By Brian Monroe
3 de diciembre de 2015

Las recientes acusaciones en EE.UU. contra tres israelíes señalados de planear un masivo ardid de piratería y fraude internacional que generó cientos de millones de dólares en ganancias ilícitas revelan que algunos elementos clave para sus grandes planes eran banqueros corruptos e incluso una cooperativa de crédito deshonesta.

Los investigadores y analistas señalan que el caso no tiene precedentes, ni por su alcance, complejidad ni uso creativo de una infinidad de diferentes fuentes de financiación; tales como violaciones de datos, estafas bursátiles con acciones de centavos — penny stock scams–, juegos de azar en línea, firmas de procesamiento de pagos y uso de Bitcoin. Los esquemas de fraude apuntaron a muchas de las organizaciones de banca, comercio y medios de comunicación más importantes del país, entre ellos JPMorgan, TD Ameritrade y News Corp., propietaria de The Wall Street Journal.

En documentos de la corte, los fiscales acusaron a Gery Shalon, Josué Samuel Aaron y Ziv Orenstein en una acusación formal de 23 cargos de presuntos delitos que abarcan 12 empresas, entre ellas nueve empresas de servicios financieros y medios de comunicación, llevándose datos de más de 100 millones de personas, unos 80 millones de éstos provienen de la filtración de datos en JPMorgan. Para leer las acusaciones, por favor haga clic aquí y aquí.

El caso es más complejo que los típicos esquemas de hacking o violaciones de datos, señala Danielle Camner Lindholm, directora de estrategia de Tecnologías Whitehorse, una consultoría de cumplimiento y seguridad cibernética, y una profesional con un profundo conocimiento de los problemas del sector público y privado en las áreas de defensa, inteligencia, investigaciones y servicios financieros.

«Esta historia tiene todo», señala, y agrega que hay varios puntos clave que hacen de esta investigación un caso único. «Esto realmente no fue un esquema de piratería típico. La verdadera historia es la sofisticación y diversificación de los delincuentes, el valor que ponen en los datos y su conocimiento del sistema bancario y las medidas que se utilizarían para contrarrestarlos».

Las acusaciones muestran una operación muy eficiente y de varios frentes que hackeó bancos y casas de bolsa para obtener información sobre clientes como por ejemplo los gastos de éstos e información comercial y de transacciones, luego utilizó esa información para establecer vínculos con las posibles víctimas para luego venderles acciones con precios artificialmente inflados.

«Esta investigación es indicativa de la sofisticación y complejidad de la ciberdelincuencia y las organizaciones criminales transnacionales que son responsables de ella», dijo el Servicio Secreto agente especial a cargo de Robert Sica.

En números: un juego internacional con más disfraces que “Misión Imposible”

US$?00 millones: La cifra global de los fondos ilícitos generados en los esquemas está en los cientos de millones de dólares. Entre 2007 hasta aproximadamente julio de 2015, Shalon y sus cómplices obtuvieron ganancias ilícitas por cientos de millones de dólares, de las cuales Shalon ocultó al menos US$ 100 millones en cuentas bancarias en Suiza y otros países.

100 millones: Los hackeos resultaron en la captura de información personal de más de 100 millones de clientes, 80 millones en un banco solo, JPMorgan.

75: El número de compañías fantasmas. Shalon, Aaron, Orenstein y sus cómplices operaban sus esquemas criminales, y lavaban sus ganancias ilegales, a través de por lo menos 75 cuentas bancarias, de corretaje y empresas fantasmas en todo el mundo.

200, 30 y 16: el número vertiginoso de identidades y documentos falsos que utilizaron los tres hombres para tratar de mantenerse un paso adelante de bancos y empresas de tarjetas de crédito que intentaban cerrar sus cuentas, investigarlos o informar de sus actividades a las autoridades.

«Los acusados controlaban estas empresas y cuentas utilizando seudónimos, y utilizando de manera aproximadamente 200 documentos de identificación falsos, incluyendo más de 30 pasaportes falsos que supuestamente fueron expedidos por Estados Unidos y por lo menos otros 16 países», según documentos judiciales.

Shalon también se jactaba de la perfección de su plan con sus compatriotas, según la acusación.

«Compramos [por ejemplo, las acciones] muy baratas, las manipulamos, y luego jugamos con ellos», dijo a un individuo apodado cómplice 1. Cuando esta persona le preguntó a Shalon sobre su capacidad para hacer que las personas en Estados Unidos compren las acciones, si realmente era «popular en Estados Unidos – la compra de acciones,» Shalon respondió, «Es como beber vodka en Rusia».

Los fiscales dicen que lavó los fondos a través de bancos internacionales, 75 compañías pantallas y cientos de documentos de identidad falsos.

El esquema también incluyó casinos en línea supuestamente propiedad del grupo, una firma ilegal de procesamiento de pagos para ayudar a su operación criminal y otros en el movimiento de dinero sucio del casino y un cambista de Bitcoin, Coin.mx, que esquivó las obligaciones ALD para mover monedas reales y virtuales ilícitas para el grupo y otras redes de delincuentes.

Anatomía del caso: Cómo los hackers hicieron el dinero. Parte 1 – Fraudes de compraventa de acciones (Pump and Dump)

Paso 1: Ingresar en un importante depósito de información sobre personas, en este caso bancos y casas de bolsa. Esto dio como resultado el robo de información personal de más de 100 millones de clientes, incluyendo nombres, direcciones, números de teléfono y otros datos. Obtuvieron información de 80 millones en JPMorgan, aunque aparentemente no obtuvieron los números de Seguro Social.

Paso 2: Crear y comprar grandes cantidades de micro acciones que cotizan en bolsa, a las que se refiere típicamente como acciones centavos o penique, penny stocks. Éstas se pueden comprar directamente o pueden ser producidas mediante «fusiones inversas» con otras empresas fantasmas que cotizan en bolsa, en este caso, controladas por los delincuentes. Asegurarse de utilizar los seudónimos, pasaportes falsos e información de identidad falsa. También, ocultar la información sobre la propiedad efectiva o los beneficiarios finales.

Paso 3: Para manipular artificialmente el volumen de operaciones y los precios de estas acciones, los delincuentes consiguen cómplices que comercializan las acciones durante un período de unos 15 días, incrementando el volumen y precio. Luego, en momentos precisos, envían mensajes no solicitados en masa, tales como mensajes spam a millones de individuos que se originaron en los datos hackeados, y promocionan las acciones, engañando a estos individuos para que las compren al precio inflado.

Paso 4: Trabajan con promotores e intermediarios inescrupulosos, que no le interesa por qué la acción está creciendo tan rápido o detalles/información sobre las entidades y personas involucradas, y se aseguran de pagarles la puntualmente lo que corresponde.

Si los potenciales clientes preguntaban de dónde obtenían la información, dicen cosas como que la información provenía de «base de datos de los inversores». También utilizaban la información robada de transacciones comerciales y tarjetas de crédito  para formar una relación de confidencia con las futuras víctimas, para construir confianza.

Paso 5: Abrían muchas y lejanas cuentas bancarias y mentían a los bancos y compañías de tarjetas de crédito sobre la naturaleza de las operaciones, en algunos casos por ejemplo el grupo señaló que los fondos eran para cosas como vestidos de novia, alimentos para mascotas, artículos de colección y otros objetos.

Paso 6: Encontraban banqueros corruptos. El grupo también utilizó «corruptos funcionarios bancarios internacionales» que voluntariamente esquivaban sus obligaciones de debida diligencia, monitoreo y presentación de informes. La acusación también menciona fondos «enviados desde cuentas bancarias en Azerbaiyán a una cuenta bancaria en Suiza controlada por Shalon en nombre de otra empresa fantasma».

Los delincuentes, según la acusación, «lavaron las ganancias producto de sus actividades delictivas en el extranjero, dirigiendo millones de dólares de sus ganancias sucias a cuentas en Chipre para su posterior distribución, en parte, a la cuenta de una empresa fantasma con sede en Chipre, propiedad de Aaron y a otras cuentas de compañías fantasmas en el extranjero propiedad de Shalon y controladas por él y otros miembros del ardid».

Bravo mundo nuevo para el hackeo

«Los delitos imputados muestran un nuevo mundo de la piratería informática con fines de lucro», señaló el fiscal federal de EE.UU. Preet Bharara. «Ya no es la piratería simplemente para una ganancia rápida, sino la piratería para apoyar una organización criminal diversificada. Esta fue piratería como modelo de negocio. La supuesta conducta también señala un nuevo escenario en el campo de fraude de valores: piratería sofisticada para robar información privada, algo que los acusados conversaron sobre el próximo paso en la empresa delictiva».

Los cargos lo muestran a Shalon como el líder de la banda, quien lideró operaciones de hackeo desde 2012 contra 9 compañías y, junto con Orenstein, de haber dirigido desde 2007 por lo menos 12 casinos ilegales de Internet.

La acusación contra Shalon, Orenstein y Aaron incluye cargos de piratería informática, fraude de valores y electrónico, robo de identidad, juego ilegal Internet y conspiración para cometer lavado de dinero.

El caso también da una visión del juego del gato y el ratón en versión digital entre los criminales, los hackers tratando de conseguir y mantener cuentas de servicios bancarios y financieros –a través de una combinación de mentiras, hacking y un implacable campaña para encontrar bancos y regiones con los controles de cumplimiento débiles— y los funcionarios de cumplimiento e investigadores de fraude tratando de mantenerlos fuera del sistema financiero internacional.

En uno de los intentos más descarados para obtener información, el grupo, aproximadamente en 2012, «se infiltró en las redes informáticas de una compañía estadounidense –víctima 12—que evaluaba el riesgo y cumplimiento de los comerciantes, incluyendo la detección de comerciantes que aceptaban pagos de tarjetas de crédito para bienes o servicios ilegales».

Tras la filtración, el grupo podía descubrir lo que otros sabían de ellos en «forma permanente» monitoreando «los esfuerzos de detección de la víctima 12, incluyendo la lectura de mensajes de correo electrónico de los empleados de la víctima 12, y de esta manera podía tomar medidas para evadir la detección por parte de esta víctima 12 sobre su esquema de procesamiento de pagos ilegales».

«Tal como se expone en la acusación, los tres acusados perpetraron uno de los mayores robos de datos financieros de la historia», señaló la Procuradora General de EE.UU. Loretta Lynch.

Anatomía del caso: Cómo los hackers hicieron el dinero. Parte 2 – Procesadores de Pago, Cambistas de Bitcoin y juegos en línea

El juego online: desde 2007 hasta alrededor de julio de 2015, Shalon, Orenstein y sus cómplices operaron al menos una docena de casinos de internet ilegales en Estados Unidos y en otros lugares a través de cientos de empleados en varios países, generando «cientos de millones de dólares en ingresos ilegales».

Procesamiento de pago: desde 2011 hasta alrededor de julio de 2015, Shalon, Orenstein y sus cómplices operaron  IDPay y Todur, procesadores de pagos multinacionales para los delincuentes que buscaban recibir pagos por tarjetas de crédito y débito para fomentar sus actividades ilegales.

A través de estos procesadores de pagos, Shalon, Orenstein y sus cómplices «procesaron a sabiendas pagos con tarjetas de crédito y débito de por lo menos, distribuidores farmacéuticos ilegales, proveedores de productos falsificados software malicioso «antivirus», sus propios casinos de internet ilegales y Coin.mx, un cambista ilegal de Bitcoin con sede en Estados Unidos propiedad de Shalon».

Al hacerlo, Shalon, Orenstein y sus cómplices a sabiendas procesaron cientos de millones de dólares en  transacciones de esquemas delictivos, de los que obtuvieron un porcentaje de cada transacción.

Cambista de Bitcoin: Desde 2013 hasta aproximadamente julio de 2015, Shalon fue propietario de Coin.mx, que era operado por Murgio en Estados Unidos bajo la dirección de Shalon en violación de las leyes antilavado de dinero de EE.UU.

A través Coin.mx, Shalon, Murgio y sus cómplices permitieron a sus clientes intercambiar efectivo por Bitcoins, cobrando una tarifa por sus servicios. En total, entre octubre de 2013 y julio de 2015, Coin.mx cambió millones de dólares por Bitcoins en nombre de sus clientes.

Cooperativas de crédito

El grupo también utilizó el soborno, la corrupción y el dinero en efectivo para encontrar una manera más directa en el sistema financiero, en este caso por la cooptación de una cooperativa de crédito.

Aproximadamente en 2014, en un «esfuerzo para evadir potencial escrutinio por parte de estas instituciones y otros, los cómplices de Shalon adquirieron el control de una cooperativa de crédito, nombraron cómplices en la Junta Directiva de la cooperativa de crédito, y transfirieron las operaciones bancarias de Coin.mx a la cooperativa de crédito, que dirigían los cómplices de Shalon, por lo menos hasta principios de 2015, utilizando de esta manera la cooperativa de crédito como un banco cautivo para sus negocios ilegales».

Los criminales esperan que los bancos tengan un enfoque fragmentado de sus esquemas, que no conecten los puntos o crucen información durante semanas, meses o años, señala Lindholm, y agrega que uno de los desafíos de este grupo delictivo era intentar mantenerse a la vanguardia de los equipos de investigación de los bancos y tarjetas de crédito que intentaban cerrar sus cuentas.

El caso es «masivo en su alcance y geografía», dijo Lindholm, quien agregó que también destaca la importancia de reportar cualquier violación de los datos ante las autoridades ya que esa violación puede ser «ser sólo la punta del iceberg. Se debe informar y no preocuparse por el riesgo reputacional hoy, sino por el daño que se podría hacer mañana si no está colaborando» con las autoridades.

«Lo que no puede ser un patrón para usted, puede ser un patrón a la policía una vez que ven todo el cuadro».

Por Brian Monroe
2 de diciembre, 2015

Tras los atentados de ISIS en París hace solo algunos días, en el que murieron 120 personas, un experto ve una realidad más profunda y cambios en las tácticas de ataques y también insta a los bancos a no cerrar inmediatamente todos los lazos con instituciones que se encuentren cerca de zonas en conflicto, obstruyendo de esta manera una importante fuente de inteligencia.

A medida que los investigadores franceses localizan personas vinculadas con el grupo en el país europeo, los gobiernos de todo el mundo se están dando cuenta de que después de sufrir pérdidas en el campo de batalla en Irak y Siria, ISIS está tratando de sembrar el terror de manera más agresiva en el extranjero.

Esto significa que los investigadores y los bancos –como primera línea de defensa en la búsqueda de aquellos que financian a los terroristas— tienen otros temas adicionales de qué preocuparse más allá de los terroristas que viajan a regiones en conflicto o incluso simpatizantes solitarios radicalizándose en sus países. Ahora tienen que preocuparse por los ataques de extranjeros en sus propios países y cómo ISIS financia células terroristas de residentes.

A continuación los comentarios tras los atentados en París de Jennifer Harris, alto miembro del Council on Foreign Relations, un centro de estudio con sede en Washington.

Antes de sumarse al Consejo, Harris era miembro del personal de planificación de políticas del Departamento de Estado de EE.UU., responsable de los mercados globales, temas geoeconómicos y la seguridad energética. Antes del Departamento de Estado, Harris trabajó en el Consejo Nacional de Inteligencia de Estados Unidos, que cubre una amplia gama de cuestiones económicas y financieras.

¿Ve usted un cambio en las tácticas de ataque y apoyo de ISIS, pasar de ser un grupo terrorista regional a uno que aparentemente puede atacar en cualquier parte del mundo?

En alguna medida se está viendo un cambio en las tácticas por parte ISIS. Es debido a una función de la contención geográfica de ISIS. A pesar de que el grupo está más acorralado y está perdiendo territorio—sigue necesitando un flujo constante de reclutas y tácticas de reclutamiento, y parece estar preparado para hacerlo, en parte recurriendo a sitios fuera de Siria e Irak. Ese cambio es casi seguro que tendrá un gran componente de naturaleza de redes y medios sociales.

Este es sin duda un cambio para el que tenemos que estar preparados. Es una tarea mayúscula cuando muchos de los simpatizantes tienen vínculos legítimos con occidente y planean o contemplan ataques que no cuestan mucho. Imagínese el presupuesto y las armas utilizadas y el número de atacantes, y lo difícil que es encontrar información sobre esto en una gran montaña de información, incluyendo flujos financieros y flujos migratorios. Los atentados pueden ser llevados a cabo por algunos miles de dólares, en comparación con otros ataques como el 11 de septiembre, y los de Madrid y Londres.

Existen riesgos de que combatientes extranjeros viajen a EE.UU. o Europa, así como los riesgos sobre fanáticos solitarios que ya son residentes en estas jurisdicciones. Pero ¿existen riesgos de que residentes actuales de un país consigan el apoyo de ISIS?

En parte debido a esta situación estamos viendo que los países occidentales están intensificando su control de las instituciones financieras en ambas partes de la ecuación [combatientes extranjeros que viajan a EE.UU. y la Europa y simpatizantes que ya viven aquí]. EE.UU. debe estar propenso a compartir toda la información que pueda, dentro de las restricciones de privacidad y otras leyes, con los bancos y otras instituciones financieras y diferentes entidades del sector privado. Los bancos pueden poner mucho de su sofisticado andamiaje a trabajar – modelos y otros esfuerzos que pueden a menudo equipararse, o aventajar, a los utilizados por el sector público. [Intercambio de que a nivel internacional también genera confianza].

Usted ha oído hablar de “de-risking” o la terminación de las relaciones comerciales de instituciones, sectores, jurisdicciones que representan un mayor riesgo. ¿Existe el riesgo de perder inteligencia allí?

Las relaciones de corresponsalía bancaria son una valiosa fuente de información y conocimiento. Lo que has visto en anteriores casos de sanciones internacionales es el de-risking en esta región en particular – a menudo por un exceso de precaución. Los bancos están cortando las relaciones que no consideran suficientemente valiosas sopesando el riesgo que implican. Eso realmente deja un vacío, porque no se puede determinar quién o qué va a cubrir ese vacío. Puede estar seguro de que cualquier regulación que se promulgue en esas regiones será débil.

El de-risking está ocurriendo en lugares como Turquía, Jordania y en algunos de esos países, esos vacíos podrían ser cómo los terroristas obtienen acceso al sistema bancario internacional. La mejor práctica sería que las instituciones financieras estadounidenses controlen y analicen detalladamente esas relaciones de corresponsalía y también convenzan a sus superiores en los bancos para mantener estas relaciones- convencerlos de que no son demasiado onerosas y vale la pena el riesgo. Con suerte encontrarán funcionarios de sanciones en EE.UU. que pueden ayudar a entender lo que hay que hacer para mantener esos corresponsales [y mantener abierto un portal valioso de inteligencia y conocimiento para las agencias de ley internacionales].

Hay algunas señales de alerta para los bancos y otras instituciones financieras que pueden indicar que estos clientes se han convertido en combatientes afiliados a un grupo terrorista y podrían estar mudándose a una zona de terroristas para obtener capacitación, incluyendo:

• Direcciones IP: un cliente que opera históricamente en una región en el denominado mundo occidental comienza a tener inicios de sesión IP en áreas dentro de zonas de conflicto, como la frontera con Siria, incluida Turquía, Jordania y Líbano. Esas direcciones IP y luego cambian a áreas domésticas con una mayor población o un nexo financiero más significativo.
• Cajeros automáticos, giros: un cliente de repente tiene retiros en cajeros automáticos y transferencias bancarias a las áreas en zonas de conflicto. El riesgo se incrementa si las transacciones luego vuelven a regiones domésticas o se realizan giros de múltiples remitentes en las regiones en conflicto, que podría evidenciar un intento por parte de un grupo terrorista extranjero de apoyar a una célula. Esto también podría ser vinculado con cualquier cambio en redes sociales, incluyendo cualquier tipo de propaganda o apoyo a actividades terroristas.

Una encuesta de abogados corporativos encontró que el 91% de los encuestados señaló que la reputación es el activo más importante de su compañía. Un 85% dijo que las redes sociales han incrementado significativamente las posibilidades de que un problema minúsculo o menor se transforme en una importante crisis, a pesar de que la gran mayoría también dijo que ve poco factible que una crisis en las redes sociales vaya a crear un riesgo legal para sus compañías en el próximo año.

La encuesta, que fue realizada por la firma de comunicaciones Weber Shandwick en conjunto con KRC Research, sirve como una señal de alerta para que los ejecutivos protejan mejor sus compañías de las amenazas legales y reputacionales que representan las redes sociales, sin importar donde se originan.

La encuesta fue realizada a 100 abogados corporativos de alto y medio rango (50 en EE.UU. y 50 en el Reino Unido) que trabajan como abogados corporativos internos para compañías dentro de las 1000 de Fortune Global y que personalmente deben lidiar con la administración del riesgo reputacional. Para los efectos de la encuesta, un tema de redes sociales corporativas fue definido como un “evento u opinión que se ve aumentado por el uso de las redes sociales y que potencialmente impacta en la reputación de la compañía”.

Desde un video que se vuelve viral que puede mostrar un mal trato a clientes de un banco, hasta empleados pícaros twitteando despidos masivos de un minorista del Reino Unido, hasta el hackeo de las redes sociales de una prestigiosa universidad, ningún sector es inmune a los ataques reputacionales a través de los medios de comunicación social.

Responder a los ataques vía Internet puede ser agotador hasta para los administradores de crisis más experimentados. Las crisis son grandes riesgos de comunicación. Las crisis pueden explotar en diversas formas y ser amplificada por innumerables fuentes – los medios de comunicación y las redes sociales son solo una  gran parte de la ecuación de la administración de crisis actual.

Para reconocer la importancia de un enfoque interdisciplinario para la administración de este tipo de crisis, la encuesta busca explorar la perspectiva actual de un miembro crucial del equipo: el asesor legal. El papel de los abogados internos para garantizar el cumplimiento normativo y legal en momentos de crisis es fundamental, y con episodios persistentes de vulnerabilidad digital en todo el mundo, determinar las necesidades y preparación de los abogados corporativos es esencial para el éxito de la gestión de la reputación proactiva.

Los resultados de la investigación son sorprendentes. A pesar de que los resultados de la encuesta reconocen que la reputación de una empresa es su activo más valioso, los abogados de empresa no se están comprometiendo lo suficiente en la preparación y administración de crisis de redes sociales.

A continuación cinco puntos centrales que se describen en este informe, acompañados de recomendaciones sobre cómo los abogados de empresas pueden comprometerse de una manera más eficaz para preparase y administrar las crisis de redes sociales:

–Los abogados internos cuentan con poca experiencia con el tema de crisis de redes sociales y entrenamiento en esta área

–La mayoría de los departamentos legales no están muy comprometidos en la planificación de estrategias en caso de que ocurra una crisis

–Los abogados internos no confían en la capacidad de respuesta de crisis por parte de sus compañías

–A pesar de las preocupaciones, los abogados internos cuentan con una falsa sensación de seguridad sobre inminentes amenazas en línea

–Los abogados internos enfrentan desafíos en varias etapas de una crisis de redes sociales

El estudio ha demostrado que si bien los abogados internos otorgan un alto valor a la reputación de sus compañías y están de acuerdo en que las redes sociales presentan riesgos legales y de reputación, la mayoría siente que son inmunes a una crisis en las redes sociales y sólo están medianamente planificando una mitigación y respuesta ante la crisis.

Y cuando enfrentan un problema en las redes sociales, la resolución y el proceso de recuperación ha terminado siendo un gran desafío para los abogados. Estos resultados sugieren una mayor conciencia en torno a la vigilancia de redes sociales por parte de los departamentos legales corporativos, así como la participación de los profesionales legales en la creación de políticas, guías y programas de capacitación que buscan proteger la reputación corporativa frente a ataques digitales.

La oficina de denuncias de la Comisión de Bolsa y Valores de EE.UU. — Office of the Whistleblower—acaba de publicar su informe anual que presenta al Congreso, donde muestra el crecimiento del programa y presenta poderosas evidencias de que estamos viviendo en la era del denunciante.

Este año, la SEC recibió un número récord de advertencias – casi 4000 – un aumento de más del 8% respecto al 2014 y más del 20% en comparación con el año 2013. Estos avisos provinieron desde todos los estados de EE.UU. y de 61 países, incluyendo un número importante de Gran Bretaña, Canadá, China, India y Australia.

Con la excepción de Guatemala, en todos los países de Centroamérica se originaron denuncias y en América del Sur se originaron en Argentina, Brasil, Chile, Ecuador y Venezuela. En América Latina, el número de casos por país es el siguiente:

Argentina 1
Brasil 14
Belice 1
Chile 11
Ecuador 1
El Salvador 2
Honduras 1
México 15
Panamá 1
Venezuela 2

El 28 de septiembre pasado, la SEC otorgó una recompensa del 20% a dos ciudadanos extranjeros que presentaron en forma conjunta información que llevaron a la apertura de una investigación en la acción subyacente. Uno de los denunciantes recibió el 11% de la recompensa mientras que el otro recibió el 9%, basado en el nivel de asistencia que cada uno proveyó.

Este es el tercer caso en el que la SEC otorga una recompensa a un denunciante que vive fuera de Estados Unidos, lo que demuestra el alcance global del programa de denunciante de la agencia

Una mayor concientización sobre el programa también ha llevado a un crecimiento sustancial en el número de avisos por parte de los denunciantes Muchas de las advertencias han guiado al personal de la División de Aplicación de la  SEC a abrir una investigación o a considerarlas dentro del marco de una investigación existente

La SEC otorgó recompensas por denuncias por más de US$37 millones en 2015 y este informe destaca varios importantes logros. La SEC, a través de la oficina pagó más de US$54 millones a 22 denunciantes desde que las nuevas regulaciones entraron en vigor en agosto de 2011.

Este año también se produjeron hechos muy significativos, como por ejemplo una medida contra una empresa por el uso de acuerdos de confidencialidad para impedir la comunicación entre los denunciantes y la SEC.

Por primera vez, en abril de 2015, la SEC presentó cargos bajo una nueva regulación contra una empresa por incluir lenguaje en los acuerdos de confidencialidad que impiden a los denunciantes informar a la SEC, que establece que nadie puede tomar ninguna medida para impedir que un individuo reporte información acerca de irregularidades a la agencia. Esto incluye, por ejemplo, la intención de hacer cumplir un acuerdo de confidencialidad con respecto a tales informes.

Los acuerdos de confidencialidad utilizados por la empresa en el caso prohibían a los empleados divulgar el contenido de las entrevistas que daban en investigaciones internas sin la aprobación del departamento legal de la compañía. Según el informe, “…un área de importancia para la oficina de denunciante era si la los empleadores estaban utilizando acuerdos de confidencialidad, indemnización, o de otros tipos para interferir con la capacidad del individuo de reportar posibles infracciones a la SEC”.

Recompensas para el profesional de cumplimiento

En abril de este año, la Comisión otorgó más de US$1 millón a un profesional de cumplimiento que proporcionó información que ayudó a la SEC en un caso contra la compañía del denunciante.

Los individuos cuyas tareas principales involucran responsabilidades de cumplimiento o de auditoría interna por lo general no pueden participar de las recompensas, a no ser que exista una excepción. En este caso, la SEC determinó que la información del denunciante era «información original» según las normativas porque el denunciante «tenía razones para creer que la divulgación de la información a la SEC [era] necesario para prevenir que la entidad pertinente incurriera en una conducta que podía causar un perjuicio grave a los intereses financieros o de propiedad de la entidad o inversores».

A pesar de que la Comisión entregó previamente una recompensa a un individuo con funciones de cumplimiento o de auditoría interna en virtud de una excepción diferente, esta fue la primera vez que la Comisión utilizó la excepción «daño sustancial».

Haga clic aquí para leer el informe

Por el Equipo de ACFCS
17 de noviembre de 2015

Esta semana en Tendencias en Delitos Financieros: El Departamento de Justicia incrementará el número de fiscales que se dedican a combatir el soborno internacional; de cada 10.000 pesos, el gobierno mexicano destina solo 5 centavos a mecanismos para combatir la corrupción, según un estudio; Las aduanas, las agencias encargadas de controlar las importaciones, los puertos, las fronteras y los aeropuertos son considerados por la mayoría de los empresarios como las áreas de más alto riesgo a la hora de analizar problemas de corrupción y sobornos; y más.

Corrupción

La unidad encargada de combatir la corrupción fuera de EE.UU. del Departamento de Justicia incrementará en un 50% el número de fiscales que se dedican a combatir el soborno internacional, señaló una funcionaria del departamento. La fiscal federal asistente para la división criminal Leslie Caldwell anunció las 10 contrataciones en la conferencia anual sobre la Ley de Prácticas Corruptas en el Extranjero donde resaltó los esfuerzos del departamento para incrementar la transparencia en tales casos. «Estos nuevos escuadrones y fiscales harán una diferencia sustancial en nuestra capacidad de llevar adelante casos de alto impacto y mejorar la capacidad del departamento para erradicar actos de corrupción», dijo. El anuncio ocurre en medio de una caída en los casos de corrupción extranjera por parte del Departamento de Justica, con solo dos casos acordados este año. Caldwell dijo que estaba tratando de ayudar a las empresas a entender mejor los beneficios que obtienen del gobierno cuando ellas mismas informan sobre actividades indebidas, cooperan y ayudan a remediar problemas. Con información de The Wall Street Journal

De los 4,6 billones de pesos del Presupuesto 2015, el gobierno federal de México destinó solamente 26 millones al combate directo de la corrupción, a través de la Unidad Especializada en Investigación de Delitos Cometidos por Funcionarios Públicos y contra la Administración Pública, que depende de la Procuraduría General de la República (PGR). En contraste, el costo de la corrupción en México representa entre el 2% y el 9% del Producto Interno Bruto. Estas cifras se desprenden del estudio «La corrupción en México: tranzamos y no avanzamos», realizado por el Instituto Mexicano para la Competitividad (Imco), el cual refiere además que por cada 10.000 pesos ejercidos por el gobierno mexicano, solo 5 centavos son destinados a mecanismos para combatir la corrupción. En los últimos 16 años se han reportado en México 272 escándalos de corrupción en los que se han visto envueltos gobernadores y solo 21 casos han sido sancionados; el 91% quedaron en la impunidad. Imco propone diversas medidas para combatir la corrupción, entre ellas potenciar el uso de tecnología e información, debido a que los sistemas son inoperantes Sugiere pleno acceso y sistemas interconectados de información fiscal y financiera. Por ejemplo, solo 38 de lso 2457 municipios y delegaciones cuentan con trámites interactivos. Con información de Milenio

El ex presidente de Guatemala Otto Pérez, en detención preventiva bajo cargos de encabezar una red de corrupción en aduanas, fue trasladado a otra prisión militar por un reacomodo de reos, informó esta semana una fuente oficial. El ex gobernante fue trasladado al centro militar Mariscal Zavala, en la periferia norte de Ciudad de Guatemala, después de casi dos meses en una cárcel del cuartel Matamoros, en la capital. El traslado fue realizado entre la noche del lunes y madrugada de este martes e incluyó a «toda la población de privados de libertad del centro de detención» Matamoros, con 35 reos. Pérez, junto a otros diez internos considerados vulnerables, fueron reubicados en Mariscal Zalvala, que cuenta con una nueva cárcel con capacidad para 135 presos, mientras que el resto fueron llevados a otras cárceles del país. Dentro de Mariscal Zavala se construyó en 2014 una tribuna para actos militares que lleva el nombre de Otto Pérez, quien inauguró la obra siendo presidente. Pérez renunció al cargo a principios de setiembre luego de ser acusado de encabezar una estructura en el gobierno que cobraba sobornos a empresarios para evadir impuestos aduaneros, un caso que desató un torbellino político en el país. Anteriormente había sido detenida por el mismo caso su ex vicepresidenta Roxana Baldetti. Los dos están bajo prisión preventiva mientras la Fiscalía y una Comisión de la ONU Contra la Impunidad recaban pruebas para llevarlos a juicio por corrupción. Con información de El Universal

Las aduanas, las agencias encargadas de controlar las importaciones, los puertos, las fronteras y los aeropuertos son considerados por la mayoría de los empresarios como las áreas de más alto riesgo a la hora de analizar problemas de corrupción y sobornos. Más que nada a la hora de ingresar equipos y bienes para el desarrollo, por ejemplo, de proyectos energéticos y para recursos naturales. De hecho, a nivel internacional las grandes corporaciones están reconociendo tener problemas a la hora de luchar con asuntos vinculados planes de anticorrupción debido a la complejidad de ambos delitos. También por la creciente globalización de las operaciones y de la necesidad de lidiar con la corrupción y el soborno en países totalmente diferentes. Los datos surgen de una encuesta elaborada por KPMG Internacional entre 659 ejecutivos de distintos sectores, quienes señalaron la importancia de combatir estas prácticas antiéticas. De ese total, 54 son referentes de empresas de energía y recursos naturales, de los cuales 38 trabaja con petróleo y gas. El 50% de estos empresarios explicaron que administran el riesgo de soborno y corrupción durante el transporte de equipos y materiales a través de las fronteras incrementando la monitorización de las facturas de los proveedores de logística; el 47 % realiza investigaciones de acompañamiento y toma medidas disciplinarias apropiadas contra funcionarios y terceros, mientras otro 47% dijo que entrena a los gerentes de logística sobre cómo combatir esas prácticas desleales. Además, el 80% de las compañías aplica programas por escrito de conformidad con las normas anticorrupción . Entre el 50% y el 69 % disponen de diversas herramientas como mecanismos de denuncias, programas de entrenamiento, monitorización continua, un encargado de acciones permanentes y evaluaciones de riesgos. Con información de El Cronista Comercial.

Lavado de Dinero

El expolio del petróleo y las antigüedades en los territorios que domina en Irak y Siria son algunas de las principales fuentes de financiación del grupo terrorista Estado Islámico (EI), que también obtiene fondos con los rescates de los secuestros.  Así lo ha identificado el Consejo de Seguridad de Naciones Unidas, que en febrero de este año aprobó por unanimidad la resolución 2199 para impedir que «las organizaciones terroristas en Irak y Siria se beneficien del comercio del petróleo, antigüedades y rehenes, y de donaciones». A finales de junio de 2014 el EI proclamó un califato en Siria e Irak, donde ha tomado amplios territorios con numerosos campos de crudo y gas, así como yacimientos arqueológicos. Dentro de su campaña para expandir el terror entre la población y como otra fuente de recursos, la organización radical ha llevado a cabo numerosos secuestros de ciudadanos sirios e iraquíes, y también extranjeros, como periodistas y cooperantes. En su último informe sobre las vías de financiación del EI, el Grupo de Trabajo de Acción Financiera (GAFI), integrado por 36 países para combatir los delitos económicos y el crimen organizado, detectó cinco fuentes de recursos del EI. El GAFI señaló que la principal fuente es el expolio de los territorios que ocupa, lo cual incluye el saqueo de bancos, la extorsión, el control de instalaciones petroleras y la recaudación ilegal de impuestos. Con información de El Universal.

El ex embajador de Panamá ante la Organización de Estados Americanos (OEA) Guillermo Cochez presentará una denuncia penal contra el presidente de la Asamblea Nacional de Venezuela, Diosdado Cabello, por «posible delito» de blanqueo de capitales. Cochez indicó que la denuncia que presentará ante el Ministerio Público (MP) incluye a Efraín Antonio Campo Flores, ahijado del presidente venezolano, Nicolás Maduro. Campos Flores está detenido en Nueva York junto a Francisco Flores de Freitas, sobrino de Maduro, por presuntos delitos de narcotráfico y supuestamente conspirar para llevar droga a Estados Unidos, tras la detención de ambos en Haití. La querella, a la que tuvo acceso Efe, señala que Cabello fue acusado en 2014 en Miami (EE.UU.) por el venezolano Thor Halvorssen Mendoza, presidente de la Human Rights Foundation, con sede en Nueva York, de recibir sobornos de Derwick Associates USA o Derwick Associates Corporation para facilitar a esta empresa contratos para proyectos hidroeléctricos en Venezuela. Según la acusación de Mendoza, citada por Cochez en su denuncia, la mencionada empresa habría pagado «posiblemente» a Cabello US$50 millones por la «ayuda» que éste prestó para obtener contratos con el Estado venezolano. Este dinero «posiblemente» había sido depositado en el Banco Banesco Panamá, S.A., a través de diversas sociedades anónimas de la que es dueño Diosdado Cabello, según el documento. Sostiene que de materializarse lo relativo a Banesco, le corresponde al Ministerio Público investigar «para comprobar la existencia del hecho punible y descubrir al autor o partícipe o quienes hayan tenido injerencia en la comisión del mismo». En cuanto al ahijado de Maduro, Cochez denunció que mantiene en Panamá una sociedad anónima denominada Transportes Herfra, S.A. constituida el 31 de marzo de 2014, de la cual es su presidente y representante legal. Con información de Caracol

La fiscalía de Perú decidió investigar al ex presidente Alan García, quien recientemente se postuló como candidato para las próximas elecciones, por presunto lavado de activos en relación con fondos vinculados al Partido Aprista Peruano (PAP), que él mismo dirige. Según fuentes de la Fiscalía, la investigación comenzó en septiembre cuando la Oficina de Procesos Electorales advirtió sobre las supuestas irregularidades en el financiamiento de campañas electorales pasadas. «Hay puntos que no coinciden en los aportes. A veces los montos no son bien sustentados. García es investigado por ser el presidente del PAP», dijo una fuente de la Fiscalía al diario local Perú21. Las primeras acciones de la Fiscalía serán pedir a la Justicia el levantamiento del secreto bancario, tributario y bursátil del PAP. El congresista aprista Javier Velásquez aseveró que García no es quien debe responder por las presuntas irregularidades, sino los secretarios generales del partido. «García tiene un cargo simbólico y honorífico en el PAP», indicó. Con información de Télam

Ciberseguridad

En una rara ofensiva en contra de un grupo de hackers, fiscales de Estados Unidos presentaron cargos penales contra tres hombres acusados de dirigir un esquema de la piratería informática y fraude que incluyó un enorme ataque contra JPMorgan Chase & Co y generó cientos de millones de dólares de ganancias ilegales. Gery Shalon, Josué Samuel Aarón y Ziv Orenstein, todos de Israel, fueron acusados de presuntos delitos contra 12 empresas, entre ellas nueve compañías de servicios financieros y medios de comunicación como The Wall Street Journal. Los fiscales señalaron que el ardid databa de 2007, y causaron la exposición de la información personal de más de 100 millones de personas. Los delincuentes habrían provocado la manipulación de precios de acciones, utilizado casinos en línea, procesado pagos para los criminales, un intercambio bitcoin ilegal y el lavado de dinero a través de por lo menos 75 empresas ficticias y cuentas en todo el mundo. Estos cargos se suman a cargos anunciados por primera vez en julio, y que de acuerdo con la fiscal general estadounidense Loretta Lynch es «uno de los mayores robos de datos relacionados con el sector financiero en la historia». Los cargos son también los primeros vinculados con la filtración de datos de JPMorgan, que los fiscales dijeron incluye el robo de registros pertenecientes a más de 83 millones de clientes, el mayor robo de datos de los clientes de una institución financiera de Estados Unidos. Con información de Reuters.

El jefe regulador de servicios financieros del Estado de Nueva York la semana pasada dio a conocer nueva información sobre posibles nuevas normas de seguridad cibernética para los bancos y compañías de seguros bajo su jurisdicción, un modelo que tiene similitudes con los programas contra el lavado de dinero. Las medidas, que ocurren luego de un año excepcional donde los hackers atacaron muchos de los bancos y los minoristas más grandes del país, requerirían instituciones nombrar o designar un jefe de los oficiales de seguridad de la información, adoptar procedimientos más estrictos para el acceso de los empleados a distintos sistemas y aumentar protocolos para los clientes de sesión en portales en línea. Las regulaciones de la NYDFS, si se aprueban, exigirán a las empresas adoptar políticas escritas ciber seguridad y procedimientos en 12 áreas, incluyendo la privacidad de los datos del cliente y seguridad de la red. Las empresas también tendrían que desarrollar políticas para exigir que los proveedores de servicios externos también mantener los datos seguros. Las medidas previstas siguen encuestas que NYDFS realizó entre 2013 y 2015 sobre los programas de seguridad cibernética de las empresas que regula. Un informe de abril, por ejemplo, reveló que un tercio de los 40 bancos NYDFS había encuestado en 2014 no requerían a los proveedores externos que les notificaran de filtraciones de datos, lo que podría poner en peligro los datos bancarios. Las empresas, si se adoptan las medidas, deberán realizar pruebas y auditorías anuales de sus sistemas de seguridad cibernética. Jefe de seguridad de la información de cada empresa también tendría que presentar un informe anual a NYDFS, donde informe al regulador sobre las posibles vulnerabilidades. Con información de Reuters

Este material fue originalmente publicado por Christian Focacci aquí el 20 de octubre de 2015 en el blog de TransparINT

Es reproducido con autorización el 13 de noviembre de 2015. Para más información sobre la compañía, que provee tecnología para tareas de cumplimiento en el campo de los delitos financieros para búsquedas de “noticias negativas” puede hacer clic aquí

Cinco métodos de fuentes abiertas para ayudar a descubrir el beneficiario final o como se lo conoce en inglés el UBO (ultimate beneficial owner)

Se le ha prestado mucha atención a los requisitos de debida diligencia que propone FinCEN para que las instituciones financieras identifiquen a los beneficiarios finales de las personas jurídicas. A pesar de que estas regulaciones son muy necesarias, cualquiera que haya tenido la responsabilidad de llevar a cabo esta tarea sabe lo complejo que puede ser encontrar la información del beneficiario final.

Desafortunadamente, no existe una base de datos centralizada donde se pueda encontrar esta información, y la mayoría de los gobiernos ni siquiera pide que se obtenga esta información cuando se crea una compañía.

A pesar de ello, la información del beneficiario final muchas veces puede ser obtenida de fuentes públicas. A continuación algunas de las mejores formas para identificar a los dueños de compañías.

1—Website de la compañía

El punto de partida de fuente pública para cualquier investigación de una compañía debe ser propio sitio web de la compañía. Si bien esto es obviamente una fuente sesgada y tendenciosa, puede identificar ejecutivos de la alta gerencia clave que muchas veces también resultan ser propietarios de la empresa. También puede identificar si la empresa es una filial de otra sociedad.

Para las empresas que cotizan en bolsa, busque la sección «Relaciones con Inversionistas» del sitio para indagar sobre la titularidad o propiedad. Si no está resaltada lo suficiente esta información, el informe anual más reciente de la empresa y / o estados financieros auditados pueden contener esta información. Recuerde que puede haber accionistas individuales con una importante parte de la compañía.

Tip adicional: Asegúrese de leer los derechos de autor a pie de página de la compañía en la parte inferior de la página web del sitio. Esto puede ser útil para identificar el nombre legal completo de la empresa, y muchas veces puede proveer la identidad de una empresa matriz, si la empresa es una filial.

2—Registros mercantiles

Los registros corporativos o mercantiles guardan las presentaciones de constitución y registros para las personas jurídicas. Para las empresas que no cotizan en bolsa, son la mejor manera de ayudar a localizar a los propietarios.

El desafío surge en que estos registros funcionan según la zona geográfica y cada país, provincia/estado tiene leyes diferentes relacionadas sobre el tipo de información que se debe obtener al momento de constituir una compañía. Además, no todos los registros proporcionan acceso total o directo a la información.

Para ayudarle a ahorrar tiempo en la búsqueda de registros internacionales, a continuación encontrará unos links a directorios o recursos para realizar búsquedas.

CorpSearch – Lista de registros nacionales e internacionales

Open Corporates (motor de búsqueda para registros de constitución)

Investigative Dashboard

Lista de registros mercantiles (Wikipedia)

Fuente adicional: ICIJ’s Offshore Database

3—EDGAR para compañías que cotizan en bolsa y sus filiales

La base de datos de EDGAR (Electronic Data Gathering, Analysis, and Retrieval) cuenta con un índice de presentaciones—en el que se puede realizar búsquedas—por parte de compañías que están obligadas por ley a reportar ante la Comisión de Bolsa y Valores de EE.UU., SEC por sus siglas en inglés.

El volumen de los distintos tipos de presentaciones que se encuentran en la base de datos de EDGAR puede ser abrumador si uno no sabe dónde buscar.

Se requiere que cada empresa que cotiza en las bolsas de EE.UU. presente informes anuales ante la SEC, conocido como un formulario 10-K. Los «Anexo 21» del 10-k proporciona una lista de compañías subsidiarias, junto con el lugar de constitución de cada filial.

Además del 10-K, los formularios 3,4 y 5 pueden ser utilizados para identificar personas clave dentro de la compañía, que son los directores, ejecutivos o cualquier otro beneficiario final con más del 10% de las acciones.

4—Formulario ADV (solo para asesores de inversión)

El Formulario ADV es utilizado por los asesores de inversión para registrarse tanto ante la Comisión de Bolsa y Valores como ante las autoridades estatales de valores. El formulario consta de dos partes, la primera parte requiere información sobre la propiedad del asesor de inversiones, además de información acerca de sus clientes, empleados, prácticas comerciales, afiliaciones y eventos disciplinarios del asesor o de sus empleados.

Para realizar una búsqueda de asesores de inversión, se debe visitar el Adviser Public Disclosure  e ingresar el nombre de la empresa. Información sobre la propiedad directa e indirecta de la empresa se encuentra en la Lista A y la Lista B en la barra lateral izquierda del menú inferior.

5—Motores de Búsqueda

La web pública indexada ahora contiene más de 30 billones de páginas web (exactamente, 30,000,000,000,000). Hay posibilidades de que la información sobre la propiedad de una empresa se encuentre en algún lugar. Para evitar ser abrumado con una avalancha de resultados que no son relevantes, sugiero que oriente su consulta de búsqueda similar a la de abajo, que trabajará en los principales motores de búsqueda.

«Nombre de la compañía» owner OR shareholder

«Nombre de la compañía» dueño OR accionista

No existe un solo lugar donde encontrar información de beneficiarios finales, pero los recursos previos son algunos de los mejores para fuentes abiertas. En las futuras publicaciones, planeo detallar otros desafíos que encuentran los investigadores y profesionales en procesos de debida diligencia para cumplir con la obligación de encontrar el beneficiario final.

Como parte de su proyecto de prevención y capacitación, la Unidad de Información y Análisis Financiero (UIAF) de Colombia acaba de lanzar un nuevo módulo específico dentro de su plataforma e-learning denominado “Riesgo de corrupción y lavado de activos”.

A través de los cursos virtuales la unidad de información financiera de Colombia busca capacitar a los sectores económicos y a la ciudadanía en general sobre la realidad del lavado de activos y otros delitos que caen bajo la definición de delitos financieros y las mejores herramientas y estrategias para detectarlos, detenerlos y denunciarlos. La UIAF también presenta diferentes publicaciones en su tarea de prevención y de toma de conciencia de estos flagelos.

Esta nueva iniciativa, que se creó en asociación con Ecopetrol, se creó también como respuesta a los objetivos planteados en el Conpes 167

El 9 de diciembre de 2013 el Consejo Nacional de Política Económica y Social (Conpes) publicó el documento Conpes número 167 de la Estrategia nacional de la política pública Integral anticorrupción. Este documento se constituye como el componente nacional de la Política Pública Integral Anticorrupción (PPIA) y busca “fortalecer las herramientas y mecanismos para la prevención, investigación y sanción en materia de lucha contra la corrupción en los ámbitos público y privado”. Esta nueva herramienta de la UIAF se crea también como respuesta a los objetivos planteados en el Conpes 167.

El módulo, que está disponible a partir del 6 de noviembre, abarca temas como el marco normativo anticorrupción en Colombia, el impacto económico, político y social de la corrupción y el contexto económico sectorial de los hidrocarburos.

Según comunica la propia UIAF “[e]n los últimos años el lavado de activos se ha insertado en todas las esferas de la economía nacional a través de formas cada vez más sofisticadas para evadir los controles administrativos y judiciales. Entre estas estrategias operativas, la corrupción se ha convertido en uno de los fenómenos más trasversales para la constitución de delitos financieros.”

La UIAF y Ecopetrol buscan integrar esfuerzos para desarrollar un sistema integrado de capacitación que permita ayudar a prevenir y detectar posibles casos de lavado de activos desde la corrupción, con el fin de reducir los efectos negativos que se derivan de estas acciones en todos los niveles de la sociedad.

El módulo pretende también reducir la impunidad en los actos de corrupción, toda vez que sirve para que la ciudadanía identifique e informe sobre posibles casos relacionados con este delito.

La UIAF señala que gracias a una colaboración e intervención interinstitucional y de varios sectores de la esfera social y económica del país, “ha logrado obtener una visión más clara sobre los niveles de riesgo que existen en los diferentes ámbitos de la economía nacional, para ayudar a implementar medidas que permitan fortalecer el sistema antilavado de activos en el país”.

Al igual que los demás módulos que componen el curso e-learning, “riesgo de corrupción y lavado de activos” está dirigido a toda la ciudadanía de forma gratuita.

Para registrarse en el curso, pueden ingresar a la sección UIAF Virtual de la página web www.uiaf.gov.co 

Hace unos días, la Oficina de Inspecciones de Cumplimiento (OCIE) de la Comisión de Bolsa y Valores de EE.UU. (SEC) emitió una nueva alerta de riesgos de seguridad cibernética. En esta iniciativa, la SEC vuelve a insistir en su intención de llevar a cabo una segunda fase de exámenes sobre seguridad cibernética de las firmas que operan como asesores de inversión.

A finales de septiembre, un asesor de inversiones con sede en St. Louis resolvió cargos de la SEC acusándola de carecer un adecuado plan de ciberseguridad previo a una violación de datos que puso en peligro la información de cerca de 100.000 personas, entre ellas miles de clientes de la firma.

Una investigación de la SEC encontró que R.T. Jones Capital Equities Management violó esta «regla salvaguardias». Durante cuatro años, la empresa «no adoptó las políticas y procedimientos escritos para garantizar la seguridad y confidencialidad de la información de identificación personal [PII por sus siglas en inglés] y protegerla de amenazas o acceso no autorizado,» dijo la SEC. Haga clic aquí para leer el comunicado de la SEC. 

La SEC ha puesto a la ciberseguridad como una amenaza real y la colocó en lo alto de su lista de prioridades. Lanzó la primera alerta del riesgo sobre el tema en abril de 2014 y luego emitió  sus prioridades en los exámenes que fueron anunciadas en enero y realizó la primera ronda de los mismos este año.

La más reciente alerta de riesgo de la agencia proporciona información adicional sobre las áreas de interés para la segunda ronda de exámenes de seguridad cibernética de la OCIE, que supondrán más pruebas para evaluar la implementación de los procedimientos y controles de las firmas. La idea de pruebas más extensas podría significar que la SEC llevará a cabo más visitas in situ a las empresas en esta segunda ronda de exámenes.

Algunos de los pasos que los profesionales en cumplimiento y riesgo de las distintas firmas que deben hacer frente a un posible examen por parte de la SEC en temas de políticas y procedimientos son:

–Identificar los riesgos de seguridad cibernética de la empresa – los riesgos que representan las actividades de la empresa y la interconectividad – cualquier cosa que representa una potencial pérdida o daño de un activo como consecuencia de una amenaza que explota una vulnerabilidad.

–Proteger los datos de la empresa una vez que las amenazas, las vulnerabilidades y los riesgos de la empresa han sido identificados para ayudar a la empresa a evaluar si tiene las salvaguardas o controles adecuados para mitigar los distintos tipos de amenazas que enfrenta.

–Entrenar al equipo sobre la importancia de proteger los datos y detectar vulnerabilidades es clave para mantener a los sistemas seguros.

— Los sistemas de prueba, procedimientos y los remiendos que las empresas han diseñado para reemplazar a los sistemas cuando se vean en peligro, son esenciales. Además, para mantener su eficacia, todas las herramientas de detección de la empresa y procesos de seguridad deben ser actualizados regularmente para permitir la supervisión continua y detecciones en tiempo real de las amenazas en constante evolución.

Ser capaz de demostrar el compromiso de la empresa con estrictos protocolos de seguridad cibernética, que van dese la identificación de riesgos a entrenamiento, puede aportar mucho para mostrar a los reguladores, acciones, público y otros el grado de seriedad de la empresa con respecto a su seguridad de datos.

Funcionarios de la OCIE, dentro de la SEC, han dicho que si encuentran manuales de cumplimiento que no son específicos para el negocio de la firma que están inspeccionando, asumirán que estas compañías no toman con seriedad el tema de cumplimiento, determinarán que estas firmas tienen un alto riesgo de incumplimiento y es probable que realicen una revisión completa del total de las operaciones de la empresa.

Las autoridades federales y del estado de Nueva York, señalaron este miércoles que el Deutsche Bank debe pagar US$258 millones y despedir a seis empleados de alto nivel para resolver las investigaciones de miles de transacciones ilegales con clientes en Irán, Libia, Siria, Myanmar y Sudán.

El banco alemán pagará US$200 millones al Departamento de Servicios Financieros del Estado de Nueva York (DFS por sus siglas en inglés) y US$58 millones a la Reserva Federal. También acordó nombrar a un monitor independiente como parte del acuerdo.

Entre 1999 y 2006, el regulador neoyorquino señaló que el

Deutsche Bank utilizó métodos y prácticas no transparentes para llevar a cabo más de 27.200 operaciones de compensación en dólares en EE.UU. por un valor superior a los US$ 10.860 millones para instituciones financieras de Irán, Libia, Siria, Birmania y Sudán y otras entidades sujetas a sanciones económicas por parte de EE.UU., incluidas entidades en las listas de Nacionales Especialmente Designados de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos.

Los empleados del banco sabían acerca de las restricciones de OFAC pero encontraron la manera de eludirlos en pos de lucrativos negocios de dólares estadounidenses para clientes  «lucrativo» negocio dólar estadounidense para los clientes sancionados, dijo la agencia de Nueva York.

El banco eliminó o alteró información de pagos realizados con transacciones en dólares para remover información sobre las partes y países involucrados en estas transacciones.

Los empleados utilizaron “tratamientos especiales” para manejar pagos de partes sancionadas con la intención de evitar que se levanten sospechas en EE.UU., señaló la DFS. Cuando a algunos de los clientes se les cobraba más por el “tratamiento especial” el banco señaló que era necesario que un manejo manual de las transacciones para evitar las sanciones.

Durante las visitas físicas, en correos electrónicos, y durante las llamadas telefónicas, los clientes eran instruidos para incluir notas especiales o palabras en código en sus mensajes de pago que provocarían un tratamiento especial por parte del banco antes de que el pago fuera enviado a Estados Unidos.

A Los clientes sancionados se les dijo que «es esencial para que usted pueda seguir incluir [la nota] ‘No mencionar el nombre de nuestro banco de…’ en los pagos MT103 que pueden involucrar a EE.UU. [Esa nota] asegura que los pagos sean revisados antes de su envío. De lo contrario, es posible que la instrucción [de pago] sea enviada de inmediato a EE.UU. con sus datos completos. . . . [Este proceso] es un resultado directo de las sanciones de Estados Unidos». Los clientes, por su parte, incluían notas en los campos de texto libre de los mensajes SWIFT, tales como» Por favor, no mencione el nombre de nuestro banco o código SWIFT en cualquier mensaje enviado a través de EE.UU.»

Deutsche Bank promocionó sus procedimientos «anti OFAC» entre los clientes y señalaba que tenía más experiencia para evitar sanciones que los bancos asiáticos.

Señala el DFS:

Cierta evidencia indica que al menos un miembro del Consejo de Administración del banco sabía y aprobaba las relaciones comerciales del banco con los clientes sujetos a las sanciones estadounidenses.

Empleados del banco prepararon un manual de capacitación para nuevo personal [de pagos] en oficinas en el extranjero. El manual incluía una sección titulada «Pagos bajo embargo de EE.UU.» que explicaba cómo manejar los pagos con conexión a partes sancionadas.

Un primer borrador incluía una advertencia, en negrita: «Especial atención se le debe dar a las órdenes en las que participan países/instituciones bajo embargos. Los bancos bajo embargo de EE.UU. (por ejemplo, los bancos iraníes) no deben aparecer en cualquier orden de [Deutsche Bank de Nueva York] o cualquier otro banco de origen estadounidense ya que existe el peligro de que la cantidad será congelada en EE.UU.»

Seis empleados involucrados en las violaciones de sanciones todavía trabajan para Deutsche Bank. DFS dijo que «ordenó al banco terminar con esos seis empleados».

Otros tres empleados, según la medida anunciada el miércoles de esta semana, otros tres empleados del banco tienen prohibido “tener responsabilidades, deberes u obligaciones que involucran el cumplimiento, pagos de dólares, o cualquier asunto relacionado con operaciones de EE.UU.”, señala al agencia regulatoria, quien también señaló que otros empleados involucrados en el negocio ilegal han dejado el banco.

El mes pasado, el banco francés Crédit Agricole pagó US$787 millones para llegar a un acuerdo por acusaciones de violar sanciones de EE.UU. contra Sudán, Irán, Myanmar, y Cuba entre 2003 y 2008.

En mayo de este año, otro banco francés, BNP Paribas pagó US$9.000 millones luego de declararse culpable de violar sanciones de EE.UU. contra Sudán, Irán y Cuba.

—Lea aquí la orden de consentimiento del Departamento de Servicios Financieros del Estado de Nueva York 

El Grupo de Acción Financiera Internacional, el cuerpo internacional que establece los estándares para combatir el lavado de dinero y la financiación del terrorismo, dijo que Ecuador y Sudán ya no están más incluidos en su lista de países sujeto al proceso de monitoreo continuo sobre su cumplimiento en materia de lucha contra el lavado de dinero y financiación del terrorismo. Ecuador continuará trabajando con el GAFILAT (Grupo de Acción Financiera de Latinoamérica) a medida que continúa atacando y solucionando las falencias detectadas en su informe de evaluación mutua.

El GAFI, en un comunicado difundido tras una reunión plenaria la semana pasada, felicitó a los dos países por el «progreso significativo» logrado en abordar las deficiencias en sus marcos legales ALD/CFT. El GAFI había visitado a ambos países para verificar el progreso. El fiscal general de Ecuador le dio la bienvenida a las novedades.

Los países que no cumplen en la implementación de los estándares del GAFI para combatir el lavado de dinero y la financiación del terrorismo corren el riesgo de ser catalogados como jurisdicciones de alto riesgo o no cooperantes, lo que incrementa el costo y dificulta las transacciones de esos países con el sistema bancario de los miembros del GAFI.

El GAFI proporciona orientación sobre lo que considera una efectiva supervisión y ejecución de las normas antilavado por parte de los reguladores y supervisores del sector financiero, a los que el GAFI señala que «juegan un papel clave» en la prevención de lavado de dinero y del movimiento de fondos vinculados con la financiación del terrorismo, para que estos fondos no se muevan a través del sistema financiero.

El GAFI también publicó una actualización sobre los avances en el tema de “de-risking” (eliminar clientes considerados de alto riesgo para de esta manera eliminar en su totalidad el riego), donde señala que la organización está monitoreando los desarrollos relacionados con ella. Con base en el trabajo de análisis que se ha podido ver hasta el momento, el GAFI señala que el “de-risking”, es producto de “muchos factores diferentes”.

«Esta es una seria preocupación para el GAFI y sus organismos regionales en la medida en que una tendencia hacia el “de-risking” pude llevar las transacciones financieras a operaciones ilegales/clandestinas, creando de esta manera la exclusión financiera y reduciendo la transparencia, y por lo tanto incrementando el riesgo de lavado de dinero y de financiación del terrorismo», señala el comunicado.

Hace unos días la asamblea del GAFI también aprobó realizar una visita en sitio a Panamá para revisar los avances del país centroamericano en materia ALD/CFT, un paso que acerca al país a la salida de la lista de países no cooperantes en esa materia. Panamá, que se encuentra desde junio de 2013 en la llamada lista gris, recibiría a los inspectores del GAFI en enero de 2016 y sería hasta febrero o junio de ese mismo año cuando podría dejar la lista.

Panamá completó un plan de acción acordado con el organismo, que incluyó una serie de legislaciones, como la Ley 23 del 27 de abril de 2015, que adopta medidas para prevenir el lavado de dinero.

Desde junio de 2014, cuando Panamá se comprometió a trabajar con el GAFI y GAFILAT para abordar sus deficiencias estratégicas ALD/CFT, el país ha logrado avances significativos para mejorar su régimen. Según el GAFI, entre los progresos realizados por Panamá se encuentra el hecho de que ha tipificado las figuras del lavado de dinero y financiación del terrorismo, ha establecido e implementado un marco legal para congelar activos del terrorismo, ha establecido medidas efectivas para realizar una adecuada debida diligencia con la intención de apuntalar la transparencia, ha establecido una unidad de inteligencia financiera, ha impuesto obligaciones de reporte de operación sospechosa para todas las instituciones financieras y DNFBPs — Designated Non-Financial Businesses and Professions o Negocios y Profesiones No Financieras Designadas—, y garantizando mecanismos eficaces para la cooperación internacional.

En la más reciente reunión plenaria bajo la presidencia de Corea del Sur, que fue realizada del 21 al 23 de octubre, los principales temas tratados fueron:

• Continuar trabajando en la financiación del terrorismo, que sigue siendo una prioridad del GAFI, incluyendo:

–Modificar la Nota Interpretativa a la Recomendación 5 para dar solución a la amenaza de terroristas extranjeros
–Adoptar un informe que identifica Métodos Emergentes de Financiación del Terrorismo
–Aprobar un informe a los líderes del G20 sobre las medidas tomadas por el GAFI

• El Informe de Evaluación Mutua de Italia sobre el cumplimiento de las Recomendaciones GAFI.
• Una declaración del GAFI sobre “de-risking” (eliminar el riesgo cortando las relaciones comerciales con clientes de países o sectores considerados de alto riesgo).
• Apoyo a las bases generales para la creación de Training and Research Institute (TREIN).
• Expansión de la Red Global del GAFI- Reconocimiento del Task Force on Money-Laundering in Central Africa (GABAC) como órgano regional estilo GAFI
• Dos documentos que identifican jurisdicciones que pueden representar un riesgo al sistema financiero internacional:–Jurisdicciones con deficiencias ALD/CFT a las que se pide que tomen medidas
  —Jurisdicciones con deficiencias ALD/CFT que han establecido un plan de acción con el GAFI
• Una actualización sobre las mejoras en Ecuador y Sudán
• La adopción de los siguientes documentos:

—El Lavado de Dinero a través del Transporte Físico del Dinero en Efectivo
—Guía sobre Datos y Estadísticas
—Guía sobre el Enfoque Basado en el Riesgo para una Supervisión y Cumplimiento Efectivo por parte de Supervisores ALD/CFT del Sector Financiero y Agencias de Ley