Documentos de Académico
Documentos de Profesional
Documentos de Cultura
mismos facilitan el cometimiento de alguno de los procesos internos, las personas y los
siguientes ilícitos: sistemas, o de acontecimientos exteriores.
Alteración de registros. Dentro del riesgo operacional, el comité de
Apropiación indebida de efectivo o de Basilea II identifica con claridad el fraude,
activos de la organización. como uno de los elementos relacionados con
Apropiación de las recaudaciones o retraso la gente, el hurto y robo como elementos
en el depósito y contabilización de las asociados a eventos externos.
mismas. Riesgo legal: consiste en las consecuencias
Auto préstamos a la alta gerencia. que pueden derivarse de la violación por
Inclusión de transacciones inexistentes. parte de las entidades financieras de las
Lavado de dinero y de activos. normas que regulan el sistema financiero,
Obtener beneficios económicos o personales uno de los hechos más relevantes
mediante el uso de recursos tecnológicos relacionados con el riesgo legal es el
para cometer delitos informáticos. relacionado con el lavado o blanqueo de
capitales.
Omisión de transacciones existentes.
Riesgo reputacional la reputación en el
Suplantación de funcionarios para realizar
sector financiero es fundamental, ya que el
transacciones ilegales.
negocio se basa en buena medida en la
Apropiarse de pagos realizados por clientes.
confianza que la entidad genera. En el sector
En la realización de fraudes el mayor
financiero no solo se debe ser integro,
porcentaje de pérdidas se da en las esferas más altas
competente, dedicado, sino que además debe
de la organización, generalmente por los llamados
parecerlo, es decir la percepción y la
delitos de cuello blanco y en todos se pueden
realidad deben ser lo mismo.
identificar claramente los siguientes componentes:
El siguiente ejemplo ilustra claramente un
Motivo: Presión o intensión (necesidad, fraude financiero que hizo desaparecer una entidad
justificación o desafío) para cometer el con bastante historia:
fraude. ―El Barings2 Bank fue fundado en 1762 en
Oportunidad: Se percibe la existencia de un Inglaterra y logro renombre por múltiples
ambiente favorable para cometer los actos operaciones históricas, entre las cuales se destaca el
irregulares o ilícitos cuando se cuenta con el financiamiento de la adquisición de Luisiana por los
conocimiento, tiempo y están plenamente Estados Unidos. Sin embargo un ejecutivo
identificadas las debilidades del sistema de designado como gerente general de la sucursal de
control interno. Singapur, pudo más que toda la historia del banco
Justificación: Es la razón que tiene el acumulada en más de doscientos años. Su brillante
defraudador para cometer y justificar el desempeño deslumbro a todos, llegando a genera el
delito, esgrimiendo que se trata de una 10% de los beneficios de todo el Banco, pero
compensación o bonificación por su trabajo, asumiendo riesgos considerables. Cuando las cosas
primero se convence a si mismo de que empeoraron, oculto y trato de revertir sus acciones,
existen razones válidas para la comisión del iniciando la centrifuga que termino en 1995 con
fraude. perdida acumuladas por 827 millones de libras. El
Los principales riesgos asociados con el banco fue declarado en quiebra sus operaciones
fraude financiero son: el riesgo de crédito, de vendidas a otro banco por una libra, cerrando así
mercado, de liquidez, operacional1, reputacional, una larga historia que termino cuando se consumó
legal, estratégico, cambiarios, de los mencionados el típico riesgo operacional de violación a las reglas
anteriormente los que guardan relación con los de la doble supervisión y ocultación de las
fraudes financieros son: operaciones perniciosas‖.
Riesgo operacional: es el riesgo de pérdida
resultante de la insuficiencia o fallos de los
2
http://baringsbankupc.blogspot.com/2008/05/historia-del-barings-
bank.html
Universidad Piloto de Colombia. Cordero Orjuela Eusebio. Fraude en una Entidad Financiera 3
análisis la cual debe contener como mínimo la Como resultado de estas entrevistas debe
siguiente información: quedar bien claro el tipo de información requerida y
Descripción del fraude o posible fraude, el método de obtención de la misma con el fin de
indicando la fecha y los detalles del mismo. dar inicio al proceso de cadena de custodia de la
Información general de quien reporta el información obtenida que permita que la misma sea
fraude. válida como un elemento material probatorio en
Información de los posibles equipos caso de requerir imputar cargos por el delito
involucrados. cometido.
Una vez presentada la solicitud de La entrevista tiene un enorme potencial
investigación de un caso de fraude bancario se debe como instrumento de investigación es importante
proceder con la conformación de un equipo para la realización del proceso investigativo y en
multidisciplinario que investigara este hecho. muchos casos su uso es forzado y frecuentemente
La primera tarea del equipo investigador obligatorio, más aún tiene gran importancia como
será iniciar revisando la documentación del caso y complementación en relación a los hechos a
validar la que sea relevante para la investigación investigar, en donde su aporte consiste en el
como: normatividad existente, políticas de entendimiento de los hechos y las obtención de
seguridad, privilegios de los usuarios, políticas de información que permita identificar y analizar los
acceso, diagramas de red, topología de red, equipos, normas de seguridad, cronogramas de
inventarios de activos, clasificación de activos, logs, actividades, distribución de las funciones y
identificación de los equipos y administradores o sistemas informáticos involucrados, lo que facilita
dueños de los dispositivos involucrados en el ilícito. la planificación de las acciones necesarias para
Acto seguido se elabora el plan inicial de esclarecer los hechos relacionados con el fraude
investigación el cual debe contemplar los cometido.
dispositivos a analizar y la forma de obtener la Desarrollar un plan de investigación: La
información de los mismos, en este punto es investigación y manejo de cada caso de fraude es
importante recalcar que debido a la dinámica de las distinta una de otra, y es necesario manejar cada
entidades financieras no es posible en todos los caso de manera diferente, dependiendo de las
casos retener el equipo para el desarrollo de la circunstancias del incidente.
investigación sino que el mismo continua La primera parte del plan es la preparación y
soportándolos procesos que requiere la entidad definición de todos los elementos requeridos para el
financiera. Para la obtención de la información de adecuado desarrollo de la investigación entre las
estos equipos es importante identificar y realizar tareas a desarrollar tenemos:
una entrevista con el administrador de los mismos Identificar plenamente los equipos
para indagar si los logs o la información requerida involucrados en el incidente.
se puede obtener de un repositorio central de Definir y elaborar los formatos requeridos
eventos o si es factible el uso del ultimo backup o para documentar toda interacción que se
copia de seguridad realizada y que coincida con la realice con los equipos involucrados en el
fecha de la realización del fraude. fraude.
Entrevista aclaratoria para entender los Definir cómo se va a adquirir y preservar la
hechos: Para el mejor entendimiento y desarrollo de información base de la investigación.
la investigación se debe realizar una reunión con la Definir los roles y responsabilidades de cada
persona o personas que reportaron el fraude con el uno de los miembros del equipo
objetivo de entender de primera mano la situación y investigador.
extraer la mayor cantidad de información posible, Determinar el tipo de herramientas
como se mencionó anteriormente se debe realizar la requeridas para realizar la investigación,
misma reunión con los administradores o dueños de Iniciar con el debido proceso de cadena de
los equipos involucrados en el incidente, lo mismo custodia de los equipos y la información
que con, los posibles sospechosos o involucrados en obtenida (es importante recalcar que todo el
el incidente. proceso se debe documentar, especialmente
Universidad Piloto de Colombia. Cordero Orjuela Eusebio. Fraude en una Entidad Financiera 6
julio de 2012] disponible en: [En línea]. [15 de julio de 2012] disponible en:
(http://www.felaban.com/archivos_actividades_ (http://richardgorky.com/normatividad/resoluci
congresos/11.pdf). on06394.pdf).
ARDITA, Julio C. ―Experiencias en Análisis FUND & ASSET MANAGER RATING
Forense Informático‖. [En línea]. [15 de julio GROUP. ―Metodología de Clasificación de
de 2012] disponible en: Administradores de Activos‖. [En línea]. [15 de
(http://www.cybsec.com/upload/Ardita_Analisi julio de 2012] disponible en:
s_Forense_v2.pdf). (http://www.fitchratings.cl/Upload/Metodologi
ASOBANCARIA. ―Congreso de Prevención de a%20Clasificacion%20de%20Adm%20Activos
Fraude‖. [En línea]. [22 de septiembre de 2012] .pdf).
disponible en: GOBIERNO EN LINEA - FONDO DE
(http://www.asobancaria.com/portal/page/portal TECNOLOGIAS DE LA INFORMACION Y
/Eventos/eventos/congreso_prevencion_fraude/ LAS COMUNICACIONES.
Tab5). ―ANEXO_1_Metodologia_de_clasificacion_de
_Activos‖. [En línea]. [15 de julio de 2012]
CAMBRUN BARRERE, Martín. ―Análisis disponible en:
Forense Informático‖. [En línea]. [05 de agosto (http://programa.gobiernoenlinea.gov.co/apc-
de 2012] disponible en: aa-
(http://www.criptored.upm.es/cibsi/cibsi2009/d files/5854534aee4eee4102f0bd5ca294791f/AN
ocs/5mintalk-barrere.pdf). EXO_1_Metodologia_de_clasificacion_de_Act
ivos.pdf).
FARIAS-ELINOS, M. ―La seguridad inicia con LOPEZ DELGADO, Miguel. ―análisis forense
el análisis de Riesgo‖. [En línea]. [17 de julio digital‖. [En línea]. [15 de julio de 2012]
de 2012] disponible en: disponible en:
(http://seguridad.cudi.edu.mx/congresos/2003/e (http://www.oas.org/juridico/spanish/cyb_anali
sime/ariesgo.pdf). sis_foren.pdf).
FERNANDEZ BARCELL, Manuel. MATALOBOS VEIGA, Juan Manuel.
―ESTUDIO DE UNA ESTRATEGIA PARA ―ANÁLISIS DE RIESGOS DE SEGURIDAD
LA IMPLANTACIÓN DE LOS SISTEMAS DE LA INFORMACIÓN‖. [En línea]. [15 de
DE GESTIÓN DE LA SEGURIDAD DE LA julio de 2012] disponible en:
INFORMACIÓN‖. [En línea]. [15 de julio de (http://oa.upm.es/1646/1/PFC_JUAN_MANUE
2012] disponible en: L_MATALOBOS_VEIGAa.pdf).
(http://www.mfbarcell.es/conferencias/Metodol NOREÑA, Ricardo y ESPEJO, David. ―Cómo
og%C3%ADas%20de%20seguridad_2.pdf). detectar el fraude financiero‖. [En línea]. [15 de
FERNANDEZ FDEZ-SANGUINO, Julio. julio de 2012] disponible en:
―FRAUDES E IRREGULARIDADES EN LA (http://www.cincodias.com/articulo/opinion/det
ACTIVIDAD FINANCIERA‖. [En línea]. [05 ectar-fraude-financiero/20060613cdscdiopi_3/).
de agosto de 2012] disponible en: Payment Card Industry Data Security Standard.
(http://www.eben- ―PCI – DSS: Data Security Standard‖. [En
spain.org/docs/Papeles/X/fdz-sanguino.pdf). línea]. [15 de julio de 2012] disponible en:
FERRER, Rodrigo. ―METODOLOGIA DE (https://www.pcisecuritystandards.org/).
ANALISIS DE RIESGO‖. [En línea]. [17 de RODRIGUEZ, Marcelo. ―Automatización de
julio de 2012] disponible en: Procesos de Análisis Forense Informático‖. [En
(http://www.sisteseg.com/files/Microsoft_Word línea]. [15 de julio de 2012] disponible en:
_METODOLOGIA_DE_ANALISIS_DE_RIE (http://www.cert.uy/historico/pdf/autoForensic.
SGO.pdf). pdf).
FISCALÍA GENERAL DE LA NACIÓN. SUPERINTENDENCIA FINANCIERA DE
―MANUAL DE PROCEDIMIENTOS DEL COLOMBIA. ―Circular Externa 052 de 2007‖.
SISTEMA DE CADENA DE CUSTODIA‖.
Universidad Piloto de Colombia. Cordero Orjuela Eusebio. Fraude en una Entidad Financiera 9
Autor
Eusebio Cordero O.
Ingeniero de Sistemas
Universidad Nacional de Colombia
2002
Especialista en Seguridad Informática
Universidad Piloto de Colombia
2013