FRAUDE TEMA COMPLEJO DE ABORDAR [Modo de compatibilidad]

Post on 22-Jul-2022

7 views 0 download

Transcript of FRAUDE TEMA COMPLEJO DE ABORDAR [Modo de compatibilidad]

FRAUDE TEMA COMPLEJO FRAUDE TEMA COMPLEJO DE ABORDARDE ABORDAR

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

COMO ENFRENTAR EL TEMACOMO ENFRENTAR EL TEMA

TEMARIO

I. EVOLUCION DEL DELITO.II. RIESGO DE FRAUDE.III. MARCO CONCEPTUAL.IV. ESTRUCTURA NECESARIA.

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

IV. ESTRUCTURA NECESARIA.V. ESTRUCTURA DEL AREA.VI. SINERGIAS ESPERADAS.VII. COMO ESTAR PREPARADOS PARA

LO QUE VIENE.

MAXIMAS:

1. EL DELINCUENTE ELIJE CUANDO, COMO, DONDE Y CON QUE…

2. SI TU NO TIENES LA INICIATIVA… LA TIENE EL DELINCUENTE…

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

EL DELINCUENTE…3. LOS DELINCUENTES TRABAJAN LAS 24

HORAS...4. LOS DELINCUENTE ESTAN SIEMPRE

ORGANIZANDOSE…¿Y TU?

EVOLUCIÓN DEL DELITO

1. DELITO VIOLENTO.a. Caracterizado principalmente por el uso de armas.b. Obtención directa del efectivo donde este físicamente se encuentra.c. Obtención indirecta de dinero mediante la coacción.Tendencia en Chile es a la disminución de los delitos violentos en contra

de la entidades.2. DELITO NO VIOLENTO, TRADICIONAL.

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

2. DELITO NO VIOLENTO, TRADICIONAL.a. Fraudes en la empresa.

a) Adulteración de los estados financieros.b) Apropiación indebida de activos.c) Corrupción .

b. Fraudes contra las personas.a) Cuentos del tío.b) Suplantación.

EVOLUCIÓN DEL DELITO

3. DELITO NO VIOLENTO, TECNOLOGICO.a. Robo de información, en especial de bases de datos.b. Preparación de Fraudes en la etapa de desarrollo de programas.c. Fraudes por la WEB.

a) Suplantación de personas.b) Virusc) Phishing.d) Pharming.

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

d) Pharming.d. Man in the middlee. Man in the Browser

4. DELITO NO VIOLENTO, INGENIERIA SOCIAL.a. Obtención de información y suplantación.b. Visching.

5. DELITOS NO VIOLENTOS QUE VENDRAN.a. Creación virtual de personas tal como si existieran físicamente.b. Desarrollo de nuevas cepas de virus mas especializados y específicos.

RIESGO DE FRAUDE

1. ¿He tenido fraudes en el pasado?, ¿Se podrán repetir?2. ¿Tengo riesgos de fraude hora?, ¿Se estarán fraguando hoy y

me enteraré de ellos cuando sea tarde?3. Si nos está pasando, ¿Tengo identificado el riesgo?, ¿En cuantos

$$$ nos está afectando?, ¿Estamos haciendo algo para mitigarlo o evitarlo?

4. ¿Mis procedimientos y controles internos están también orientados a prevenir y evitar el fraude?

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

orientados a prevenir y evitar el fraude?5. Si tuviese un fraude, ¿Cómo afectará a mi Imagen Corporativa?6. Las pérdidas que se generan, ¿Cuánto afectan a mi

competitividad?.7. Si me ocurriese un fraude, ¿estoy en condiciones de

investigarlo?, ¿Tengo a alguien a quien recurrir?8. Si nada hacemos al respecto, ¿Qué es lo que puedo esperar?

LA AMENAZA

• Según una encuesta realizada por ACFE (Association of Certified Fraud Examiners)

• � La media del costo del fraude es alrededor del 5% de los ingresos anuales

• � En el 60% de casos de fraude están implicados empleados • � Alrededor del 60% de las detecciones de fraude se producen por

casualidad o accidente • � Los patrones de fraude tardan unos 18 meses en ser detectados

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

• � Los patrones de fraude tardan unos 18 meses en ser detectados

• Una investigación del Servicio Secreto Norteamericano sobre las amenazas internas en el Sector Banca indica que Más de ¾ del fraude interno fue realizado por:

• � Usuarios autorizados • � Con cuentas activas • � Empleando comandos simples, permitidos y utilizados en la operativa

diaria

PERDIDAS: SACANDO CUENTAS

Por cada peso perdido, una organización pierde adicionalmente otros cuatro pesos.

1. El primer peso de pérdida es el ilícito descubierto.2. Un segundo peso se gasta analizando cómo se cometió. (Auditoría)

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

2. Un segundo peso se gasta analizando cómo se cometió. (Auditoría)3. Un tercer peso se gasta tratando de identificar quién lo cometió.

(Investigación)4. Un cuarto peso se gasta persiguiendo legalmente al responsable.

(Jurídico)5. Un quinto peso se gasta... intentando la recuperación del dólar perdido...

PERDIDAS: SACANDO CUENTAS

ESTADISTICAS INTERNACIONALES:

FRAUDES EN INSTITUCIONES FINANCIERAS

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

PERDIDAS: SACANDO CUENTAS

• EL FACTOR HUMANO:Muchos expertos en prevención de fraudes utilizan la regla llamada 20-60-20 para ilustrar el comportamiento humano ante el fraude:

• 20% Son las personas de cualquier organización que nunca robarán, no importando nada. Son del tipo de personas que su carácter e integridad son tan fuerte que nada los puedes persuadir o tentar para hacer algo deshonesto.

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

deshonesto.

• 60% Son las personas de una organización que son susceptibles al fraude. Son básicamente personas honestas. Pero si tienen la oportunidad de defraudar a la organización con un mínimo riesgo para ellos, cruzarán la línea.

• 20% Son fundamentalmente deshonestos. Siempre cometerán actos ilegales cuando surja la oportunidad. De echo regularmente intentarán crear oportunidades para robar o engañar si consideran que pueden obtener una utilidad.

LA DISUACION

PERDIDAS: SACANDO CUENTAS

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

MARCO CONCEPTUAL

1. PREDICCION:a. Obtención de información de diversas fuentes, proceder a su análisis y obtener INTELIGENCIADELICTUAL.b. Generar el ciclo virtuoso antifraude en la organización.

2. PREVENCIONa. Se debe tomar la decisión de desarrollar los controles para impedir el fraude y proteger los recursos de la

institución.b. Se debe preparar campañas comunicacionales hacia los funcionarios de la institución, empresas externas y

clientes, con el objeto de fortalecer las medidas antifraudes.c. Emitir las alertas a la institución con información de Modus Operandi, riesgos y Delincuentes.

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

3. DETECCIONa. Es necesario realizar los controles que permitan detectar indicios de actividades de Fraudes.b. Desarrollo de Monitoreos tecnológico y manuales.c. Canales de comunicación específicos para recibir denuncias y materializar las investigaciones del caso.

4. RESPUESTAa. Realizar las investigaciones de fraudes exhaustivas.b. En lo posible informar internamente y reconocer el fraude aclarado y las sanciones aplicadas para que la

organización sepa que estas conductas se atienden y se es implacable en su tratamiento, ello genera disuasión.

c. Difundir los informes con recomendaciones específicas de mejora.d. Hacer el seguimiento a cada una de las recomendaciones hasta su completa solución.

ESTRUCTURA NECESARIA

Cada empresa según su tamaño y Evaluación de Riesgo de la amenaza de fraude, debe determinar la Conveniencia y Factibilidad de implementar una estructura Externa o Interna.

1. EMPRESA EXTERNAa. Ventajas:

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

a. Ventajas:a) Se obtiene una visión imparcial de un ente especializado que no

está involucrado en los procesos.b) Se logra independencia en el desarrollo de la actividad.

b. Desventajas:a) No conoce los procesos y riesgos implícitos, lo que toma mayor

significación si el requerimiento de investigación es esporádico.b) Riesgo de que se le oculte deliberadamente información.c) Dificultad de llevar acabo la tareas de Prevención de Fraudes.

ESTRUCTURA NECESARIA

2. ESTRUCTURA INTERNAa. Ventajas:

a) Conoce los procesos y procedimientos en vigencia en la organización.

b) Dificultad de esconder información relevante.c) Ser parte de la estructura permite un mejor seguimiento de las

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

c) Ser parte de la estructura permite un mejor seguimiento de las medidas de mitigación, así como también, la coordinación con el área de Prevención.

d) Permite obtener importantes sinergias. b. Desventajas:

a) Se puede generar dificultad de independencia, en caso de estar la estructura incorporada a un área con poco peso específico en la organización.

b) Sostener la estructura en el tiempo, en caso que el volumen de fraudes sea temporalmente bajo.

ESTRUCTURA NECESARIA

ESTRUCTURA INTERNA:

GERENTE DE AREA

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

SEGURIDAD FISICA

INVESTIGACION DE FRAUDES

PREVENCION DE FRAUDES

RED DE SUCURSALES

EDIFICIOSCENTRALES

INVESTIGADORIº

INVESTIGADORIIº

ANALISTA DEPREVENCION

CRIMEN TECNOLOGICO

ESTRUCTURA DEL AREA

1. Prevención de Fraudes.

• La prevención es toda medida tendiente a anticipar y atacar los factores causales del delito que eviten o minimicen daños, incluidas las oportunidades para la comisión de conductas delictivas y contraproducentes. Tales como:

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

contraproducentes. Tales como:– Desarrollar monitoreos tecnológicos y manuales.– Emitir alertas sobre Modus Operandi, identificación de delincuentes y toda

información que permita frustrar un fraude.– Procesar toda información que indique riesgo de potencial fraude.– Hacer seguimiento a la solución de debilidades que generan riesgo de fraude.

ESTRUCTURA DEL AREA

2. Investigación de Fraudes.• PARA:

– Aclarar y resolver un ilícito– Retroalimentar a los procesos– Recuperación parcial o total del daño– Deslindar responsabilidades– Coadyuvar con entidades y autoridades– Proponer estrategias de prevención

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

– Proponer estrategias de prevención • Una investigación se caracteriza principalmente por ser dinámica, requerir una

gran dosis de criterio y coordinación y utilizar informes de hechos, además, implica la presentación periódica de informes verbales y escritos.

• Cada investigación es única, variando en tamaño, complejidad y objetivos.• Las acciones persecutorias y punitivas en relación a conductas de

fraude, debieran ser implacables y no utilizarse en forma excepcional, discrecional y selectiva, aplicando una lógica contundente: al prevenir se corrige y al corregir se previene.

• El ejemplo de las acciones disciplinarias generan DISUASIÓN

ESTRUCTURA DEL AREA

3. Crimen Tecnológico.• Es toda acción u omisión culpable realizada utilizando un medio informático, que

cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está sancionado con una pena.

• Las organizaciones frente al creciente Delito Informático, han determinado la necesidad de disponer de un área en la organización que materialice las investigaciones relacionada a este delito.

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

investigaciones relacionada a este delito.

• Esta área debe tener la capacidad de investigar con el propósito de que, a partir de un elemento tecnológico, que bien puede ser un disco duro, un CD, una computadora, una memoria USB, o una cuenta de correo electrónico podamos reconstruir hechos, recuperar información, archivos o datos, o bien regenerar una estructura de información sobre el uso de dicho elemento que pudiera servirnos como pruebas contundentes en temas legales y procesales, es decir, juicios.

• Si bien el Crimen tecnológico se da en los dispositivos, también se puede aplicar técnicas de investigación en campos como Internet y las redes sociales.

SINERGIAS ESPERADAS

PREVENCION DE FRAUDES

INVESTIGACION DE FRAUDES

ANALISISANALISISDEDE

INTELIGENCIA INTELIGENCIA DELICTUALDELICTUAL

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

CRIMEN TECNOLOGICO

COMO ESTAR PREPARADOS PARA LO QUE VIENE

1. CONOCER LOS RIESGOS DEL PROPIO NEGOCIO. 2. GENERAR UNA CULTURA QUE VEA AL FRAUDE

COMO UNA REAL AMENAZA.3. INSTALAR UNA ORGANIZACIÓN ANTIFRAUDE

FLEXIBLE CON APOYO DE EXTERNOS ESPECIALIZADOS.

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

ESPECIALIZADOS.4. DESARROLLAR A NIVEL DE LA EMPRESA

CAPACIDADES PARA HACER BUSQUEDA, RECOPILACION Y ANALIZAR INFORMACIONES SOBRE EL FRAUDE.

5. DESARROLLAR A NIVEL DE INDUSTRIA ORGANIZACIONES FORMALES PARA INTERCAMBIO DE EXPERIENCIAS E INFORMACION.

Muy agradecido por la atención dispensada

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

FIN

MARCO CONCEPTUAL

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

TODOS LOS DIAS UN VIRUS NUEVO

• Afecta a usuarios de Firefox• Estafadores clonan sitio de Microsoft Update• [ 13/06/2011 - 09:55 EST ]

Nueva modalidad de ataque intenta estafar a los usuarios para que instalen software malicioso suplantando una actualización de seguridad de Microsoft.

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

Ataque Man in The Browser

Sitio Web visto

Por el Cliente

Sitio Web visto

Por el Banco

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

Cliente realiza la transferencia, pero el ciber delincuente cambia el destinatario, el Banco, la

cuenta y el monto. Al cliente le muestra la transferencia por él realizada y al banco la

fraudulenta

•Los controles tradicionales no pueden hacer nada contra este ataque.•Los controles que pueden hacer algo carecen de usabilidad y son caros

Ataque Man in The Middle

Sitio Web visto

Por el Cliente

El ciber Delincuente

Cambia los datos de la

transacción

INTERNET

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

Cliente realiza la transferencia, pero el ciber delincuente cambia instantáneamente el

destinatario, el Banco, la cuenta y el monto.!•El cliente es el infectado, el troyano está en su computador.•Los controles tradicionales no pueden hacer nada contra este ataque.•Se requieren medidas especiales.

PharmingEl Cliente

Digita la página del banco, el TROYANO lo desvía a la falsa

El ciber Delincuente

hace la transacción

desde la cuenta del

cliente

INTERNET

El ciber

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

Cliente ingresa las claves en la página falsa, el ciber delincuente las captura y bloquea el

computador del cliente y luego hace trasferencia a otra cuenta de otro Banco.

!•El cliente es el infectado, el troyano está en su computador.•Los controles tradicionales no pueden hacer nada contra este ataque.•Se requieren medidas especiales.

El ciber Delincuente captura las

claves

Phishing

El Cliente recibe pagina falsa e ingresa sus claves

El Banco recibe

la transacción

INTERNET

El ciber delincuente difunde pagina falsa

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

sus claves

- Cliente recibe por mail una página falsa del banco en que le solicitan las claves, él las entrega.- El ciber delincuente capta las claves, va al sitio del banco y con esas claves ingresa a las cuentas del cliente y concreta la transferencia a otra cuenta de otro banco.

•El cliente es inducido a entregar sus claves.•Campañas de difusión informan y previenen a los clientes de no entregar sus claves.

• EL FACTOR HUMANO:• Muchos expertos en prevención de fraudes utilizan la regla llamada 20-60-

20 para ilustrar el comportamiento humano ante el fraude:

• 20% Son las personas de cualquier organización que nunca robarán, no importando nada. Son del tipo de personas que su carácter e integridad son tan fuerte que nada los puedes persuadir o tentar para hacer algo deshonesto.

Roberto Rosenkranz F. roberto.rosenkranz@gmail.com

deshonesto.•• 60% Son las personas de una organización que son susceptibles al

fraude. Son básicamente personas honestas. Pero si tienen la oportunidad de defraudar a la organización con un mínimo riesgo para ellos, cruzarán la línea.

• 20% Son fundamentalmente deshonestos. Siempre cometerán actos ilegales cuando surja la oportunidad. De echo regularmente intentarán crear oportunidades para robar o engañar si consideran que pueden obtener una utilidad.