Presión de las Autoridades y las

estructuras contra el Ciberdelito

(Relación de las Unidades Antilavado y

de Seguridad para alejar amenazas

cibernéticas

Franco Rojas Sagárnaga (Bolivia)Gerente General GRUPO AMLC

El Nuevo escenario delictivo

Durante la última década, el

mundo se ha visto vulnerado

cada vez en mayor medida por

nuevos tipos de delitos y

fraudes. Los Ciberdelitos. El

crecimiento de organizaciones

dedicadas al fraude y al acoso

se ha convertido en un

problema transnacional.

El Problema es que la gran mayoría de los países no

cuenta con Leyes contra los diferentes tipos de delitos que

aparecen.

Qué esta sucediendo?

Un desertor del Ejército

Norcoreano describió para la

revista Business Insider como

funciona el ejército de Hackers

mas grande del mundo.

Explicó que la existencia del

Buró 121 es una realidad.

El Buró 121 es el Buró General de Reconocimiento, el cual

recluta Ingenieros de la Universidad mas prestigiosa de

Corea del Norte en la cual se forman por 9 años y en la

cual aprenden a “hackear”

…cont.

En el Buró han pasado mas de

1800 expertos piratas

informáticos que se ocupan de

estudiar un país, viajar y vivir

en él para conocer sus

debilidades.

Posteriormente, regresan y crean virus para atacar a sus

empresas y las entidades Estatales con la intención de

crear confusión social y temor. Son Cibercriminales. Uno

de los casos mas notados se les asocia. Caso Sony

playstation.

CASOS IMPORTANTES

145 millones de Usuarios afectados. Aun no se

conoce cuanta información se robaron (2014)

152 millones de Usuarios afectados. ADOBE no reconoce

todo, sigue la investigación (2013)

130 millones de Usuarios afectados. El hacker Albert Gonzálezfue acusado de coordinar el ataque que se llevó datos de 130millones de tarjetas de débito y crédito de la multinacional depagos Heartland Payment Systems. Sucedió en 2008, pero no sehizo público hasta mayo de 2009

CASOS IMPORTANTES

94 millones de Clientes. En enero de 2007, responsables delgrupo TJX hicieron público un ataque informático que puso enpeligro los datos bancarios de 94 millones de clientes entre suscadenas de tiendas Marshals, Maxx y T.J

El ataque que robó información de las cuentas de77 millones de usuarios de los serviciosPlayStation en todo el mundo supuso un durogolpe para Sony, entre otras cosas porque tardóuna semana en reconocer el problema. Tuvo quecompensar a los usuarios y recibió variassanciones en países como Reino Unido. 2014 y 15

CAMBIA EL AMBIENTE DE CONTROL

Ningún regulador se

encontraba preparado para

este tipo de incidentes y

menos aún las autoridades,

pues es muy dificil

comprender los diferentes

tipos de acciones que

suceden detrás de las

intenciones de los

delincuentes.

LA RESPUESTA HA TENIDO 2 AMBITOS

Los países con acciones penales impulsadas por sus

propios jefes de estado y acciones privadas para proteger

los negocios:

Acción Estatal que no define alcances, es muy amplia pero

hoy por hoy es coercitiva

Acción Privada, impulsada por la

Industria Informática para protección de

sus propios sistemas y clientes

LA POLICIA?

Lastimosamente, la policía es la

entidad menos beneficiada en la

lucha contra este tipo de delitos

tan técnicos y cuentan con muy

poca formación para alcanzar en

el trabajo de control y posterior

investigación. El caso de Europol

y la relación con Kaspersky Lab

es una pequeña diferencia.

COMO REACCIONAN LOS PAISES?

En abril de 2015, Estados Unidos

promulgó una orden ejecutiva por la

cual castigan económicamente a

quienes INTENTEN ataques

cibernéticos contra organismos y

ciudadanos estadounidenses

En 2013, Europa abrió el Centro Europeo

contra Ciberdelitos con sede en la Europol en

Holanda, pensado principalmente contra el

fraude bancario y personal. El éxito del

proyecto ha llevado a Kaspesrky Lab a apoyar

a Europol y también a Interpol. 2014.

COMO REACCIONAN LOS PAISES?

En Latinoamérica el crecimiento de estos problemas ha sido

una constante y como tal los países han respondido con Leyes

y regulaciones genéricas, pero aún falta mucho que hacer

pues los ciberdelitos alcanzan no solo a problemas de

infraestructura informática o sistemas informáticos, sino

también a administración de Datos, lo cual nos lleva aún a

problemas mayores.

Por lo anterior, han salido respuestas de organizaciones

sin fines de lucro que apoyan la lucha contra estos delitos

como www.Pantallasamigas.net

QUE SUCEDE CON LAS INSTITUCIONES?

Las instituciones financieras y no financieras, han optado en la

mayoría de las ocasiones por establecer análisis de

Vulnerabilidades, enfocados en: Diseño, Implementación, Uso,

vulnerabilidades del buffer, de condición de carrera, del

formato de la cadena, de análisis de Scripts, de inyección SQL,

de denegación de servicio y ventanas.

Lo anterior es muy bueno, sin embargo, se enfocan

principalmente al software. Qué sucede con el negocio?,

como se entiende la información entonces?, que deberían

tomar en cuenta las entidades relacionadas a las unidades

de prevención de lavado de dinero?

ESTABLECER EL CONTEXTO EN UN AMBIENTE ALTAMENTE SUCEPTIBLE A SER ATACADO

Los delitos como el Kiting, el Pishing, la falsificación, la

adulteración de cuentas, la manipulación de saldos, la

falsificación de tarjetas, cheques, la destrucción de información

o el acceso a información privilegiada, generalmente han sido

atendidos como delitos que apetecen al delincuente a fin de

generar ingresos ilícitos. Estos delitos sin embargo han pasado

por un largo proceso de estudio a cargo del delincuente, el cual

ha considerado un ESTABLECIMIENTO DEL CONTEXTO,

desde el punto de vista de la oportunidad.

EL MOMENTO.

QUE SIGNIFICA ESTABLECER EL CONTEXTO DESDE UN PUNTO DE VISTA DE GESTION DEL RIESGO?

COMPRENDER

QUIEN SOY Y

DONDE APUNTA MI

NEGOCIO

EL PROBLEMA

Existe un divorcio entre la Estrategia del Negocio y la

Estrategia de Control. Desde un punto de vista de

Prevención de Lavado de Dinero, sería un Divorcio

entre la Estrategia del Negocio y la Estrategia de

Cumplimiento.

Desde el punto de vista del Alineamiento Estratégico,

debería cumplirse lo siguiente:

ALINEAMIENTO ESTRATEGICO

Otras áreas de control

Áreas de soporte

Prevención Análisis y Monitoreo

Enfoque de riesgos

Sistema de monitorización del sistema de gestión de riesgos

Estrategia del negocio

Estrategia de Cumplimiento

Clie

nte

s

Pro

du

cto

s

Can

ales

Terr

ito

rio

OTRO PROBLEMA

Se interpreta de manera equivocada lo que significa

Seguridad de la información y Seguridad informática.

De hecho, la seguridad de la información es un

campo mucho mas amplio y cae sobre la

información, toca tanto temas técnicos informáticos

como físicos.

La seguridad informática alcanza a todos los

servicios informáticos y equipos, pero separa el

concepto de información.

QUE SUCEDE SI LA ACCION ES LEGAL?

El problema es que las entidades se han ocupado de

ver la ilegalidad del problema y no así de reconstruir

los factores que hacen una relación de

Vulnerabilidad y Amenaza un RIESGO.

En otras palabras no se piensa con un enfoque

basado en gestión de riesgos. El trabajo que se

realiza está asociado a la gestión de respuestas de

alertas y no así a hacer prevención.

QUE HACEMOS?

La protección de datos es establecer un

mecanismo de Gestión de Correlación de

datos segmentados que permitan la

constitución dinámica de información por

agrupamiento pero con un enfoque

Metodológico que así lo permita.

Comunicación y consulta

Establecimiento de contexto

Identificación de riesgos

Análisis de riesgos

Evaluación de riesgos

Tratamiento de riesgos

Monitoreo y revisión

APLIQUEMOS UNA METODOLOGIA DE GESTION DE RIESGOS

SEGMENTACION

Clasificación de

Clientes según

correlación de

variables puras

según

correlación

positiva y

negativa

A

B

C

DE

F

Escalonamiento de niveles de relación de riesgo en

relación al negocio

Homogenización de

Bases de resultantes

para el correspondiente

análisis

Entender el negocio

es fundamental para

establecer límites y

controles de

operación

retroalimentado. El

proceso es iterativo.

Si no hacemos esto,

jamás haremos

prevención

RE COMPRENDER MI FUNCION

AHORA PUEDO HACER PREVENCION

BI

VARIABLES DE RIESGO

VARIABLES DE PREVENCION

DATOS DE CLIENTES

DATOS DE PRODUCTOS

DATOS DE TRANSACCIONES

OTROS VARIOS

Fundamento del

Monitoreo

SOFTWARE

LA PROTECCIÓN DE DATOS

En otras palabras, la protección de datos en

materia de prevención de lavado de activos se

da en la articulación de correlaciones de

factores de riesgo asociados a una

metodología de gestión que permita migrar

constantemente de límites, umbrales, acciones.

Los delincuentes se ven limitados de actuar

cuando los modelos plantean y replantean

escenarios de riesgo orientados al negocio y al

objetivo de Cumplimiento

CONCLUSIONES- La Lucha contra los ciber delitos, enfocados en procesos

aislados de control no tiene efecto real, pues mas bien

plantea indicadores de acción al delincuente

- El problema de los delitos informáticos se gesta en el

fraude interno pero como consecuencia de la inadecuada

gestión del riesgo. El efecto es igual por fuera

- Sin una metodología adecuada de gestión de riesgos no

hay sustento real de un buen trabajo.

- El texto sin el contexto es puro pretexto

- La correlación de variables de riesgo asociadas a la

comprensión del negocio y a la estrategia del mismo

permiten un escudo basado en la tipicidad única del

riesgo de la entidad.

GRACIAS

Franco Rojas SagárnagaGerente GeneralGrupo AMLCTelf. (591) 2 – 2004458Celular (591) 720 79000franco.rojas@grupoamlc.orgwww.grupoamlc.org

Bolivia, Paraguay, Ecuador,

Costa Rica, Honduras,

Nicaragua y Panamá