Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA

Protección contra el fraude, más vale prevenir que curar

15/06/2015 - David Marchal
El fraude en términos generales es un problema muy común al que cada vez más empresas deben enfrentarse en su día a día. Para ello, es necesario contar con una adecuada estrategia de seguridad integral que no sólo involucre a un buen equipo de profesionales especializados en esta materia; sino también son necesarias todas las herramientas físicas, tecnológicas y digitales a su alcance para tener éxito en su prevención, detección y erradicación.

Aunque nos cueste reconocerlo, lo cierto es que el fraude, especialmente el económico, es una lacra muy extendida en España, tanto en el ámbito de las organizaciones como en el de la Administración Pública. Los datos , en este sentido, no dejan lugar a dudas. Por un lado, nuestro país se sitúa en el décimo puesto de todo el mundo en estas prácticas, según destaca el estudio Global Economic Crime Survey 2014 de PwC. Por otro, ocupa el segundo puesto del mundo en países donde más ha aumentado la percepción de corrupción en los últimos años, según el Índice de Percepción de la Corrupción 2013 de Transparencia Internacional. Asimismo, y de acuerdo con el Eurobarómetro especial sobre corrupción, hasta un 63% de los españoles encuestados se ha sentido víctima de algún tipo de fraude económico en el año 2013.

En el ámbito empresarial, este porcentaje no varía mucho. Según los resultados de la Encuesta sobre fraude y delito económico en España en 2014 de PwC, se pone de manifiesto un incremento en el número de empresas que han sufrido un delito económico, situándose en un 50,6% del total de organizaciones que respondieron la encuesta, un 40% de las cuales manifiesta haber sufrido más de diez de este tipo de delitos.Y no sólo se trata de fraudes económicos, que son los más habituales. El robo de información confidencial, la sustracción de bienes físicos, el conflicto de intereses para primar a los amigos, o el soborno son otros buenos ejemplos de todo lo que puede llegar a englobar este concepto. No resulta extraño, por tanto, que los expertos consultados para la realización de este reportaje coincidan en señalar un aumento de este tipo de acciones malintencionadas.

"Si tenemos en consideración que el concepto de fraude en términos generales abarca una gran diversidad de prácticas ilícitas, como la corrupción, el blanqueo de capitales, la evasión de impuestos, el robo de información y otros activos, los ataques cibernéticos, el abuso de mercado, etc., podemos afirmar sin lugar a dudas que se ha producido un aumento de los intentos de fraude en los últimos años en la mayoría de las organizaciones", explica Alfonso Mur, socio de Deloitte. Con esta afirmación coincide también José García Medina, director de Seguridad Corporativa de Vodafone España: "Hemos observado cómo el número en los intentos de fraude mantiene una tendencia de crecimiento en los últimos años". Probablemente, asegura el directivo, los factores que afectan a todas las empresas para que se produzca este incremento "están íntimamente relacionados con la presión que, de forma general, es ejercida en la reducción de costes, y que afecta directamente a los recursos empleados en tareas de control, vigilancia y auditoría interna". Mur, de Deloitte, considera que no hay un motivo único asociado a la comisión de tales fraudes, sino una diversidad de ellos. "Para entender las distintas motivaciones que han propiciado esta situación, es importante tener en consideración los siguientes factores: oportunidad, incentivos y presión, y racionalización (actitud). Todos  ellos, por tanto, están vinculados al factor humano; esto es, a la intervención o participación de personas físicas en las acciones fraudulentas. Sin eso, el fraude no es posible".

Tipos de fraude

Basándonos en el factor humano como impulsor del fraude, podemos dividir estas acciones en dos clases principalmente: internas y externas. En el primer caso, y según se extrae del informe Report to the Nations on Occupational Fraud and Abuse, impulsado por la Asociación de Examinadores de Fraude Certificados (ACFE), cualquier organización pierde el 5% de sus ingresos anuales debido al fraude interno, datos extraídos a partir del estudio de más de 1.400 casos en todo el mundo. "Según nuestros cálculos, esto se traduce en un potencial proyectado de pérdidas por fraude mundial de casi 3.700 millones de dólares", explica Gertrudis Alarcón, presidenta de ACFE Capítulo España.

De esta forma, los delitos corporativos se dividen en tres grupos: apropiación indebida, corrupción y fraude en los estados financieros. El más común es el primero, presente en el 85% de los casos estudiados por ACFE. Sin embargo, también es el que menores pérdidas económicas reporta, con una media de 100.000 euros.

Por otra parte, apunta Alarcón, "el menos frecuente es el que afecta a los estados financieros, pues representa sólo un 9% de todos los casos estudiados. No obstante, es el de mayor impacto, porque aporta unas pérdidas medias de un millón de dólares a las empresas que lo padecen", asegura. Finalmente, y atendiendo a los datos del estudio de ACFE, el perfil socio-demográfico extraído de los casos analizados es el de un hombre, de entre 41 y 50 años, que lleva trabajando en la organización más de un lustro. El segundo tipo de fraude es el externo, y cuenta con una aliado principal, que son las nuevas tecnologías, puesto que la inmensa mayoría de éstos se realizan a distancia. En palabras de Gianluca D’Antonio, CISO de Grupo FCC y presidente de ISMS Forum Spain, "el aumento de los delitos económicos relacionados con el uso de las nuevas tecnologías es un dato incontrovertible, reflejado en las estadísticas de Europol y de las Fuerzas y Cuerpos de Seguridad del Estado". Para el directivo, los factores que están detrás de este aumento se deben al creciente uso de los nuevos canales de comunicación digital y al comercio electrónico.

"Los delitos más frecuentes están relacionados con la estafa a través de la suplantación de marcas comerciales, el robo de medios de pagos y de información confidencial". Algo similar piensa Carles Solé, CISO de Caixabank y director del Cyber Security Center (CSC) de ISMS Forum Spain: "Se percibe una evolución en los vectores de infección y en la complejidad y focalización, especialmente en lo que a troyanos se refiere, que los hace cada vez más difíciles de analizar y neutralizar". De hecho, el directivo se muestra preocupado porque estos mismos esquemas de fraude "se están trasladando a otras industrias que tradicionalmente no han tenido que lidiar con ellos, lo que las hace más atractivas a los cibercriminales". Y a esto, en palabras de Solé, se une ahora campañas como las de ransomware, "en la que muchas compañías se ven ante la única alternativa de pagar el rescate" que se les exige para desencriptar su información robada, "convirtiéndose en una acción rentable para los que lo perpetran", puntualiza. Y es que, tal y como advierte Luis Corrons, director técnico de PandaLabs, "si miramos en el mercado negro de venta de información, se paga más por datos pertenecientes a empresas que por los de particulares".

Este hecho también se pone de manifiesto en el último informe de amenas de seguridad, ISTR 20, de Symantec. "Si bien las estafas en redes sociales pueden proporcionar a los cibercriminales dinero rápido, algunos de ellos prefieren otros tipos de ataque más lucrativos y agresivos, como por ejemplo el ransomware, que aumentó en un 113% el año pasado, o el propio crypto-ransomware, con 45 veces más víctimas que en 2013", afirma Miguel Suárez, el director técnico de Symantec Iberia.

Por su parte, Francisco Lázaro, director del Centro de Estudios en Movilidad (CEM) de ISMS Forum Spain, considera que "los ataques más habituales son los que tienen como entrada el engaño mediante ingeniera social y como vehículo las acciones derivadas de una falta de conciencia en los usuarios, descargando y/o ejecutando ficheros". También remarca la proliferación de ataques que pretenden "disminuir la calidad de los servicios públicos de las compañías, como los de Denegación de Servicio".Desde Vodafone también alertan del peligro que supone el fraude externo para ellos. "Las pérdidas por fraude que globalmente sufrimos las operadores de telecomunicación son notables y suponen un reto para todos los que nos dedicamos a este trabajo", afirma García Medina. Ahora bien, este tipo de acciones van más allá de los intentos de no pagar una llamada por parte de un particular. "Actualmente organizaciones criminales de ámbito transnacional tienen como uno de sus objetivos la comisión de fraudes contra nuestro sector", advierte.

Y esto no sólo ocure en este mercado. El financiero también es uno de los más afectados, tal y como indica José Alemán, Managed Services Line of Business Manager de S21sec, empresa especializada en detectar fraude bancario. "La continua evolución de las medidas de seguridad en el entorno financiero hace que el fraude se desplace a otros sectores, aunque actualmente éste sigue siendo el número uno", revela el directivo.

Medidas y soluciones

Para frenar esta escalada de acciones malintencionadas en las organizaciones, es preciso que las empresas impulsen una serie de medidas importantes.La primera, y más obvia, es la prevención. “En materia de ética empresarial, a la larga resulta más barato prevenir que curar. Hacer frente a las consecuencias del fraude en una organización puede salir más caro que poner en marcha los mecanismos de prevención y control de riesgos necesarios para evitar la comisión de delitos de carácter económico”, señala Alarcón, de ACFE.

Por su parte, Lázaro, de ISMS Forum Spain, añade alguna más. "La inteligencia y la cooperación son las herramientas diferenciadoras en este nuevo contexto. La exploración de fuentes abiertas, el apoyo de repositorios externos o el intercambio de indicadores de compromiso son piezas clave en esta nueva estrategia donde la inteligencia complementa la fuerza tradicional", comenta. Además, el directivo destaca la concienciación "como el arma esencial que las organizaciones tienen para combatir el fallo humano", e impedir que "los esfuerzos económicos y humanos que se invierten sean desperdiciados". Desde Panda Security añaden otro elemento importante: la formación. "Muchos ataques delegan su éxito en engañar a los empleados utilizando la ingeniería social. Con un pequeño entrenamiento, es muy sencillo identificarlos y evitar que sucedan", confirma Corrons. Esto enlaza con un factor clave: la falta de concienciación. "A pesar de que las empresas muy expuestas al fraude, como el sector financiero, invierten en seguridad, todavía existen varios sectores que no invierten lo suficiente ya que desconocen ser objetivo directo de los ciberataques y el fraude", apunta Alemán, de S21sec.

Entre la lista de medidas que apunta Suárez, de Symantec, se encuentra una muy explícita: estar preparados para lo peor. "La gestión de incidentes garantiza a la empresa que su marco de seguridad estará optimizado, será medible y se podrá replicar, y que las lecciones aprendidas mejorarán su postura en materia de seguridad", opina.Otra opción comentada por los expertos consultados es la habilitación de canales de denuncia en las organizaciones, especialmente para detectar el fraude interno. "Estas vías permiten a los empleados dar a conocer situaciones que son irregulares, que han de ser investigadas y a las que se les ha de dar un tratamiento para alcanzar una solución al problema detectado", en palabras de Alarcón, de ACFE. De hecho, según el mencionado informe de esta asociación, ésta es una opción muy viable, puesto que por ese canal se identifican más del 40% de los casos,  conformándose así como "el método más rápido y eficaz de detección del fraude interno, muy por delante de otras herramientas de prevención como las auditorías”, puntualiza Alarcón.

Es algo que también constata García Medina, de Vodafone. "Personalmente doy mucha importancia al aspecto cultural y al compromiso de los empleados". No en vano, la compañía cuenta con un Código de Conducta sencillo, claro, próximo y alejado de dogmas. "Esto supone una política de tolerancia cero al fraude promovida y respaldada por el equipo de dirección, probablemente la herramienta más poderosa de que disponemos". Y es que, para el directivo, las soluciones técnicas varían en función del momento y realmente por sí mismas no aportan un gran valor. En cambio, apunta, "una cultura solida de lucha contra el fraude, sí. Nosotros lo resumimos en una breve frase: 'Hacer lo correcto'”.

Sobre todas estas opciones se pronuncia muy acertadamente Mur, de Deloitte. "Hoy en día la lucha contra el fraude va asociada a la adopción de una multiplicidad de medidas de gestión del riesgo por parte de las organizaciones, tanto de naturaleza funcional como tecnológica". Esto, para el directivo, abarca desde los procesos de formación y concienciación, a la implantación de las soluciones avanzadas de lucha contra el crimen cibernético y financiero; pasando por el desarrollo de políticas preventivas, detectivas y correctivas; así como la disponibilidad de canales internos de denuncia y comunicación, y unidades de inteligencia que permitan analizar los riesgos asociados a cada compañía.

Como remarca D'Antonio, de ISMS Forum Spain, en este punto "la seguridad deja de estar ligada a productos y tecnologías y se convierte en un proceso de gestión". De hecho, para el directivo ése es el único enfoque que puede asegurar una protección eficaz de los activos de información frente a este tipo de amenazas. En este contexto, añade, "las medidas de tipo tecnológico, como herramientas de detección de ataques, los cortafuegos de nueva generación, etc. se complementan con los controles de acceso a la información y las buenas prácticas para un uso seguro de las nuevas tecnologías. De poco sirven los cortafuegos o los antivirus si las personas que utilizan los dispositivos no adoptan criterios de uso seguro, comparten credenciales de acceso o revelan información sensible a través de las redes sociales", opina.Por tanto, las claves para hacer frente a estas amenazas pasan por "establecer una estrategia holística de la seguridad, diseñando un entorno de control para la detección, prevención y respuesta coordinada; disponer de un equipo humano, propio o ajeno, capaz de reaccionar ante este tipo de amenazas; y testar mediante simulacros continuos el entorno de seguridad", apunta Solé, de ISMS Forum Spain.

La respuesta de las empresas

En esa línea precisamente va la reacción de las empresas, aunque eso depende en muchos casos de qué tipo de compañías se traten y qué estrategia hayan adoptado. En el caso de Vodafone, según García Medina, lleva en su ADN la lucha contra el fraude. "Tenemos integrados en nuestra empresa diferentes sistemas y procedimientos que nos permiten analizar, monitorizar y detectar todos aquellos escenarios de riesgo que nos afectan", explica su director de Seguridad Corporativa. "El uso de herramientas de análisis en tiempo real de eventos, en combinación con técnicas de inteligencia manejadas por un equipo de profesionales en la gestión del fraude, supone una ventaja en la lucha contra estas amenazas", añade.

Por lo general, las grandes empresas están más avanzadas en este campo que las pymes, a las que adoptar estas acciones les puede resultar más complejo. Ahora bien, a pesar de ello, "los grados de avance en la implantación de tales medidas son muy heterogéneos y van asociados en gran parte al grado de madurez de la cultura de cumplimiento normativo y gestión de riesgos de la organización; así como a la concienciación e involucración de los órganos de administración en el proceso", en palabras de Mur, de Deloitte.En las grandes empresas, además, cuentan con los servicios de un responsable de Cumplimiento Normativo en materia de prevención y detección de irregularidades, cuya responsabilidad se ha transformado en los últimos años en algo más que una figura decorativa. En el caso de las pymes, apunta Alarcón, de ACFE, "suele resultar mucho más rentable externalizar este servicio antes que contar en plantilla con un profesional dedicado exclusivamente a esta tarea".

Seguridad integral

En cualquier caso, el control del fraude en las organizaciones debe hacerse de forma integral. "La ley de Infraestructuras Críticas, la Ley de Seguridad Privada o la convergencia de la delincuencia están haciendo evolucionar a muchas organizaciones hacia la seguridad integral", asegura Lázaro, de ISMS Forum Spain. Esta opinión la comparte también Alemán, de S21sec, para quien las grandes empresas españolas ya están asumiendo esta realidad, pero todavía queda un largo camino. "De cara a dar un salto en la prevención sería deseable que se acercaran a esta manera de ver la seguridad", afirma el directivo.

No en vano, "tanto la seguridad física como la lógica tienen objetivos comunes, por lo que es importante que ambas trabajen coordinadamente, agregando información de ambos entornos, definiendo procesos conjuntos e integrando sistemas", asegura Suárez, de Symantec.

Para ello, se puede partir del concepto de seguridad e incluir la gestión del riesgo de fraude como un componente de la misma; o bien, si se atiende a otros enfoques, se podría partir del concepto de riesgo de fraude y considerar la seguridad un componente de la gestión de dicho riesgo. Por tanto, según Mur, de Deloitte, "no hay una solución única". La naturaleza de cada empresa, su organización, su historia y su estrategia de negocio son factores que deberán tenerse en consideración a la hora de definir el modelo más apropiado.

Por ejemplo, en Vodafone, el departamento de Fraude reporta directamente a la dirección de Seguridad, junto con las áreas de Investigación, Seguridad de la Información y Segu­ridad Física y Personal. De hecho, en palabras de García Medina, "un ejemplo de cómo hasta qué punto están integrados es que el objetivo de la cifra de fraude frente a la facturación es compartido por todos y cada uno de los miembros de estos departamentos", señala el directivo.En definitiva, afirma Alarcón, de ACFE, entender que "el Departamento de Seguridad es el más alineado con los objetivos de la empresa es un paso de gigante en la protección contra el fraude". 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual