Fraude Bancario Tecnicas para Evitarlo

TCNICAS PARA LA PREVENCIN DE
FRAUDE ELECTRNICO EN INSTITUCIONES

FINANCIERAS
XVII CONGRESO LATINOAMERICANO DE AUDITORA INTERNA Y EVALUACIN DE RIESGOS
Julio R. Jolly Moore, CFE, CRISC, CRMA, CGEIT, Internal Audit Quality Assessment
Socio BDO Consulting de BDO Panam
&
Osvaldo Lau C., CISA, CRISC, Internal Audit Quality Assessment
Director BDO Consulting de BDO Panam
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Agenda
1.
2.
3.
4.
5.
6.
7.
Introduccin
El futuro y Fraude Electrnico.
Aspectos generales de fraudes electrnicos.
Fraudes electrnicos ms comunes.
rbol para analizar ataques.
Qu se puede hacer para prevenir un fraude electrnico?
Prevencin de Fraude Electrnico desde la perspectiva del Cliente y
Comercio.
8. Prevencin de Fraude Electrnico desde la perspectiva del Banco.
9. Conclusiones.
Pgina 2
INTRODUCCIN
Tcnicas para la prevencin de fraude electrnico en
instituciones financieras
FRAUDES BANCARIOS
Fuente: http://eleconomista.com.mx/internacional/2010/09/30/fraudes-crecen-expertos
Pgina 4
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
FRAUDES BANCARIOS
Fuente: http://www.nacion.com/2011-09-07/Economia/fraudes-electronicos-encabezan-la-lista----de--estafasbancarias.aspx
Pgina 5
FRAUDES BANCARIOS
Fuente: http://eleconomista.com.mx/finanzas-personales/2011/09/19/mas-700-horas-se-invierten-revertir-roboidentidad
Pgina 6
FRAUDES BANCARIOS
Prdida de ingresos online
Prdida de ingresos online
4,5
4.0$
4,0
3.6$
3,5
3,0
2.6$
2,5
2,0
1,5
2.1$
1.5$
1.7$
2.8$
3.0$
1.9$
1,0
0,5
0,0
2000
2001
2002
2003
2004
2005
Fuente: http://www.mcafee.com/es/resources/reports/rp-financial-fraud-int-banking.pdf
Pgina 7
2006
2007
2008
FRAUDES BANCARIOS
En el 2012 se crearon ms de 27 millones de programas malignos
(Malware) lo que se traduce a 74,000 cada da.
Fuente: http://www.mcafee.com/es/resources/reports/rp-financial-fraud-int-banking.pdf
Pgina 8
EL FUTURO Y FRAUDE ELECTRNICO


El panorama futuro del mundo tecnolgico
En el 2013, los telfonos celulares sern el dispositivo para acceso a la
Internet ms comn del mundo (ms que las computadoras personales PC)
[Gartner]
En el 2013, el nmero de telfonos inteligentes a nivel mundial ser ms
de 1.82 billones en todo el mundo. [Gartner]
El 78% del trfico de datos mviles en todo el mundo se consume por los
telfonos inteligentes [Royal pingdom]
Pgina 10

El panorama futuro del mundo tecnolgico
Tercerizacin de servicios de tecnologa y servidores en la nube son hoy
da ms comunes, lo trae nuevos riesgos e impacta la capacidad de
realizar una investigacin interna durante un fraude pues la informacin
se almacena en servidores virtuales fuera de sitio.
Pgina 11

El panorama futuro de los servicios financieros
Wallet electrnicos.
Depsitos de cheques por
telfonos inteligentes.
Retiros por cajeros con telfonos
inteligentes.
Pgina 12
ASPECTOS GENERALES DE FRAUDES

ELECTRNICOS
DEFINICIONES
Qu es el fraude electrnico?
Cualquier actividad por la cual un ser humano toma acciones mediante
equipos o recursos informticos para obtener una ventaja (por ejemplo,
econmica) sobre otra persona o entidad por medio de falsedades,
engaos u omisin de la verdad.
Pgina 14
FRAUDES ELECTRNICOS MS COMUNES

FRAUDES ELECTRNICOS MS COMUNES

Tipos de fraudes ms comunes en Latinoamrica
Phishing & Pharming
Fraudes relacionados con banca en lnea (Spyware,
Keylogger, Screenlogger, Mouselogger, etc.)
Clonacin de tarjetas de crdito/dbito
Transacciones fraudulentas con Cajeros Automticos
Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico
Page 16

RBOL PARA ANALIZAR ATAQUES

RBOL PARA ANALIZAR ATAQUES

Desarrollar un rbol de ataques
Un rbol de ataque ayuda a desarrollar una metodologa
para analizar la seguridad de los sistemas que manejan las
transacciones.
Ayudan a responder a los cambios en la seguridad y los tipos
de fraude.
Fuente: Retos Clave Contra el Fraude Electrnico en las Instituciones Bancarias y Financieras de Latinoamrica Frost & Sullivan
Page 18

ATAQUES
Cuenta Bancaria Comprometida
Credencial de
usuario
comprometida
Manipulacin de
lector de tarjetas
inteligentes
Vigilancia del usuario
Robo de token y
notas manuscritas
Analizadores de
tarjetas inteligentes
Inyeccin de
comandos
Descifrado de
credencial de usuario
Uso de una sesin

iniciada por el
atacante
Ataques de Hombre
en el Medio
Ataques de fuerza
bruta
Autenticacin de
usuario con ID de
sesin especfico
Ataques de fuerza
bruta con calculo de
PIN
Secuestro se sesin
Comunicacin del
usuario con el
atacante
Ataques de fuerza
bruta
Instalacin de
software malicioso
Manipulacin de sitio
Web
Ingeniera Social
Explotacin de
vulnerabilidad
Cdigo oculto
Correos con cdigo

malicioso
Ofuscacin de pagina
Web
Gusanos
Redireccin de
comunicaciones hacia
sitios fraudulentos
Pharming
Pgina 19
QU SE PUEDE HACER PARA PREVENIR UN

FRAUDE ELECTRNICO?
QU SE PUEDE HACER PARA PREVENIR UN FRAUDE

ELECTRNICO?
Qu es la PREVENCIN del fraude electrnico?
Una actividad en conjunto entre la institucin bancaria y el cliente para
crear un ambiente para la prevencin del uso inadecuado o no autorizado
de recursos tecnolgicos para tomar ventaja sobre una persona o entidad
financiera.
CLIENTES
BANCO
Prevencin
del fraude
Pgina 21
PREVENCIN DE FRAUDE ELECTRNICO

DESDE LA PERSPECTIVA DEL CLIENTE Y
COMERCIO
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA

PERSPECTIVA DEL CLIENTE
Aspectos clave para la prevencin
El usuario y cliente debe tambin tomar accin proactiva para prevenir el
fraude tomando nota de simples prcticas como por ejemplo:
REPORTE LA OCURRENCIA O SOSPECHA DE UN FRAUDE.
Abra una cuenta aparte para realizar transferencias electrnicas donde
pueda hacer retiros o recibir pagos (Planilla por ejemplo).
Verifique siempre que el certificado de autenticidad pertenece al banco
con que est haciendo la transaccin.
Evite contraseas repetidas o muy simples. Cambiar regularmente.
Borre mensajes de correos de personas no conocidas.
Bloquee ventanas emergentes (pop-up) y no descargue archivos de sitios
desconocidos.
Page 23


PERSPECTIVA DEL CLIENTE
Aspectos clave para la prevencin (Continuacin)
Notificar al banco sobre viajes y por cunto tiempo.
Conozca los nmeros de tarjeta, saldos y nmeros telefnicos del banco
y gurdelos en un lugar seguro.
Nunca proporcionar informacin a nadie a menos que usted haya
iniciado la comunicacin.
Denunciar inmediatamente las tarjetas extraviadas.
Triturar documentos con informacin confidencial antes de tirarlos a la
basura.
Instalar y mantener actualizados su software antivirus y antispyware en
sus equipos.
Page 24


PERSPECTIVA DEL COMERCIO
Aspectos clave para la prevencin
Un comercio es tan susceptible al fraude como un usuario tradicional, por
lo cual debe tomar accin para prevenir el fraude:
REPORTAR LA OCURRENCIA O SOSPECHA DE UN FRAUDE.
Realizar auditorias recurrentes sobre sus sistemas e informacin
financiera.
Segregar las funciones y divida las responsabilidades delicadas (de
carcter financiero) entre varios ejecutivos claves.
Destruir los cheques anulados o informacin financiera vieja.
Cambie las contraseas y usuario si ocurre algn evento sospechoso, o si
la persona que la utiliza cambia o sale de la empresa.
Page 25

PREVENCIN DE FRAUDE ELECTRNICO

DESDE LA PERSPECTIVA DEL BANCO

PERSPECTIVA DEL BANCO
Servicios clave del banco para la prevencin
El banco debe asegurarse de ofrecer a sus clientes servicios importantes
que les permitan estar alertas a posibles fraudes, como por ejemplo:
Emitir/enviar alertas sobre transacciones por correo electrnico o
mensajes de texto.
Mensajes frecuentes para educar sobre seguridad de TI.
Page 27


Tecnologas clave para prevencin de fraudeIDS
(Intrusion Detection Systems)
Mtodos de autenticacin de Multi-Factor.
Soluciones de Anti-Phishing y Anti-Pharming.
IDS (Intrusion Detection System)
Detectar escaneo maliciosos o no autorizados y alertar a la
administracin o gerencia.
Crear bitcoras detalladas para habilitar un anlisis y forense y asistir
en las posibles acciones legales.
Detectar explotacin de vulnerabilidades (Network IDS) o archivos o
bitcoras que se estn borrando (Host IDS) y alertar a la gerencia.
Page 28


Tecnologas clave para la prevencin
Anlisis en tiempo real de transacciones
Auditora Continua
Monitoreo Continuo
Aseguramiento Continuo
Page 29


Implementar buenas prcticas de control
interno
Reforzar el proceso de seleccin y reclutamiento.
Implementar el uso de herramientas y sistemas para la identificacin
de actividades sospechosas o no autorizadas.
Realizar charlas o entrenamientos de concientizacin al personal sobre
el buen uso de los recursos tecnolgicos.
Establecer polticas claras sobre el manejo de incidentes y las
sanciones por incumplimiento de las polticas de seguridad.
Entrenar y certificar a personal de TI para poder prevenir e investigar
incidentes de fraude.
Page 30


Implementar buenas prcticas de control
interno (Continuacin)
Establecer una cultura corporativa de control.
Establecer una polticas para la denuncia confidencial de posibles
fraudes.
Identificar los riesgos de manera oportuna y establecer los planes para
administrarlos.
Monitorear y probar la eficiencia de los controles.
Page 31

ANLISIS DE RIESGOS DE
VULNERABILIDADES ASOCIADAS A FRAUDE
ELECTRNICO
ANLISIS DE RIESGOS DE VULNERABILIDADES

ASOCIADAS A FRAUDE ELECTRNICO
El anlisis de riesgo de un sistema debe estar basado en su
vulnerabilidad al fraude, abuso interno o externo, mal uso o
administracin y/o control interno.
Debe considerar por lo menos:
Factores de riesgo (como por ejemplo, propsito del sistema,
documentacin existente, frecuencia de las auditoras, etc.)
Categorizar cada factor de riesgo (alto, medio o bajo) para
asignar un valor (3, 2 1).
Asignar un peso o valor de importancia para cada factor
identificado, por ejemplo muy importante, importante, etc.
Page 33

ANLISIS DE RIESGOS DE VULNERABILIDADES

ASOCIADAS A FRAUDE ELECTRNICO
El anlisis de riesgo permite identificar que sistemas son de mayor
riesgo, es decir alta probabilidad a propiciar un fraude.
Conlleva a determinar donde se deben enfocar los esfuerzos e
inversiones para mantener la seguridad y prevenir fraudes.
Indica la frecuencia de la revisiones que se deben realizar.
Page 34

PREPARACIN DE INFORMES Y MATRICES

TabladeEvaluacindeFraudesElectrnicos RiesgosyControles
Sistema
Personalconacceso
NiveldeRiesgo
Nombre
Alto
Medio
Valor
Usuario
Perfil
Historialdeeventos
Cantidad
Descripcin
Riesgos/
Fraudes
Bajo
Controles
Detalle/Objetivo
Tipodecontrol
Automtico
Manual
Efectividaddelcontrol
Alta
Page 35

Media
Baja
Recomendaciones
CONCLUSIONES
CONCLUSIONES
Tcnicas para la prevencin de fraude electrnico
en instituciones financieras
El mundo de tecnologa y servicios financieros de hoy, es un mundo
diferente lleno de nuevos riesgos y fraudes.
La mejora herramienta para la prevencin es la colaboracin entre el
cliente y el banco.
Toda empresa debe mantener y propiciar un ambiente de control
interno adecuado para ayudar a prevenir el fraude.
Un anlisis de riesgos es necesario para saber que sistemas son ms
susceptibles al fraude.
Se requiere de una metodologa y pasos definidos (rbol de ataque) para
aplicar tcnicas y herramientas de prevencin y deteccin de fraude de
manera correcta.
Pgina 37
CONCLUSIONES
Consideraciones para la prevencin de fraude
electrnico
Sabes? Esto sera ms fcil si lo haces en lnea
Pgina 38
GRACIAS
TCNICAS PARA LA PREVENCIN DE FRAUDE ELECTRNICO
EN INSTITUCIONES FINANCIERAS
XVII CONGRESO LATINOAMERICANO DE AUDITORA INTERNA Y EVALUACIN DE
RIESGOS
Julio R. Jolly Moore, CFE, CRISC, CRMA, CGEIT, Internal Audit Quality Assessment
Socio BDO Consulting de BDO Panam jjolly@bdo.com.pa
&
Osvaldo Lau C., CISA, CRISC, Internal Audit Quality Assessment
Director BDO Consulting de BDO Panam olau@bdo.com.pa

Fraude Bancario Tecnicas para Evitarlo

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fraude Bancario Tecnicas para Evitarlo

Cargado por

Copyright:

Formatos disponibles

TCNICAS PARA LA PREVENCIN DE

FRAUDE ELECTRNICO EN INSTITUCIONES

EL FUTURO Y FRAUDE ELECTRNICO

EL FUTURO Y FRAUDE ELECTRNICO

EL FUTURO Y FRAUDE ELECTRNICO

EL FUTURO Y FRAUDE ELECTRNICO

ASPECTOS GENERALES DE FRAUDES

FRAUDES ELECTRNICOS MS COMUNES

FRAUDES ELECTRNICOS MS COMUNES

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

RBOL PARA ANALIZAR ATAQUES

RBOL PARA ANALIZAR ATAQUES

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

Cuenta Bancaria Comprometida

Vigilancia del usuario

Uso de una sesin

Correos con cdigo

QU SE PUEDE HACER PARA PREVENIR UN

QU SE PUEDE HACER PARA PREVENIR UN FRAUDE

PREVENCIN DE FRAUDE ELECTRNICO

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

PREVENCIN DE FRAUDE ELECTRNICO

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

ANLISIS DE RIESGOS DE VULNERABILIDADES

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

ANLISIS DE RIESGOS DE VULNERABILIDADES

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

PREPARACIN DE INFORMES Y MATRICES

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Todos los derechos reservados. Prohibida su reproduccin no autorizada.

También podría gustarte