Tendencias: va a continuar el récord de hackeos y filtraciones en 2018 a medida que más delincuentes ganan dinero con la información robada
A medida que ACFCS examina el panorama de los nuevos desafíos y oportunidades en el campo de los delitos financiero de 2018, continuamos nuestra serie de «Tendencias», preguntando a los líderes de opinión clave que fue lo que enseñó a la comunidad el año que acaba de pasar y cómo ese conocimiento debería ayudar a armar profesionales de cumplimiento durante el año por adelante.
No sorprende que un buen pronosticador de lo que sucederá en 2018 esté enraizado en las tendencias de 2017, un año en el que los delincuentes hicieron historia con impresionantes hackeos e igualmente extraordinarios robos de datos que pusieron en riesgo a millones de personas y empresas.
Estos grupos—ya sean grandes grupos del crimen organizado, regímenes al margen de la ley o delincuentes de poca monta—no discriminan.
Sus objetivos abarcaban el arco de empresas pequeñas y grandes por igual, incluidos bancos, bufetes de abogados y empresas reconocidas, incluso teniendo acceso al vasto tesoro de información que posee una agencia de informes crediticios.
Eso seguramente continuará este año y posiblemente empeore.
En una palabra, la gran magnitud de los datos obtenidos en 2017 «no tiene precedentes», dijo Keith Furst, fundador de Data Derivatives, una firma de consultoría que ayuda a las instituciones a implementar, ajustar y validar los sistemas de delitos financieros.
Furst tuvo la amabilidad de prestar sus ideas y puntos de vista sobre estos y otros temas en una conversación con el Director de Contenido de ACFCS, Brian Monroe. Aquí hay una transcripción editada de esa conversación.
¿Cuáles crees que fueron las mayores tendencias de crímenes financieros en 2017 y por qué?
Una de las mayores tendencias de delitos financieros de 2017 fue la comercialización de datos confidenciales. Si bien los ataques cibernéticos han aumentado en sofisticación y frecuencia en los últimos años, la magnitud y la calidad de los datos obtenidos en 2017 no tuvo precedentes.
Por ejemplo, el hackeo de Equifax sin duda cambiará las reglas del juego de identificación. En otras palabras, ¿cómo sé que eres quien dices ser? Simplemente, poseer los datos correctos ya no es suficiente.
Una forma de abordar la identificación es usar la autenticación basada en el conocimiento o knowledge-based authentication (KBA) donde se le hacen preguntas a la persona, que la persona real y no el cibercriminal común debería saber.
Además, implica que las respuestas a algunas de esas preguntas pueden no ser fácilmente accesibles en el ciberespacio. La otra tendencia emergente es la biometría, que podría ayudar a resolver algunos de los problemas de identidad, pero podría crear otros problemas. Por ejemplo, si un día, sus huellas dactilares pueden autorizar una transferencia de dinero, abrir su automóvil y desbloquear su teléfono, entonces, ¿qué sucede si le roban sus huellas dactilares?
Lo triste del estado actual del mundo es que todo está en venta, incluidos los datos confidenciales, y nada está fuera de los límites. Hay varios mercados en la red oscura que se especializan en la venta de datos confidenciales, información de tarjetas de crédito, explotación sexual infantil, servicios de hackers por encargo, etc.
El hecho de que las filtraciones de datos ocurrieran con mayor frecuencia y éxito en 2017 alimentaron la demanda ya que los delincuentes comunes aprendieron a monetizar estas fuentes de datos.
¿Cómo respondió la industria a esas vulnerabilidades, puntos focales reguladores o tácticas delictivas?
La ciberseguridad es un tema muy complejo porque involucra a muchos actores dispares y amorfos, incluidas otras naciones que inician ataques cibernéticos. Por lo tanto, la imposición de regulaciones al sector privado puede ayudar a fortalecer las protecciones y los controles, pero puede no abordar a todos los actores, problemas y desafíos de una manera integral.
Por ejemplo, se ha documentado que el gobierno chino inicia ciberataques contra empresas en los Estados Unidos y roba propiedad intelectual, que se comparte con los sectores privado y académico para ayudar a impulsar su crecimiento económico.
Por lo tanto, simplemente imponer obligaciones normativas a las empresas privadas que tienen que protegerse de un adversario con los recursos financieros, la experiencia técnica y la determinación de un gobierno extranjero no es una lucha justa.
En otras palabras, la ciberseguridad también es un tema de política exterior, y el gobierno de EE.UU. debe definir claramente los parámetros de qué tipos de agresión caen dentro de qué categoría y qué tipos de respuestas son permisibles desde el sector privado.
Dicho esto, la creación de un marco para las mejores prácticas de seguridad cibernética tiene mucho valor y el Departamento de Servicios Financieros de Nueva York (NYDFS) fue el primer regulador de servicios financieros de Estados Unidos en proponer uno con su regulación 500.
Examinemos el caso de Equifax, para entender qué responsabilidad conlleva, una situación en la que la empresa fue pirateada, según los informes, debido a una vulnerabilidad identificada, pero nunca reparada.
Equifax no implementó un parche que podría haber evitado que ocurriera el hackeo, lo que significa que hubo un error interno. La otra falla importante de Equifax fue que la empresa no cifró los números de seguridad social de millones de personas y los dejó en un formato de texto plano.
Por lo tanto, si un hacker se filtraba en su sistema, acceder a los datos era mucho más fácil. Sin embargo, lo único que Equifax no puede controlar es la calidad del software disponible en el mercado.
¿Podría de alguna manera ser una injustica someter a las instituciones a normas regulatorias más estrictas y no responsabilizar a la industria del software por los productos que producen y los estándares de seguridad cibernética adheridos?
En resumen, es bueno que el NYDFS haya creado la regla 500 de ciberseguridad, pero los responsables políticos no deben perder de vista el hecho de que este es un problema complejo con muchos actores interrelacionados y penalizar a agentes específicos dentro del ecosistema podría ofuscar el problema.
El crimen financiero resultante de las violaciones de datos también enfatiza la necesidad urgente de mecanismos de intercambio de información más sólidos entre gobiernos extranjeros, unidades de inteligencia financiera (UIF), corporaciones y otros grupos encargados de hacer cumplir la ley.
¿Qué más crees que deberían estar haciendo los profesionales del cumplimiento de delitos financieros, los reguladores y las instituciones financieras para detectar y prevenir mejor los delitos financieros?
La Cámara de compensación publicó un excelente documento en febrero de 2017 titulado “A New Paradigm: Redesigning the U.S. AML/CFT Framework to Protect National Security and Aid Law Enforcement,” «Un nuevo paradigma: rediseño del marco estadounidense ALD / CFT para proteger la seguridad nacional y ayudar a las agencias de aplicación de la ley», donde describen algunas recomendaciones clave.
No estoy de acuerdo con todas las recomendaciones propuestas, pero la mayoría de ellas tiene mucho sentido.
El documento habla sobre el intercambio de información, aclarando las reglas regulatorias, la necesidad de un repositorio central de información de beneficiarios reales, etc. Estoy de acuerdo con la recomendación del documento de que los reguladores deberían ofrecer a las instituciones la opción de participar en círculos regulatorios bajo una norma de puerto seguro que previene penalizaciones si algo sale mal.
Los reguladores de EE.UU. parecen estar preocupados de que permitir estas intancias brinde a las instituciones la oportunidad de evadir la responsabilidad.
La realidad es que identificar el lavado de dinero y otros tipos de delitos financieros es muy complejo y usar tecnología más avanzada, como el aprendizaje automático, el procesamiento del lenguaje natural (NLP) y la visión por computadora, puede ayudar en ese proceso.
Muchas medidas de aplicación de ley hacen referencia a la gobernanza como una de las principales causas de fallas graves en el cumplimiento. Pero, ¿por qué los programas de cumplimiento son tan difíciles de gobernar de manera efectiva? Bueno, porque son sistemas complejos y administrar la complejidad no es fácil. Esto lleva a otra pregunta sobre si la nueva tecnología puede ayudar a reducir la complejidad y facilitar el gobierno.
La inteligencia artificial (AI) y la tecnología regulatoria (regtech) están muy de moda en este momento y a veces es difícil discernir entre lo real y lo ilusorio. Sin embargo, las instituciones deben ser cautelosamente optimistas, como lo soy yo, y deben comenzar centrándose en la innovación con casos de uso pequeños, independientemente del entorno normativo en el que se encuentren.
Se han producido algunos avances y logros increíbles en la tecnología con IA, por lo que las instituciones deben comenzar a experimentar ahora para no quedar rezagadas.
Además, las plataformas de big data pueden ayudar a resolver uno de los principales problemas que llevan afectando a los programas contra el delito financiero durante años, que es la integridad de los datos. En estos repositorios centrales, las instituciones pueden gestionar el significado empresarial de sus datos y no solo su movimiento.
¿Qué ejemplo ha visto al usar estas tecnologías?
Hubo un proveedor de inteligencia artificial que ayudó a una institución financiera líder a nivel mundial a reducir las alertas de falsos positivos en un 20% de su sistema de monitoreo de transacciones. Este es un paso importante en la dirección correcta porque libera capital para invertir en otras áreas de un programa de cumplimiento, como evaluaciones de riesgo, gestión de riesgo modelo, garantía de calidad, etc.
¿Cuáles cree que serán los grandes problemas a abordar en 2018?
Probablemente habrá un aumento en los registros de corporaciones nuevas, incluidas las compañías fantasmas o shell companies, ya que el nuevo plan tributario de Trump Tax Cuts and Jobs Act o TCJA incentiva a las personas a abrir corporaciones como vehículos para mantener activos, proteger los ingresos, pagar dividendos, etc.
Es irónico que, por un lado, los legisladores estadounidenses estén presionando por una mayor transparencia sobre los beneficiarios finales de entidades legales como lo proponen la Ley TITLE y la Ley de Transparencia Corporativa, pero por otro lado, aprueben una ley que probablemente aumentará el número de entidades legales diseñadas para jugar con las obligaciones fiscales.
Esto en realidad crea más trabajo para las instituciones financieras porque tendrán que llevar a cabo más diligencias debidas en entidades legales de opaco propósito. Las instituciones financieras deben planificar el uso de soluciones automatizadas y datos de referencia robustos para abordar el problema cada vez más complejo y oneroso del beneficiario final.
Por último, ¿tiene alguna sugerencia para ayudar a los bancos a maximizar los recursos y mantener mejor a sus equipos en un momento de presupuestos ajustados?
Un colega me dijo una vez que algunos bancos no tienen tiempo para mirar nuevas tecnologías porque están demasiado ocupados administrando su programa actual. Bueno, esta es exactamente la razón por la que la innovación debe ser una prioridad para los equipos de cumplimiento en 2018.
Los requisitos regulatorios y la naturaleza del problema continúan aumentando en complejidad, por lo que hacer las cosas de la misma manera no es sostenible.