PANEL

FRAUDE EN EL SECTOR

EMPRESARIAL

Causas, Consecuencias y Controles

2018

PROTOCOLO PARA EL

MANEJO DE EVENTOS

DE FRAUDE

Existen 4 formas en las que una Organización puede verse involucrada en un evento de fraude.

COMO VÍCTIMA

Los recursos de una empresa sonafectados como consecuencia delas actuaciones fraudulentas depersonas internas, externas o encombinación de las anteriores.

COMO OBJETIVO

La Organización tiene conocimientoanticipado de la posibilidad de servíctima de un fraude. Esta informaciónpuede llegar de forma anónima, porejemplo por la Línea Ética; o puedellegar en forma de chantaje o amenazade afectar los recursos, si no se accedeal pago de sumas de dinero u otro tipode exigencias extorsivas.

COMO TERCERO INCIDENTAL

La Organización se ve envuelta en una situación de fraude o corrupción, sea esta cierta o no, como consecuencia de acciones u omisiones de alguno de los partícipes de su actividad, como asociados de negocios, proveedores o clientes.

COMO RESPONSABLE

En algunas circunstancias, lasactuaciones de algunoscolaboradores directos eindirectos harán a la empresaresponsable de actosfraudulentos o corruptos.

¿QUÉ HACER CUANDO LA EMPRESA ES

VÍCTIMA?

Normalmente el descubrimiento dedefraudadores afecta profundamente la moralde los funcionarios de rango de las empresas,llevándolos en ciertos casos a tomar actitudesprecipitadas que pueden incluso borrarevidencia importante.

• Hay que tener en mente que no convienetomar ninguna decisión en los momentosiniciales. Se recomienda esperar a recuperarla calma y la "cabeza fría", para luego iniciarun proceso ordenado de manejo.

• Cortar por completo la situación que generapérdidas: la falta de planes de contingencia yde continuidad para enfrentar este tipo decrisis, causa que las pérdidas sean mayores.En consecuencia, deberá contarse con unplan adecuado de manejo de situacionescomo estas, cambiando claves, denegandoaccesos físicos y passwords, notificación aclientes, reemplazo de rutas, etc.

• Identificar a los implicados: nada mina más latranquilidad de una organización que eldescubrimiento de un fraude, sin que al mismotiempo se identifique a los responsables. Porello, resulta de la mayor importancia detectar alos perpetradores del hecho, separándolos delos inocentes.

• Desvincular y/o castigar a los ofensores:procediendo de esta manera, se desalentará demanera eficiente cualquier intento posterior.

• Recobrar las sumas perdidas: la pronta yeficiente intervención mejorará lasposibilidades de recuperación de los dineroso bienes sustraídos de la organización.

Incluye el trámite ante las aseguradoras, el cualdeberá hacerse teniendo en cuenta los aspectolegales y la conveniencia.

• Prevenir recurrencias:identificando, y corrigiendo,las fallas administrativas quefacilitaron la comisión deldelito, se podrán establecerbarreras efectivas contra surepetición.

¿QUÉ HACER CUANDO LA EMPRESA ES OBJETIVO?

En este escenario todavíano se ha producido elevento, pero la empresarecibe informaciónconfiable de que seencuentra en la mira de losdefraudadores.

• Establecer cómo puedematerializarse la amenazadetectada, para proceder aintervenir las situaciones,procesos o sistemas quepodrían vulnerarse.

• Involucrar a las áreas que deberíanparticipar en la ejecución de lastareas tendientes a evitar el daño.Convocar a las áreas comoTecnología de la Información,Seguridad física, Archivo, Talentohumano, Jurídica y Financiera, bajola coordinación del área de Gestiónde Riesgos.

•Comenzar una labor deidentificación de la fuentede la amenaza, paraestablecer si existepersonal internoinvolucrado y obrar enconsecuencia.

• En los casos que seanecesario, contar con el apoyode las autoridades y deexpertos, para la preconstitución de pruebas odesarrollo de medidas queeviten la vulneración de losrecursos.

¿QUÉ HACER CUANDO LA EMPRESA ES UN TERCERO

INCIDENTAL?

• Asegúrese de hacer una debidadiligencia de verificación de sussocios comerciales, sean estosproveedores o clientes, a fin dedetectar posibles problemasjudiciales provenientes deactividades de lavado de activoso financiación del terrorismo.

Si bien ello no es garantía total detener asociados libres de problemas,las autoridades valoraránpositivamente que se hubieseninvestigado los antecedentes de unsocio comercial, aun en caso que enrealidad se trate de alguien que ocultetras una empresa de fachada a unaoperación criminal.

• Procure en lo posible nodepender de un solo proveedoro cliente, para que en caso dealgún problema con ellos,siempre se disponga dealternativas para continuaroperando en caso de sernecesario.

¿QUÉ HACER CUANDO LA EMPRESA ES

RESPONSABLE?

Resulta lógico suponer que ningunaempresa legal se constituye con elpropósito de cometer actos delictivos. Noobstante, dentro del abanico deposibilidades debe contemplarse esteescenario, para que su ocurrencia puedaser manejada de acuerdo con un planpreconcebido y no se agraven más susconsecuencias por falta de planeación.

• Los colaboradores que ocupancargos sensibles deberándeclarar anualmente noencontrarse incursos en ningunasituación que los puedacomprometer en actosdeshonestos, a ellos o a laentidad.

• La mejor solución es admitir elhecho cuando éste esincontrovertible, reconocer la falla yaceptar sus consecuencias. Este esel camino para dejar atrás lo máspronto posible el evento, aprenderla lección y tomar las previsionespara evitar su recurrencia.

• Corresponderá al departamento derelaciones corporativas o al áreajurídica diseñar un esquema demanejo de medios de comunicación,en el muy probable caso que estetipo de eventos se haga público ysea necesario responder preguntasrelacionadas con lo sucedido.

• Tener un solo vocero autorizadoevitará problemas mayores,permitiendo entregar informaciónveraz y dejando en claro que setrató de un evento aislado y no unapráctica común en la empresa, paralo cual ya se tomaron los correctivosdel caso.

PROCEDIMIENTO

INVESTIGACIÓN INTERNA

CORPORATIVA

1. Contexto

2. Procedimiento

investigación interna

Indicadores digitales al rededor del mundo en 2018

Usuarios móviles

7.593Billones

4.021Billones

3.196Billones

5.135Billones

Población total Usuarios de internet Usuarios activos de

Redes sociales

FUENTE: Global Overview by we Are Social and Hootsuite

“446 empresas reportaron haber sido

victimas de Ciberataques en Colombia”.

FUENTE: https://caivirtual.policia.gov.co/sites/default/files/informe_cibercrimen_2017.pdf

REPORTE: Diciembre 2017 - Caivirtual de la Policía Nacional

CIBERCRIMEN

En 2017 el cibercrimen reportó un incremento del 28.30%. El modelo de crimen como servicio

permitió que actividades ilícitas mutaran del escenario físico al virtual, diversificando el mercado

de productos asociados al mismo.

.

Nuevas Amenazas

FUENTE: https://caivirtual.policia.gov.co/sites/default/files/informe_cibercrimen_2017.pdf

MODALIDAD CASOS REPORTADOS PÉRDIDAS

Estafa por suplantación de Sim Card

1385 $7.690.000.000,00

Vishing – Tráfico de datos financieros personales.

1055 $2.132.000.000,00

Fraude por falso WhatsApp 381 Principalmente gerentes

Ciberpirámides 182 $1.500.000.000,00

A través de “puertas traseras”, gracias a la infecciónde malware y a la utilización de RAT (Remote AccessTool) para la ejecución de software malicioso quesirve para la transferencia ilegal y no consentida de:

• Dinero• Información• Bases de datos

Las cifras de hurto por este delito ascienden a más de50 mil millones de pesos solo en alcaldías a nivelnacional.

Ataque a Entes Gubernamentales

REPORTE: Diciembre 2017 - Caivirtual de la Policía Nacional

Se estima que por cada caso de BEC que afecteen Colombia, existe una pérdida de 380millones de pesos. La suplantación de correotiene dentro de sus principales objetivoscargos críticos.

REPORTE: Diciembre 2017 - Caivirtual de la Policía Nacional

BEC (Suplantación de Correo Corporativo)

Modalidad de fraude mediante la cual losciberdelincuentes comercializan los datosde tarjetas de crédito y débito, cuentasbancarias e información financiera sustraídaa las víctimas con fines fraudulentos.

Esta modalidad ha generado pérdidasanuales por 60.000 millones de pesos y sehan recibido 328 incidentes por Carding.

REPORTE: Diciembre 2017 - Caivirtual de la Policía Nacional

Carding

Varios ciberataques han puesto en jaque la seguridad de las empresas y han hecho

cuestionarse todos los sistemas de ciberseguridad que utilizan.

Las organizaciones no sólo se exponen a grandes pérdidas económicas, sino que en muchas

ocasiones se ven también expuestas a importantes pérdidas de datos e información.

Por su parte la seguridad de lainformación, busca proteger lainformación de la empresa u organizaciónindependiente del medio en el que seencuentre almacenada. La seguridad de lainformación se basa en tres principios:confidencialidad, integridad ydisponibilidad, a nivel estratégico.

Seguridad de la información

Seguridad informática

La seguridad informática buscaproteger los diversos recursostecnológicos inherentes a laoperación de la empresa o entidad:hardware y software, a nivel táctico.

Marco Legal

✓Políticas✓Reglamento Interno de Trabajo✓Contrato laboral✓Capacitaciones (actas)

Fases de la Investigación

1.Fase inicial2.Fase de respuesta3.Fase de auditoría4.Fase de evaluación5.Fase de mitigación6.Fase de seguimiento

Procedimiento Investigación Interna

1. Los elementos materiales probatorios y evidencias físicas deben serpropiedad de la empresa.

2. Se debe garantizar que en los contratos de trabajo y/o el reglamento internode trabajo se encuentre estipulada la capacidad unilateral de la empresa eniniciar investigaciones y revisiones sobre los elementos asignados al empleado.

3. Se debe iniciar el proceso de investigación interno y solicitar, en caso denecesitarse, un peritaje forense a un tercero que sea independiente e imparcial.

4. Se debe reunir el equipo de investigación interna, el custodio actual de loselementos materiales probatorios y/o evidencias físicas, testigos (normalmenteson jefes superiores al custodio de los EMP y/o EF), al equipo de peritosforenses y explicarle el proceso de investigación y las labores de peritaje.

Procedimiento Investigación Interna

5. Realizar el peritaje forense en conjunto con la investigación internaadelantada.

6. Levantar actas de la reunión con fecha, hora, firmas de los testigos yacontecimiento de la reunión.

7. Levantar una cadena de custodia de cada evidencia original que permitaasegurar la Identidad, Integridad, Inalterabilidad y Continuidad y llevar registrofotográfico del proceso.

8. Levantar una cadena de custodia de cada copia forense.

9. Se debe embalar cada evidencia original y la cadena de custodiacorrespondiente de forma que permita conservar los principios de Identidad,Integridad, Inalterabilidad y Continuidad.

Procedimiento Investigación Interna

10. Almacenar la evidencia original y la cadena de custodiacorrespondiente en un sitio seguro, que minimice su manipulación ypermita contrastar los resultados obtenidos.

11. Almacenar la copia forense y la cadena de custodia correspondienteen un sitio seguro hasta ser llevada al laboratorio de análisis forense.

Fases de la Informática Forense

Esta se lleva a

cabo en el sitio

específico donde

sucedió el ataque

informático y se

realiza el

levantamiento de

información

inicial para el

análisis forense

Identificación Validación y Preservación Análisis y

Descubrimiento Informe

Se hace una copia

o imagen que sea

igual al contenido

de la evidencia,

además se

establecen

responsables y

controles sobre la

evidencia.

Corresponde a la

presentación de un

informe escrito que

contenga

información

ordenada y con la

evidencia que ha

sido recuperada

junto con su

interpretación

Con base en el

análisis realizado

se puede

determinar el tipo

de ataque y los

patrones de

comportamiento del

atacante, objeto del

ataque y los daños

causados.

A CM

CN

COMPLETAAUTÉNTICA

CONFIABLE

• Autenticidad

• Confiabilidad

• Completitud o suficiencia

http://www.pmsommer.comInternational Organization on Computer Evidence (IOCE)

CONFORMIDAD*

Características Legales de la Evidencia

Hallazgos información analizada del caso

1. Analizando la información de procesos de contratación actuales y pasados en los queel empleado ha participado en los últimos 5 años, se logra determinar un cruce deinformación confidencial de un proceso de contratación mediante un correoelectrónico no corporativo.

2. Se identifican diferentes versiones del documento de referencia que debe ser enviadoa las empresas oferentes y se analizan los cambios que hay entre la versión definitiva.

3. Se evidencia mediante una serie de correos electrónicos, la adhesión indebida de unoferente nuevo sin contar con el proceso de control de cambios del proceso decontratación.

4. Se comparte información del proceso con personal interno de la organización que notiene funciones directas con los procesos de contratación.

5. Se encuentra software indebido en los equipos analizados, como el TOR Browser(Software para navegación y transmisión de información anónimamente),reproductores de audio y video no propios de la instalación por defecto de laorganización, archivos multimedia digitales sin licencia, entre otros.

Resultados Análisis Forense Permite

• Probar o no la ocurrencia de una brecha deseguridad en los datos.

• Determinar el alcance de la intrusión enlas bases de datos.

• Reconstruir las operaciones de DataManipulation Language (dml) y DataDefinition Language (ddl) efectuadas porun usuario.

• Identificar las transacciones pre y postintrusión.

• Recuperar (si es posible) los datosborrados de una base de datos.

Marco Legal

✓Políticas✓Reglamento Interno de Trabajo✓Contrato laboral✓Capacitaciones (actas)

✓Acompañamiento técnico✓Acompañamiento legal.

PANEL