Guía

Fraude en entidades
financieras

www.auditool.org
 FRAUDE EN ENTIDADES FINANCIERAS

Tabla de contenido
¿Qué es el fraude en entidades financieras? ..................................................................... 3
Programas de prevención y recupero de pérdidas ............................................................. 6
Controles internos para prevenir la apropiación indebida de activos ................................ 12
Controles internos para prevenir la corrupción ................................................................. 13
Informar y capacitar al cliente .......................................................................................... 19
Amenazas para tener en cuenta en las entidades financieras ......................................... 22
Tipos de fraude ................................................................................................................ 31
Medidas antifraude .......................................................................................................... 34
Reportes de fraude a las autoridades .............................................................................. 39
Precauciones para evitar filtración de datos..................................................................... 41
Conclusiones ................................................................................................................... 45

2
¿Qué es el fraude en entidades financieras?

Esta pregunta requiere definir dos conceptos:

1. Qué entendemos por entidad financiera

2. Qué entendemos por fraude

Concepto de entidad financiera

Instituciones financieras son las que prestan alguno de los siguientes servicios:

Reciben depósitos

Otorgan préstamos

Administran inversiones

Intervienen en operaciones de cambio

Lo que caracteriza a las entidades financieras, a semejanza de las compañías de

seguros, es que su rol está esencialmente determinado por su capacidad de lograr
confianza en el público. Adicionalmente, la intermediación financiera consiste en la
captación de fondos del público para colocarlos en préstamos y, eventualmente, en otras
operaciones como inversiones. De manera que, en primer lugar, cuando se damnifica a
una entidad financiera, se daña directamente a sus depositantes y, solo en segundo
término, se daña a sus propietarios.

Esta es una situación sustancialmente diferente de la que tiene lugar cuando se perpetra
un fraude contra una empresa comercial o industrial. Caso en el cual el daño sufrido recae
directa y primariamente sobre el patrimonio de sus propietarios. La otra característica
distintiva del fraude contra las entidades financieras es su rol preponderante en la
prevención del lavado de activos.

3
La Organización Internacional de Comisiones de Valores (OICV) define al lavado de
activos o legitimación de capitales como: “Introducir en la economía activos de
procedencia ilícita, dándoles apariencia de legalidad al valerse de actividades lícitas, lo
que permite a delincuentes y organizaciones criminales disfrazar el origen ilegal de su
producto, sin poner en peligro su fuente” 1

Este delito tiene como pilar al sistema financiero, debido a que es a través de este como
se puede disponer de volúmenes masivos de fondos que no resulta viable disponer en
efectivo. Asimismo, el sistema financiero es utilizado para el financiamiento del terrorismo,
bajo modalidades diferentes a las del lavado de activos.

Concepto de fraude

Se define al fraude como el engaño económico con la intención de conseguir un beneficio,

con el cual alguien queda perjudicado.

Elementos del fraude son:

o El engaño o ardid. El fraude no puede realizarse con conocimiento de la

víctima. Por consiguiente, se requiere darle una apariencia de legitimidad y
buena fe, de manera que la persona defraudada ingrese en el trato que le
dañará.

o El perpetrador que intenta un beneficio para sí o para personas o entidades

relacionadas. El fraude es un delito de naturaleza sustancialmente económica.
El motivo que impulsa al defraudador es beneficiarse o beneficiar a otras
personas.

o La víctima del fraude. En este caso, debe ser una institución financiera,
alguno/s de sus clientes o ambos. El fraude requiere que las víctimas resulten
damnificadas en términos económicos.

1
OICV, 2021. Tomado de:
https://supervalores.gob.pa/files/Presentaciones_Publicas/2021/CHARLA-UNIVERSIDADES-BC-
FT.pdf

4
 o El beneficio para el perpetrador y el daño para la víctima. El daño a las víctimas
es, de modo general, mucho mayor al beneficio recibido por sus perpetradores
dado que estos necesitan ocultar el fraude. Así, alteran o destruyen registros, lo
cual lleva a la organización a tomar decisiones equivocadas sobre la base de
información faltante. Esto genera un costo adicional a las víctimas.

Por su parte, una de las fuentes primarias de pérdida para las instituciones financieras
son los créditos no honrados por sus clientes. Es importante identificar los casos en que
tales pérdidas son ocasionadas por la solicitud u otorgamiento fraudulento de créditos
que, desde un principio, los clientes no tenían la intención de honrar.

Esta segregación de las pérdidas operativas por créditos fraudulentos es crucial, porque,
de no hacerlo, sucedería que:

1. La magnitud real de los fraudes no sea identificada. Si un crédito fraudulento

impago quedase registrado como incobrable, los perpetradores habrían logrado
ocultarlo, al menos inicialmente.

2. Una imputación errónea lleve a la conclusión de que el proceso de otorgamiento y

cobro de créditos es más ineficiente de lo que realmente es, lo cual derivaría en el
daño de toma de decisiones equivocadas con base en información errónea.

5
Programas de prevención y recupero de pérdidas

El establecimiento de programas formales y sólidos para la prevención y recupero de

pérdidas por fraude es, en el caso de las entidades financieras, de mayor importancia que
en organizaciones que no están basadas en la captación y manejo del ahorro público. En
efecto: al haber captación de ahorro público, el accionar de las entidades financieras está
sujeto a la estrecha supervisión de una entidad regulatoria gubernamental que puede,
llegado el caso, interpretar que:

1. La entidad financiera tiene un accionar descuidado o negligente en el cuidado del

ahorro público
2. La dirección de la entidad financiera está implicada en maniobras irregulares

En ambos casos, el regulador puede aplicar una diversidad de sanciones, que van desde
un inicial apercibimiento, hasta la imposición de multas y, finalmente, la revocación de la
licencia para operar.

En los casos más severos, las facultades del regulador pueden alcanzar no solo a la
entidad financiera como persona jurídica o de existencia ideal, sino también a las
personas que actúan en cumplimiento del deber fiduciario como sus depositantes. Por
ejemplo: la dirección, el comité de créditos, el oficial de cumplimiento antilavado, el auditor
externo o cualquier otra figura externa que tenga responsabilidades legales para fiscalizar
a la entidad financiera.

Prevención vs. recupero

Al establecer un programa de prevención y recupero de pérdidas por fraudes, la primera

consideración es si es conveniente prevenir las pérdidas o recuperarlas una vez
producidas.

En muchas ocasiones, resulta válido el concepto de que “más vale prevenir que curar”,
pero esta no es la regla general, dado que una prevención de fraudes llevada al extremo
puede implicar el establecimiento de tantos controles y medidas de precaución que
disuadan a los potenciales clientes de relacionarse con la entidad financiera.

6
En el otro extremo, evitar la prevención de fraudes y con ello exponer a los clientes a
situaciones traumáticas, aun cuando luego se les resarzan las pérdidas; puede generar un
severo daño reputacional a la entidad financiera. Tengamos en cuenta que en la
intermediación financiera la confianza y la reputación de solvencia e integridad son el
activo más valioso. Ni siquiera uno de los más valiosos, sino el principal.

Un caso paradigmático de negligencia en los controles fue el del automóvil Ford Pinto.
Veamos un resumen de lo sucedido, desarrollado a profundidad por los investigadores
Petrella y Tessore2, luego analicemos su aplicación en las instituciones financieras.

Durante los años 70, Ford Motor lanzó al mercado un auto denominado Pinto, en un
esfuerzo por ganar mercado en el segmento de autos pequeños frente a la pérdida que
estaba sufriendo por la competencia japonesa. Por ello, intentó desarrollar
aceleradamente este nuevo modelo. Para esta década, lo usual era lanzar un modelo al
mercado en, aproximadamente, 40 meses, mientras que el lanzamiento del Ford Pinto
ocurrió en poco más de 20 meses. Los efectos de esta rapidez se vieron más adelante.

Las acciones para el acortamiento de cronogramas de lanzamiento incrementan

sustancialmente los riesgos de defectos, reprocesos, incrementos de costo, entre otros.
No obstante, en el caso del Ford Pinto, estos factores se desatendieron y eso derivó en el
lanzamiento al mercado de un modelo con errores de diseño importantes.
Específicamente, se ubicó el tanque de combustible en la parte trasera del vehículo, tan
próximo a las luces del sector, que un mínimo impacto de otra unidad provocaba un
incendio. Debido a lo cual se destruyeron totalmente muchos vehículos y, asimismo,
muchas vidas humanas se perdieron.

En los años iniciales, las ventas del Ford Pinto fueron elevadas, pero también los
accidentes ocasionados por el defecto de diseño precedentemente mencionado. Ford lo
sabía desde el principio, pero decidió no reparar la falla de diseño, debido a que una
evaluación de costo/beneficio determinó que era conveniente atender las reclamaciones
antes que retirar el modelo del mercado.

2Cuyo texto Incertidumbre, riesgo y ética: el caso de Ford Pinto analiza este caso. Acá nos
basaremos en su investigación.

7
El punto central de analizar cómo Ford privilegió las consideraciones económicas sobre
las evaluaciones éticas es que sus consecuencias fueron catastróficas. Al conocerse cada
vez más accidentes, el periodismo investigó y dejó en evidencia que Ford conocía las
fallas de diseño desatendidas. La presión social posterior influyó sobre los procesos
legales que se estaban llevando a cabo, para que se castigara severamente a la empresa.
Ford, que se había basado en el slogan de que “la seguridad no vende” y había
despreciado el valor de vidas humanas, pagó un alto costo en multas, procesos penales y
pérdida de ventas de otros modelos.

Llegados a este punto, imaginemos la aplicación de un criterio similar, puramente basado

en el costo/beneficio para un programa de prevención y recupero de pérdidas por fraude:

• ¿Cómo consideraría la autoridad de prevención del lavado de activos y

legitimación de capitales la conducta de una entidad financiera que, teniendo los
medios para detectar tales situaciones, hiciera “la vista gorda” en situaciones de
posible lavado simplemente por ubicarse en un nivel monetario por debajo del
regulado?
• ¿Qué pensaría un cliente que se enterase de que la institución financiera decidió
exponerse a fraudes menores sobre sus tarjetas de crédito porque tales pérdidas
estaban aseguradas?
• ¿Qué pensaría y haría al respecto la compañía aseguradora?

Para resumir, la consideración costo/beneficio frente a pérdidas es aplicable cuando el

análisis se refiere a circunstancias que implican a terceros. ¿Implica esto que la
consideración costo/beneficio nunca debe ser considerada en un programa de prevención
y recupero de fraudes? No, pero sí que deben anteponerse las consideraciones antes
mencionadas:

• El estricto apego al menor daño posible a terceros bajo las normas regulatorias
vigentes.
• Una alta consideración al posible daño reputacional, el valor que más afecta a las
entidades financieras.

8
Entonces, ¿cuándo sí es aplicable una evaluación costo/beneficio? Cuando dos técnicas
de control pueden aportar un resultado semejante pero el costo de una de ellas es
sustancialmente menor. Por ejemplo, tercerizando ciertas operaciones de prevención y
monitoreo de posibles pérdidas, cuando el caso esté fuera.

El otro factor importante en el establecimiento de un programa de prevención y recupero

de pérdidas por fraude es la persecución legal. Estadísticamente, está comprobado que
menos del 1% de quienes defraudan a una entidad financiera en los Estados Unidos de
América terminan en la cárcel. Por esta razón, procurar que los defraudadores vayan
presos puede ser una estrategia muy impactante, pero de alta improbabilidad en la mayor
parte de los casos.

Adicionalmente, como las entidades financieras son organizaciones que procuran,

justamente, dar servicios financieros a sus clientes y para eso necesitan rentabilidad y
liquidez, lo más efectivo es establecer estrategias de combate al fraude. A su vez, estas
deben buscar la restitución de lo sustraído cuando los fraudes se han consumado. Desde
luego, debe evitarse a través de adecuadas medidas de prevención que el fraude se
concrete.

Ventajas de la prevención respecto del recupero

Como ya hemos dicho, en todo incidente de fraude existe, al menos, un riesgo de daño
reputacional para la entidad financiera que lo padece. De manera que lo mejor es evitar
los fraudes tanto como sea posible. A menos que esto resulte inviable o entorpezca tanto
la operación que la vuelva poco práctica y anticompetitiva en relación con otras entidades
financieras del mercado. Adicionalmente, las acciones preventivas de fraude suelen ser
más económicas que los esfuerzos de recupero y se pueden incorporar en los procesos
normales de operación para obtener beneficios adicionales de eficiencia. La tecnología de
información disponible, además, facilita mucho las medidas de prevención, haciéndolas
más asequibles y ágiles.

9
Por último, en el caso de tener que acudir al recupero de pérdidas por fraude, existen
costos que resultan imposibles de recuperar. Principalmente, los derivados de la
contratación de investigadores y abogados externos. Una consideración adicional para los
casos en que la acción de recupero involucra la acción judicial, es que resulta complejo el
proceso de explicar y convencer a un tribunal de que una institución financiera ha sido
víctima de fraude. Las razones para la existencia de esta dificultad son:

a. La institución financiera es vista como un ente poderoso, que:

i. Puede afrontar fraudes, especialmente los pequeños
ii. Cuenta con los medios necesarios para prevenir tales fraudes
b. La complejidad de las maniobras involucradas
c. La prueba del ánimo doloso, esto es, que los perpetradores tuvieron la
intención de producir un daño.

Elementos de la prevención de fraudes en el programa de prevención y recupero de

fraudes

Los elementos que integran un sistema de prevención de fraudes son:

a. Cultura ética. La cual se establece a través de:

i. Capacitaciones llevadas a cabo con regularidad. Se realizan con el objetivo de

mostrarles a integrantes de la organización y partes interesadas cuáles son las
conductas esperadas por la entidad financiera.

ii. Código de ética o conducta. Debe operarse como un complemento eficaz de la

legislación y regulaciones vigentes. Entre el código de ética se deben
contemplar las sospechas frente a regalos, conflictos de interés y
comunicación frente a este tipo de situaciones.

10
b. Evaluaciones de riesgo/controles internos.

Los controles internos deben establecerse al considerar riesgos y pérdidas

esperables en caso de ausencia de controles. La principal fuente para evaluar
riesgo de fraude es la casuística, es decir la que es muy detallada. Entonces, al
practicar una evaluación de riesgo de fraude detallada que identifique
vulnerabilidades, activos expuestos y pérdidas esperadas, lo siguiente es
establecer controles internos necesarios para prevenir, disuadir y detectar posibles
fraudes.

Ahora bien, los controles internos son más efectivos para abordar los fraudes “en
libros”, es decir, la apropiación indebida de activos. Mientras que, los fraudes
“fuera de libros”, como la corrupción, deben ser abordados por otras medidas que
veremos hacia el final de esta guía.

Finalmente, la manipulación de información financiera e impositiva, llevada a cabo

con eventual complicidad de la alta gerencia y junta directiva, tiene sus propios
mecanismos de prevención, ligados al gobierno corporativo.

11
Controles internos para prevenir la apropiación indebida de activos

No es el propósito de esta guía definir qué se entiende por “apropiación indebida de

activos”, baste decir que no siempre se trata de la apropiación definitiva de bienes
tangibles o intangibles, sino que se incluye también su sustracción transitoria.

Las medidas básicas para prevenir la apropiación indebida de activos son:

• Segregación de funciones. Implica que quienes tienen la responsabilidad de la

custodia de un activo, no deben tener también la responsabilidad de su registro. Si
la misma persona realiza las dos funciones, es posible que se dé una apropiación
indebida y sea más fácil ocultarla.
• Conteos periódicos. En bienes tan sensibles como el efectivo, los arqueos deben
ser realizados diariamente por personal independiente.
• Niveles de autorización. Obligan a que las operaciones iniciadas por un operador
deban ser validadas por al menos un nivel superior.
• En casos tales como el otorgamiento de préstamos, central para las entidades
financieras, el proceso de aprobación requiere de diversas instancias que
involucren a los más altos niveles de la institución.
• Conciliaciones periódicas. Cada vez más, se intenta que la contabilidad y los
registros auxiliares provengan de una misma fuente de imputación, para evitar la
labor de conciliar registros auxiliares y contabilidad central. Sin embargo, mientras
esto no se logre plenamente, la conciliación periódica de registros auxiliares y
contabilidad central es crucial como medida de prevención de fraudes. De modo
que, en el caso de irregularidades, suceda que los perpetradores se amañen para
alterar los registros auxiliares, pero no tengan la autoridad o los conocimientos
suficientes para alterar la contabilidad central.
• Monitoreo de antigüedad de partidas. Una forma frecuente de cometer fraudes
es el uso de cuentas transitorias o de suspenso en las cuales se realizan
imputaciones que evitan que un fraude sea detectado por la comparación entre
activos físicos y las cuentas principales.
• Por tal motivo, las cuentas de suspenso y transitorias deben inspeccionarse
diariamente por personal independiente e indagar sobre partidas de mayor
antigüedad.

12
Controles internos para prevenir la corrupción

Ahora nos centraremos en los controles internos para prevenir la corrupción.

Al ser la corrupción un fraude “fuera de libros” la supervisión o la auditoría no hallarán

más que evidencias indirectas de lo sucedido.

Es por eso por lo que la prevención, disuasión y detección de la corrupción se basan en

dos medidas:

1. Líneas de denuncia

2. Monitoreo de operaciones

Con respecto a las líneas de denuncia, partimos del supuesto de que quienes cometen
actos de corrupción son muy cuidadosos en lo que hacen y dicen frente a sus
supervisores y auditores; pero, no son tan cuidadosos en presencia de sus compañeros
de trabajo. Por ello, facultar una línea de denuncias puede dar a las personas que
evidencian comportamientos inusuales, la oportunidad de realizar denuncias anónimas.

Para este propósito, también es importante que sea suficientemente bien difundido el
código de ética de la organización y que la gobernanza corporativa esté funcionando
adecuadamente, de modo que la línea de denuncias no resulte en perjuicio del
denunciante.

Adicionalmente, las líneas de denuncia no solo son utilizadas por los empleados, también
es importante habilitarlas como un canal de comunicación en caso de que se presenten
víctimas de actos indebidos, por ejemplo, de una licitación amañada. Por las razones
expuestas, las líneas de denuncia, según estadísticas de la ACFE (Association of Fraud
Examiners) permiten conocer casi el 50% de los fraudes de los cuales las organizaciones
llegan a conocer.

13
Con respecto al monitoreo de operaciones, este funciona como complemento auxiliar
eficiente de las denuncias cuando se decide iniciar investigaciones. El orden de los
factores funciona así: si se dispone de una adecuada línea de denuncia, se tomará
conocimiento de un gran porcentaje de los fraudes que están ocurriendo. En segundo
lugar, si se complementa la línea de denuncias con monitoreo, la consecuente
investigación partirá de premisas más sólidas y se podrá acortar y terminar con el fraude
en un periodo más breve. Así, también será posible reducir las pérdidas experimentadas.

Conocer a empleados y clientes

En relación con los empleados, es importante tener en cuenta que los fraudes conducidos
por alguien externo a la institución se encuadran dentro del concepto de crimen
organizado, mientras que los dirigidos por personas internas a la organización
corresponden al fraude ocupacional. Ahora bien, estas líneas se traslapan al momento de
que, por ejemplo, quienes dirigen un fraude desde fuera de la entidad financiera reclutan a
personal interno de la organización o, caso contrario, quienes defraudan desde dentro
buscan la complicidad de personas externas. La diferencia entre uno y otro caso es que el
fraude ocupacional tiene mayores posibilidades de conocer los controles internos y,
consecuentemente, evadirlos. Es por esto por lo que resulta fundamental conocer a los
empleados con detenimiento.

¿Cuáles son, en consecuencia, los cuidados que debe adoptar la

entidad financiera para conocer debidamente a sus empleados?

14
Veamos algunos de ellos, expuestos por la firma de auditoría Audifirm3:

• Examinar periódicamente la posición patrimonial de cada colaborador y evaluar

aspectos tales como la congruencia de gastos con su salario, depósitos
realizados, participación en sociedades y eventuales litigios judiciales.
• Realizar un escrutinio más intenso respecto de los colaboradores de alto riesgo a
través de la unidad de cumplimiento para conocer, entre otras cosas, los vínculos
con sociedades y personas políticamente expuestas.
• Revisar periódicamente que los colaboradores no estén incluidos en la lista de
terroristas elaborada por Naciones Unidas.

Capacitación

Hemos analizado previamente la importancia de contar con un adecuado Código de ética

o conducta. Agregamos ahora que este debe complementarse con periódicas
capacitaciones que permitan al personal de la organización el procedimiento sobre cómo
deben actuar en situaciones fraudulentas, antes de que se produzcan. En tal sentido,
debe haber capacitaciones sobre:

• El significado y consecuencias del conflicto de intereses.

• Regalos y beneficios aceptables de las contrapartes. Qué hacer en caso de que
tales regalos o beneficios sean ofrecidos o enviados.

Adicionalmente, hay otros temas en los cuales es necesaria la capacitación, y que no se

relacionan con la aplicación del Código de ética, sino con otros elementos del programa
de prevención y detección de fraudes.

3Para profundizar al respecto, puede dirigirse al documento POLÍTICA Y PROCEDIMIENTO

“CONOZCA A SU EMPLEADO O COLABORADOR” que se encuentra en este enlace:
https://www.audifirm.com/uploads/documento/5.%20POLITICA%20CONOZCA%20A%20SU%20E
MPLEADO.pdf

15
Entre ellos se pueden mencionar:

• Debido uso de la línea de denuncias: qué comportamientos deben ser reportados

a través de la línea ética y cuáles deberían ser canalizados por otros mecanismos.
• Acciones que se deben tomar frente a conductas o transacciones sospechosas.
• Mecanismos para evaluar sospechas de fraude:
o Supervisión estricta y cercana
o Rotación de funciones, en los casos que lo merezcan
o Solicitud de auditorías para dilucidar sospechas
o Desarrollo de investigaciones para precisar si han tenido o no lugar fraudes
o Investigaciones para identificar el eventual alcance y responsabilidades de
los fraudes cometidos

La importancia de la identificación y conocimiento del cliente

Dentro de las entidades financieras, los defraudadores pueden ser clientes reales o con
identidad impostada. En el primero de los casos, antes de abrir una cuenta, el banco o la
entidad financiera debe tener conocimiento de los antecedentes del solicitante, para evitar
establecer una relación comercial con personas que tengan deficientes antecedentes en
el sistema financiero o una actividad irregular en la materia. Por otro lado, en el caso de
impostaciones de identidad, la entidad financiera debe disponer de los cuidados
necesarios para evitar la apertura de cuentas por personas con identidades falsas.

Por lo anterior, es crucial que la entidad financiera, además de conocer debidamente a

sus clientes, se asegure de disponer de datos identificatorios respecto de estos, para una
diversidad de fines:

• Confirmar su identidad al momento de cursar transacciones

• Hacer llamados o contactos de confirmación, llegado el caso de dudas sobre su
identidad
• Cursar comunicaciones importantes relacionadas con los servicios de la entidad
financiera
• Reclamar deudas o incumplimientos de pagos, llegado el caso
• Notificar el inicio de procesos de ejecución de deudas

16
Del mismo modo, los datos mínimos de los que deben disponer y validar las entidades
financieras, respecto de sus clientes, son:

• Nombres y apellidos completos. Esta información básica permite conocer los

antecedentes del cliente, ulterior comportamiento en el sistema financiero,
patrimonio, operaciones de crédito y solvencia.

• Dirección. Contar con la dirección real y actualizada permitirá mantener informado

al cliente, así como exhortarlo al pago de sus obligaciones. Adicionalmente,
permitirá a la entidad financiera detectar vinculaciones no reveladas entre clientes
y colaterales, que, presentándose como partes independientes están vinculadas
por vía de compartir tales datos.

• Número de documento (pasaporte, cédula u otros que apliquen). Dos

personas pueden tener un nombre idéntico. Por ello, para diferenciarlos, se utiliza
un dato de clave única como el número de documento de identidad o de
contribuyente.

• Número de contribuyente de impuestos. Funciona como una clave única

complementaria del número de documento de identidad, además de permitir a la
entidad financiera saber si el cliente está en cumplimiento de sus obligaciones
fiscales. Esto es relevante porque la evasión tributaria es posible.

• Números de teléfono. Son vitales para la entidad financiera en caso de una

urgencia o para confirmar una transacción.

• Correo electrónico. En comunicaciones menos urgentes, pero importantes, se le

notifica al cliente de noticias tales como cambios normativos u operacionales de
relevancia. También depende de las preferencias dadas por el cliente sobre las
notificaciones que desea recibir en su correo electrónico.

17
• Nombres de usuario. El nombre de usuario, junto con su correspondiente clave,
es la identificación del cliente para el uso de la banca electrónica, que
crecientemente va desplazando a la presencial, particularmente desde la
emergencia de COVID-19. En situaciones donde se requiere una validación digital
de mayor confiabilidad, se puede usar una tarjeta de coordenadas, autenticación
en dos pasos o un token.

• Información de seguros. En garantía de operaciones crediticias, una entidad

financiera puede exigir la cobertura de seguros que lo designe como beneficiario
primario.

• Información médica. En el caso de préstamos hipotecarios es relevante para la

entidad financiera conocer el estado de salud del cliente, con anterioridad al
desembolso de los fondos, porque la cobertura de seguros no es irrestricta.

18
Informar y capacitar al cliente

Después de exponer las maneras en las que la entidad financiera puede verse
defraudada por clientes falsos, es importante que los clientes tampoco caigan en acciones
fraudulentas, pues esto implicaría grandes problemas para clientes y para la entidad
misma. De este modo, es importante que la entidad cuente con programas de
capacitación y divulgación constante para los clientes sobre prevención de acciones
fraudulentas. Estos programas deben contener prevención sobre las siguientes acciones:

1. Robo de identidad: delito en el cual un atacante utiliza sistemas de fraude y

engaño para obtener información personal sensible de una víctima con fines
perjudiciales. Se estima que, en 2021, casi 42 millones de personas fueron
víctimas del fraude de identidad en Estados Unidos de América.

2. Buceo en la basura: los delincuentes buscan información descartada por el

usuario en su basura física o en las papeleras de reciclaje virtuales. Por tanto, es
importante que el cliente se proteja al utilizar contraseñas fuertes y a no evidenciar
información sensible en documentos físicos o tarjetas de crédito que terminan en
la basura.

3. Robo de billeteras o carteras: una de las modalidades más comunes por las
cuales los clientes pueden resultar defraudados es el robo de billeteras o carteras
en las cuales pueden encontrarse tarjetas de débito o crédito, así como
contraseñas u otra información sensible. Se debe recomendar a los clientes que, si
se presenta esta situación, deben reportar el robo a las autoridades competentes y
cambiar sus contraseñas lo más pronto posible.

19
 4. Ingeniería social: Kaspersky4, la empresa líder de ciberseguridad en el mundo,
define a la ingeniería social como el conjunto de maniobras que emplean los
delincuentes informáticos para engañar a sus víctimas. De esta forma, logran que
clientes de entidades financieras revelen sus datos confidenciales o infectar sus
computadores con software malicioso. Por lo general, los hackers se valen para
ello de la falta de conocimientos técnicos de las personas o de su situación de
vulnerabilidad.

5. Pretexting: el atacante dice ser una persona con autoridad y le exige al usuario
que revele sus datos para resolver una situación supuestamente grave. Para
prevenir estos ataques se debe recomendar la debida protección a contraseñas,
evitar responder correos no solicitados y no proveer información confidencial a
desconocidos.

6. Phising: según Malwarebytes5, el phishing consiste en un engaño orientado a

lograr que las personas compartan su información confidencial, a través de
maniobras de engaño como correos electrónicos falsos o mensajes de texto que le
solicitan al cliente ponerse en contacto con un sitio web en el cual se deberá
ingresar datos que los delincuentes usarán luego para suplantar la identidad del
cliente y someterlo a fraude. Por tanto, la entidad siempre debe hacer la salvedad
a los usuarios de que nunca les pedirán esos datos sensibles a los clientes.

7. Error tipográfico: según 010 Media Legaltech6, el error tipográfico se basa en la

posibilidad de que un usuario cometa un error de tipeo y, consecuentemente,
termine en la página web de un ciberdelincuente que previamente ha adquirido
ese dominio para especular con tal posibilidad.

4En su artículo Ingeniería social: definición, que se puede encontrar en la página

https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering
5Mawarebytes. Extraído de: https://es.malwarebytes.com/phishing/
6Extraído de: https://www.o10medialegal.es/typosquatting/

20
Existen otras amenazas de fraude para los clientes como el skimming, ataque man in the
middle (MitM), secuestro de DNS y aplicaciones falsas. Por lo tanto, es importante que la
entidad financiera se prepare atendiendo las indicaciones de la supervisión y estando al
tanto de los ataques cada vez más sofisticados en la industria.

Adicionalmente, la entidad financiera puede advertir sobre las siguientes señales de

ilegalidad bancaria, ya sea un falso funcionario de la propia entidad u otras entidades
financieras sospechosas:

1. Que se ofrezcan condiciones demasiado generosas en préstamos.

2. Que la entidad financiera que ofrece servicios de préstamo no tenga sedes ni

sucursales en el país en donde los está ofreciendo.

3. Que otra entidad financiera o alguien haciéndose pasar por asesor de su entidad
ofrezca pocos requerimientos para activar un servicio.

4. Que un asesor de alguna entidad financiera le solicite al cliente datos

confidenciales como contraseñas y números de tarjeta de crédito.

21
Amenazas para tener en cuenta en las entidades financieras

Después de reconocer las acciones fraudulentas a las que los clientes deben prestar
atención, es importante identificar las principales modalidades por las que pueden
defraudar directamente a las entidades financieras. Revisemos cada una de ellas:

Hackers

Los hackers o piratas informáticos surgieron con el advenimiento de la Internet, cuando

esta red alcanzó una madurez que permitió la conexión con computadores que poseen
información valiosa para un atacante (sistemas bancarios, militares, gubernamentales,
entre otros). Así, desde la popularización de la Internet, diversas personas llamadas
hackers estuvieron en condiciones de acceder a información a la que no tenían acceso
autorizado para conocerla y, eventualmente, alterarla.

Los hackers pueden ser desde adolescentes con avanzados conocimientos informáticos,
hasta verdaderos ejércitos de atacantes informáticos a sueldo de un Estado.
Adicionalmente, Infosecurity México7 señala que, en los últimos diez años, las
preocupaciones de los bancos respecto de temas como suplantación de identidad,
clonación de tarjetas y transacciones no autorizadas han experimentado un crecimiento
exponencial. Particularmente, estas amenazas y preocupaciones aumentaron desde el
confinamiento producto de la pandemia por COVID-19, que impulsó las operaciones a
distancia en una magnitud no experimentada previamente. Como consecuencia, la
actividad bancaria ha incrementado el desarrollo de nuevos sistemas de seguridad “en la
nube”.

Ahora bien, la industria financiera tiene la particularidad de ser más llamativa para los
hackers que desean enriquecerse. Por este motivo, el riesgo cibernético es tema de
agenda para los directivos y comités ejecutivos de las entidades financieras. Los expertos
en ciberseguridad deben librar una lucha contra reloj contra hackers y ciber criminales que
constantemente buscan nuevas formas de vulnerar la seguridad de entidades financieras.

7 Extraído de: https://www.linkedin.com/company/infosecurity-mexico/

22
Para complicar aún más la situación, emergen nuevos y más vulnerables dispositivos para
acceder a las aplicaciones financieras, tales como teléfonos móviles o celulares.

Al respecto, múltiples ataques a grandes entidades financieras a nivel mundial se han

presentado en los últimos años y, de la misma manera, han surgido modos de mitigar
estos ataques:

• El Bangladesh Bank experimentó en el 2016 un ataque cibernético contra su

estructura tecnológica conectada a la red SWIFT. En este ataque perdió hasta 81
millones de dólares. Después de lo ocurrido, SWIFT desarrollo el Customer
Security Controls Framework (CSCF) que consiste en un programa de controles
obligatorios y consultivos para todos los usuarios de la red SWIFT.

• En 2017 los dos bancos más grandes de Canadá (BMO y CIBC) fueron atacados
por hackers quienes ingresaron a sus bases de datos y sustrajeron los datos de
más de 90 mil clientes para hacerse de un millón de dólares en criptomonedas.
Para mitigar este tipo de casos, varios bancos han optado por iniciativas
cooperativas que permitan verificar mutuamente sus datos, de manera que, si
alguno de ellos resultara victimizado por sustracción de datos, otra entidad pueda
continuar el procesamiento.

• En el 2020 una de las empresas más grandes de tecnología financiera del Reino
Unido, Finastra, sufrió un ataque de hackers a gran escala que tuvo que ser
detenido a través de la descarga de miles de servidores para trabajar offline
mientras se realizaban las investigaciones respectivas sobre el ataque.

Teniendo en cuenta los ejemplos presentados y otras experiencias a nivel mundial, es

posible afirmar que la detección y remediación temprana de irregularidades en las
entidades financieras son cruciales. En efecto, si el ataque se descubre y resuelve en el
mismo día en que se produce, los daños son relativamente menores.

Por último, un aspecto importante respecto de la ciberseguridad es que los hackers

innovan constantemente.

23
Por lo tanto, las entidades financieras no solamente deben estar preparadas para
combatir las amenazas conocidas y mantenerse actualizadas al respecto, sino que deben
contar con herramientas eficaces para responder a una agresión nueva, porque siempre
existe la posibilidad de que el ataque recibido sea el primero de su género y no se cuente
con antecedentes.

Pretextos

El pretexto es un método para inventar un escenario que convenza a las víctimas de que
compartan información que no deben divulgar y, así, recopilar información valiosa y
sensible. Los defraudadores que usan pretextos solicitarán información a las entidades
financieras haciéndose pasar por el cliente; puede ser por teléfono o a través de canales
virtuales de atención al cliente.

Debido a que la identificación física no se puede realizar en una comunicación telefónica o

de chat de atención al cliente, las empresas deben utilizar métodos alternativos para
identificar a sus clientes. Uno de los más utilizados se basa en solicitar la verificación de
información personal como residencia, fecha de nacimiento, entre otros. El defraudador
puede obtener toda esta información a través de redes sociales, buceo en la basura u
otros medios.

El pretexto prepara el escenario para el ataque junto con los personajes y la trama. Un
pretexto se compone de dos elementos:

1. Situación plausible: es una secuencia de eventos creíbles, diseñada y guiada por

el ingeniero social para extraer información o manipular el objetivo. La situación
plausible elegida se basa en el reconocimiento inicial y en la información que
respaldará toda la situación. Por ejemplo, hacer una revisión de rutina al servicio
de agua de la empresa.
2. Carácter: la situación plausible involucra al ingeniero social interpretando un
personaje el cual cuenta con características específicas como la forma de hablar,
habilidades propias, conocimiento en ciertas áreas, entre otras que hagan más
realista al personaje. Por ejemplo, un personaje haciéndose pasar por servidor de
la empresa de agua.

24
Cómplices dentro de la organización

Según el investigador Sanguino Fernández8, las entidades financieras pueden sufrir las
mismas maniobras fraudulentas que cualquier otro tipo de organización. No obstante,
dada la complejidad de las operaciones del sector financiero, así como la liquidez de los
activos administrados, hay fraudes que afectan exclusivamente a las entidades
financieras.

Una de estas maniobras es la siguiente: algunos directivos bancarios pueden implementar

la denominada “banca paralela”, en la cual los depósitos que un cliente cree haber hecho
en un banco son derivados a los fines de interés de un funcionario, cuando no
directamente sustraídos. Otra maniobra es el otorgamiento de crédito en conocimiento de
que el solicitante no cuenta con la capacidad de cancelarlo, hasta tolerar los impagos sin
ejecutar las acciones de cobro pertinente. Un agravante de estas situaciones es que los
préstamos concedidos se les otorguen a los propios directivos e, incluso, a los
propietarios de la entidad financiera.

Hay otras maniobras dentro de la organización que pueden generar fraudes

insospechados, como la violación de filtros de seguridad en atados y fajados de billetes
por parte de empleados, que un gerente de sucursal cree una institución paralela en la
que se generen acciones irregulares bajo el nombre de la institución financiera original, un
otorgamiento de tarjetas de crédito a personas que han fallecido o aperturas de cuentas
para beneficio propio a través de suplantación de identidad de clientes reales con datos
parcialmente verdaderos.

Para enfrentar este tipo de maniobras, las entidades financieras deben asegurarse de que
tienen robustos procesos y tecnología para verificar la identidad de quienes solicitan
apertura de cuentas u otros servicios financieros. Asimismo, deben conocer el historial
crediticio de los solicitantes y estar alertas ante señales de identidades falsas o robadas.

8Fraudes e irregularidades en la actividad financiera. Extraído de: http://www.eben-

spain.org/docs/Papeles/X/fdz-sanguino.pdf

25
Ahora bien, hay otras modalidades de fraude en la apertura de cuentas que señalaremos
a continuación:

1. Agotamiento del crédito: en un inicio (primeros meses), el defraudador actúa

como un cliente legítimo, para obtener un perfil que le permita obtener la confianza
de la entidad financiera y el ulterior otorgamiento de crédito. Esto hace que sea
difícil de detectar su intención defraudatoria en un primer momento y, más
adelante, vaciará todas sus cuentas y habrá de desaparecer.

2. Contratamiento de terceros para defraudar: se contrata a un tercero para que

abra una cuenta nueva y replique la metodología de agotamiento de crédito. El
organizador de esta operación puede contratar a varias personas para que
defrauden al mismo tiempo a diferentes entidades financieras. En último término,
los terceros reciben un pequeño pago por sus servicios y son ellos, no los
organizadores del fraude, los que cargarán con las consecuencias legales,
mientras que los organizadores podrán desaparecer fácilmente.

Por lo anterior, contar con el apoyo de otras entidades financieras para descubrir
operaciones similares, es fundamental al momento de tomar medidas de
mitigación.

3. Suplantación de identidad: se suplanta o falsifica la identidad de una persona

(viva o fallecida) con impecables antecedentes crediticios para realizar
operaciones fraudulentas en cuentas nuevas. Estas identidades pueden ser
completas o parciales (tomar solo algunos datos para crear una nueva identidad
que parezca fiable y no genere rastros).

26
Mecanismos de protección contra el fraude interno o externo

Para evitar que los solicitantes ilegítimos no se conviertan (o no continúen siendo)

clientes, las entidades financieras deben disponer de los siguientes mecanismos de
defensa:

• Contar con información sobre celulares y documentos robados para constatar que
no se los emplee en la apertura de cuentas
• Observar incongruencias entre el domicilio laboral y personal del solicitante con la
sucursal en la cual solicita abrir la cuenta
• Conocer información sobre solicitudes simultáneas y recientes con los mismos
datos en otras entidades financieras
• Verificar que no existan discrepancias de apariencia (rasgos faciales), edad o
nacionalidad en los documentos de identidad presentados y la persona que solicita
los servicios de la entidad
• Comprobar que los solicitantes, sus referencias, familiares o socios no se
encuentren en la lista OFAC de Estados Unidos que se centra en terroristas y
narcotraficantes
• Indagar las razones por las que un solicitante pediría la apertura de una cuenta en
una sede lejana de los lugares que frecuenta
• Ejercer vigilancia sobre clientes nuevos que envían grandes y costosos regalos a
los empleados de la entidad financiera
• Identificar anomalías (cambio de lugar repentino, dispositivos no identificados, IP
sospechosas, países, transacciones u horarios anormales) en las transacciones
del cliente
• Capacitar a los empleados con respecto a la actividad sospechosa mencionada
• Que el personal tenga claridades, desde el código de ética y el reglamento interno,
sobre las sanciones de fraude interno dentro del código de ética y el reglamento
interno
• Contactar al cliente cuando se presenten acciones sospechosas, ya sea que este
las esté ejecutando a consciencia o porque alguien lo está suplantando

27
Adicionalmente, las entidades financieras deben realizar, de manera periódica, escrutinios
de actividad de todas las cuentas (sobre todo, las nuevas). Estos escrutinios periódicos
deben contemplar:

1. Volumen de depósitos realizados en relación con el perfil del cliente.

2. Perfil de los consumos con tarjeta de crédito. Por ejemplo: resulta sospechoso que
un cliente sumamente conservador, repentinamente, comenzara a realizar
consumos dispendiosos.

Por lo anterior, es importante disponer de mecanismos que identifiquen sistemáticamente

patrones inusuales en el comportamiento de sus clientes. Adicionalmente, con el uso de
nuevas tecnologías, es posible aplicarlas en la prevención del fraude. La compañía de
ciberseguridad, OneSpan enumera las tecnologías antifraude que se pueden utilizar
actualmente:

• Verificación digital de identidad (para que no se trate una identidad generada

con inteligencia artificial o falsificada)
• Recopilación de patrones de actividad de los clientes
• Incorporación de nuevos patrones de monitoreo basado en la recopilación de
datos
• Identificación de transacciones inusuales

Apoyado en el uso de la tecnología, las entidades financieras deben tomar medidas

adicionales de operaciones antifraude como:

1. Confirmar que la documentación presentada por solicitantes de servicios

financieros es válida.
2. Revisar el historial crediticio y otros registros en centrales de riesgo que señalan la
reputación crediticia del solicitante.
3. Examinar las sociedades comerciales que tiene el solicitante y cómo ha sido su
comportamiento con respecto a sus responsabilidades.

28
 4. Tomar los cuidados correspondientes relacionados con las personas expuestas
políticamente (PEP). Es decir, con individuos que tienen una posición o función
pública reconocida (a nivel nacional o internacional) y que, por ello, están más
expuestos que otras personas al lavado de activos y actos de corrupción.
5. Estar atentos a comportamientos irregulares, contrarios a los declarados en la
apertura de una cuenta.
6. Verificar que no hay irregularidades en información otorgada como números de
teléfono, direcciones de correo electrónico y datos de domicilio.
7. Documentar y hacer seguimiento de toda irregularidad que se observe.
8. Verificar las referencias personales y comerciales provistas por el cliente.
9. Ofrecer asesoría constante a los clientes novatos en operaciones financieras para
que no cometan imprudencias por desconocimiento.

Actividad fraudulenta por cheques

Aunque el uso de cheques se ha reemplazado, crecientemente, por otras formas de pago,

tales como transferencias interbancarias o la banca digital, todavía es un medio
ampliamente utilizado y susceptible al accionar de la delincuencia organizada.

Veamos las diferentes posibilidades que surgen en esta materia:

1. Cheques falsos: los defraudadores crean cheques en papel común y le remiten

un número de cuenta real que dirigirá el dinero a la organización estafadora.

2. Adulteración de cheques: se toma un cheque genuino y se le realizan ligeras

modificaciones que beneficiarán al defraudador.

3. Falsificación o adulteración de cheques de gerencia: los cheques de gerencia

son emitidos por las mismas entidades financieras cuando se trata de montos
altos, razón por la cual resultan atractivos para bandas de defraudadores.
Funciona de la misma manera que las modalidades anteriores, pero por cifras
mayores.

29
Estos cheques suelen cobrarse en entidades financieras distintas de donde,
supuestamente, fueron emitidos. Por esta razón, existe una gama de medidas de
seguridad que les permiten a las entidades financieras estar alertas frente a la falsificación
o adulteración de cheques:

Las líneas concéntricas, tintas especializadas, relieves y

microletras del papel deben cumplir con las características
estrictas de la generación de cheques.

No se deben presentar sobretrazos o trazos irregulares, por

ejemplo, en firmas.

Los cheques deben contar con sellos restrictivos y no tener

borrones.

Se recomienda utilizar la tecnología de reconocimiento de

caracteres de tinta magnética (MICR por sus siglas en inglés).
Esta tecnología permite verificar la legitimidad u originalidad de
los documentos en papel, especialmente los cheques.

30
Tipos de fraude

Un fraude común que puede afectar a las organizaciones son los fraudes con pagos de
nómina. Su modalidad más común es la inclusión de los denominados “empleados
fantasmas” que cobran su salario sin haber efectuado ninguna contraprestación. Este
fraude se presenta de dos maneras:

• Un empleado falso recibe un pago por una contraprestación que no efectuó

• Un empleado desvinculado de la organización continúa cobrando sus
asignaciones

En empresas pequeñas con cierta concentración de funciones, es un esquema que

personas con autoridad sobre el personal y la nómina pueden realizar de manera
relativamente simple, tanto incorporando falsos colaboradores como manteniendo en
nómina a quienes se han desvinculado.

El tema se simplifica debido a que los pagos de nómina se mantienen bajo cierta
confidencialidad, por lo cual prevenir este fraude implica una rigurosa segregación de
funciones entre las áreas de personal y tesorería, así como la periódica realización de
auditorías sobre el pago de nómina.

Otro tipo de fraude se presenta con “clientes conocidos”. Por ejemplo, si el defraudador
obtiene el número de cuenta de un cliente, puede intentar un pequeño retiro alegando
haber olvidado sus documentos de identificación. En otros casos, se trata de clientes
reales que abusan de la confianza de la entidad para cursar retiros no autorizados,
sustrayendo cheques de su empresa. Para protegerse frente a este tipo de fraude, es
importante estar alerta frente a las siguientes acciones:

• Hacer regalos al personal de la entidad sin alguna razón. En particular, regalos

costosos o comprometedores.
• Ofrecer condiciones ventajosas al personal de la entidad para que les sea más
fácil acceder a servicios financieros.

31
Otra modalidad de fraude es la denominada “bicicleta de préstamos”, en la cual un cliente
solicita un préstamo para pagar otras responsabilidades incumplidas. Este fraude tiene
dos modalidades:

1. Solicitar préstamos pequeños para garantizar la obtención de préstamos

mayores. Por ejemplo, si para un préstamo hipotecario se solicita integrar un 10%
con fondos propios, obtener ese capital por la solicitud de un préstamo personal en
lugar de hacerlo con el propio ahorro.
2. Solicitar préstamos para cancelar préstamos anteriores. En una suerte de
esquema Ponzi inverso, los que realizan esta operatoria van tomando cada vez un
mayor endeudamiento, hasta que llega un punto en que no pueden honrar sus
préstamos.

Es común que la bicicleta de préstamos se dé cuando, deliberadamente, el cliente provee

información falsa a la institución financiera de modo que sea más factible la aprobación
del préstamo. En estos casos, puede haber falsificación de identidad, ingresos o
declaración de bienes.

Ahora bien, hablaremos ahora de fraudes con préstamos hipotecarios y sus modalidades:

1. Fraude del constructor: una empresa constructora altera determinada

información para obtener un financiamiento por un monto superior al que
correspondería para la obra correspondiente. Una forma frecuente de cometerlo es
declarando un avance de obra mayor al real.
2. Reventas: también conocido como flopping, consiste en la obtención de un
préstamo hipotecario que no se atiende. Esto fuerza al banco financiador a vender
la propiedad por un monto menor al real, de manera que es adquirida por un
cómplice del comprador original y libre de deuda. Ocasionalmente, estas
operaciones cuentan con complicidades internas del banco y con el accionar del
crimen organizado para adquirir estas propiedades a precios bajos.

32
Por otro lado, encontramos los fraudes en cajeros automáticos. Entre ellos, se encuentra
el Skimming o desnatado y ocurre cuando los delincuentes colocan debajo del teclado un
dispositivo que les permite leer toda la información ingresada, de manera que se puedan
generar duplicados de tarjetas y conocer sus claves. Lo cual les permite realizar con éxito
extracciones fraudulentas de dinero. Frente a este tipo de fraudes, las entidades
bancarias deben fortalecer sus sistemas de seguridad de cajeros, para que no se vean
alterados.

Por último, no hay que olvidar que las entidades financieras necesitan fuertes controles
internos para que empleados o posiciones de alto rango no pongan en peligro la
integridad de la entidad financiera.

Algunos de estos peligros son: i) adulteración de errores contables para que pasen
desapercibidos (como el colapso del banco británico Barings en 1995 al acumular poder
en un solo empleado); ii) concentración de funciones de seguridad en un solo empleado
que podría sustraer grandes cantidades de dinero (el caso del Banco de la Nación en
Argentina por parte de Mario Fendrich quien fue subtesorero y robó una gran cantidad de
dinero gracias al exceso de confianza que habían depositado en él).

33
Medidas antifraude

Las medidas antifraude empiezan por la capacitación al personal de la entidad financiera.

En particular, aquellos que tienen contacto directo con los clientes deben estar alerta a
señales de comportamiento sospechoso de clientes tales como premura por realizar una
transacción, nerviosismo o dificultad para recordar datos esenciales como documentos de
identificación o dirección de domicilio. Un recurso adicional para evitar suplantación de
identidad es implementar un sistema de reconocimiento de huellas dactilares.

La segunda medida, que debe implementarse en todos los niveles de la entidad, es un

sistema tecnológico de alerta temprana que utilice inteligencia de datos para identificar
patrones de fraude en las transacciones. El sistema de alerta temprana realiza monitoreos
en tiempo real de todas las operaciones financieras e identifica patrones iniciales de
fraude para evitarlos en el mismo momento en el que empiezan a desarrollarse.

Hay una conexión inmediata del sistema de alerta temprana con un sistema de detección
de fraude. Este tipo de sistema se centra en el análisis estadístico del comportamiento de
los defraudadores. Dicho examen se complementa con una revisión paramétrica basada
en reglas que reflejan la experiencia de los analistas de fraude, así como con la
evaluación del comportamiento habitual de los clientes legítimos, de manera que se
reduzcan los casos de falsos positivos. Esto se hace estudiando todas las operaciones y
transacciones de la entidad, tanto las monetarias como las no monetarias, apoyados en
herramientas tecnológicas como el software easyap o cualquier otra técnica que combine
el Machine Learning, analítica de datos e inteligencia artificial.

El sistema de prevención de fraudes debe recibir directamente los datos de todas las
operaciones, así podrá calificarlas y establecer un nivel de riesgo de fraude y una
recomendación basada en reglas de negocio. Eso permite actuar sobre la transacción,
autorizándola o denegándola, en el mismo momento que se produce. De este modo, se
reducen sustancialmente las pérdidas por fraude.

34
Adicionalmente, el sistema debe ser adaptable para crear nuevas reglas de negocio que
se ajusten a los cambios en las entidades financieras y a las actualizaciones en la
industria del crimen. Por último, un sistema de este tipo puede también incorporar un
módulo simulador para estudiar, fuera de línea, las políticas de riesgo y denegación antes
de su puesta en marcha, de modo que se facilite la labor de los analistas de fraude.

En cualquier caso, el sistema antifraude debe contar con una serie de normas básicas
como las siguientes:

• Contar con políticas y procedimientos robustos para el otorgamiento de

préstamos, y cumplirlos

• Prestar debida e inmediata atención a las recomendaciones de auditores

externos e internos

• Evitar emplear personal inexperto o no calificado en sucursales o puntos de

atención que conceden préstamos de alto riesgo

• Segregar debidamente las tareas

• Reportar debidamente a la alta gerencia y junta directiva sobre incumplimientos

y rechazos

Como lo mencionamos anteriormente, es fundamental que el personal de las entidades

financieras esté constantemente capacitado y esto aplica también en la prevención y
mitigación del fraude. En este sentido, las capacitaciones deben centrarse en clientes con
actitudes sospechosas y operaciones financieras irregulares. En particular, porque las
bandas delincuenciales rastrean a las entidades con menor cantidad de controles, así
que, si las entidades cuentan con controles desde su personal, los defraudadores tendrán
menos oportunidades de cumplir con sus objetivos.

35
Capacitación antifraude

Como el factor humano es la variable crucial en la eficiencia de cualquier organización,

capacitar al personal y a los clientes es una de las medidas más efectivas en una
estrategia de prevención del fraude. De modo que abordaremos los aspectos más
relevantes que la capacitación antifraude debe considerar.

Para iniciar, es importante resaltar que todo el personal de la entidad debe participar en
capacitaciones antifraude, pero en la medida de sus responsabilidades. Es decir, puede
ser contraproducente pretender que los empleados asuman responsabilidades
gerenciales. Por otro lado, tampoco es conveniente que ciertos roles conozcan tan
detalladamente la estructura de controles llevados a cabo por los roles que previenen el
fraude. En cambio, es conveniente que todo el personal sepa que existen tales controles,
pero no con la precisión de detalle necesaria como para evadirlos.

Por tanto, contemplaremos las diferencias en capacitación que deben tener los
empleados de la entidad. Es decir, entre el personal front office (atención directa al
cliente) y el personal back office (áreas internas de procesamiento de operaciones).

• Front office (cajeros y oficiales de cuenta). La capacitación debe atender a

las preocupaciones reales del personal y abordarlas con sinceridad. Por
ejemplo, se debe atender a preguntas como las siguientes:

✓ “¿Hasta dónde llega mi responsabilidad para detectar falsificaciones

pues soy empleado y no un perito documental?”

✓ “¿Cómo realizo preguntas fuertes de seguridad sin ser descortés?”

✓ “¿Cómo equilibro la productividad con la seguridad pues atiendo

clientes y no es mi responsabilidad descubrir delincuentes?”

• Back office (procesamiento de transacciones). El personal de back office

debe dar asesoría y apoyo al personal front office. Además, se deben explorar
casos reales con los asistentes para que su asesoría a front office no vaya en
contra de sus responsabilidades de control.

36
Como punto adicional para tener en cuenta en los dos tipos de capacitaciones es que las
capacitaciones:

1. Deben promover la camaradería entre front y back office

2. Necesitan establecer un clima de confianza, interés y participación.
3. Cuando surgen preguntas, estas deben abordarse con franqueza para dar a los
asistentes respuestas que les ayuden a incorporar las normas antifraude en el
curso normal de sus labores.

Asimismo, las capacitaciones deben actualizarse cada vez que haya novedades
relevantes, sea de tipo regulatorio como en materia de operaciones fraudulentas. Es
desmotivador y peligroso que los empleados sepan que la capacitación que han recibido
está desactualizada.

En cuanto a la amplitud de los temas tratados en la capacitación, debe ser lo

suficientemente amplia como para que los empleados entiendan el contexto del fraude: no
solo las operaciones que directamente trabajan sino concretas maniobras preparatorias y
posteriores al fraude.

Ahora bien, los elementos básicos de una capacitación antifraude son:

• La definición de fraude y sus diferencias con otros comportamientos inapropiados.

Por ejemplo, el acoso laboral, así como el sexual son comportamientos indebidos,
pero no implican fraude.
• Los daños que puede producir el fraude, tanto a la entidad financiera en general,
como a los empleados en particular.
• Modos para detectar y reportar fraudes.
• Medidas disciplinarias por acciones fraudulentas.

Por otro lado, no hay que olvidar que las capacitaciones también deben hacerse con la
gerencia y altos cargos administrativos. Este es un tema sumamente importante, porque
si se logra comprometer y entusiasmar a los empleados en la prevención del fraude, pero
no a sus superiores, surgirá un conflicto de autoridad.

37
Entonces, en una capacitación antifraude con los cargos gerenciales debe contemplar los
siguientes elementos:

• La importancia del fraude para que no se subestime

• Los posibles efectos negativos del fraude en la rentabilidad de la organización
• Equilibrio entre prevención de fraude y agilidad en todos los roles de la
organización

Ahora bien, presentaremos las etapas que debe tener una capacitación antifraude, tanto a
empleados, como a miembros de la gerencia:

1. Definir las necesidades de capacitación: entrevistar a los gerentes, leer informes

de auditoría, tomar conocimiento de riesgos de fraude, comparar los controles de
la institución financiera con los del sector.

2. Definir los objetivos de aprendizaje.

3. Definir la audiencia.

4. Definir el método (presencial, virtual, híbrido, estudio de casos).

5. Realizar la capacitación con las siguientes acciones.

a. Proveer contexto general.

b. Permitir interacción con preguntas y comentarios.

c. Enfatizar en temas prácticos.

6. Administrar la logística.

a. Reservar salones u organizar el enlace de sala virtual.

b. Consensuar los mejores horarios y fechas para desarrollar la actividad.

7. Evaluar la capacitación.

a. Que se haga evidente la diferencia entre conocimientos iniciales y finales.

b. Medir la satisfacción de los asistentes.

38
Reportes de fraude a las autoridades

Si bien hay casos de fraude que se pueden solucionar al interior de las entidades
financieras, hay ocasiones en las que es necesario reportarlos a las autoridades
competentes. En primer lugar, las instituciones financieras deben desarrollar relaciones
con diversas entidades gubernamentales para saber cuál es la agencia más apropiada
para reportar un caso. No es lo mismo un caso de fraude que uno de lavado de activos,
por dar un ejemplo. En segundo lugar, es importante que la entidad financiera tenga
claridad, documentación y evidencia suficiente para presentar a las autoridades.

Veamos ahora los elementos que se deben tener en cuenta al reportar irregularidades a
las autoridades:

• Veracidad. Reportar hechos comprobados y no meramente especulativos.

• Claridad. Evitar lenguaje demasiado técnico en los reportes.
• Imparcialidad u objetividad. Ceñirse a hechos sin prejuicios.
• Relevancia. Reportar los daños mayores y más significativos, de orden interno y
externo.
• Oportunidad. Se debe reportar a tiempo: ni tan pronto como para no recopilar la
información suficiente, ni tan tarde que se puedan vencer términos.

A continuación, enumeramos los elementos que debe contener un reporte a las

autoridades.

• Tipo de delito: puede ser fraude asociado a robo, hurto o estafa.

• Fecha en que se detectó y periodo en el que se perpetuó el delito: es
importante resaltar las fechas, no solo de detección del fraude sino, también del
periodo en el que se rastrearon cambios anormales en la organización.
• Lugares involucrados: dependencias de la entidad financiera afectadas por el
delito denunciado.
• Información sobre sospechosos: personas identificadas como presuntos
autores y documentación relacionada que relaciona a los sospechosos.

39
 • Información provista por testigos: testimonios de personas y documentación
que respalde estos testimonios. Relacionado con ello, tener en cuenta que tales
testigos tienen la libertad de decidir si ratifican sus declaraciones en sede judicial.
• Información sobre investigadores: personas de la entidad financiera que
estuvieron al frente de las diligencias investigativas.
• Cuerpo del reporte:

o Resumen ejecutivo

o Razones y documentación completa de la investigación

o Conclusiones obtenidas

Como acotación adicional, si el fraude estuvo relacionado con lavado de activos, la ruta a
seguir es la siguiente: en primer lugar, es importante que, si se tiene sospecha de lavado
de activos por parte de algún empleado o gerente, la entidad financiera deje claro que
esta no hace parte del accionar delictivo. Como segundo paso, es importante realizar un
reporte con los mismos elementos mencionados en el caso del fraude (cuerpo del reporte
y documentación relacionada).

Ahora bien, otro elemento importante al pensar en un reporte sobre fraude a las
autoridades, así como en el combate general al fraude es la cooperación entre las
distintas entidades financieras a escala local e internacional por las siguientes razones:

1. La cooperación con diversas entidades financieras permite conocer las

modalidades fraudulentas para adaptar los procedimientos y tecnologías de
prevención del fraude de manera acorde.

2. La cooperación permite alertar en las diferentes entidades financieras si está

realizando un ataque sistemático que ya afectó a más de una, para que las demás
no caigan en las mismas maniobras.

3. Si las instituciones financieras trabajan en red, los defraudadores se encontrarán

antes para beneficio de todos y se deja de poner en riesgo el sistema financiero en
su conjunto.

4. El fraude en una o varias instituciones financieras no es una ventaja competitiva

porque puede afectar a futuro a otras entidades.

40
Precauciones para evitar filtración de datos

Como hemos visto a lo largo de toda la guía, gran parte de los fraudes se da por filtración
de datos sensibles, ya sea la información de la cuenta de un cliente o las contraseñas de
los correos electrónicos de la entidad financiera. Por tanto, a continuación, enumeramos
las principales fuentes de filtración de datos para evitarlas:

• Imprudencia de los empleados: algunos empleados pueden llegar a compartir

información sensible en conversaciones casuales con clientes que tengan
intenciones fraudulentas. Los cuidados al respecto también deben incluirse en las
capacitaciones mencionadas.

• Pérdida o acceso no autorizado a equipos (notebooks, USB, teléfonos

móviles): los equipos físicos utilizados por miembros de la entidad deben tener
suficientes cuidados en contraseñas y permisos de acceso para que personas
ajenas a la entidad no tengan acceso a ellos. Un elemento fundamental es tener
contraseñas fuertes, que no sean predecibles o que contengan fechas o nombres
completos.

• Insuficientes resguardos de seguridad informática: al interior de la entidad

financiera, puede imperar un clima de excesiva confianza entre los compañeros de
trabajo de la institución. Esto lleva a que ciertas personas puedan obtener
privilegios de acceso que no les corresponden y así destruyen los sistemas de
segregación de funciones establecidos por la entidad.

• Destrucción incorrecta de documentación: la información sensible (en medio

físico o digital) debe ser destruida e inutilizada por dispositivos o mecanismos
establecidos por la entidad. En el exceso de confianza y negligencia mencionados
en el punto anterior, existen ocasiones en que los documentos no se depuran
adecuadamente, lo cual facilita ataques del tipo “buceo en la basura” antes
mencionados.

41
 • Atacantes internos: dentro de la entidad deben existir suficientes precauciones
para que no sea posible extraer información a través de accesos privilegiados de
miembros del personal.

• Hackers: los hackers tienen acceso externo a datos financieros sensibles y

pueden infiltrar virus en los sistemas informáticos. Al respecto, es necesario que la
entidad cuente con adecuados escudos de prevención y ataque antivirus.

Presentamos ahora los desafíos frente a la protección de datos que las entidades
financieras deben tener en cuenta para disminuir su riesgo frente al fraude:

1. A medida que la información se disemina en múltiples plataformas, el riesgo de

pérdida de confidencialidad es mayor. Al igual que en muchos otros negocios,
inicialmente toda, o al menos la más crucial de la información de las entidades
financieras residía en un computador central. Con la llegada del procesamiento
distribuido y la Internet, estos grandes computadores fueron gradualmente siendo
complementados, cuando no reemplazados, por redes de computadores
conectados entre sí. Este escenario ha derivado en la posibilidad de que personas
no autorizadas puedan acceder y alterar los datos en su tránsito desde un
computador hacia otro.

2. Las nuevas tecnologías aumentan el riesgo. Existe una afirmación que asegura
que “ninguna cadena es más fuerte que el más débil de sus eslabones”. La
dinámica del mundo de los negocios financieros ha impuesto a las entidades
financieras la necesidad de conectarse informáticamente con contrapartes de
negocios. Típicamente, sistemas procesadores de tarjetas de crédito. Sin
embargo, en la actualidad, existen otros ambientes más vulnerables como el uso
de aplicaciones financieras en, por ejemplo, farmacias o supermercados. Al residir
datos bancarios en estos ambientes, más expuestos a ataques, que aquellos
sistemas propios del banco, la fragilidad de los datos financieros se incrementa
sustancialmente.

42
 3. Los hackers secuestran, eliminan o comparten información sensible. El uso cada
vez mayor de malware por parte de hackers o bandas delincuenciales hace que
las entidades financieras deban tener cada vez más cuidado y no escatimar en
prevenciones con la información que manejan. Dado que si alguien no autorizado,
con intenciones dañinas, accede a las bases de datos, puede generar millonarias
pérdidas y daños en la reputación de las entidades.

Como muestra de este riesgo en la actualidad y su importancia, el 63% de

entidades financieras ha observado un incremento en el 17% de los ciberataques
entre el 2021 y el 2022 en el 63%9. Adicionalmente, el 74% de las entidades
financieras reporta que recibió, como mínimo, un ataque de ransomware en lo que
va del último año, todo lo anterior según datos del informe Modern Bank Heists10.

Prevención de la pérdida de datos

Si bien existen desafíos con respecto a la pérdida o secuestro de información sensible

para las entidades financieras, también hay formas de prevenir este riesgo. Por esta
razón, recalcamos que la prevención no se basa exclusivamente en herramientas
tecnológicas, sino que es una mezcla entre estas y procedimientos manuales. Veamos a
continuación cuáles son los componentes cruciales para un programa de prevención de
pérdida, secuestro o divulgación no autorizada de información.

• Políticas y procedimientos: como en toda política organizacional que se proponga

en cualquier compañía, lo primero es establecer claramente lo que se espera que
cada uno haga y para qué (segregación de funciones). Eso se establece a través
de políticas y procedimientos que son declaraciones detalladas de la forma en que
se debe operar.

9
https://www.infobae.com/america/tecno/2022/04/27/cuales-son-los-principales-ciberataques-que-sufre-
el-sector-financiero/

10
https://cso.computerworld.es/cibercrimen/el-74-de-las-entidades-financieras-ha-sufrido-al-menos-un-
ataque-de-ransomware-en-el-ultimo-ano

43
• Capacitación al personal de la entidad: como lo mencionamos anteriormente, la
capacitación del personal es un elemento fundamental en cualquier programa o
metodología de prevención que se quiera emprender. Si las personas no tienen
conocimientos suficientes, si no están motivadas o no saben cómo debe enfrentar
las diversas situaciones que se presentan, no hay posibilidad de que las políticas y
procedimientos resulten exitosos.

• Clasificación de confidencialidad de los datos: para que una política de seguridad

de datos tenga éxito, es crucial definir, desde el inicio, cuál es el grado de
confidencialidad que cada información reviste, para que se sepa con quién y cómo
se puede compartir.

• Políticas de retención y destrucción de información: la información no es eterna,

esto quiere decir que cada cierto tiempo debe ser actualizada y, finalmente,
removida. Ya hemos mencionado que la destrucción debe hacerse de manera tal
que quien “bucee en la basura” no obtenga datos relevantes.

• Política de proveer a cada uno solo la información que necesita: cuando sujetos,
internos o externos, requieren información, quien la comparte debe tener
claridades sobre si personas autorizadas para acceder a la información, así como
los motivos por los cuales se solicita.

• Controles de seguridad para el acceso y uso indebido de información: los controles

para el acceso pueden ser físicos o lógicos, requiriendo claves de acceso o
mecanismos biométricos de identificación. Incluso puede haber mecanismos
mixtos de validación. Por ejemplo, en primera instancia se restringe el acceso
físico a ciertos sectores que contienen información sensible y, en segunda
instancia, se exige la identificación de la persona por clave de acceso o biométrica
para que pueda disponer de la información.

• Desarrollo periódico de ejercicios de “penetration testing”: este ejercicio se conoce

como la simulación de la actividad de hackers, pero llevada a cabo por personas
que actúan en nombre de la organización con el fin de detectar posibles
debilidades de control de los sistemas. También se conoce a esta modalidad como
el accionar de “tiger teams”

44
Conclusiones

Tanto el fraude ocupacional (el organizado desde lo interno de las organizaciones), como
el crimen organizado que acecha desde el exterior, son conductas que afectan
eventualmente a todas las personas, instituciones y empresas.

En el caso de las entidades financieras este accionar reviste una especial criticidad dada
la magnitud y liquidez de los activos administrados. El grueso de los fondos afectados por
los fraudes financieros afecta al ahorro público y, por lo tanto, reviste una doble gravedad.
En vista de todo lo anterior, las entidades financieras deben asumir un esfuerzo
consciente y diligente para prevenir, disuadir y sancionar el fraude.

45