesca en el comercio internacional, están «¿preocupado por US$ 5,233.12 en el mostrador de Western Union?»

El panel señaló que algunos bancos no sólo están haciendo un mal trabajo en el examen de los acuerdos comerciales, sino que están manejados por delincuentes.

Por ejemplo, algunos bancos en pequeñas jurisdicciones, posiblemente vinculados a grupos ilegales, están tomando el nombre de los bancos más grandes en Rusia y luego realizan operaciones para las organizaciones criminales.

En la conferencia virtual, Manchester dio una hoja de ruta para que el personal de cumplimiento comprendiera mejor los acuerdos comerciales, que incluye convertirse en un «aprendiz» de un avezado corredor para entender su mundo y también de un maestro del área de comercio internacional de prácticas antilavado de un banco.

Cumplimiento ALD, ciberconvergencia

En otro panel que trataba sobre tendencias regulatorias, un presentador señaló que hay una nueva terminología en el reporte de actividad sospechosa para capturar mejor los detalles vinculados a los ataques cibernéticos, que se describe como «intrusión electrónica no autorizada».

La información que los empleados en el campo de cumplimiento antilavado pueden incluir en los ROS que puede ser útil para identificar estas infracciones incluyen:

 

Descripción de la magnitud del incidente;

Conocimiento o sospecha de tiempo, la ubicación y las características o las firmas de ataque;

direcciones IP y sus correspondientes marcas de tiempo;

Metodología utilizada;

identificadores de dispositivos;

Los bancos también tienen más fuerza y protecciones para compartir información relacionada con ataques cibernéticos en virtud de la ley Cybersecurity Information Sharing Act de 2015 (CISA)—Ley de Intercambio de Información de Seguridad Cibernética—, y también estimula al gobierno a hacer lo mismo a la inversa, intercambio de ataque con los sectores vulnerables, incluidos los bancos.

El objetivo de CISA es animar a protección en la ciberseguridad para avanzar en la seguridad al proporcionar un puerto seguro en cuanto a la responsabilidad, según la presentación. Se crea un sistema voluntario de intercambio de información en el que se autorizan a las empresas a compartir cierta información con los gobiernos federales y estatales, así como con otras empresas y entidades privadas.

Los puntos sobresalientes de CISA son:

–Protección legal por compartir autorizado;

–Protecciones ante las leyes de divulgación pública;

–No renuncia a ninguno de los privilegios y la protección de los secretos comerciales;

–Protección de la propiedad de la información designada;

–Protecciones por el uso, por parte de los reguladores, de la información compartida en la supervisión o medidas de ley en contra de la compañía que comparte la información.

El panel también cubrió los temas típicos, lagunas y problemas en medidas de cumplimiento, que son:

Controles internos

Evaluaciones de riesgo con un enfoque muy específico

Incorrectas calificaciones de riesgo del cliente

Fallas para obtener y verificar información de identificación del cliente

Las filiales extranjeras no sometido a procesos de debida diligencia y debida diligencia reforzada adecuados

Documentación de la DDC y EDD

Monitoreo de transacciones / reporte de actividades sospechosas

Monitoreo manual de transacciones

El banco creció demasiado para el tamaño de los sistemas de vigilancia

Problemas de datos causadas por las fusiones

Límites en el número de alertas

Oficial de cumplimiento no está calificado, no tiene suficiente independencia o personal adecuado

La auditoría no tiene independencia

El entrenamiento no está actualizado, no tiene la frecuencia adecuada, o no incluye a los empleados relevantes

Falta de compromiso de la junta directiva

El programa no está implementado en toda la organización

Si bien la conferencia, que incluyó una mesa redonda ejecutiva de los oficiales de cumplimiento, actuales y ex reguladores y funcionarios de aplicación de la ley, no pudo resolver todos los problemas en la búsqueda de erradicar los grupos criminales, terroristas y quienes los financian y los atacantes cibernéticos, asistentes y panelistas por igual la izquierda la conferencia con una plétora de nuevas ideas y mejores prácticas.

Luego de estos cuatro días, los participantes volvieron a sus oficinas más preparados y armados para cambiar los patrones de conducta de los empleados, impulsar los procesos de detección y comunicación con otros departamentos y fortalecer las relaciones con las autoridades para obtener información crítica en manos de los investigadores para entender mejor cómo descubrir, monitorear y, finalmente, acabar con las diversas amenazas de actividad ilegal que el mundo enfrenta.

La Asamblea Nacional del Ecuador aprobó este jueves el proyecto de Ley de Prevención, Detección y Erradicación del Delito de Lavado de Activos y del Financiamiento de Delitos que busca crear un régimen que garantice la efectiva aplicación de las políticas, procedimientos y acciones orientadas a combatir estos delitos y que, entre otras novedades, amplía en número de sujetos obligados a reportar transacciones sospechosas.

La iniciativa contó con el voto positivo de 105 legisladores, en su mayoría del partido Alianza PAIS, 14 abstenciones y un voto en contra y ahora debe será enviada al Poder Ejecutivo para su sanción o veto.

El asambleísta que propuso la iniciativa, Virgilio Hernández, señaló que se busca «una lucha contra el lavado de activos, más operativa» por lo cual se ha propuesto elementos para detectar la propiedad, posesión, utilización, oferta, venta, corretaje, comercio interno o externo, transferencia gratuita u onerosa, conversión y tráfico de fondos producto de actividades delictivas.

La unidad de información financiera se llamará Unidad de Análisis Financiero y Económico (UAFE) y se amplía el número de sujetos obligados a reportar operaciones sospechosas. Además de las instituciones del sistema financiero y de seguros—que tendrán cuatro días para reportar— serán sujetos obligados a informar a la UAFE administradoras de fondos y fideicomisos, cooperativas, fundaciones y organismos no gubernamentales, personas naturales o jurídicas que comercialicen vehículos, embarcaciones, naves y aeronaves, casas de empeño, notarios, promotores artísticos, empresas de transferencia nacional o internacional de dinero o valores, transporte nacional e internacional de encomiendas o paquetes postales, correos y correos paralelos, entre otros.

La nueva directriz establece que además de los sujetos obligados todos aquellos que sepan de hechos relacionados con las actividades delictivas mencionadas deben alertar a las autoridades competentes y si tienen conocimiento de operaciones o transacciones económicas inusuales e injustificadas deben informar a la UAFE. Las operaciones inusuales son entendidas como los movimientos económicos realizados por personas naturales o jurídicas, que no guardan correspondencia con los perfiles que las entidades tienen de ellos, o que no pueden sustentarse.

La Junta de Política y Regulación Monetaria y Financiera será la encargada de llevar el liderazgo en materia de prevención del lavado de activos y financiamiento de delito, en el sentido que emitirá políticas públicas, y estará encargada de la regulación y supervisión monetaria, crediticia, cambiaria, financiera, de seguros y valores, para la prevención del lavado de activos y financiamiento de delitos.

Con la nueva normativa también se determinan las faltas administrativas y sus sanciones, el procedimiento administrativo sancionador, aspectos sobre programas y acciones de prevención diseñados por la UAFE para cumplir los objetivos de esta ley. En el plazo de 90 días, la Unidad de Análisis Financiero y Económico pasará a ser adscrita al Ministerio Coordinador de la Política Económica.

En materia de administración tributaria se reforma el artículo 298 del Código Integral Penal con lo cual se busca el cabal cumplimiento de las obligaciones tributarias, además que se precisa que los representantes legales y el contador, respecto de las declaraciones u otras actuaciones realizadas por ellos, serán responsables como autores en la defraudación tributaria en beneficio de la persona jurídica o natural, según corresponda, sin perjuicio de la responsabilidad de los socios, acciones, empleados, trabajadores o profesionales que hayan participado deliberadamente en dicha defraudación.

Este artículo de Jeimy Cano fue publicado en su blog IT-Insecurity – http://insecurityit.blogspot.com, una respetada publicación sobre la seguridad informática y las experiencias que permiten a profesionales de la seguridad como a curiosos de la inseguridad compartir en un mismo espacio ideas, inquietudes, experiencias sobre la inseguridad informática, que es la razón misma de la existencia de la seguridad informática. Se publica con el permiso del autor.

Por Jeimy Cano, Ph.D, CFE
IT-Insecurity – http://insecurityit.blogspot.com

Al ver las tendencias tecnológicas que aceleran los cambios y establecen nuevos referentes de comportamiento de las personas, se puede advertir que estamos entrando una dinámica de transformaciones sociales que aumentan los flujos de información, abren nuevas oportunidades para concretar negocios antes inexistentes y sobre manera plantean plataformas digitales donde se posibilitan conexiones entre grupos de interés que definen una nueva “ecología digital” esto es, la gestión de lo digital de forma creativa y disruptiva, para crear nuevas relaciones y experiencias en un ecosistema digital.

Un ecosistema de acuerdo con Capra (2003, p.294) es una red flexible en fluctuación permanente, cuya flexibilidad es una consecuencia de múltiples bucles de retroalimentación que mantienen al sistema en un estado de equilibrio dinámico y donde ninguna variable es maximizada, sino que fluctúan alrededor de sus valores óptimos; esta definición en el escenario digital, implica la creación de una cultura que se crea y se sostiene a través de un tejido de comunicaciones y relaciones que modifican la percepción de la realidad, cuya estabilidad y resistencia está basada la diversidad de iniciativas e ideas que generan sus participantes.

En este sentido, explicar la rápida expansión e innovación de la delincuencia informática, demanda conectar las prácticas de los “chicos malos” alrededor de los fundamentos de los ecosistemas digitales, de tal forma que los patrones de análisis basados en causa-efecto, comienzan a ceder terreno frente a los modelos dinámicos y circulares, que demandan entender la capacidad de adaptación y anticipación que han desarrollado, para así motivar nuevos referentes de entendimiento de sus propuestas y los nuevos vectores de actividades delictivas que se observen o propongan en el mediano y largo plazo.

Los delincuentes informáticos son parte de una evolución natural del crimen tradicional, de una transformación de la vista digital del mundo, donde las relaciones y posibilidades son parte de una mente colectiva que se construye sobre formas diferentes e inexistentes a la fecha, en palabras de Castells (mencionado por Capra, 2003, p.196), se fundamentan en una organización flexible en red, bien enraizada en la tradición y la identidad dentro de un marco institucional favorable, con una actuación local bien definida y un pensamiento global basado en alianzas estratégicas, generalmente con plataformas digitales de uso masivo y en lo posible gratuitas.

Así las cosas, este documento busca comprender los retos de los ecosistemas digitales criminales, como la nueva frontera de la investigación criminal, con el fin desconectar los conceptos hasta ahora vigentes para entender la delincuencia informática, incorporar la dinámica de las relaciones que se advierten en la conformación de comunidades ilegales y abiertamente contrarias a las leyes, que encuentran en un mundo digitalmente modificado nuevas oportunidades para alcanzar sus objetivos, comprometer la propiedad privada, dejar el menor número de rastros y pistas, y así reconectar la realidad del delincuente en un mundo digital desde la inevitabilidad de la falla como fundamento de sus actuaciones.

Ecosistema digital criminal. Repensando el modus operandi en un mundo digitalmente modificado

Para repensar la forma como la criminalidad ha evolucionado en un contexto digital como el actual, debemos superar la vista análoga del mundo, esto es la vista de los productos y servicios conocidos, basados en infraestructuras física y capitales económicos tradicionales, por una donde las conexiones se basan en infraestructuras lógicas, plataformas digitales (libres o gratuitas) y consumidores modernos, aquellos que han adoptado la tecnología como una oportunidad para transformar su contexto y hacer cosas distintas o mejorando las existentes de forma novedosa (McQuivey, 2013).

Lo anterior supone estresar los modelos lineales que explican la forma como se concreta un delito, donde existe un delincuente, una persona u objeto valioso, unas acciones concretas que afectan la persona u objeto y una consecuencia de la acción contraria a la ley, por una mentalidad circular y digitalmente modificada, donde existen comunidades socialmente conectadas, que motivadas por temas políticos, económicos o sociales, actúan sobre objetivos individuales o nacionales, para concretar acciones transversales contrarias a los ordenamientos jurídicos que afectan personas o naciones, aprovechando los vacíos normativos existentes.

Este contexto reta no solamente las prácticas de investigación criminal vigentes, sino el entrenamiento de las instituciones de policía judicial, pues ahora es necesario comprender la dinámica que supone un Ecosistema Digital Criminal – EcoDC, como ese conjunto de relaciones entre participantes locales y globales, que crean una red flexible de capacidades criminales para concretar nuevas posibilidades de acción ágiles, livianas, sencillas y efectivas, que alteren y confundan la realidad de los afectados y así, se alcancen los objetivos planeados con el máximo de anonimato y el mínimo de evidencia disponible.

Una vista concreta de este EcoDC, se puede leer desde los cinco dominios de la transformación digital de Rogers (2016): los clientes, la competencia, los datos, la innovación y el valor. Esto es, aprovechar las redes de clientes asistidas por las redes sociales digitales, construir plataformas digitales para potenciar las capacidades entre los competidores, convertir los datos en activos, que revelen patrones y oportunidades para crear realidades emergentes, crear prototipos experimentales de bajo costo que validen ideas y apalanquen el aprendizaje sobre aspectos inciertos de la realidad y finalmente reimaginar el presente, anticipando nuevas oportunidades y riesgos leídos en términos de los rápidos cambios de los clientes, sus necesidades y gustos.

La delincuencia informática leída en esta dinámica digital se concreta en redes sociales de comunidades criminales que han desarrollado habilidades colaboración y estatus basada en sus acciones delictivas, las cuales cuentan con plataformas digitales basadas en herramientas, generalmente abiertas o gratuitas, que se aprovechan de debilidades de los sistemas informáticos, que confunden a sus víctimas y demoran a las autoridades, las cuales recaban información de sus objetivos comprometidos para crear perfiles y patrones que puedan anticipar y analizar, con los cuales pueden experimentar para crear nuevos vectores de ataque, con ligeros cambios en las prácticas actuales que aumenten la efectividad de sus acciones, aseguren bajos niveles de detección, así como inhabilitación, desactivación o destrucción de cualquier rastro disponible.

Lo anterior plantea un reto estratégico para las autoridades de justicia, pues la promesa de valor criminal, cuenta con una variedad y complejidad superior a la que un investigador tradicional puede manejar, lo que necesariamente obliga a concretar una vista que procure una destrucción creativa de los paradigmas actuales. Un proceso de deconstrucción de prácticas de investigación criminal estáticas, hacia una aproximación dinámica donde los miembros de la comunidad tienen acceso abierto a toda la información, en lugar de restringir su flujo basado en la “necesidad de conocer” (Nolan y Croson, 1995, p.91) y donde las plataformas digitales abiertas ofrecen posibilidades para desarrollar conocimiento superior sobre tendencias y patrones de los delincuentes.

La estrategia digital criminal. La inestabilidad y la incertidumbre como promesa de valor

La estrategia de los delincuentes en internet no ha variado. La industria del engaño y el exceso de confianza en los mecanismos de seguridad y control, confirman de forma permanente la esencia de los movimientos de aquellos que actúan en contra del ordenamiento jurídico, afectando los derechos, libertades y garantías de las personas. En este sentido, la estrategia digital criminal establece una frontera confusa para las autoridades, como quiera que crean ventanas de oportunidad o de amenaza que revelan aspectos desconocidos de sus actuaciones, ahora en un ecosistema digital criminal.

Considerando la definición de un ecosistema digital criminal, previamente comentada, es claro que se requiere desarrollar una red flexible de capacidades, creando confusión en los afectados, con el máximo de anonimato y el mínimo de rastros. En este entendido, las comunidades de delincuentes en redes sociales o bajo escenarios como la “web profunda”, comparten ideas, tendencias, desarrollos y propuestas para aumentar la efectividad de sus acciones, actividades que crean tejidos de conocimiento que anticipan acciones delictivas no conocidas e inciertas para la sociedad.

Este ejercicio de compartir, por lo general recibe la crítica y el debate de los participantes, con el fin de concretar y mejorar la perspectiva de la acción propuesta con el fin de aumentar la contundencia de la misma, en términos de crear el desconcierto y desorientación, como fundamento de su actuación y disminuir la generación de evidencia verificable que pueda motivar una investigación y reconstruir la forma como el plan de la delincuencia se ha formulado y cuáles han sido sus motivaciones.

Mientras las autoridades basan sus investigaciones y acciones sobre la certeza de los ataques o acciones delictivas, para concretar sus dictámenes, los delincuentes asumen y se recrean en lo incierto como fundamento para repensar sus propias actuaciones desde diferentes puntos de vista. Lo anterior, implica que, en un entorno digitalmente modificado (Porter y Heppelmann, 2015), los maleantes informáticos saben que la promesa de valor de sus acciones está fundada en la creación de inestabilidad e incertidumbre que confunda, engañe, destruya, altere, degrade o niegue el acceso a los recursos, servicios, productos y operaciones que una organización o persona tiene.

Así las cosas, no es la acción delictiva en sí misma la fuente de la comprensión de los móviles en los delitos de alta tecnología, sino las capacidades de experimentación y tolerancia a la falla disponibles en las comunidades criminales, lo que permite celebrar como la inevitabilidad de la falla concreta momentos inesperados que abren posibilidades para adelantar actividades, basadas en las capacidades de otros participantes y potenciando los nuevos aprendizajes que retan el estado del arte de la práctica de seguridad y control.

En pocas palabras, la estrategia digital criminal se configura como una capacidad resiliente que se adapta antes que las nuevas tendencias le indiquen que lo hagan (Aurik, Fabel y Jonk, 2015). Es un ejercicio donde se crean nuevas propuestas que cambian el status quo de la práctica de seguridad y control, aumentando la oferta de opciones contrarias a la ley, a través de un ecosistema digital criminal como plataforma de despliegue, para generar nuevos potenciales elementos de valor (nuevas tecnologías, tendencias socioculturales, necesidades no satisfechas) (Rogers, 2016, p.181) que aumenten la ambigüedad y la incertidumbre como fuente de nuevas técnicas ofensivas complejas, de bajo costo, altamente confiables y basadas en el anonimato.

La preparación forense digital. Reinventando las prácticas de investigación criminal

Ante esta realidad volátil, incierta, compleja y ambigua (Johansen, 2009) que plantea el nuevo EcoDC, se hace necesario desconectar los fundamentos de la práctica forense digital conocidos hasta el momento, para lograr, como anota García (2014, p.9) un equilibro entre creación de potencial y explotación de potencial, y de esta manera superar la inercia y tranquilidad que generan la confianza en las prácticas y procedimientos se usan de forma cotidiana para enfrentar la criminalidad informática.

Mientras el proceso de la práctica forense digital, sigue un paso a paso lineal, que debe ser asegurado en cada uno de sus momentos para mantener la integridad de la evidencia y su adecuado tratamiento, la preparación forense digital responde a una lógica circular y dinámica que busca asegurar al menos cinco objetivos fundamentales: (Adaptado de: Sachowski, 2016, p.21)

• Maximizar el uso potencial de la evidencia digital
• Minimizar el costo de las investigaciones forenses digitales
• Minimizar la interrupción e interferencia de los procesos de negocio
• Preservar y mejorar la postura de seguridad de la información
• Maximizar la inteligencia de fuentes abiertas de nuevos vectores y prácticas criminales informáticas

En este sentido, la preparación forense digital es la capacidad que tiene una organización o individuo para maximizar de manera proactiva el uso prospectivo de la información electrónicamente almacenada y los resultados de la inteligencia de fuentes abiertas, para reducir el costo de las investigaciones forenses digitales y fortalecer su postura vigilante frente a la inestabilidad e incertidumbre que genera la inevitabilidad de la falla (Adaptado de: Sachowski, 2016, p. 45).

Lo anterior supone la convergencia de las prácticas forenses digitales y las de seguridad de la información, una combinación y desarrollo de capacidades que buscando la minimizar la interrupción de las funciones del negocio y aumentando su resistencia a los ataques, mantenga la relevancia, pertinencia y admisibilidad de la evidencia digital. Esta nueva realidad, establece no solo una estrategia forense y de seguridad conjunta, sino acciones proactivas y de prevención que crean una plataforma de defensa que disuada a los potenciales atacantes, aumente su tolerancia a las fallas y anticipe escenarios de investigación criminal no conocidos.

Esta convergencia habilita una vista dinámica y sistémica de la investigación criminal digital que cambia las reglas de los análisis forenses digitales creando nuevos normales que conectan la realidad de los ecosistemas digitales criminales. Esto significa, trabajar de forma conjunta con los profesionales de seguridad y control en las organizaciones para: (Adaptado de: Sachowski, 2016, p. 51)

• Definir escenarios de riesgos conocidos, latentes, focales y emergentes (Cano, 2014) que requieren contar con evidencia digital
• Identificar las fuentes de datos disponibles y los diferentes tipos de evidencia digital
• Determinar los requerimientos para recopilar la evidencia digital
• Establecer las capacidades de recolección de evidencia digital que soporte las reglas de la evidencia
• Desarrollar un marco de gestión de la evidencia digital sobre ecosistemas digitales
• Diseñar controles de monitoreo activo para detectar patrones y eventos no convencionales que afecten las operaciones, servicios y/o productos de la organización
• Especificar criterios de escalamiento de incidentes para adelantar investigaciones forense digitales
• Adelantar entrenamientos para educar y formar sobre las nuevas amenazas y vectores de ataque identificados a los diferentes roles en la organización
• Documentar y presentar los hallazgos y conclusiones de las investigaciones basados en evidencia digital formalmente tratada
• Asegurar una adecuada revisión legal que facilite acciones de respuesta concreta a los eventos o incidentes detectados

Como quiera que tanto la práctica de seguridad de la información como la de investigaciones forenses digitales tienen sus propios referentes teóricos y tradición científica, la evolución de la criminalidad informática sobre EcoDC, motiva una transformación de ambos dominios para crear un modelo de práctica convergente que identifique los nuevos retadores de sus estándares, revele las nuevas personas o industrias afectadas por las inéditas capacidades criminales y persiga y confronte los clientes emergentes a los cuales los nuevos retadores sirven (Rogers, 2016, p.220).

Reflexiones finales

Los ecosistemas digitales, como nueva referencia básica de las organizaciones, en un mundo digitalmente modificado, plantean retos permanentes que motivan transformaciones empresariales que crean inestabilidades en los mercados cambiando las reglas sobre las cuales se hacen y crean relaciones de negocio (Weinman, 2015); un reto para los ejecutivos de las juntas directivas que definen y asumen niveles aceptables de riesgo en una realidad dinámica e incierta (Ormazabal, 2016).

De esta misma forma, la delincuencia ha asumido esta nueva realidad para crear ecosistemas digitales criminales donde transforman productos en plataformas de acción, que habilitan la introducción de capacidades distintivas para comunidades socialmente conectadas de delincuentes, con el fin de acelerar y extender las oportunidades para concretar sus actos contrarios a la ley.

En este sentido, las intervenciones de la criminalidad se hacen socialmente más fuertes, dado los impactos de sus actividades para crear miedo, incertidumbre y dudas, que crean efectos masivos en los ciudadanos, los cuales ven como los “chicos malos” establecen referentes de actuación de acción local y con soporte global, donde las autoridades se declaran sorprendidas y particularmente superadas con las capacidades novedosas que los ataques y engaños exhiben.

Sin perjuicio de lo anterior, la respuesta de la institucionalidad de la sociedad viene ganando terreno para aumentar y desarrollar mayores capacidades para anticipar la dinámica de las redes criminales y las posibilidades que plantean las plataformas digitales habilitadas desde los EcoDC. En este entendido, la investigación criminal digital establece una vista convergente de las prácticas de seguridad y control con las forenses digitales, para aunar esfuerzos que permitan observar de manera cercana los patrones emergentes de acciones criminales no conocidos y pensar por fuera de lo establecido en el status quo, y así reconfigurar los procedimientos y estándares desde una epistemología sistémica y compleja.

Si entendemos que cualquier cosa puede ser digitalmente modificada, es decir que esencialmente puede tener un procesador que genere datos sobre el comportamiento del objeto modificado (Raskino y Waller, 2015), estamos ante un cambio de perspectiva del mundo análogo y de fronteras difusas, donde la información se convierte en un activo estratégico valioso para crear nuevas fronteras en los negocios y propuestas de valor que anticipen o motiven tendencias inexistentes en la sociedad.

Habida cuenta de lo anterior, estamos entrando en una acelerada transición hacia ecosistemas digitales que crean características, funciones y desempeños inéditos que habilitan capacidades para cambiar la realidad actual y crear las tendencias del futuro. En un mundo de productos, servicios y operaciones digitales activos y conectados, la delincuencia informática encuentra un escenario natural para repensar sus actuaciones, aprovechando al máximo la inexperiencia, el desconocimiento y la novedad de la sociedad frente a esta realidad emergente.

Por tanto, tendencias tecnológicas como la computación en la nube, el internet de las cosas, la computación móvil, los grandes datos y la analítica, las redes sociales, las criptomonedas, los drones, el almacenamiento 5D, entre otras, establecen referentes para observar, conocer y aprovechar, de tal modo que la investigación criminal digital no se concentre en encontrar la solución correcta frente a los casos que enfrenta, sino que explore y resuelva el problema correcto, esto es, asuma los ecosistemas digitales criminales como una ventana de aprendizaje y desaprendizaje que quiebre sus verdades vigentes y posibilite la convergencia con otras disciplinas.

Referencias

Aurik, J., Fabel, M. y Jonk, G. (2015) The future of strategy. A transformative approach to strategy for a World that won´t stand still. A. T. Kearney, Inc. New York, USA: McGraw Hill Education.

Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf

Capra, F. (2003) Las conexiones ocultas. Implicaciones sociales, medio ambientales, económicas y biológicas de una nueva visión del mundo. Barcelona, España: Editorial Anagrama.

García, E. (2014) Supera las crisis reinventándote. Una guía hacia la excelencia empresarial y personal. Barcelona, España: Libros de Cabecera S.L.

Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.

McQuivey, J. (2013) Digital disruption. Unleashing the next wave of innovation. Forrester Research. Las Vegas, Nevada. USA: Amazon Publishing.

Nolan, R. y Croson, D. (1995) Creative destruction. A six-stage process for transforming the organization. Boston, Massachussets. USA: Harvard Business School Press.

Ormazabal, G. (2016) Lo que todo consejero debería saber. IESE Insight. Primer trimestre. 23-28.

Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre.

Raskino, M. y Waller, G. (2015) Digital to the core. Remastering leadership for your industry, your Enterprise and yourself. Gartner, Inc. Brookline, MA. USA: Bibliomotion, Inc.

Rogers, D. (2016) The digital transformationn playbook. Rethink your business for the digital age. New York, USA: Columbia University Press.

Sachowski, J. (2016) Implementing digital forensic readiness. From reactive to proactive process. Cambridge, Massachussets. USA: Syngress-Elsevier.

Weinman, J. (2015) Digital disciplines. Attaining market leadership via the cloud, Big data, Social, Mobile and the internet of things. Hoboken, New Jersey. USA: John Wiley & Son.

Por el Equipo de ACFCS
10 de Junio, 2016

Esta semana en Tendencias en Delitos Financieros, las autoridades colombianas encuentran el primer caso de lavado de dinero de los Panamá Papers; veterano en Tecnología de la Información coordinará los esfuerzos de la SEC en temas de política de ciberseguridad; el Papa Francisco firmó una declaración en la que llamó a perseguir «intensamente» el delito de lavado de dinero, una nueva iniciativa anticorrupción en Panamá; Le Pen anunció que si llega al poder en 2017 prohibirá el Bitcoin y las monedas virtuales; y más…

Lavado de dinero

Las autoridades colombianas ya encontraron el primer caso de lavado de dinero de los Panamá Papers, informó desde Cartagena el director de la Dian, Santiago Rojas.  Hasta el momento hay 60 casos sustentados de evasión de impuestos y ocultamiento de activos de los cuales 10 tienen implicaciones penales. «Detectamos un caso en el cual una empresa de abogados en Colombia creó unas 30 empresas en Panamá a un grupo económico que está investigado por la Fiscalía General de la Nación. Montaron todo un andamiaje para evadir impuestos y lavar dinero», explicó Rojas. Un grupo de 50 auditores de la Dian está cruzando la información de las bases de datos de Mossack Fonseca publicadas por el Consorcio Internacional de Periodistas con su propia información. Pero lo descubierto hasta ahora parece ser solo «la punta del iceberg», en las palabras del propio Gobierno. En total las autoridades esperan armar unos 300 expedientes contra contribuyentes que escondieron activos para no pagar impuestos o que están involucrados en actividades ilegales. En el escándalo de los Panamá Papers han aparecido toda clase de celebridades de la política, el deporte y los medios de comunicación, incluso en Colombia. (Con información de Dinero.com)

El Papa Francisco firmó una declaración en la que llamó a perseguir «intensamente» el delito de lavado de dinero y abogó para que los «bienes incautados a traficantes y criminales» sean devueltos a la sociedad para la «rehabilitación y compensación de las víctimas», al cierre de un encuentro con jueces y fiscales de todo el mundo. Al término de la «Cumbre de los jueces sobre la trata de personas y el crimen organizado» celebrada en el Vaticano, se difundió un texto en el que pidió considerar a «la esclavitud moderna, la trata de personas, el trabajo forzado, la prostitución y el tráfico de órganos humanos» como «crímenes contra la humanidad».Entre los diez objetivos que figuran en el texto, el tercero habla de la necesidad de castigar el lavado de dinero y rescatar el dinero mal habido para devolverlo a la sociedad. «Los bienes incautados a traficantes y criminales ya condenados deben ser utilizados para la rehabilitación y compensación de las víctimas, y para la reparación de la sociedad. El delito de lavado de dinero debe ser intensamente perseguido, porque consiste en hacer que los fondos o activos obtenidos a través de actividades ilícitas aparezcan como el fruto de actividades legales», señaló el escrito. (Con información de La Capital)

Whistleblower

La Comisión de Bolsa y Valores anunció esta semana una recompensa de más de US$ 17 millones a un ex empleado de una compañía cuya información detallada ayudó sustancialmente a la investigación de la agencia. La recompensa es la segunda más grande otorgada por la SEC desde que comenzara su programa de denunciante hace casi cinco años. La SEC otorgó una recompensa de US$ 30 millones en el septiembre de 2014 y de US$ 14 millones en octubre de 2013. «Los informantes internos de las compañías se encuentran en una posición única para proteger a los inversores y hacer sonar la alarma sobre irregularidades de la empresa, proporcionando información clave para la SEC para que podamos investigar el alcance total de las violaciones», señaló Andrew Ceresney, Director de la División de Cumplimiento de la SEC. «La información y la asistencia proporcionada por este denunciante permitió que nuestro personal ahorrara tiempo y recursos y reuniera pruebas sólidas que apoyan nuestro caso». El programa de denunciantes de la SEC ha otorgado recompensas por US$85 millones a 32 denunciantes desde la creación del programa en 2011. Los denunciantes pueden ser elegibles para una recompensa cuando voluntariamente proporcionan a la SEC con información nueva y útil que lleve a una exitosa acción de ejecución de ley. Las recompensas pueden variar del 10% al 30% del dinero recaudado en las que las sanciones monetarias que exceden US$ 1 millón. (Con información de la SEC)

Monedas Virtuales

La presidenta del Frente Nacional de Francia Marine Le Pen anunció que si llega al poder en 2017 prohibirá el Bitcoin y las monedas virtuales argumentando que el dinero pertenece al público y el único control y jurisdicción debe tenerlo el estado. Una medida que la líder del FN inscribe dentro de su programa de patriotismo económico en nombre de la defensa de la moneda como bien público nacional confiada al pueblo soberano. El FN, al constituirse en defensor de las monedas tradicionales, quiere ser un actor económico responsable con anclaje en la economía real. En esta línea, no dudan en caricaturizar a sus oponentes como François Hollande y Nicolas Sarkozy que han cambiado el límite de pagos en efectivo de € 7.500 a € 1.000. En Francia, si bien no se ha adoptado un estatuto jurídico particular para el Bitcoin no está prohibido su uso y es aceptado de forma creciente en los establecimientos comerciales. Para el FN es preciso no equivocarse: el lugar cada vez más importante que ocupan las monedas virtuales plantea un combate para las libertades fundamentales: «Hacer desaparecer el dinero líquido en beneficio de las monedas virtuales en nombre del progreso numérico o de la lucha contra el terrorismo es una alienación del hombre en provecho del sistema bancario mundial». (Con información de ControlCapital.net)

Fraude

La estrella futbolística del Barcelona Neymar enfrenta cargos de fraude relacionados con su polémica transferencia en 2013 del Santos, de acuerdo con múltiples informes en España. El complicado acuerdo que llevó al capitán de Brasil al Camp Nou ha sido objeto de múltiples investigaciones judiciales en Brasil y en España. Los detalles del acuerdo aún no están claros. La información más reciente se refiere a una queja presentada por el grupo brasileño de inversión DIS, con una participación del 40% de los derechos de Neymar al principio de su carrera, y sienten que no recibieron un reparto justo (US$ 6,8 millones de la comisión de US$17 millones de Santos) del dinero pagado por el Barça para firmar al jugador. Fuentes judiciales han señalado a agencias de prensa que el fiscal José Perals ha pedido al juez de la Audiencia Nacional José de la Mata que cite a los tribunales a Neymar Junior, su padre y al ex presidente del Barça Sandro Rosell a los tribunales para que respondan cargos de fraude relacionados con la transferencia. Neymar, sus padres, Rosell, , Josep Bartomeu, actual presidente del Barcelona, y figuras destacadas de Santos se presentaron en un tribunal de Barcelona el pasado mes de febrero para dar testimonio ante el juez de la Mata con respecto a la misma transferencia. En un primer momento, el Barça señaló que la comisión pagada por la transferencia cuando Neymar se unió al club fue de € 57.1 millones, pero más tarde admitió haber pagado € 80 millones en total. Bartomeu, Rosell—quien renunció en enero de 2013—y el padre de Neymar han sostenido que, si bien la transferencia fue complicada, no se realizaron actos indebidos. (Con información de ESPN)

Ciberdelito

Un profesional veterano en Tecnología de la Información, Cristopher Hetner, coordinará los esfuerzos de la Comisión de Bolsa y Valores (SEC) en temas de política de ciberseguridad y para “reforzar los mecanismos de la SEC para evaluar los riesgos de todo el mercado”. La agencia señaló que Hetner trabajará como asesor principal de la presidenta de la SEC Mary Jo White en todos los temas relacionados con la seguridad cibernética. En su nuevo cargo, Hetner será responsable de coordinar los esfuerzos de la agencia para hacer frente a la política de seguridad cibernética, dialogar con accionistas e interesados externos, y mejorar aún más los mecanismos de la SEC para evaluar el riesgo del mercado en su concepto más amplio. «Los ataques cibernéticos son una amenaza constante para nuestros mercados», dijo Mary Jo White. «Debido a que el campo cibernético se encuentra en constante evolución y constante expansión, es imprescindible que continuemos mejorando nuestro enfoque coordinado sobre la política de seguridad cibernética en toda la SEC y participar en los más altos niveles con los agentes del mercado y organismos gubernamentales en relación con los últimos avances en este campo. Somos muy afortunados de que Chris asuma esta importante función donde pondrá en práctica su pericia y décadas de experiencia en seguridad de la información”. (Con información de la SEC)

El grupo de piratas informáticos Anonymous realizó un ciberataque la semana pasada a la Bolsa de Valores de Londres (LSE) como parte de una continua operación que apunta a las instituciones financieras. La página web de la Bolsa de Londres dejó de funcionar durante unas dos horas el jueves pasado como parte de la campaña Operación Ícaro lanzado el mes pasado por una facción de Anonymous. Objetivos anteriores incluyeron al Banco de Grecia, el Banco Central de la República Dominicana y el Banco Central de Holanda. «El ataque a la Bolsa de Londres es otro ejemplo de que ninguna organización es segura, no importa lo grande que sea». Señaló Andy Buchanan, vicepresidente de RES Software, a la revista Newsweek. negociación En este caso parece que las negociaciones no se vieron afectadas y no se robó información sensitiva. (Con información de Newsweek)

El FBI advierte a los bancos de EE.UU. que presten atención a señales de posibles ciberataques tras el caso el masivo robo al Banco Central de Bangladesh. Les pide que busquen pistas técnicas para ver si han sido blanco del mismo grupo. La notificación privada “Flash”, que ofreció información técnica sobre los ataques, señaló que el “grupo cibernético malicioso” había puesto en peligro las redes de varios bancos extranjeros. “Los actores han explotado las vulnerabilidades en los ambientes internos de los bancos e iniciaron transferencias no autorizadas de dinero a través de un sistema internacional de pagos”, señalaba la alerta. (Con información de Reuters)

Corrupción

El Consejo de la Concertación Nacional para el Desarrollo de Panamá presentará al Órgano Ejecutivo sus propuestas para el anteproyecto de ley contra la corrupción. El Ejecutivo propuso nueve puntos como base de discusión, entre los que se encuentran la protección a denunciantes de corrupción. El pasado 13 de mayo el presidente de Panamá Juan Carlos Varela anunció la creación de una comisión de ministros que evaluaría en los próximos días el proyecto de ley No. 305, que reforma la Ley No. 22 de 2006, que regula las contrataciones públicas en Panamá y que ya fue aprobado en la Asamblea Nacional. Paralelamente a esa comisión Varela designó al viceministro de la Presidencia Salvador Sánchez para que estuviera encargado de evaluar los aspectos legales de la norma aprobada por los diputados. Sánchez también será el enlace entre el Gobierno y la sociedad civil organizada para “ver algunos temas que según la sociedad civil no fueron incluidos” en la nueva ley de contrataciones públicas. El ministro de la Presidencia, Álvaro Alemán, pidió a la Secretaría Ejecutiva de la Concertación que efectuara las diligencias para que los miembros del citado consejo presenten sus propuestas. (Con información de La Prensa)

La mayoría de los brasileños cree que no hubo cambios en el país con la llegada al poder del gobierno del presidente interino, Michel Temer, que tiene una imagen positiva del 11,3%, según una encuesta divulgada este miércoles. El sondeo fue realizado por la encuestadora MDA a pedido de la patronal Confederación Nacional de Transportes (CNT) y ha sido divulgada en un momento delicado para el partido de Temer. La Fiscalía solicitó el lunes la prisión de cuatro «caciques» del Partido del Movimiento Democrático Brasileño (PMDB), entre ellos el presidente del Senado, Renan Calheiros, y el ex ministro de Planificación de Temer Romero Jucá, salpicados por el escándalo de corrupción en la petrolera estatal Petrobras. La corrupción fue precisamente uno de los asuntos tratados en el sondeo, en el que fueron entrevistadas 2.002 personas en 137 municipios de Brasil. El 46,6% de los encuestados considera que la corrupción durante la gestión de Temer será igual que durante el mandato de la suspendida presidente Dilma Rousseff, apartada de su cargo por el Senado el 12 de mayo para el inicio de un juicio político con miras a su destitución. El 28,3% de los participantes del sondeo consideró que será menor y el 18,6% opinó que será mayor. (Con información de Infobae)

En una era de crecientes amenazas cibernéticas, las empresas saben que tienen que reforzar los sistemas, y los empleados deben saber que tienen que tener cuidado con lo que entra y sale de sus correos electrónicos.

Pero la ciberseguridad es a veces un revoltijo de dinámicas que se yuxtaponen. La competencia entre los departamentos de sistemas y las empresas que se muestran preocupadas por los costos significa que por lo general no es el mejor sistema el que se consigue poner en funcionamiento, sino el que está al alcance del bolsillo de la compañía.

Los delincuentes también se mueven por el camino de la menor resistencia, esperando que alguien simplemente no esté prestando atención a ese extraño email que se deslizó a través de los filtros de spam y pide a un empleado que actualice la información de su cuenta. Las instituciones financieras buscan mayor integración e interconexión, pero eso también significa que cualquier apagón del sistema tiene mayor repercusión. Además, controles más fuertes para que las empresas y los clientes accedan a servicios y sistemas en línea significa mayores costos y posiblemente mayores demoras para tener acceso a la información, que podría fastidiar a varios titulares de cuentas.

Una cosa en la que los expertos están de acuerdo es que hay algunos enfoques y medidas –de poca sofisticación tecnológica—que las instituciones pueden tomar para proteger mejor sus bóvedas virtuales de los ataques cada vez más eficaces que han afectado significativamente bancos y minoristas – como JPMorgan, Target y otros. Estas soluciones se encuentran en una combinación de capacitación de los empleados, evaluaciones de riesgo cibernético y la comprensión de los patrones de ataque clásicos y emergentes.

«El elemento humano es una de las mayores debilidades» en las actuales medidas cibernéticas que están utilizando bancos y otras empresas, dijo Nicole Bocra, directora de la firma Investigative Solutions y ex investigadora especial de FINRA. «La gente está tan acostumbrada a abrir archivos adjuntos. Poder explicarles que no haga eso es un tema muy importante en el mundo cibernético».

Los delincuentes tampoco están limitando sus ataques a computadoras, están moviendo virus y otros códigos hacia los dispositivos móviles, incluyendo teléfonos inteligentes, dijo. En un ataque reciente, un grupo de hackers envió correos electrónicos con extraña letras árabes a personas que al abrir o solo ver un avance de este correo en sus iPhone, podría apagar el teléfono.

Aquí les presentamos algunas de las mejores medidas que las instituciones pueden tomar para capacitar a los empleados para tomar mejores decisiones, creando de esta manera menos oportunidades para los delincuentes:

Missing link o vínculo faltante: educar a los empleados para que no hagan clic en enlaces o archivos adjuntos de correo electrónico de personas y empresas que no reconocen. Si no están seguros, enseñarles que pueden pasar el mouse por encima del nombre del remitente para que se revele la dirección de correo electrónico relacionada sin tener que hacer clic en el mismo.

Atención: para garantizar que la capacitación en ciberseguridad está pegando, algunas compañías han enviado mensajes de correo electrónico de prueba con los remitentes ficticios, con errores de ortografía y/o gramaticales y los archivos o vínculos infectados. Cualquier empleado que haga clic en estos enlaces deberá someterse a la capacitación obligatoria de ciberseguridad.

Contraseñas: Esto puede parecer obvio, pero las empresas deben exigir cambios regulares de contraseñas, posiblemente tras algunos meses. Además, a los empleados se les debe enseñar cómo crear contraseñas que sean más difíciles de hackear, incluyendo letras mayúsculas y minúsculas, números y caracteres especiales, como signos de exclamación.

Wi-Fi: dejarles saber a los  empleados que las infecciones pueden ocurrir mientras no están en el trabajo, en una computadora portátil, teléfono o tableta, y que luego pueden infectar las computadoras y las redes en el trabajo cuando se conectan a ellas. Por ejemplo, los empleados deben tener cuidado con el wi-fi por el tema de conexiones públicas inseguras y peligrosas.

Al responder a los correos electrónicos o los proyectos de la empresa a través de una red Wi-Fi insegura, ésta puede exponer involuntariamente el contenido de sus mensajes de correo electrónico. Las empresas deberían considerar el uso de redes privadas virtuales (VPN) que proporcionan cifrado de datos o solo utilizar redes Wi-Fi de confianza a las que se ingresa con el uso de contraseña.

Por mucho que las empresas desean capacitar a los empleados más jóvenes, sin embargo, la fuerza del mensaje viene por parte de los ejecutivos y el liderazgo de éstos debe ser juzgado previamente, antes de que ocurra el ataque.

Esté preparado: «Una de las cosas que una empresa puede hacer para prepararse mejor es participar en ejercicios de simulación con entrenamiento en vivo», señala Joseph DeMarco, socio de la firma neoyoquina DeVore & DeMarco y ex fiscal federal asistente para el Distrito del Sur de Nueva York, donde dirigía el programa de hacking informático. «Usted puede juntar a ejecutivos en la misma sala y hacerlos experimentar escenarios de filtración» para medir la exactitud y pertinencia de las respuestas y hacer mejoras antes de que ocurra un ataque grave.

Evaluaciones de las amenazas: «No existe una cura cierta» para evitar ataques cibernéticos, señala John Walsh, director ejecutivo de SightSpan, una consultora en el tema de cumplimiento. Pero la prevención, la detección y la respuesta son de importancia crítica. Pero los bancos y las empresas sólo pueden saber qué áreas deben fortalecer si realizan una evaluación de las amenazas de ciberseguridad.

«Los ladrones realizan evaluaciones de amenazas de vulnerabilidad» y el gobierno ha estado haciendo modelos de riesgo similares durante décadas, por lo que le tocaría a las operaciones participar en iniciativas similares, dijo.

Sorprendentemente muchas empresas, después de la compra de software y asegurar los sistemas, no tomarán el paso extra para ver qué áreas todavía podrían quedar relativamente abiertas y vulnerables, ya sea por fallos de sistemas, falta de conciencia o de capacitación del personal, dijo Walsh.

Hacer este ejercicio y crear los cimientos de los que constituye actividad de red normal y esperada en toda la compañía e incluso en ciertos departamentos o estaciones de trabajo individuales, podría ayudar al personal de seguridad cibernética cuando se dispara el movimiento de datos, que podría ser un indicativo de una filtración, señala Walsh.

Conozca los costos

El hacking es muy costoso, además de crear enormes inconvenientes

La ciberdelincuencia ha superado al tráfico ilícito de drogas en lo que respecta a la rentabilidad para el crimen organizado y los grupos de hacking.

Como resultado de estos ataques virtuales, la identidad de alguna persona es robada cada tres segundos.

Sin al menos un programa de seguridad, ya sean firewalls, antivirus, los datos no protegidos pueden infectarse a los cuatro minutos de que se realiza una conexión a Internet

Los ciberataques también son costosos. El año pasado, el costo promedio de la filtración de datos a una compañía de EE.UU. fue de US$6 millones.

Paralizarse: las empresas pueden mostrarse reacias a revisar sus sistemas de seguridad cibernética una vez que instalan sus sistemas y solo quiere depender de las actualizaciones provistas por los proveedor-, debido a los costos o las limitaciones de recursos.

Pero las tácticas de ataques cibernéticos «cambian con frecuencia, y las políticas deben ser flexibles para cambiar con ellas», dijo Karen Lissy, una científica social de investigación en RTI International en Research Triangle Park.

«Y esté abierto a las oportunidades de ingeniería», dijo. «Si usted descubre que puede diseñar un programa para mitigar cierta amenaza cibernética, de esta manera usted puede minimizar la incertidumbre del elemento humano”.

*colaboración especial*

Por Sarah Beth Whetzel

Experta en ALD y la Ley de Secreto Bancario en Palmera Banking Solutions

www.palmeraconsulting.com

Sarah@PalmeraConsulting.com

Publicada con autorización

Los profesionales encargados de combatir el lavado de dinero en los negocios de servicios monetarios (MSB), que incluyen remesadoras, casas de cambio, etc., puede preguntarse si la información de los Panamá Papers tiene alguna relación con sus operaciones diarias. La respuesta es que sí, tienen un efecto sobre los MSB, aunque uno menor que el que sufrieron las instituciones tradicionales.

Hay varios pasos que su MSB puede tomar para identificar y mitigar los riesgos asociados con no sólo con el caso Mossack Fonseca, sino con otras relaciones en paraísos fiscales.

Si bien las instituciones tradicionales tienen la mayor exposición, y por lo tanto las que tuvieron que tomar la mayoría de los pasos en relación con esta noticia, los MSB (transmisores de dinero, específicamente) tienen inherentemente un riesgo más alto, pero menor exposición. Voy a explicar los tres elementos inherentes a un MSB que proporcionan un mayor riesgo.

En primer lugar, si un individuo o una corporación va a aventurarse fuera de la ruta de la banca, como por ejemplo a través del uso de un MSB, hay un mayor riesgo de que esté tratando de confundir el rastro de los fondos.

En segundo lugar, los MSB solo están obligados a recoger la información de identificación del cliente según lo obliga el CIP (Customer Identification Program). Debido a la relación de corto plazo con los clientes, los MSB no están obligados a llevar a cabo una continua debida diligencia o debida diligencia reforzada para los clientes.

Las instituciones tradicionales deben cumplir con los requisitos de debida diligencia o debida diligencia reforzada para los clientes que pueden ayudar a una institución en la identificación de clientes de alto riesgo y por lo tanto ayudar con los próximos pasos a seguir en relación con la actividad en paraíso fiscal.

Los MSB no están obligados a ello, y debido a sus relaciones de corto plazo con los clientes, pueden no ser capaces de decir de manera concluyente si un cliente se dedica a actividades presuntamente ilícitas.

Por ejemplo, una institución financiera tradicional se involucra en una relación con un cliente y recoge, almacena y actualiza la información en relación con su industria o si es un PEP (personas expuestas políticamente). Algunos de los más MSBs más grandes probable estén vigilando por PEPs, sin embargo, no es estándar en la industria.

En una institución tradicional, un nuevo cliente que es un abogado (información que se obtiene a través de los documentos utilizados en la apertura de la cuenta) puede ser considerado de un riesgo más alto y por lo tanto conducir un tipo diferente de vigilancia que un nuevo cliente que es un sastre.

Por último, la mayoría de los MSBs han identificado agentes situados en las áreas que son de mayor riesgo. Los criterios utilizados para establecer un área geográfica como de mayor riesgo por lo general implican el fraude, drogas, o actividad terrorista. Las jurisdicciones conocidas como paraísos offshore son un área a menudo olvidada de riesgo para el MSB.

Este breve artículo está destinado a desenmascarar el supuesto de que las noticias del caso conocido como Panamá Papers y los MSB no tienen relación y por lo tanto no afectaría a las operaciones diarias de los MSB.

Señales de alerta Offshore para los MSBs

Los diversos canales de envío / recepción de fondos a través de un MSB determinarán la exposición al riesgo. No abordamos todos los canales, pero los pasos a continuación deben guiar al MSB a descubrir algunas particulares exposiciones al riesgo en sus entornos operativos.

Señales de alerta para MSBs que buscan identificar y mitigar los riesgos relacionados con paraísos offshore:

–Fondos importantes son enviados desde un cliente de EE.UU. (según la dirección) a un paraíso fiscal como Santa Lucía, Líbano, Barbados, Seychelles, Antigua y Barbuda, Islas Caimán, y Macao. (Para una lista completa, consulte www.financialsecrecyindex.com y utilizar la lista de descargas)

–Fondos importantes son enviados a individuos que no parecen tener relación. Dado que la mayoría de los MSBs requieren una identificación que coincida con el nombre del receptor, la mayoría de los receptores posiblemente no aporten el nombre de un negocio.

–Fondos importantes son enviados a individuos que parecen tener una dirección comercial (información del remitente). Una búsqueda a través de Google podría aportar mayor información sobre si la ubicación geográfica provista es un negocio o una residencia.

–El remitente es un comercio (esto podría ocurrir a través de los canales online) que envía fondos importantes a entidades offshore.

–El remitente cuenta con una dirección en un paraíso offshore y envía fondos importantes a individuos o trust en EE.UU., que luego es enviado a una cuenta bancaria.

–Si su MSB utiliza un programa de vigilancia de PEP, evalúe sus actividades de acuerdo a las ventajas impositivas en busca de indicadores de paraísos fiscales.

–La simple búsqueda de nombres para identificar bufetes de abogados puede ser utilizado como otro filtro cuando se evalúan transacciones de altos volúmenes.

–Si el MSB tiene conocimiento de actividades offshore, por favor considere el link de ICIJ para confirmar partes asociadas con los Panamá Papers. Este tipo de «información periférica” no determina la culpabilidad de las partes. Más bien, puede proporcionar un mejor contexto para analizar las operaciones realizadas a través del MSB.

–Las investigaciones que no lleven a la presentación de un ROS deben tener una completa descripción de los esfuerzos realizados. La no presentación de ROS es tan importante como el ROS mismo.

De los diversos pasos anteriores, hay un efecto cascada para un programa ALD de un MSB:

• Actualice su evaluación del riesgo de MSB en relación con la ubicación geográfica, productos y clientes para que refleje lo que usted descubrió en los pasos anteriores. Incluso si usted ha descubierto clientes o actividades que incrementan su riesgo, usted los ha mitigado al identificarlos. Una mayor mitigación provendrá en forma de nuevos procedimientos (mejorados) y procesos que también puedan estar listados como mitigante en su evaluación de riesgos.
• Documente cualquier medida tomada incluso si no llevan a elaborar ningún ROS.
• Es difícil para los reguladores encontrar fallas en un esfuerzo muy bien documentado, especialmente si se toma como una medida proactiva (antes que pueda aparecer una citación judicial)

Si tiene cualquier pregunta puede enviar un correo electrónico a sarah@palmeraconsulting.com

© 2016 Palmera Banking Solutions

La semana pasada, un juez federal desechó una demanda presentada por los principales accionistas de un banco de Andorra, al dictaminar que la demanda era irrelevante porque ellos ya recibieron el alivio que buscaban cuando el Departamento del Tesoro de EE.UU. retiró las conclusiones de que el banco era utilizado para el lavado de dinero.

Los accionistas mayoritarios de Banca Privada d’Andorra (BPA), los hermanos Higini y Ramón Cierco, demandaron al Departamento del Tesoro de Estados Unidos el año pasado luego de que éste señalara que el banco durante años facilitó transacciones para lavadores de dinero que trabajaron a favor de grupos del crimen organizado en todo el mundo. El Departamento del Tesoro retiró los hallazgos en febrero, pero los accionistas continuaron su demanda, argumentando que querían sus activos de vuelta.

La semana pasada, el juez James Boasberg dictaminó que la retirada de las conclusiones contra el banco era el único remedio que una orden judicial podría haber proporcionado.

«Ahora confirmamos lo que venimos diciendo desde el principio. BPA no era un banco de ‘principal preocupación de lavado de dinero’ y no debería haber sido cerrado», dijo Ramón Cierco, uno de los accionistas mayoritarios, en un comunicado de prensa. «Queríamos llamar la atención sobre la injusticia cometida contra nosotros y un patrón de conducta que ha sucedido antes y puede volver a ocurrir».

«Si bien FinCEN retiró sus avisos, vindicando a los Cierco, estamos decepcionados de que el tribunal no haya exigido completa responsabilidad por parte de FinCEN, y que no haya determinado que FinCEN actuó de forma ilegal cuando llevó a cabo acciones en marzo de 2015 que fueron designadas para amenazar al sistema financiero andorrano al individualizar a BPA para su cierre», señaló Eric Lewis, de Lewis Baach, principal abogado de los Cierco. «FinCEN sabía que estaba ‘utilizando el martillo’ contra BPA para amenazar a Andorra, según confirmó un responsable de la Embajada de Estados Unidos, y ciertamente fue eficaz la maniobra», añadió Lewis en un comunicado de prensa. «Pero el uso de estas medidas draconianas contra un pequeño banco que no presentaba riesgos de seguridad, sin ninguna advertencia o proceso debido, va contra la ley. Fue entonces que FinCEN intentó barrer sus acciones ilegales debajo de la alfombra retirando los avisos. Salimos victoriosos, pero también queremos que FinCEN sea responsable por su conducta. Desgraciadamente, el juez no quiso hacerlo».

«Dado que el gobierno descartó sus propias conclusiones y esta medida lleva al mismo resultado que una vacatur [orden de anulación del fallo] ordenado por este tribunal, los demandantes han obtenido lo que pedían, y no queda ninguna controversia», dice el fallo.

Los Cierco se encuentran considerando apelar el decreto, pero están centrando sus esfuerzos de compensación en Andorra, donde han interpuesto una demanda y donde el tribunal constitucional decretó la semana pasada que el gobierno de Andorra vulneró sus derechos al no proporcionarles un informe crítico.

Los abogados de los accionistas, señalaron en un comunicado que planean apelar el dictamen, y en una entrevista posterior dijeron que están luchando tanto en EE.UU. como en Andorra.

«Creemos que tenemos una apelación válida aquí, y el cliente siente que ha sido tratado injustamente», dijo Lewis.

«Queremos una decisión sobre si FinCEN cumplió con la ley cuando emitió el aviso. El aviso es lo que puso todo en movimiento … no creemos que sea correcto que FinCEN pueda simplemente retirar la notificación y decir que nuestra conducta es inmune a ser examinada «, dijo Lewis.

Al retirar los hallazgos en febrero, FinCEN señaló que las medidas adoptadas por las autoridades andorranas «protegen lo suficiente el sistema financiero de Estados Unidos» de los riesgos de lavado de dinero relacionados con BPA, citando medidas que incluyen el arresto del presidente ejecutivo con cargos de lavado de dinero, la toma de control de la administración del banco, y llegar a las etapas finales de la implementación de un plan de resolución.

«Ahora se nos ha confirmado todo lo que anteriormente habíamos señalado. BPA no era un banco de ‘preocupación primaria de lavado de dinero’, y no debería haberse cerrado», indicó Ramón Cierco. «Deseábamos llamar la atención acerca de la injusticia realizada frente a nosotros y de una muestra de conducta que con anterioridad había sucedido y puede pasar de nuevo».

Los Ciercos señalaron el año pasado a medios de prensa que no fueron advertidos de los problemas en el banco hasta una hora antes de que FinCEN emitiera la conclusión y los resultados fueran publicados.

Las autoridades andorranas confiscaron los activos del banco y en abril aceptaron la oferta de la firma de inversión en Nueva York J.C. Flowers & Co. para asumir los activos legítimos del banco.

«Este es un caso sobre transparencia, responsabilidad y la seguridad de que instituciones valiosas no pueden ser expropiadas por una acción arbitraria del gobierno», destacó Higini Cierco en el comunicado. «El Gobierno de Estados Unidos ha hecho de BPA una víctima para asustar a los andorranos… Vamos a luchar hasta lograr conseguir la reinvidicación».