De la A a la Z

FRAUDE
BANCARIO
2016
QUÉ, CÓMO Y POR QUÉ
“El fraude bancario tuvo un
costo estimado de $67 mil
millones en 2014.
EL 70% DE ESTE COSTO SE
INCURRIÓ A NIVEL INTERNO.
En su mayoría permanece
inadvertido.”
Asociación de Examinadores de Fraude Certificados
Informe a las Naciones
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
2

Bienvenido a Fraude Bancario de la A a la Z - Temenos y NetGuardians - 2016, un libro

electrónico completo que resume el qué, el cómo y el porqué del fraude, explorando la magnitud
del tema, quién lo comete y, lo que es más importante, qué se puede hacer al respecto.

De acuerdo a la Asociación de Examinadores de Fraude Certificados, el fraude es un negocio a gran

escala que cuesta a la industria bancaria $67 mil millones al año. Es un problema que nadie puede
darse el lujo de ignorar, teniendo en cuenta que las empresas luchan por recuperarse de la crisis
financiera mundial y las principales economías del mundo se tambalean al borde de la recesión. Lo
más preocupante es que su incidencia es creciente.

La Encuesta sobre el Estado de los Delitos Cibernéticos de los Estados Unidos mostró en 2014 un
incremento anual de 141% en el número de instituciones financieras que reportan pérdidas entre
$10 mil millones y $19,9 millones. Es posible que, en la práctica, ese número sea mayor, pues muchas
nunca se denuncian a las autoridades.

Las estadísticas más alarmantes se refieren al fraude cometido desde el interior de las mismas
instituciones: en el 70% de los casos, el crimen fue perpetrado por un empleado bancario.
Quienes tienen los niveles más altos de acceso a los sistemas informáticos, como es el caso de los
administradores de sistemas y bases de datos, están en la posición precisa para cometer o facilitar el
fraude, pudiendo al mismo tiempo borrar toda evidencia de sus acciones.

El comportamiento fraudulento puede ser muy difícil de detectar debido a la gran cantidad de
transacciones de buena fe que diariamente lleva a cabo un banco. Inclusive los nuevos canales como
la banca en línea, las aplicaciones móviles y las redes sociales aumentan la complejidad de la tarea,
la cual además se ve obstaculizada por los sistemas heredados que hacen más difícil el control de la
seguridad del sistema.

No obstante, en la actualidad contamos con tecnologías innovadoras tales como auditorías

continuas, análisis de información masiva (big data) y evaluación de perfiles. El procesamiento en
tiempo real detecta actividades fraudulentas inclusive antes de que ocurran y las reporta de una
forma que no requiere de expertos para su interpretación. Las divisiones de Riesgo, Auditoría y
Cumplimiento están en capacidad de ver mucho más que solo la punta del iceberg.

Dicho conocimiento es poder. Temenos y NetGuardians han unido esfuerzos para apoyar a la
banca mediante la compilación de esta guía indispensable de la A a la Z. Esperamos que invite a la
reflexión –sin ser muy preocupante-, estimule la discusión y promueva la confianza en el futuro…

Atentamente,

Ben Robinson, Temenos

Joel Winteregg, NetGuardians

 Cuantía del Fraude
Es difícil determinar con precisión la cuantía del fraude cometido en contra de los bancos, pues muchos
casos no se denuncian. Sin embargo, la información con que cuenta el sector sugiere lo siguiente:

Tres cuartos En promedio,

de las estos negocios
$67
mil millones
compañías de incurrieron en
servicios pérdidas
financieros equivalentes al
Valor total del fraude experimentaron 1.5% de sus
bancario en 2014.
(Fuente: Asociación de
70% al menos una
incidencia de
ingresos.
(Fuente: Economist
Examinadores de Fraude de los casos de fraude es Intelligence Unit)

141%
fraude en
Certificados) causado por actores del sector,
2012-13.
por ejemplo, los empleados.
es el porcentaje de incremento en la cantidad de
de las utilidades totales de

6%
empresas financieras que denunciaron pérdidas de
los bancos antes de
entre $10millones y $19.9millones .
impuestos constituyeron (Fuente: Encuesta sobre el Estado de la Ciberdelincuencia
pérdida como resultado de en los Estados Unidos en 2014)
una actividad criminal.*

30% de las compañías de servicios
financieros ha sido afectada por
robo de información,
individualmente la forma más
común de fraude en el sector.
Las organizaciones citaron
a la complejidad de los
sistemas informáticos como
el factor de mayor riesgo
que ellas deben enfrentar.
El temor a la mala publicidad es la
razón principal por la que los casos de
fraude no se denuncian a los fiscales.
Además del costo y tiempo necesarios
para llevar a cabo la investigación.

*Valor del fraude bancario calculado como un porcentaje de las utilidades antes de impuestos de los 1.000 bancos más importantes en
2014, según datos provistos por The Banker.

www.temenos.com
www.netguardians.ch
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
4

A ACCESO
El ACCESO es el componente más importante de cualquier fraude bancario y, ante
todo, implica acceso a los sistemas informáticos que procesan las operaciones diarias
del banco y permiten a sus clientes manejar sus cuentas. El acceso no controlado a
los sistemas informáticos del banco permite al estafador robar o alterar información
sensible, procesar transacciones ilícitas y eliminar la evidencia de sus actividades. Sin
embargo, también existe la posibilidad de que los estafadores violenten los sistemas
informáticos del banco desde el exterior, aprovechándose de las debilidades en
su seguridad. No obstante, en la práctica es mucho más probable que un banco
experimente fraude originado dentro de la organización debido al alto nivel de
acceso a datos sensibles que debe conceder a miles de empleados para que puedan
desempeñar sus funciones.

Muchos miembros del personal pueden ver información sensible del cliente en el curso
de su trabajo, pero sobre todo el personal que desempeña ciertas funciones cruciales
tiene mayores privilegios en cuanto a información que la mayoría de sus colegas.
Por ende, este personal tendrá un acceso mucho más amplio al sistema y con ello la
capacidad de modificar o actualizar la información sin atraer la atención. En particular,
los administradores de los sistemas informáticos y los administradores de bases de
datos, necesitan tener niveles muy altos de acceso a los sistemas críticos del banco.
Por ello, las actividades de los administradores de sistemas y administradores de bases
de datos deberían contar con atención especial de parte de quienes monitorean la
seguridad de un banco; además, es vital que este personal con grandes privilegios de
usuario no sea capaz de evadir las pistas de auditoría y operar sin ser detectado.
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
5

A ANÁLISIS TRANSACCIONAL
En la banca moderna, donde se automatizan enormes cantidades de transacciones
estandarizadas a través del procesamiento directo, la necesidad de aplicar y hacer
cumplir un conjunto bien estructurado de controles tiene gran prioridad. Estos
controles automatizados constituyen la primera línea de defensa tecnológica del
banco contra los intentos de llevar a cabo transacciones fraudulentas, pues definen los
parámetros de la actividad legítima.
Sin embargo, con el fin de garantizar que los controles automáticos incorporados en los
sistemas informáticos del banco están operando de manera efectiva y no están siendo
anulados o eludidos, éstos deben ser monitoreados constantemente. El ANÁLISIS
TRANSACCIONAL es el proceso por el cual se lleva a cabo este control, de manera
tal que cualquier infracción al sistema de control del banco resulte en la activación de
alertas de seguridad para permitir que se tomen las acciones apropiadas. De ahí que
el uso del análisis transaccional permite al banco automatizar parte de su proceso de
auditoría interna y asegurar que se aplique de forma continua.
En vista de que el análisis transaccional se puede aplicar a todas las transacciones
que el sistema procesa, el mismo ofrece mayor ventaja que los métodos tradicionales
de verificación de los controles internos. Anteriormente se utilizaba el muestreo
manual para verificar que los controles se aplicaban adecuadamente, y se utilizaban
los resultados de la muestra para sacar conclusiones sobre el sistema en su conjunto.
Sin embargo, el muestreo manual no solo involucra uso intensivo de mano de obra, es
lento y costoso, sino que también deja sin escrudiñar a la mayoría de las transacciones.
Al automatizar el proceso de análisis de transacciones para detectar violaciones de los
controles, los bancos pueden lograr un nivel muy superior de escrutinio comparado con
el que los métodos tradicionales les permiten.
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
6

A AUTORIDADES DE CONTROL
Las AUTORIDADES DE CONTROL están sometiendo a todas las compañías de
servicios financieros a una creciente presión con el fin de garantizar que estén haciendo
lo suficiente para proteger los datos sensibles de sus clientes contra pérdida accidental
o robo, y demostrar que efectivamente lo están haciendo. En el pasado, gran parte de
las regulaciones sobre protección de datos era “declarativa” y exigía a las empresas
simplemente confirmar su cumplimiento de las normas. En la actualidad, nuevas
regulaciones están obligando a las organizaciones a demostrar que éste efectivamente
es el caso. Éste es un cambio importante que incrementa significativamente la
responsabilidad de cumplimiento que tienen las empresas.
Las nuevas normas sobre seguridad informática y protección de datos provienen tanto
de autoridades de control nacionales como a nivel europeo, entre ellas podemos
mencionar el Reglamento General de Protección de Datos (GDPR, por sus siglas
en inglés) de la UE, que se espera entre en vigencia en 2018, así como las normas
para proteger la información de identificación del cliente emitidas por el ente
regulador suizo, FINMA, que rastrean violaciones graves de datos en los bancos,
incluyendo al HSBC en Ginebra. Las reglas del GDPR asignarán nuevas obligaciones
a las organizaciones; en tal sentido, los profesionales que fueron consultados por
la publicación británica Computer Weekly en el verano de 2015 creen que los
bancos que operan en la Unión Europea serán el primer grupo sujeto al escrutinio
de las autoridades de control que buscan endurecer las normas de seguridad de la
información.
Las nuevas regulaciones exigirán que cualquier violación a la seguridad de los datos
se informe a las autoridades de control durante las primeras 72 horas de ocurrido el
incidente y, en los casos más graves, permitirán a las autoridades de control imponer
multas de hasta 2% de los ingresos totales de la institución involucrada. Los bancos
también serán responsables por sus datos confidenciales cuando éstos estén en manos
de terceros proveedores de bienes y servicios; en tal sentido, deberán llevar a cabo las
respectivas verificaciones de cumplimiento y evaluaciones de la situación general de
dichos proveedores.
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
7

B BANCA PARA DISPOSITIVOS MÓVILES

El rápido crecimiento de la BANCA PARA DISPOSITIVOS MÓVILES, tales como
teléfonos y tabletas, refleja el papel central que estos dispositivos juegan en la
actualidad en la vida de los consumidores alrededor del mundo. También destaca
algunos de los retos, cada vez mayores, que enfrentan los bancos durante la migración
de sus clientes a los nuevos canales de la banca. En el Reino Unido, una investigación
llevada a cabo por la Asociación de Banqueros Británicos (BBA, por sus siglas en inglés)
encontró que los consumidores británicos utilizaron sus dispositivos móviles para revisar
sus cuentas corrientes 895 millones de veces durante el año 2015, en contraposición
con los 427 millones de transacciones realizadas en las sucursales bancarias. La
BBA estima que, para 2020 los clientes verificarán sus cuentas corrientes desde sus
dispositivos móviles 2,3 mil millones de veces al año, más que a través de Internet, las
sucursales y la banca telefónica juntas.
Mientras más consumidores eligen al teléfono móvil como su método principal para
administrar la mayoría de los aspectos de su vida diaria, el potencial de que los bancos
experimenten un crecimiento muy rápido en la cantidad de clientes es evidente. El
ejemplo de un banco africano que vio crecer su base de clientes de 4 millones hasta
14 millones en menos de dos años después de incluir en sus servicios la banca para
dispositivos móviles es más bien común. Un cambio de esta magnitud y velocidad
inevitablemente agrega una enorme carga a los sistemas informáticos de los bancos en
la medida del aumento del volumen de transacciones; y, por otro lado, ofrece una ruta
de acceso a los sistemas informáticos de los bancos, los mismos que pueden volverse
vulnerables al fraude y al uso no autorizado. Las crecientes exigencias al personal y
a los sistemas informáticos pueden hacer muy difícil la implementación de controles
eficaces de riesgo y la ampliación de los mismos para poder servir al creciente número
de clientes.
Los teléfonos móviles también se están convirtiendo en un medio importante para
verificar la identidad de un cliente, dejando al banco potencialmente vulnerable a
fraudes sencillos tales como el remplazo del número de teléfono móvil de un cliente,
registrado en la base de datos CRM del banco, con el de un estafador; de esa forma
el estafador está en condiciones de llamar al servicio telefónico del banco y acceder a
la información de la cuenta de la víctima, utilizando el número de teléfono móvil falso
para autenticar su identidad.
Sin embargo, debido a que las transacciones de banca para dispositivos móviles
son absolutamente diseñadas en función del cliente y totalmente automatizadas,
su desarrollo también debería ayudar a reducir el riesgo de fraude que los bancos
enfrentan, en particular el fraude llevado a cabo por empleados del banco.
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
8

C COMPLEJIDAD
La COMPLEJIDAD representa probablemente la fuente más importante de
vulnerabilidad de los bancos en sus intentos por detectar y prevenir el fraude. En
la medida en que la banca depende cada vez más de la tecnología -y a falta de una
estrategia compensatoria- los sistemas de los que los bancos dependen para brindar
sus servicios se han multiplicado y se han vuelto mucho más complejos. Como
resultado de este aumento de complejidad, se han creado más oportunidades para
que los estafadores accedan a sistemas críticos; al mismo tiempo, se ha hecho más
difícil que los bancos tengan una visión clara de toda la actividad en sus sistemas.
La complejidad en los sistemas bancarios se refleja en el creciente número de canales a
través de los cuales los bancos ofrecen sus servicios en la actualidad, incluyendo sitios
web y plataformas de banca en línea, aplicaciones móviles y redes sociales. Todos
estos canales representan nuevas oportunidades para que los estafadores accedan
al sistema informático bancario. La tecnología de la información de los bancos se ha
vuelto más compleja a medida que se implementan nuevos sistemas de información
sobre los antiguos, lo cual resulta en capas de tecnología que no necesariamente
se vinculan entre sí; esto hace que sea mucho más difícil lograr una visión unificada
de las operaciones. En vista de que las computadoras centrales han dado paso a la
computación en red, los sistemas críticos también se han descentralizado; hoy en día,
incluso una institución relativamente pequeña cuenta con múltiples bases de datos que
se ejecutan en diferentes servidores a los que puede acceder una gran cantidad de
empleados. Los complejos y altamente descentralizados sistemas informáticos como
estos son difíciles de controlar y presentan más oportunidades para el ingreso de los
estafadores. La modernización de los sistemas antiguos de los que muchos bancos aún
dependen, permite a las instituciones incrementar su capacidad de detectar el fraude,
lo cual a menudo no es tomado en cuenta.
 Tecnología y complejidad
Desde las plataformas de banca en línea hasta las aplicaciones para dispositivos móviles y redes sociales,
un número creciente de canales nuevos hace cada vez más difícil para los bancos tener una visión clara de
toda la actividad en sus sistemas.

Número de veces que los consumidores británicos utilizaron sus dispositivos móviles
para revisar sus cuentas corrientes
2,500
Millones 427m Más que a través
2,000
Número de 2.3mm de internet,
transacciones en las sucursal y banca
1,500
sucursales en 2015 telefónica
1,000 combinadas

500 895m (Fuente: Asociación

de Banqueros
Británicos)
0

2015 2020 (pronóstico)

RIESGO BENEFICIO
La seguridad de TI se ha vuelto más Debido a que las transacciones de
compleja a medida que se banca para dispositivos móviles son
implementan nuevos sistemas de absolutamente diseñadas en función
información sobre los antiguos. Esto del cliente y totalmente
resulta en capas de tecnología que no automatizadas, su desarrollo debería
necesariamente se vinculan bien entre ayudar a reducir la exposición de los
sí y son difíciles de controlar. bancos al fraude - en particular el
fraude llevado a cabo por empleados
del banco…

RIESGO … SIN EMBARGO

Incluso una institución relativamente El uso del procesamiento directo, que
pequeña cuenta con múltiples bases no requiere intervención humana en
de datos que se ejecutan en la transacción, pone un gran énfasis
diferentes servidores a los que puede en la fortaleza y la eficacia de los
acceder una gran cantidad de sistemas de control interno.
empleados –y las personas son el
eslabón más débil.

www.temenos.com
www.netguardians.ch
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
10

C CUANTÍA
Es difícil determinar con precisión la CUANTÍA del fraude cometido en contra de
los bancos, pues muchos casos no se denuncian. Sin embargo, en su Informe a las
Naciones de 2014, la Asociación de Examinadores de Fraude Certificados estimó que
el fraude bancario en ese año ascendió a $67 mil millones, aproximadamente 6% de
las utilidades totales antes de impuestos de las 1.000 instituciones más importantes.
Se dice que alrededor del 70% de esta cifra fue el resultado de fraudes realizados por
empleados. La asociación trabaja en una amplia gama de sectores, pero sus hallazgos
indican que los servicios bancarios y financieros tienen de lejos la más alta incidencia de
fraude que cualquiera de dichos sectores. Los casos de fraude bancario representan el
17,8% de los casos, en comparación con el 10,3% de la segunda categoría más alta, es
decir el gobierno y la administración pública. Otra evidencia proviene de la Encuesta
sobre el Estado de la Ciberdelincuencia en los Estados Unidos en 2014, que encontró
que el número de empresas financieras que reportaron pérdidas de entre $10 millones
y $ 19,9 millones se disparó en un 141% año tras año.
Según el trabajo de investigación de Economist Intelligence Unit, en 2012-
13 tres cuartas partes de las compañías de servicios financieros a nivel mundial
experimentaron al menos un fraude y, en promedio, estos negocios incurrieron en
pérdidas equivalentes al 1,5% de sus ingresos. El robo de datos y el fraude financiero
interno, en conjunto, afectaron aproximadamente al 30% de las compañías de servicios
financieros; violaciones regulatorias y de cumplimiento ocurrieron en 26% de ellas; y,
lavado de dinero en 8%. Los encuestados que participaron en el estudio de EIU citan
a la complejidad de los sistemas informáticos como el factor de mayor riesgo que
enfrenta su organización, aunque casi el 40% dijo que la alta rotación de personal fue
otra fuente importante de vulnerabilidad.
El Informe a las Naciones mostró que el temor a la mala publicidad es la razón principal
por la que los casos de fraude no se denuncian a los fiscales, y muchas compañías
indican que los procedimientos disciplinarios internos fueron suficientes para lidiar
con el problema. Sin embargo, en muchos casos, el costo y tiempo necesarios para
investigar las instancias de fraude se consideraron también como otra de las razones
para no denunciar los casos de fraude a las autoridades externas.
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
11

C CUATRO OJOS
El método predeterminado para validar una amplia gama de procedimientos del día a día que
se lleva a cabo dentro de un banco es el llamado principio de CUATRO OJOS. Esto significa
simplemente que las operaciones realizadas por un empleado deben ser validadas por otro con
el fin de asegurar que están en línea con los controles internos del banco. En la mayoría de los
casos, este reparto de tareas proporciona una forma sencilla de asegurar que los controles del
banco son eficaces y que los empleados corruptos no pueden eludirlos con facilidad.
Sin embargo, el principio de cuatro ojos es claramente vulnerable a la colusión entre dos o
más empleados que, actuando juntos, serían capaces de manipular el reparto normal de
tareas y validar transacciones fraudulentas sin levantar sospecha dentro del banco. En vista de
que este tipo de fraude se lleva a cabo dentro del sistema de controles del banco, el mismo
pasa desapercibido y es extremadamente difícil de detectar. Es por ello que la colusión entre
empleados sigue siendo la forma más fácil de cometer fraude dentro de un banco.
Aparte de la colusión directa, los empleados también pueden frustrar el principio de cuatro ojos
cuando la seguridad de las contraseñas en el banco es muy baja. Si un empleado del banco
puede acceder a las contraseñas de un colega, será capaz de realizar operaciones fraudulentas
en el sistema, e iniciar una sesión bajo la identidad de otra persona para validarlas. Tal como
mencionamos anteriormente, los fraudes realizados de esta manera son muy difíciles de detectar
entre la gran cantidad de transacciones de buena fe que procesa el banco cada día.
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
12

D DENUNCIA DE IRREGULARIDADES
La DENUNCIA DE IRREGULARIDADES (o whistleblowing como se la conoce en inglés)
es la fuente principal e inicial de información que conduce a la detección de fraudes
realizados por empleados de organizaciones del sector público y privado. De acuerdo
al Estudio Global sobre Fraude en 2014, publicado por la Asociación de Examinadores
de Fraude Certificados, esta fuente representa más del 40% de los casos. Estos
hallazgos incluyen a todos los sectores, pero tienen directa relevancia en la banca.
En vista de la importancia primordial que tienen las denuncias en la detección de
fraudes, los bancos deben instaurar procedimientos que les aseguren que son capaces
de obtener el mayor beneficio posible de la información que reciben de parte de
los informantes. El primer paso es verificar que la organización tenga una política
bien estructurada de denuncia de irregularidades, que permita al personal que se
anima a denunciar sentirse confiado de que no será victimizado o comprometerá sus
perspectivas de carrera por causa de la denuncia. Frecuentemente, los denunciantes
se han visto afectados como resultado de sus acciones, puesto que sus superiores no
quieren que se revelen los incidentes de irregularidades o fraude, o que se corra el
riesgo de dañar la reputación y el nombre de la organización. Por lo tanto, cualquier
política de denuncia debe ofrecer garantías confiables al personal y, a la vez, debe
ser ampliamente comunicada de modo que la gente esté consciente de la protección
que dicha política le brinda. Sin embargo, la organización igualmente debe tomar
medidas para protegerse contra acusaciones maliciosas y, por otro lado, los expertos
usualmente recomiendan que las denuncias por parte de los empleados tengan un
trato confidencial en lugar de ser anónimas.
Igualmente, es importante que los bancos se den cuenta de que muchas denuncias
se originan fuera de la organización: por ejemplo, de parte de clientes y proveedores.
Es por ello que muchos bancos mantienen un área dedicada al fraude, que se
encarga de recibir las denuncias de los clientes y bloquear las cuentas que se han
visto comprometidas. En junio de 2015, el Banco Central de Nigeria ordenó a todos
los bancos y proveedores de pago del país que establezcan secciones dedicadas a
la prevención de fraude como parte clave de sus defensas. En combinación con un
sistema de controles internos bien estructurado y un software avanzado antifraude, la
denuncia de irregularidades desempeña un papel vital en la lucha contra el fraude.
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
13

D DÍA CERO
La batalla entre las instituciones y los estafadores se asemeja a una carrera
armamentística. Los desarrolladores de tecnología trabajan en ambos lados: los
hackers crean nuevas formas de penetrar en los sistemas para robar información y llevar
a cabo transacciones fraudulentas, mientras que los proveedores de software trabajan
para bloquear estos ataques y descubrir nuevas vulnerabilidades en sus programas
antes que los piratas informáticos.
De vez en cuando, los piratas informáticos tienen éxito aprovechándose de las fallas
en los sistemas de software que utilizan las organizaciones antes de que el personal
de seguridad de dichas organizaciones se dé cuenta de estas debilidades. Estos son
conocidos como ataques en el DÍA CERO y se refieren a tomar ventaja de una falla
de software previamente desconocida. Se han llevado a cabo ataques de DÍA CERO
en sistemas ampliamente utilizados de software, incluyendo sistemas operativos de
PC y Mac y navegadores web. Los proveedores de software lanzan miles de parches
de seguridad para tapar las brechas que se descubren en su código pero, en algunos
casos, ellas se descubren solo después de que las personas ya han sido víctimas de un
ataque.
Pueden pasar años antes de descubrir un ataque de DÍA CERO. El malware Octubre
Rojo se descubrió después de cinco años, tiempo durante el cual se lo utilizó para
robar información de gobiernos, embajadas, empresas de energía e instalaciones
nucleares en 39 países. La compañía de seguridad rusa Kapersky Labs lo descubrió
en octubre de 2012. Sus creadores habían implantado el malware en documentos de
Microsoft Word y Excel que se enviaron a destinatarios específicos mediante correo
electrónico.
A pesar de que estas brechas de seguridad son causa de preocupación, la tecnología
sigue desarrollándose con rapidez y la seguridad que rodea a los sistemas informáticos
que forman la infraestructura crítica de la banca se está volviendo más poderosa cada
día. Los principales avances en áreas como el análisis de datos masivos y el monitoreo
en tiempo real permiten que las actividades no autorizadas se puedan detectar y tratar
con mayor rapidez que en el pasado. Asimismo, la creación del análisis predictivo
promete aumentar aún más la fortaleza de las defensas de las que los bancos
dependen. La capacidad de la tecnología para proporcionar una protección eficaz
contra el fraude nunca ha sido mayor de lo que es hoy en día -y está en constante
mejora.
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
14

E EVALUACIÓN DE PERFILES
En los casos en que la actividad fraudulenta no involucra violación de cualquiera de
los controles internos del banco -y por lo tanto no activa una bandera roja de alerta en
sus sistemas de seguridad- la EVALUACIÓN DE PERFILES constituye una de las más
eficaces contramedidas. Este aspecto del análisis de información masiva es semejante
al aprendizaje automático, en el sentido de que el sistema antifraude analiza grandes
grupos de datos a lo largo del tiempo con el fin de establecer patrones relacionados
con cuentas y clientes específicos que reflejan su comportamiento normal.
En un ejemplo sencillo, esto podría involucrar pagos a una cuenta en un día
determinado del mes por parte de una fuente regular como es el caso de un
empleador, retiros de cajeros automáticos dentro de un área geográfica característica
y compras de una cuantía promedio en un rango de fuentes tanto físicas como en
línea. Al organizar datos de este tipo durante un período, el sistema puede crear un
perfil nacional de ese cliente o cuenta, contra el cual se pueden evaluar y consultar las
transacciones que aparentemente salen de los parámetros reconocidos.
Ellas podrían incluir un retiro del cajero automático o pago con tarjeta en otro país, una
transacción de tamaño inusual o una que se lleve a cabo en un momento inesperado
del día. En el contexto de la banca de inversión, la evaluación de perfiles de las
posiciones netas y actividad de negociación de un grupo de negociadores podría
permitir a un banco identificar si alguno de ellos muestra un patrón de actividad
diferente al de sus colegas que trabajan en el mismo equipo. En última instancia, la
capacidad de crear perfiles de esta manera permitirá a los sistemas antifraude llevar a
cabo el análisis predictivo continuo del comportamiento del usuario y de los patrones
de transacción a medida que ocurren, con el fin de emitir una alerta temprana sobre
actividades sospechosas.
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
15

F FRAUDE EXTERNO
El FRAUDE EXTERNO, que implica la violación de la seguridad de los sistemas
bancarios y el acceso no autorizado a información sensible o procesamiento de
transacciones fraudulentas por parte de una persona ajena al banco, se puede lograr
de varias maneras. Por ejemplo, las contraseñas con poca seguridad podrían permitir al
defraudador acceder a los sistemas informáticos del banco sin necesidad de contar con
sofisticada piratería informática. Sin embargo, un gran porcentaje del fraude llevado
a cabo por personas ajenas a la institución depende de la ayuda y complicidad de
los empleados de la institucion, quienes pueden haber recibido sumas relativamente
pequeñas de dinero para facilitar el delito.
Por ejemplo, gracias a la generalización de las aplicaciones para dispositivos móviles,
los teléfonos móviles se han convertido en una forma aceptada por los bancos para
autenticar la identidad de un usuario sin que el mismo esté presente. Esto implica una
vulnerabilidad potencial con respecto a los controles del banco, la misma que puede
ser fácilmente aprovechada por personas ajenas a la institución, en complicidad con
un empleado del banco que tiene acceso a la base de datos de administración de
relaciones con el cliente del banco. Para llevar a cabo el fraude, el empleado cambia
temporalmente el número de teléfono móvil de un cliente en la base de datos del
banco por el número que usará el defraudador. A continuación, un cómplice externo
llama a la línea de servicio al cliente del banco y resetea la contraseña de la cuenta
del cliente utilizando el número de teléfono móvil que aparece ahora en la base de
datos del banco para validar su identidad. Una vez que la cuenta ha sido asaltada, el
empleado del banco nuevamente cambia el número de móvil que aparece en la base
de datos por el correcto y de esta forma completa el fraude.
Esto demuestra una vez más la facilidad con la que un administrador de base de datos
puede realizar cambios a la información de un cliente, sin crear una alerta que sugiera
que se han violentado los controles.
 Posibilidad externa
El fraude externo, que implica la violación de la seguridad de los sistemas bancarios y el acceso no
autorizado a información sensible o procesamiento de transacciones fraudulentas por parte de
una persona ajena al banco, se puede lograr de varias maneras.

PASSWORD: PASSWO

Las contraseñas con poca seguridad podrían
permitir al defraudador acceder a los sistemas
informáticos del banco sin necesidad de contar con
sofisticada piratería informática.
Las personas ajenas a la institución usualmente
dependen de la ayuda y complicidad de los
empleados de la institución, quienes pueden haber
recibido sumas de dinero relativamente pequeñas
para facilitar el delito.

£100 £0

£
Los teléfonos móviles son Así es como esto El cómplice externo Una vez que la cuenta ha
un medio para verificar la opera: un empleado llama a la línea de sido asaltada, se cambia
identidad de un cliente, sin interno remplaza el servicio al cliente del de nuevo la información
necesidad de su presencia; número de teléfono banco y resetea la en la base de datos.
sin embargo, dejan al móvil de un cliente, contraseña del
banco vulnerable a fraudes registrado en la base cliente…
simples. de datos CRM del
banco, con el que
utilizará el estafador.

0 10
Hay un vibrante mercado negro en Internet
para información robada de clientes, el mismo
$45m
101

10

010
101

que incluye detalles de banca en línea y

10

010
101

10

0 10
tarjetas de crédito.
101

10
101

101
10

10

010

010
010
010 El robo de datos confidenciales es perjudicial Monto saqueado por una
101

10

para la reputación de un banco, incluso si no banda criminal en los EE.UU.

101

10

101
10

ha habido pérdida financiera directa a

010
en un caso extremo de fraude
101

consecuencia de dicho robo.

10

de cajeros automáticos.
010 direct financial loss as a consequence

www.temenos.com
www.netguardians.ch
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
17

F FRAUDE INTERNO
El FRAUDE INTERNO representa la forma más común de pérdida para los bancos.
Las estimaciones varían, pero la encuesta Global de Delitos Económicos realizada por
PwC en 2014, que incluye no solo bancos sino también otras instituciones financieras,
sugiere que los responsables del 56% de los fraudes son los empleados. Otros análisis
expertos ubican a la participación interna en el fraude bancario hasta en el 70%.
El fraude por parte de los empleados ocurre en todos los niveles de las organizaciones.
Según las encuestas realizadas por Economist Intelligence Unit (unidad de inteligencia
del grupo The Economist) entre las organizaciones que habían sido víctimas de fraude
cuyos autores eran conocidos, en 32% de los casos la figura principal era un gerente
de nivel medio o alto, mientras que en 42% de los casos se trataba de un empleado
de menor jerarquía. En muchos casos que involucran a bancos, los fraudes internos
implican colusión entre al menos dos individuos con el fin de eludir los controles
del banco, en particular el principio de los cuatro ojos que está diseñado para
garantizar que una persona lleve a cabo una operación y otra la valide. Empleados
tales como administradores de sistemas y bases de datos, con privilegios de usuario
que les permiten altos niveles de acceso a los sistemas informáticos del banco, están
particularmente bien ubicados para cometer o facilitar fraude al interior de los bancos
y, a menudo, son capaces de eliminar del sistema la evidencia de sus acciones.
Los expertos en fraude sugieren que el proceso de llevar a cabo un fraude, por lo
general, toma un largo período y a menudo empieza con una “exploración” de los
sistemas informáticos del banco para ver hasta dónde se puede llegar de acuerdo a
los derechos de acceso del individuo. Los sujetos pueden buscar una cuenta inactiva
que les permita operar sin ser detectados o empezar a hacer pequeños cambios
temporarios a la información del sistema, tales como un número de teléfono, para
verificar si son detectados y en cuánto tiempo. La criminóloga Janet Goldstraw-White
sugiere que las personas que descubren vulnerabilidades en los sistemas informáticos y
de control de su empleador podrían sentirse “seducidas” a cometer fraude. “Cuando
se dan cuenta de lo fácil que es hacerlo y lo pueden hacer con impunidad, a menudo
siguen repitiendo el delito”, declara.
 Un trabajo interno: quién y por qué
El fraude interno representa la forma más común de pérdida para los bancos y puede ocurrir a cualquier
nivel de una organización. Los cargos con un alto nivel de acceso a los sistemas informáticos, tales como
los administradores de bases de datos, presentan un mayor riesgo.

Casos cuyo líder fue un

gerente de nivel medio o 32% 42% Casos cuyo líder fue un
empleado de menor
alto jerarquía

Op
El criminólogo Donald Cressey identificó un patrón

or
ión
para la evolución del fraude en el lugar de trabajo.

tu
es

nid
Su "triángulo del fraude", consiste en tres

Pr

ad
elementos: presión, oportunidad y racionalización. Racionalización

Presión Oportunidad Racionalización

Motivación que impulsa al empleado a Controles Los defraudadores no se ven a sí
cometer el fraude. Puede ir desde internos mismos como criminales y, por tanto,
problemas personales tales como deficientes o el necesitan justificar sus acciones para
alcohol, drogas o ruptura de hecho de que el que se sientan lógicas y razonables.
relaciones, hasta la necesidad de individuo ocupa Ellos podrían argumentar que “solo
rendir mejor que sus colegas o tomar una posición de estaban pidiendo prestado” el dinero
venganza. confianza. que robaron o que su empleador es
corrupto.

Muchos casos
de fraude interno
implican colusión
“
Cuando se dan cuenta de lo fácil
que es hacerlo y lo pueden hacer
entre al menos dos
individuos con el fin de con impunidad, a menudo siguen
eludir los controles del
repitiendo el delito

”
banco. Janet Goldstraw-White, Criminóloga

www.temenos.com
www.netguardians.ch
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
19

G GÉNESIS DE UN FRAUDE
El GÉNESIS DE UN FRAUDE cometido en el lugar de trabajo generalmente sigue
un patrón identificado en 1953 por primera vez por Donald Cressey, un criminólogo
estadounidense. Cressey postuló el “triángulo del fraude”, que establece los tres
factores que deben estar presentes en un lugar de trabajo para que el fraude pueda
llevarse a cabo, lo cual sigue vigente 60 años más tarde.
El triángulo del fraude de Cressey consiste en tres factores: presión, oportunidad
y racionalización. El primero, la presión o el incentivo, describe la motivación que
impulsa al empleado a cometer el fraude. La presión puede ir, por ejemplo, desde
problemas personales provocados por abuso de alcohol o drogas, ruptura de
relaciones o adicción al juego, hasta presiones corporativas tales como la necesidad
de demostrar un mejor rendimiento a los superiores o a actores externos como es el
caso de inversionistas o reguladores. Por otra parte, el incentivo puede darse por un
problema en la relación del empleado con sus superiores, con un consiguiente deseo
de venganza, o una sensación de que su esfuerzo y logros no están siendo valorados o
recompensados.
La oportunidad puede surgir por causa de controles internos deficientes o inexistentes
o porque el individuo en cuestión ocupa una posición de confianza que es vulnerable al
abuso. Si el defraudador es capaz de cubrir sus huellas, puede llegar a la conclusión de
que tiene una buena oportunidad para lograr una ganancia sustancial con bajo riesgo
de ser descubierto.
Cressey sugiere que la racionalización es necesaria para el fraude puesto que los
defraudadores no se ven a sí mismos como criminales y, por tanto, necesitan justificar
sus acciones para que se sientan lógicas y razonables. Los estafadores dan un
sinnúmero de excusas para sus acciones, entre otras, que solo estaban pidiendo
prestado el dinero que robaron; que su empleador les debe dinero; que son mal
pagados y merecen un sueldo más alto; que cometieron fraude para poder mantener a
su familia; o que su robo está justificado debido a que su empleador es deshonesto o
corrupto.
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
20

H HACKEO (PIRATERÍA INFORMÁTICA)

El HACKEO abarca una gran variedad de técnicas utilizadas para encontrar las
debilidades en la seguridad informática de una organización y así acceder ilícitamente
a sistemas informáticos para varios efectos, que incluyen fraude y robo de datos. En
su forma más sencilla, la piratería puede implicar algo tan simple como tratar de
adivinar las contraseñas; esto tiene una mayor probabilidad de éxito en el caso de
organizaciones con controles deficientes de seguridad de contraseñas y aquellas que
no exigen a sus usuarios cambiar su contraseña con regularidad.
El hackeo también puede incluir intentos de inducir a los usuarios a que divulguen su
información de cuenta mediante “phishing” (suplantación de identidad) por correo
electrónico, o incluso llamadas telefónicas que supuestamente provienen del banco
o del proveedor de servicios financieros del usuario. Enfoques como estos pueden
simplemente implicar acceso a la cuenta de la víctima con el fin de robar su dinero,
pero también pueden proporcionar los medios para cometer un “robo de identidad”
más intrincado, en el que se utilizan datos personales de un individuo para configurar
cuentas falsas que luego servirán para obtener crédito o hacer compras fraudulentas.
Los tipos más sofisticados de piratería tecnológica pueden incluir intentos para
introducir software malicioso en los sistemas informáticos de una organización, por
ejemplo a través de adjuntos de correo electrónico, con el fin de obtener información
sensible o para permitir a los hackers encontrar una ruta para ingresar en el sistema.
Los riesgos para la seguridad cibernética que plantean los hackers hoy en día motivaron
a la agencia de calificación estadounidense Standard & Poor’s a alertar al público
en septiembre de 2015 que, en adelante, sus calificaciones de crédito para bancos
tomarán en cuenta la calidad y la fortaleza de sus sistemas de seguridad informática.
“Consideramos que la seguridad cibernética débil constituye una amenaza emergente
que tiene el potencial de volverse un riesgo mayor para las empresas financieras en el
futuro y posiblemente resultar en calificaciones crediticias bajas”, manifestó la agencia.
 El hackeo y cómo se lleva a cabo
Abarca las técnicas utilizadas para acceder al sistema informático de un banco con
el fin de llevar a cabo fraude o robo de datos. Ambos lados están en constante
actividad: los hackers ideando nuevos métodos y los proveedores de software
buscando formas de bloquear los ataques.

Nombre: ADMIN
Contraseña: 12345

Conjeturas
Es más probable que tengan éxito contra
organizaciones con controles deficientes en
cuanto a seguridad de contraseñas y que no
solicitan a sus usuarios cambiar sus contraseñas
de forma regular.
Malware
Los ataques más sofisticados introducen
software malicioso en los sistemas informáticos
de un banco mediante anexos a correos
electrónicos, por ejemplo para captar
información sensible.

Robo de identidad
Se utilizan datos personales de
la víctima para configurar
cuentas falsas que luego
servirán para obtener crédito o
hacer compras fraudulentas.
Phishing (suplantación de
identidad)
Se intenta inducir a los clientes a
divulgar información de sus
cuentas mediante correo
electrónico o inclusive llamadas
telefónicas fraudulentas que dicen
originarse en proveedor de
servicios financieros del usuario.
1 1 1 0 1
Ataques en el día cero
Se aprovecha de una falla
desconocida en un sistema de
software ampliamente
utilizado, como es el caso de un
sistema operativo. Ellos
pueden pasar desapercibidos
por varios años.

Standard & Poor’s alertó al público que, en el futuro, sus calificaciones de

crédito para bancos tomarán en cuenta la calidad y la fortaleza de sus
sistemas de seguridad informática.

www.temenos.com
www.netguardians.ch
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
22

I INFORMACIÓN MASIVA (BIG DATA)

INFORMACIÓN MASIVA se refiere a la capacidad de los sistemas informáticos
modernos para reunir grandes cantidades de datos procedentes de múltiples
fuentes y analizarlos con el fin de desbloquear valiosos detalles -en este caso,
señales de actividad fraudulenta. En línea con la amplitud y bajos costos de
la tecnología informática en los últimos años, han surgido sistemas capaces
de analizar grandes cantidades de datos casi en tiempo real, aumentando
considerablemente la velocidad para obtener valiosa información y detalles.
En el caso de los bancos, se puede aprovechar el análisis de la información masiva
con el fin de compilar, interpretar y detectar correlaciones representativas en datos
provenientes de diferentes sistemas informáticos dentro del banco, que no están
conectados y normalmente no interactúan entre sí, yendo desde la banca para
dispositivos móviles, la banca electrónica y los sistemas transaccionales hasta el
core bancario, CRM y datos de acceso físico. Por ejemplo, al comparar información
en los sistemas transaccionales del banco con datos de acceso físico al edificio por
parte del personal, pocos minutos después de una intrusión se puede detectar el
uso de la clave de acceso de un empleado que no está en el edificio.
Las tres principales formas de aprovechar el análisis de información masiva para
buscar y detectar fraude bancario son:
• La detección de infracciones a los controles del banco: búsqueda de un patrón
de actividad en el sistema, preciso y bien definido, que infringe el sistema
bancario.
• El análisis para detectar el comportamiento inusual que, por sí mismo, no
podría infringir control alguno. Éste implica que el sistema aprenda a reconocer
patrones “normales” de actividad y destaque ejemplos que no encajan con el
patrón establecido.
• Evaluación de perfiles: capacidad de llevar a cabo, de forma muy eficiente,
un análisis de las actividades de un usuario de cuenta o sistema en particular
durante un largo período, manejando grupos de datos de múltiples sistemas
que podrían ejecutar miles de millones de transacciones.
 Cómo pueden ayudar los datos
masivos y la evaluación de perfiles
Ésta es la capacidad con que cuentan los sistemas informáticos modernos para reunir grandes cantidades de
datos procedentes de múltiples fuentes y analizarlos con el fin de desbloquear valiosos detalles -en este caso,
señales de actividad fraudulenta.

POR EJEMPLO
Al comparar información en los sistemas transaccionales del banco con datos
de acceso físico al edificio por parte del personal, pocos minutos después de
una intrusión se puede detectar el uso de la clave de acceso de un empleado
que no está en el edificio.

Las tres principales formas de aprovechar el análisis de información

masiva para buscar fraude bancario son:
1. Búsqueda de 2. Detección de comportamiento inusual 3. Análisis de una cuenta en
patrones de actividad que, por sí mismo, podría no infringir control particular o las actividades de
precisos que infringen alguno, pero permite que el sistema un usuario en el sistema
el sistema de controles aprenda los patrones "normales" de durante un largo período, las
del banco. actividad y destaque ejemplos que no cuales que podrían ejecutar
encajen. miles de millones de
transacciones.

En el contexto del consumidor, las actividades En el contexto de la banca de inversión, la

fuera del perfil normal pueden incluir, retiros de
cajeros automáticos en otro país, una transacción de
tamaño inusual o una que se lleve a cabo en un
momento inesperado del día.
evaluación de perfiles de las posiciones netas y
actividad de negociación de un grupo de
negociadores podría permitir a su empleador
identificar patrones que difieren a los de sus colegas
que trabajan en el mismo equipo.

Próximamente: análisis predictivos de comportamientos de usuarios y patrones

de transacción que emitirán una alerta temprana sobre actividades sospechosas.

www.temenos.com
www.netguardians.ch
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
24

I
J JURISDICCIÓN
El delito de fraude a menudo puede abarcar más de una JURISDICCIÓN, en particular
cuando se trata de organizaciones multinacionales tales como grandes bancos que
tienen operaciones en varios países, o cuando los elementos del fraude se dirigen
desde o llevan a cabo en otra parte del mundo. En el caso de fraudes mediante el
uso de sistemas de información digital, es posible que la actividad técnicamente se
haya realizado en más de una jurisdicción y, por tanto, implique la participación de
autoridades de diferentes países.
En la práctica, las autoridades han demostrado en casos recientes que están
preparadas para reclamar jurisdicción sobre las actividades que involucran autores que
operan desde otros territorios, especialmente cuando estos delitos afectan a mercados
financieros globales.
Las multas impuestas a los bancos estadounidenses y europeos en mayo de 2015
por su papel en un intento de manipular los mercados de divisas son un buen un
ejemplo de ello. El Departamento de Justicia de los Estados Unidos y la Autoridad de
Conducta Financiera del Reino Unido impusieron multas por un total de más de $5 mil
millones a un grupo de bancos estadounidenses y europeos, cuyos empleados estaban
involucrados en el intento de manipular los mercados de divisas.
Las sanciones impuestas a una serie de bancos internacionales por parte de las
autoridades de los Estados Unidos por violar las sanciones internacionales contra
Irán también demuestran cómo el fraude puede cruzar las fronteras. En 2014, el
Departamento de Justicia de los Estados Unidos impuso una multa de $9,6 mil
millones al banco francés BNP Paribas después de haberse declarado culpable de
violar las sanciones contra Irán, Sudán y Cuba. Las autoridades estadounidenses
afirmaron que se había removido información de transferencias electrónicas de modo
que éstas pudieran pasar a través de la cámara de compensación estadounidense sin
desencadenar señales de alerta. A pesar de que el fraude estaba diseñado para eludir
las sanciones de los Estados Unidos, el centro de la actividad fraudulenta estaba en
otro país. Sin embargo, la presencia del banco en los EE.UU., junto con el uso de la
cámara de compensación de los Estados Unidos, resulto en que el crimen recayera en
la jurisdicción del Departamento de Justicia de ese país.
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
25

J JUVENTUD
Durante las últimas dos décadas, la rápida propagación de la economía digital ha
aumentado exponencialmente la cantidad de datos que generan las organizaciones
y, con ello, los desafíos de maximizar el valor de estas vastas reservas de información.
En enero de 2009, Hal Varian, Jefe Economista de Google, comentó a la publicación
McKinsey Quarterly: “Sigo diciendo que los cargos más atractivos en los próximos
10 años serán los de los profesionales en estadística… La capacidad de tomar
datos -poder entenderlos, procesarlos, extraer el valor de los mismos, visualizarlo,
comunicarlo– será una habilidad inmensamente importante en las próximas décadas”.
Las tecnologías antifraude que dependen de estas habilidades cruciales se encuentran
todavía en su etapa de JUVENTUD -muchas se desarrollaron sólo en los últimos años
y, en muchos casos, los bancos solo recientemente han comenzado a implementar
proyectos pilotos que utilizan técnicas modernas tales como el análisis de datos
masivos. Hay mucho camino por recorrer antes de que estas tecnologías se conviertan
en una parte rutinaria de la operación diaria de los bancos: a principios de 2014,
Gartner, analista del mercado de la tecnología, indicó que sólo el 8% de las empresas
grandes y globales había aplicado el análisis de datos masivos en al menos un caso
relacionado con violación de seguridad o detección de fraude. Se prevé que la
proporción aumente a una de cada cuatro en 2016.
Estas nuevas tecnologías se están desarrollando rápidamente, y esto trae tanto
oportunidades como desafíos para las organizaciones que quieren aprovecharlas. Por
un lado, la rápida evolución de los sistemas exigirá a los bancos adaptar y actualizar
sus controles de forma frecuente y capacitar continuamente a su personal con el fin de
mantenerse al tanto de los avances tecnológicos y la evolución de las metodologías
para cometer fraude. Por otro lado, en la misma medida que los sistemas antifraude
evolucionan, las organizaciones son cada vez mejores. Su mayor capacidad de
procesamiento les permite volverse más rápidas e inteligentes, y la calidad y facilidad
de uso de sus análisis dirigidos al personal de seguridad están mejorando, lo cual
facilita su uso. La banca está cada vez más dominada por las tecnologías digitales
y a medida que este proceso continúa, la tecnología inevitablemente será un arma
indispensable en la constante lucha contra el fraude.
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
26

K KERVIEL
El nombre de Jérôme Kerviel estará siempre asociado con uno de los casos más
notorios de comercio fraudulento en un banco de inversión de gran escala. Este
ciudadano francés trabajó en Société Générale en París entre 2000 y 2008 y cometió
un fraude a largo plazo que involucró la falsificación de información acerca de sus
posiciones comerciales; finalmente, el banco terminó descubriendo una pérdida de €
4,9 mil millones cuando la apuesta de Kerviel por que los mercados iban a recuperarse
en 2008 resultó estar desastrosamente equivocada. En la controversia resultante, el
presidente ejecutivo del banco renunció y el banco se vio obligado a hacer una emisión
emergente de capital para reparar su balance.
Durante sus primeros cinco años en SocGen, Kerviel trabajó en middle office, en
donde ingresaba en el sistema informático del banco las negociaciones realizadas
por front office. Esto le permitió aprender cómo operaban los controles del banco
y descubrir maneras de evadirlos. Posteriormente lo ascendieron a la posición de
negociador y utilizó el conocimiento aprendido en su cargo anterior para desarrollar
enormes transacciones no autorizadas sin ser detectado por los sistemas de control del
banco. Los oficiales de cuenta dicen que él cubría sus negociaciones con coberturas
falsas equivalentes y las cerraba pocos días después, justo antes de que los controles
automáticos temporizados del banco para las actividades de los negociadores las
detectaran.
Con el pasar del tiempo sus transacciones comerciales no autorizadas crecían
progresivamente y cada vez con menos control -en 2005, él logró una utilidad de €4
millones para el banco y en 2006, €11 millones; sin embargo, en 2007 sus actividades
aumentaron de forma masiva -Kerviel desarrollo una exposición de €28 mil millones
y su predicción en el sentido de que los mercados se desplomarían resultó correcta.
Sus negociaciones ilegales rindieron una utilidad de €1,4 mil millones, aunque él
oficialmente solo declaró €55 millones.
La caída de Kerviel ocurrió en enero de 2008, cuando él pensó erróneamente que
los mercados iban a subir. Su posición abierta no autorizada, por un monto de €50
mil millones quebró y SocGen se encontró al borde de la insolvencia. Kerviel fue
condenado por fraude, encarcelado y se le ordenó devolver €4.9 mil millones.
 Un trabajo interno: cómo
El acceso no controlado a los sistemas informáticos del banco permite al estafador
robar o alterar información sensible, procesar transacciones ilícitas y eliminar la
evidencia de sus actividades. Tal como lo demuestra el “triángulo del fraude” de
Cressey, puede ser solo cuestión de oportunidad…

Los expertos sugieren que el proceso de
llevar a cabo un fraude, por lo general,
toma un largo período y a menudo
empieza con una "exploración" de los
sistemas informáticos del banco para
€ a hacer pequeños cambios
ver hasta dónde se puede llegar de
acuerdo a los derechos de acceso del
individuo.
£
Los sujetos pueden buscar una
¥ cuenta inactiva que les permita
operar sin ser detectados o empezar
temporarios a la información del
$ sistema para verificar si son
detectados y en cuánto tiempo.

No hace falta ser un genio, pero

El principio conocido como
“cuatro ojos”, cuyo objetivo es
asegurar que las operaciones
realizadas por un empleado
sean validadas por otro, es
vulnerable a la colusión entre
dos empleados.
un empleado que puede acceder
a las contraseñas de un colega,
puede ser capaz de realizar
operaciones fraudulentas en el
sistema, e iniciar una sesión bajo
la identidad de la otra persona
para validarlas.
Los fraudes realizados de esta
manera son muy difíciles de
detectar entre la gran cantidad
de transacciones de buena fe
que procesa el banco cada día.

Los encuestados que participaron en

Un estafador puede tratar de dividir una el estudio de la Economist
transacción fraudulenta grande en múltiples 4 0% Intelligence Unit citaron a la alta
transacciones pequeñas que, en sí, no implican rotación de personal como una
violación a los controles del banco. fuente importante de vulnerabilidad.

www.temenos.com
www.netguardians.ch
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
28

L LIBOR
La manipulación ilegal de la LIBOR, que es la tasa de interés de referencia clave del
mercado, se dio a conocer en junio de 2012, cuando Barclays anunció un acuerdo
con las autoridades de los Estados Unidos por un valor de $453 millones como
compensación por la participación de sus negociadores en el fraude. La Libor -tasa
interbancaria de oferta de Londres- se calcula diariamente con base en la información
presentada por los principales bancos y su objetivo es presentar la tasa a la que dichos
bancos pueden prestarse dinero entre sí. Este punto de referencia se utiliza a nivel
mundial para calcular el precio de productos financieros con un valor de hasta US$ 3,5
billones de dólares, tanto mayoristas como de consumo, que van desde complejos
contratos derivados hasta hipotecas y préstamos de consumo.
Tras el escándalo, se hizo público que los negociadores de varios bancos habían
estado conspirando, a través de sistemas de mensajería privada, para acordar las tasas
de interés que presentarían para el cálculo diario de la Libor, el mismo que, en esa
época era responsabilidad de la Asociación de Banqueros Británicos. La presentación
de cifras ligeramente superiores o inferiores podría tener un impacto directo sobre
las utilidades de los bancos por sus actividades de negociación y, por ende, influir
en los beneficios y bonificaciones de los negociadores individuales. Por ejemplo, en
una demanda colectiva presentada en los Estados Unidos en 2012, los demandantes
alegaron que los bancos conspiraron para asegurar un incremento en la Libor el primer
día de cada mes –es decir, la fecha en que se calculaban los nuevos montos de pago de
las hipotecas contratadas con tasa variable, con base en la tasa fija Libor de ese día. Es
más, durante la crisis financiera, los bancos podían ocultar el alcance de sus dificultades
financieras, conspirando para reducir artificialmente la Libor y dando así la apariencia
de que podían prestar más barato de lo que en realidad ocurría.
Los grandes bancos han pagado miles de millones de dólares para llegar a un acuerdo
en los casos relacionados con la manipulación de la tasa Libor alrededor del mundo,
especialmente en los EE.UU. y el Reino Unido; por el contrario, algunos bancos,
incluyendo UBS, han recibido inmunidad por revelar a las autoridades detalles sobre el
“cártel Libor”. En abril de 2015, Deutsche Bank pagó a las autoridades del Reino Unido
y EE.UU. $ 2,5 mil millones, el mayor acuerdo económico relacionado con la tasa Libor
hasta el día de hoy.
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
29

P PROCESAMIENTO DIRECTO
En vista de que los sistemas informáticos han automatizado progresivamente la
mayoría de las operaciones repetitivas y cotidianas que los bancos llevan a cabo, el
uso del PROCESAMIENTO DIRECTO, que no requiere la intervención humana en
la transacción, ha permitido que afloren nuevos riesgos de fraude. Es obvio que
el procesamiento directo brinda grandes ventajas a los bancos en cuanto a costo y
eficiencia, pues les permite manejar un mayor volumen de transacciones. Sin embargo,
también pone un gran énfasis en la fortaleza y la eficacia de los sistemas de control
interno que se emplean para monitorear estos miles de millones de transacciones
automatizadas.
Si estos controles son débiles o tienen fallas, es posible que las transacciones
fraudulentas que no involucran violación directa de cualquier control interno puedan
completarse sin desencadenar una alerta de seguridad. Puede ser que estos fraudes
nunca se detecten, e incluso cuando se detecten podría ser demasiado tarde para
tomar cualquier medida eficaz. Un estafador puede tratar de dividir una transacción
fraudulenta grande en múltiples transacciones pequeñas para asegurarse que,
individualmente, ninguna de ellas sea objeto de sospecha. A menos que el banco
cuente con sistemas de seguridad que emitan una alerta cuando se esté realizando
una cantidad inusualmente grande de transacciones en la misma cuenta de cliente o
en cuentas vinculadas, es probable que un intento de fraude de este tipo pueda tener
éxito sin desencadenar una alerta de “bandera roja”. Cuando se realizan transacciones
que no involucran violación a los controles del banco, los sistemas de monitoreo que
analizan el comportamiento de los usuarios con el fin de detectar patrones que, se
conoce, están conectados con actividades fraudulentas, son los que proporcionan una
línea esencial de defensa.
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
30

R ROBO DE DATOS
Aunque la mayoría de la gente piensa que fraude es el acto de llevar a cabo
transacciones ilícitas, el ROBO DE INFORMACIÓN juega un papel muy importante en
la facilitación del delito y es un tema de gran preocupación para los bancos y entidades
de control. Los bancos manejan una gran cantidad de datos sensibles de sus clientes
y la confidencialidad es una expectativa básica de cualquier cliente del banco. Por
consiguiente, el robo de datos confidenciales es perjudicial para la reputación de un
banco, incluso si no ha habido pérdida financiera directa a consecuencia de dicho robo.
El robo de datos puede ocurrir como resultado del acceso a los sistemas informáticos
por parte de personas ajenas a la organización, pero es igualmente probable que
resulte de violaciones internas por parte de personal propio con altos niveles de
acceso, como es el caso de los administradores bases de datos y sistemas. Hay un
mercado negro en Internet para información robada de clientes, el mismo que incluye
detalles de banca en línea y tarjetas de crédito.
El ejemplo reciente más famoso de robo de datos a gran escala es el del especialista
informático Hervé Falciani, quien robó los datos de 24.000 clientes de banca privada
de una sucursal en Ginebra mientras trabajaba en un proyecto de TI en 2007. Al
final, él entregó los archivos robados a las autoridades fiscales francesas. En este
caso, el robo de datos no facilitó el fraude contra el banco o sus clientes, pero sí una
enérgica respuesta de las autoridades de control debido a la grave violación a la
confidencialidad de los clientes.
En los últimos años, las autoridades de control han incrementado la presión sobre los
bancos para que mejoren sus controles alrededor de la seguridad de datos y para
proporcionar una mayor protección a los datos confidenciales de sus clientes. Por
ejemplo, la autoridad de control suiza, FINMA, publicó nuevas normas con respecto a
la seguridad de los datos de identificación del cliente.
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
31

S SUPERVISIÓN
La SUPERVISIÓN de la actividad del usuario está en el centro de la detección y
disuasión efectiva del fraude. Está basada en la capacidad de detectar actividades que
violan controles internos, en cuyo caso emite una “bandera roja” de alerta, o identificar
patrones de actividad que, por sí mismos, no violan dichos controles, pero en conjunto
manifiestan una posible actividad fraudulenta. En ambos casos, el monitoreo efectivo
del uso de los sistemas informáticos del banco por parte de miles de individuos y
la interpretación de su comportamiento es la clave para una efectiva detección y
presentación de informes sobre fraude.
En los casos en los que hay participación de empleados en cargos especialmente
sensibles, se puede acudir a sistemas especializados que proporcionen un mayor nivel
de seguridad en las áreas donde los bancos tienen vulnerabilidades potencialmente
graves. Particularmente, estos sistemas especialmente diseñados están disponibles
para monitorear las actividades de los administradores de sistemas y administradores
de bases de datos en la plataforma informática del banco y así reducir el riesgo de
fraudes cometidos por los usuarios del sistema que tienen muy altos privilegios de
acceso.
El papel fundamental que la tecnología juega actualmente en la supervisión contra
el fraude también ha dado lugar a grandes cambios en la forma en que los auditores
internos de los bancos deben operar y las habilidades que necesitan para hacer su
trabajo. Con frecuencia, los auditores están alejados del lado operativo del banco y,
por tanto, pueden carecer del conocimiento detallado de cómo funcionan los sistemas
informáticos del banco y sus potenciales vulnerabilidades. Es por ello que los auditores
especializados en tecnología de la información se han convertido en una parte vital del
arsenal de los bancos contra el fraude y proporcionan un apoyo esencial para el trabajo
del equipo de auditoría interna.
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
32

T TIEMPO CASI REAL

Uno de los mayores desafíos para el uso eficaz del análisis de datos masivos para
efectos de detectar fraude es el tiempo requerido para procesar los vastos volúmenes
de información involucrados. Para ser más eficaces, los sistemas de fraude deben tener
una capacidad de procesamiento en TIEMPO CASI REAL, de modo que los patrones
de actividad potencialmente fraudulentos en los sistemas informáticos de los bancos se
puedan detectar y corregir rápidamente.
En la actualidad, muchos bancos ejecutan algoritmos diseñados para detectar fraude
relacionado con los datos de sus sistemas de core bancario. El problema con este
enfoque es que el procesamiento respectivo de datos constituye una carga pesada
para el sistema de core bancario y, por ende, tiende a degradar su rendimiento.
En consecuencia, los algoritmos no se pueden ejecutar con mucha frecuencia, lo que
lleva a un nivel más bajo de protección contra fraude. En contraste, el uso de un
sistema antifraude más moderno, que extrae los datos necesarios del sistema de core
bancario y los analiza en tiempo casi real, posibilita un enfoque mucho más proactivo
a la detección y prevención de fraude y, a la vez, evita un impacto negativo en el
rendimiento del sistema.
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
33

U U.B.A.
ANÁLISIS DEL COMPORTAMIENTO DEL USUARIO (UBA, por sus siglas en inglés) es
un área de rápido crecimiento en cuanto a detección de fraude dentro de los bancos.
Se basa en el análisis de datos masivos y requiere contar con la capacidad suficiente
para evaluar muy grandes volúmenes de datos procedentes de múltiples fuentes
dentro de los sistemas informáticos del banco. Este análisis se hace a nivel de usuarios
individuales, aunque los bancos también buscan identificar vínculos entre usuarios y
entidades en el sistema. Una vez que el sistema de UBA se ha configurado para reflejar
las prácticas de trabajo de una institución y ha establecido una línea de base para el
comportamiento típico de sus usuarios, el mismo es capaz de identificar ejemplos
anómalos, ya sea realizados por intrusos internos o externos, y marcarlos para una
mayor investigación.
Esta área de detección de fraude aún está en desarrollo y, hasta la fecha, varía
significativamente de un proveedor a otro. Las tendencias importantes en este
mercado incluyen el nivel y el alcance del análisis de datos que el banco está obligado
a llevar a cabo internamente. Los sistemas UBA más avanzados ahora incluyen
grandes grupos de los conocidos “análisis enlatados”, que significan que el sistema
proporciona información al banco en una forma fácilmente utilizable, por ejemplo a
través de paneles de información. Con ello, los bancos no requieren tener sus propios
expertos en datos para poder dar el uso apropiado a sus datos. Los proveedores de
UBA también están proporcionando estos sistemas cada vez más en calidad de servicio,
en cuyo caso es el personal del proveedor quien lleva a cabo los análisis y envía los
informes sobre actividades anómalas al cliente.
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
34

V VOLUMEN
Uno de los mayores retos que enfrenta cualquier banco hoy en día en el intento de
detectar y contrarrestar el fraude, es el VOLUMEN ampliamente incrementado de
tráfico digital que sus sistemas tienen que procesar a diario. A medida que la banca
utiliza cada vez más medios de pago digitales en lugar de efectivo, y aumenta la
penetración en el mercado de productos financieros que van desde hipotecas hasta
tarjetas de crédito, el volumen de transacciones que los sistemas informáticos del
banco deben procesar electrónicamente a diario –que puede llegar a 20 millones o más
en el caso de grandes organizaciones- seguirá aumentando.
Hasta hace relativamente poco tiempo, muchas de las operaciones bancarias
se procesaban todavía manualmente en papel, lo que hacía que el proceso de
comprobación y verificación fuera más lento pero menos vulnerable al abuso. Sin
embargo, el aumento en el volumen de transacciones digitales ha hecho que este
enfoque sea insostenible. En su lugar, los bancos se han visto obligados a automatizar
la mayor cantidad posible de procesos rutinarios para dar cabida a altos volúmenes de
transacciones digitales.
Inevitablemente, esto significa que la mayoría de las transacciones ya no serán
sometidas a ningún tipo de comprobación humana, lo que permite que la actividad
fraudulenta se infiltre a través de los sistemas del banco, siempre y cuando no
contravenga ninguno de los sistemas de control interno. Esto también aumenta el
riesgo de “falsos positivos” -transacciones legítimas que desencadenan una alerta
de fraude y que requieren la participación del personal para confirmar que no son
una amenaza. Es esencial contar con un sistema de control bien estructurado y
bien monitoreado para permitir el procesamiento seguro de grandes volúmenes de
transacciones. Pero, debido a que la velocidad y la calidad de los análisis de datos
masivos mejoran a un ritmo acelerado, los sofisticados sistemas de detección de fraude
también se están convirtiendo en el centro de los esfuerzos para detectar y prevenir
fraudes ocultos entre los millones de operaciones que se realizan cada día.
Junto con el incremento continuo de los volúmenes de transacciones digitales, la
creciente adopción de la banca para dispositivos móviles está disparando el número
de consultas de los clientes que los sistemas bancarios deben procesar, debido a
que los clientes de la banca para dispositivos móviles tienden a verificar sus saldos
y transacciones recientes con mucha más frecuencia que las personas que utilizan
la banca a través de otros canales. Las estimaciones recientes de la Asociación de
Banqueros Británicos sugieren que los clientes del Reino Unido habrían accedido a sus
cuentas a través de sus dispositivos móviles 895 millones de veces en 2015, llegando
hasta 2,3 mil millones en 2020. Esto no necesariamente tendrá como resultado un
volumen más alto de transacciones en general pero, sin duda, incrementará la carga
sobre la infraestructura informática del banco.
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
35

X XXG
La tecnología permite a los bancos procesar grandes cantidades de transacciones,
pero el mismo principio aplica a los defraudadores. Esto significa que un solo fraude
puede tener un impacto XXG, lo que da como resultado pérdidas enormes. En un
caso extremo de fraude de cajeros automáticos descubierto en los EE.UU., una banda
criminal saqueó $45 millones de cajeros automáticos alrededor del mundo, en dos
ataques separados. La banda primero hackeó bases de datos que contenían datos de
tarjetas de débito prepagadas que pertenecían a dos bancos con sede en el Medio
Oriente. Los piratas informáticos obtuvieron datos de tarjetas de débito, eliminaron los
límites de retiro de las cuentas y crearon códigos de acceso. Posteriormente, utilizaron
los datos de las cuentas y los códigos de acceso fraudulentos para permitir el retiro
de dinero de las cuentas comprometidas con cualquier tarjeta plástica con banda
magnética.
En su segundo y mucho más impresionante ataque, la banda transfirió información
a grupos de defraudadores en diferentes ciudades alrededor del mundo, quienes a
continuación se trasladaron de un cajero automático a otro para retirar grandes sumas
de dinero. En el transcurso de tan solo unas pocas horas, se realizaron más de 36.000
retiros fraudulentos que resultaron en el robo de alrededor de $40 millones.
La información sobre el robo salió a la luz se llevó a juicio a ocho miembros de
la célula de Nueva York que participó en el fraude. El caso subrayó una serie de
vulnerabilidades que los estafadores pudieron aprovechar, incluyendo la falta de
seguridad y tecnología de filtro en los bancos afectados, las cuales les hubieran
ayudado a detectar y contrarrestar a los piratas informáticos. Además, el uso continuo
de tarjetas con bandas magnéticas en los Estados Unidos permitió a los defraudadores
producir, con mucha facilidad, copias que funcionaban utilizando los códigos de acceso
falsos. Estas tarjetas con banda magnética se habían dejado de usar en la mayoría de
los otros países y ahora estaban siendo eliminadas paulatinamente en los EE.UU. para
ser reemplazadas por la tecnología de chip y PIN, que es más difícil de copiar. Sin
embargo, debido a que los bancos y comerciantes estadounidenses todavía utilizaban
tarjetas magnéticas, ellas seguían siendo aceptadas en otras partes del mundo.
 Un futuro cercano
La SUPERVISIÓN de la actividad del usuario está en el centro de la detección y disuasión
del fraude. La confianza seguirá siendo fundamental, pero la tecnología para rastrear el
comportamiento criminal es cada vez mejor, justo en la medida en que nuevas normas
salen a la luz para para regular aún más el sector.

El procesamiento en tiempo real El análisis del comportamiento del

está a la vuelta de la esquina y usuario muestra un rápido
permitirá detectar la actividad desarrollo y proporcionará
fraudulenta a medida que información en una forma
ocurre. fácilmente utilizable sin la
necesidad de recurrir a científicos
especializados en datos – mediante
una pantalla tipo "panel de
En los casos en los que hay información ", por ejemplo.
participación de empleados en
cargos especialmente sensibles, tales

40 %
como administradores de sistemas y
bases de datos, se puede acudir a
sistemas especializados para reducir
el riesgo entre los usuarios con
privilegios de acceso muy altos.

El papel fundamental que la tecnología Volumen de casos de fraude revelados

juega en la supervisión contra el fraude como resultado de denuncia de
ha dado lugar a cambios en la forma en irregularidades. Los bancos deben
que los auditores internos operan y las cambiar su actitud e instaurar nuevos
habilidades que necesitan para hacer procedimientos que les aseguren que
su trabajo. Es por ello que los auditores son capaces de obtener el mayor
especializados en tecnología de la beneficio posible de la información
información se han convertido en una que reciben de parte de los
parte vital del arsenal de los bancos. informantes.

2018 72 hours 2%
Año en que se espera que el Son el tiempo máximo permitido para Es el porcentaje
Reglamento General de denunciar violación a la seguridad de de los ingresos
Protección de Datos (GDPR) los datos, bajo las nuevas normas totales propuesto
de la UE entre en vigencia. GDPR. como multa
máxima.

www.temenos.com
www.netguardians.ch
 Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
37

Acerca de Temenos

Temenos Group AG (SIX: TEMN), cuya oficina matriz se encuentra en

Ginebra, es uno de los proveedores líderes en el mercado de software que,
gracias a su alianza estratégica con bancos y otras instituciones financieras,
les permite transformar sus negocios y mantenerse a la vanguardia en el
mercado.

Más de 2.000 instituciones financieras alrededor del mundo, incluyendo 38

de los 50 bancos más importantes, confían en Temenos para procesar sus
transacciones diarias para más de 500 millones de clientes y por más de
USD 5 billones en activos.

Los clientes de Temenos han demostrado ser más rentables que sus
competidores. En el período 2008-2012 disfrutaron en promedio, de un
rendimiento sobre activos 32% mayor, un rendimiento de capital 42% más
alto, y su relación costo a ingreso fue 8,1 puntos más baja que la de los
bancos que todavía operan con software heredado.
Fraude Bancario de la A a la Z – Temenos y NetGuardians – 2016
38

Acerca de NetGuardians

NetGuardians es una empresa líder en software bancario,

reconocida por su enfoque único con respecto a soluciones
antifraude y de aseguramiento de riesgos. Nuestro
galardonado software aprovecha los datos masivos para
correlacionar y analizar comportamientos en todo el sistema
bancario –y no solo a nivel de transacción. Esta visión más
amplia es el secreto de nuestra ventaja creativa. Nos hacemos
acreedores a la confianza de nuestros clientes mediante una
combinación de conocimiento técnico por parte de nuestro
equipo de investigación y desarrollo y nuestro profundo
entendimiento de los desafíos cambiantes del riesgo que
enfrentan los bancos en un mundo sin fronteras.

Fundada en 2007, NetGuardians fue la primera compañía en

emerger de la incubadora de innovación, Y-Parc, en Yverdon-
les-Bains, Suiza. Hoy en día, la empresa goza de una sólida
presencia internacional con una clientela en constante
crecimiento en Europa, el Medio Oriente y África. En 2015,
Gartner nombró a NetGuardians “Cool Vendor” (proveedor
genial) en el evento “Los Proveedores Geniales de Auditoría y
Cumplimiento Innovan las Técnicas de Validación de Controles”:
http://www.netguardians.ch/gartner