Guía Fraude en Entidades Financieras
Guía Fraude en Entidades Financieras
Guía Fraude en Entidades Financieras
Fraude en entidades
financieras
www.auditool.org
FRAUDE EN ENTIDADES FINANCIERAS
Tabla de contenido
¿Qué es el fraude en entidades financieras? ..................................................................... 3
Programas de prevención y recupero de pérdidas ............................................................. 6
Controles internos para prevenir la apropiación indebida de activos ................................ 12
Controles internos para prevenir la corrupción ................................................................. 13
Informar y capacitar al cliente .......................................................................................... 19
Amenazas para tener en cuenta en las entidades financieras ......................................... 22
Tipos de fraude ................................................................................................................ 31
Medidas antifraude .......................................................................................................... 34
Reportes de fraude a las autoridades .............................................................................. 39
Precauciones para evitar filtración de datos..................................................................... 41
Conclusiones ................................................................................................................... 45
2
¿Qué es el fraude en entidades financieras?
Instituciones financieras son las que prestan alguno de los siguientes servicios:
Reciben depósitos
Otorgan préstamos
Administran inversiones
Esta es una situación sustancialmente diferente de la que tiene lugar cuando se perpetra
un fraude contra una empresa comercial o industrial. Caso en el cual el daño sufrido recae
directa y primariamente sobre el patrimonio de sus propietarios. La otra característica
distintiva del fraude contra las entidades financieras es su rol preponderante en la
prevención del lavado de activos.
3
La Organización Internacional de Comisiones de Valores (OICV) define al lavado de
activos o legitimación de capitales como: “Introducir en la economía activos de
procedencia ilícita, dándoles apariencia de legalidad al valerse de actividades lícitas, lo
que permite a delincuentes y organizaciones criminales disfrazar el origen ilegal de su
producto, sin poner en peligro su fuente” 1
Este delito tiene como pilar al sistema financiero, debido a que es a través de este como
se puede disponer de volúmenes masivos de fondos que no resulta viable disponer en
efectivo. Asimismo, el sistema financiero es utilizado para el financiamiento del terrorismo,
bajo modalidades diferentes a las del lavado de activos.
Concepto de fraude
o La víctima del fraude. En este caso, debe ser una institución financiera,
alguno/s de sus clientes o ambos. El fraude requiere que las víctimas resulten
damnificadas en términos económicos.
1
OICV, 2021. Tomado de:
https://supervalores.gob.pa/files/Presentaciones_Publicas/2021/CHARLA-UNIVERSIDADES-BC-
FT.pdf
4
o El beneficio para el perpetrador y el daño para la víctima. El daño a las víctimas
es, de modo general, mucho mayor al beneficio recibido por sus perpetradores
dado que estos necesitan ocultar el fraude. Así, alteran o destruyen registros, lo
cual lleva a la organización a tomar decisiones equivocadas sobre la base de
información faltante. Esto genera un costo adicional a las víctimas.
Por su parte, una de las fuentes primarias de pérdida para las instituciones financieras
son los créditos no honrados por sus clientes. Es importante identificar los casos en que
tales pérdidas son ocasionadas por la solicitud u otorgamiento fraudulento de créditos
que, desde un principio, los clientes no tenían la intención de honrar.
Esta segregación de las pérdidas operativas por créditos fraudulentos es crucial, porque,
de no hacerlo, sucedería que:
5
Programas de prevención y recupero de pérdidas
En ambos casos, el regulador puede aplicar una diversidad de sanciones, que van desde
un inicial apercibimiento, hasta la imposición de multas y, finalmente, la revocación de la
licencia para operar.
En los casos más severos, las facultades del regulador pueden alcanzar no solo a la
entidad financiera como persona jurídica o de existencia ideal, sino también a las
personas que actúan en cumplimiento del deber fiduciario como sus depositantes. Por
ejemplo: la dirección, el comité de créditos, el oficial de cumplimiento antilavado, el auditor
externo o cualquier otra figura externa que tenga responsabilidades legales para fiscalizar
a la entidad financiera.
En muchas ocasiones, resulta válido el concepto de que “más vale prevenir que curar”,
pero esta no es la regla general, dado que una prevención de fraudes llevada al extremo
puede implicar el establecimiento de tantos controles y medidas de precaución que
disuadan a los potenciales clientes de relacionarse con la entidad financiera.
6
En el otro extremo, evitar la prevención de fraudes y con ello exponer a los clientes a
situaciones traumáticas, aun cuando luego se les resarzan las pérdidas; puede generar un
severo daño reputacional a la entidad financiera. Tengamos en cuenta que en la
intermediación financiera la confianza y la reputación de solvencia e integridad son el
activo más valioso. Ni siquiera uno de los más valiosos, sino el principal.
Un caso paradigmático de negligencia en los controles fue el del automóvil Ford Pinto.
Veamos un resumen de lo sucedido, desarrollado a profundidad por los investigadores
Petrella y Tessore2, luego analicemos su aplicación en las instituciones financieras.
Durante los años 70, Ford Motor lanzó al mercado un auto denominado Pinto, en un
esfuerzo por ganar mercado en el segmento de autos pequeños frente a la pérdida que
estaba sufriendo por la competencia japonesa. Por ello, intentó desarrollar
aceleradamente este nuevo modelo. Para esta década, lo usual era lanzar un modelo al
mercado en, aproximadamente, 40 meses, mientras que el lanzamiento del Ford Pinto
ocurrió en poco más de 20 meses. Los efectos de esta rapidez se vieron más adelante.
En los años iniciales, las ventas del Ford Pinto fueron elevadas, pero también los
accidentes ocasionados por el defecto de diseño precedentemente mencionado. Ford lo
sabía desde el principio, pero decidió no reparar la falla de diseño, debido a que una
evaluación de costo/beneficio determinó que era conveniente atender las reclamaciones
antes que retirar el modelo del mercado.
2Cuyo texto Incertidumbre, riesgo y ética: el caso de Ford Pinto analiza este caso. Acá nos
basaremos en su investigación.
7
El punto central de analizar cómo Ford privilegió las consideraciones económicas sobre
las evaluaciones éticas es que sus consecuencias fueron catastróficas. Al conocerse cada
vez más accidentes, el periodismo investigó y dejó en evidencia que Ford conocía las
fallas de diseño desatendidas. La presión social posterior influyó sobre los procesos
legales que se estaban llevando a cabo, para que se castigara severamente a la empresa.
Ford, que se había basado en el slogan de que “la seguridad no vende” y había
despreciado el valor de vidas humanas, pagó un alto costo en multas, procesos penales y
pérdida de ventas de otros modelos.
• El estricto apego al menor daño posible a terceros bajo las normas regulatorias
vigentes.
• Una alta consideración al posible daño reputacional, el valor que más afecta a las
entidades financieras.
8
Entonces, ¿cuándo sí es aplicable una evaluación costo/beneficio? Cuando dos técnicas
de control pueden aportar un resultado semejante pero el costo de una de ellas es
sustancialmente menor. Por ejemplo, tercerizando ciertas operaciones de prevención y
monitoreo de posibles pérdidas, cuando el caso esté fuera.
Como ya hemos dicho, en todo incidente de fraude existe, al menos, un riesgo de daño
reputacional para la entidad financiera que lo padece. De manera que lo mejor es evitar
los fraudes tanto como sea posible. A menos que esto resulte inviable o entorpezca tanto
la operación que la vuelva poco práctica y anticompetitiva en relación con otras entidades
financieras del mercado. Adicionalmente, las acciones preventivas de fraude suelen ser
más económicas que los esfuerzos de recupero y se pueden incorporar en los procesos
normales de operación para obtener beneficios adicionales de eficiencia. La tecnología de
información disponible, además, facilita mucho las medidas de prevención, haciéndolas
más asequibles y ágiles.
9
Por último, en el caso de tener que acudir al recupero de pérdidas por fraude, existen
costos que resultan imposibles de recuperar. Principalmente, los derivados de la
contratación de investigadores y abogados externos. Una consideración adicional para los
casos en que la acción de recupero involucra la acción judicial, es que resulta complejo el
proceso de explicar y convencer a un tribunal de que una institución financiera ha sido
víctima de fraude. Las razones para la existencia de esta dificultad son:
10
b. Evaluaciones de riesgo/controles internos.
Ahora bien, los controles internos son más efectivos para abordar los fraudes “en
libros”, es decir, la apropiación indebida de activos. Mientras que, los fraudes
“fuera de libros”, como la corrupción, deben ser abordados por otras medidas que
veremos hacia el final de esta guía.
11
Controles internos para prevenir la apropiación indebida de activos
12
Controles internos para prevenir la corrupción
1. Líneas de denuncia
2. Monitoreo de operaciones
Con respecto a las líneas de denuncia, partimos del supuesto de que quienes cometen
actos de corrupción son muy cuidadosos en lo que hacen y dicen frente a sus
supervisores y auditores; pero, no son tan cuidadosos en presencia de sus compañeros
de trabajo. Por ello, facultar una línea de denuncias puede dar a las personas que
evidencian comportamientos inusuales, la oportunidad de realizar denuncias anónimas.
Para este propósito, también es importante que sea suficientemente bien difundido el
código de ética de la organización y que la gobernanza corporativa esté funcionando
adecuadamente, de modo que la línea de denuncias no resulte en perjuicio del
denunciante.
Adicionalmente, las líneas de denuncia no solo son utilizadas por los empleados, también
es importante habilitarlas como un canal de comunicación en caso de que se presenten
víctimas de actos indebidos, por ejemplo, de una licitación amañada. Por las razones
expuestas, las líneas de denuncia, según estadísticas de la ACFE (Association of Fraud
Examiners) permiten conocer casi el 50% de los fraudes de los cuales las organizaciones
llegan a conocer.
13
Con respecto al monitoreo de operaciones, este funciona como complemento auxiliar
eficiente de las denuncias cuando se decide iniciar investigaciones. El orden de los
factores funciona así: si se dispone de una adecuada línea de denuncia, se tomará
conocimiento de un gran porcentaje de los fraudes que están ocurriendo. En segundo
lugar, si se complementa la línea de denuncias con monitoreo, la consecuente
investigación partirá de premisas más sólidas y se podrá acortar y terminar con el fraude
en un periodo más breve. Así, también será posible reducir las pérdidas experimentadas.
En relación con los empleados, es importante tener en cuenta que los fraudes conducidos
por alguien externo a la institución se encuadran dentro del concepto de crimen
organizado, mientras que los dirigidos por personas internas a la organización
corresponden al fraude ocupacional. Ahora bien, estas líneas se traslapan al momento de
que, por ejemplo, quienes dirigen un fraude desde fuera de la entidad financiera reclutan a
personal interno de la organización o, caso contrario, quienes defraudan desde dentro
buscan la complicidad de personas externas. La diferencia entre uno y otro caso es que el
fraude ocupacional tiene mayores posibilidades de conocer los controles internos y,
consecuentemente, evadirlos. Es por esto por lo que resulta fundamental conocer a los
empleados con detenimiento.
14
Veamos algunos de ellos, expuestos por la firma de auditoría Audifirm3:
Capacitación
15
Entre ellos se pueden mencionar:
Dentro de las entidades financieras, los defraudadores pueden ser clientes reales o con
identidad impostada. En el primero de los casos, antes de abrir una cuenta, el banco o la
entidad financiera debe tener conocimiento de los antecedentes del solicitante, para evitar
establecer una relación comercial con personas que tengan deficientes antecedentes en
el sistema financiero o una actividad irregular en la materia. Por otro lado, en el caso de
impostaciones de identidad, la entidad financiera debe disponer de los cuidados
necesarios para evitar la apertura de cuentas por personas con identidades falsas.
16
Del mismo modo, los datos mínimos de los que deben disponer y validar las entidades
financieras, respecto de sus clientes, son:
17
• Nombres de usuario. El nombre de usuario, junto con su correspondiente clave,
es la identificación del cliente para el uso de la banca electrónica, que
crecientemente va desplazando a la presencial, particularmente desde la
emergencia de COVID-19. En situaciones donde se requiere una validación digital
de mayor confiabilidad, se puede usar una tarjeta de coordenadas, autenticación
en dos pasos o un token.
18
Informar y capacitar al cliente
Después de exponer las maneras en las que la entidad financiera puede verse
defraudada por clientes falsos, es importante que los clientes tampoco caigan en acciones
fraudulentas, pues esto implicaría grandes problemas para clientes y para la entidad
misma. De este modo, es importante que la entidad cuente con programas de
capacitación y divulgación constante para los clientes sobre prevención de acciones
fraudulentas. Estos programas deben contener prevención sobre las siguientes acciones:
3. Robo de billeteras o carteras: una de las modalidades más comunes por las
cuales los clientes pueden resultar defraudados es el robo de billeteras o carteras
en las cuales pueden encontrarse tarjetas de débito o crédito, así como
contraseñas u otra información sensible. Se debe recomendar a los clientes que, si
se presenta esta situación, deben reportar el robo a las autoridades competentes y
cambiar sus contraseñas lo más pronto posible.
19
4. Ingeniería social: Kaspersky4, la empresa líder de ciberseguridad en el mundo,
define a la ingeniería social como el conjunto de maniobras que emplean los
delincuentes informáticos para engañar a sus víctimas. De esta forma, logran que
clientes de entidades financieras revelen sus datos confidenciales o infectar sus
computadores con software malicioso. Por lo general, los hackers se valen para
ello de la falta de conocimientos técnicos de las personas o de su situación de
vulnerabilidad.
5. Pretexting: el atacante dice ser una persona con autoridad y le exige al usuario
que revele sus datos para resolver una situación supuestamente grave. Para
prevenir estos ataques se debe recomendar la debida protección a contraseñas,
evitar responder correos no solicitados y no proveer información confidencial a
desconocidos.
20
Existen otras amenazas de fraude para los clientes como el skimming, ataque man in the
middle (MitM), secuestro de DNS y aplicaciones falsas. Por lo tanto, es importante que la
entidad financiera se prepare atendiendo las indicaciones de la supervisión y estando al
tanto de los ataques cada vez más sofisticados en la industria.
3. Que otra entidad financiera o alguien haciéndose pasar por asesor de su entidad
ofrezca pocos requerimientos para activar un servicio.
21
Amenazas para tener en cuenta en las entidades financieras
Después de reconocer las acciones fraudulentas a las que los clientes deben prestar
atención, es importante identificar las principales modalidades por las que pueden
defraudar directamente a las entidades financieras. Revisemos cada una de ellas:
Hackers
Los hackers pueden ser desde adolescentes con avanzados conocimientos informáticos,
hasta verdaderos ejércitos de atacantes informáticos a sueldo de un Estado.
Adicionalmente, Infosecurity México7 señala que, en los últimos diez años, las
preocupaciones de los bancos respecto de temas como suplantación de identidad,
clonación de tarjetas y transacciones no autorizadas han experimentado un crecimiento
exponencial. Particularmente, estas amenazas y preocupaciones aumentaron desde el
confinamiento producto de la pandemia por COVID-19, que impulsó las operaciones a
distancia en una magnitud no experimentada previamente. Como consecuencia, la
actividad bancaria ha incrementado el desarrollo de nuevos sistemas de seguridad “en la
nube”.
Ahora bien, la industria financiera tiene la particularidad de ser más llamativa para los
hackers que desean enriquecerse. Por este motivo, el riesgo cibernético es tema de
agenda para los directivos y comités ejecutivos de las entidades financieras. Los expertos
en ciberseguridad deben librar una lucha contra reloj contra hackers y ciber criminales que
constantemente buscan nuevas formas de vulnerar la seguridad de entidades financieras.
22
Para complicar aún más la situación, emergen nuevos y más vulnerables dispositivos para
acceder a las aplicaciones financieras, tales como teléfonos móviles o celulares.
• En 2017 los dos bancos más grandes de Canadá (BMO y CIBC) fueron atacados
por hackers quienes ingresaron a sus bases de datos y sustrajeron los datos de
más de 90 mil clientes para hacerse de un millón de dólares en criptomonedas.
Para mitigar este tipo de casos, varios bancos han optado por iniciativas
cooperativas que permitan verificar mutuamente sus datos, de manera que, si
alguno de ellos resultara victimizado por sustracción de datos, otra entidad pueda
continuar el procesamiento.
• En el 2020 una de las empresas más grandes de tecnología financiera del Reino
Unido, Finastra, sufrió un ataque de hackers a gran escala que tuvo que ser
detenido a través de la descarga de miles de servidores para trabajar offline
mientras se realizaban las investigaciones respectivas sobre el ataque.
23
Por lo tanto, las entidades financieras no solamente deben estar preparadas para
combatir las amenazas conocidas y mantenerse actualizadas al respecto, sino que deben
contar con herramientas eficaces para responder a una agresión nueva, porque siempre
existe la posibilidad de que el ataque recibido sea el primero de su género y no se cuente
con antecedentes.
Pretextos
El pretexto es un método para inventar un escenario que convenza a las víctimas de que
compartan información que no deben divulgar y, así, recopilar información valiosa y
sensible. Los defraudadores que usan pretextos solicitarán información a las entidades
financieras haciéndose pasar por el cliente; puede ser por teléfono o a través de canales
virtuales de atención al cliente.
El pretexto prepara el escenario para el ataque junto con los personajes y la trama. Un
pretexto se compone de dos elementos:
24
Cómplices dentro de la organización
Según el investigador Sanguino Fernández8, las entidades financieras pueden sufrir las
mismas maniobras fraudulentas que cualquier otro tipo de organización. No obstante,
dada la complejidad de las operaciones del sector financiero, así como la liquidez de los
activos administrados, hay fraudes que afectan exclusivamente a las entidades
financieras.
Para enfrentar este tipo de maniobras, las entidades financieras deben asegurarse de que
tienen robustos procesos y tecnología para verificar la identidad de quienes solicitan
apertura de cuentas u otros servicios financieros. Asimismo, deben conocer el historial
crediticio de los solicitantes y estar alertas ante señales de identidades falsas o robadas.
25
Ahora bien, hay otras modalidades de fraude en la apertura de cuentas que señalaremos
a continuación:
Por lo anterior, contar con el apoyo de otras entidades financieras para descubrir
operaciones similares, es fundamental al momento de tomar medidas de
mitigación.
26
Mecanismos de protección contra el fraude interno o externo
• Contar con información sobre celulares y documentos robados para constatar que
no se los emplee en la apertura de cuentas
• Observar incongruencias entre el domicilio laboral y personal del solicitante con la
sucursal en la cual solicita abrir la cuenta
• Conocer información sobre solicitudes simultáneas y recientes con los mismos
datos en otras entidades financieras
• Verificar que no existan discrepancias de apariencia (rasgos faciales), edad o
nacionalidad en los documentos de identidad presentados y la persona que solicita
los servicios de la entidad
• Comprobar que los solicitantes, sus referencias, familiares o socios no se
encuentren en la lista OFAC de Estados Unidos que se centra en terroristas y
narcotraficantes
• Indagar las razones por las que un solicitante pediría la apertura de una cuenta en
una sede lejana de los lugares que frecuenta
• Ejercer vigilancia sobre clientes nuevos que envían grandes y costosos regalos a
los empleados de la entidad financiera
• Identificar anomalías (cambio de lugar repentino, dispositivos no identificados, IP
sospechosas, países, transacciones u horarios anormales) en las transacciones
del cliente
• Capacitar a los empleados con respecto a la actividad sospechosa mencionada
• Que el personal tenga claridades, desde el código de ética y el reglamento interno,
sobre las sanciones de fraude interno dentro del código de ética y el reglamento
interno
• Contactar al cliente cuando se presenten acciones sospechosas, ya sea que este
las esté ejecutando a consciencia o porque alguien lo está suplantando
27
Adicionalmente, las entidades financieras deben realizar, de manera periódica, escrutinios
de actividad de todas las cuentas (sobre todo, las nuevas). Estos escrutinios periódicos
deben contemplar:
28
4. Tomar los cuidados correspondientes relacionados con las personas expuestas
políticamente (PEP). Es decir, con individuos que tienen una posición o función
pública reconocida (a nivel nacional o internacional) y que, por ello, están más
expuestos que otras personas al lavado de activos y actos de corrupción.
5. Estar atentos a comportamientos irregulares, contrarios a los declarados en la
apertura de una cuenta.
6. Verificar que no hay irregularidades en información otorgada como números de
teléfono, direcciones de correo electrónico y datos de domicilio.
7. Documentar y hacer seguimiento de toda irregularidad que se observe.
8. Verificar las referencias personales y comerciales provistas por el cliente.
9. Ofrecer asesoría constante a los clientes novatos en operaciones financieras para
que no cometan imprudencias por desconocimiento.
29
Estos cheques suelen cobrarse en entidades financieras distintas de donde,
supuestamente, fueron emitidos. Por esta razón, existe una gama de medidas de
seguridad que les permiten a las entidades financieras estar alertas frente a la falsificación
o adulteración de cheques:
30
Tipos de fraude
Un fraude común que puede afectar a las organizaciones son los fraudes con pagos de
nómina. Su modalidad más común es la inclusión de los denominados “empleados
fantasmas” que cobran su salario sin haber efectuado ninguna contraprestación. Este
fraude se presenta de dos maneras:
El tema se simplifica debido a que los pagos de nómina se mantienen bajo cierta
confidencialidad, por lo cual prevenir este fraude implica una rigurosa segregación de
funciones entre las áreas de personal y tesorería, así como la periódica realización de
auditorías sobre el pago de nómina.
Otro tipo de fraude se presenta con “clientes conocidos”. Por ejemplo, si el defraudador
obtiene el número de cuenta de un cliente, puede intentar un pequeño retiro alegando
haber olvidado sus documentos de identificación. En otros casos, se trata de clientes
reales que abusan de la confianza de la entidad para cursar retiros no autorizados,
sustrayendo cheques de su empresa. Para protegerse frente a este tipo de fraude, es
importante estar alerta frente a las siguientes acciones:
31
Otra modalidad de fraude es la denominada “bicicleta de préstamos”, en la cual un cliente
solicita un préstamo para pagar otras responsabilidades incumplidas. Este fraude tiene
dos modalidades:
Ahora bien, hablaremos ahora de fraudes con préstamos hipotecarios y sus modalidades:
32
Por otro lado, encontramos los fraudes en cajeros automáticos. Entre ellos, se encuentra
el Skimming o desnatado y ocurre cuando los delincuentes colocan debajo del teclado un
dispositivo que les permite leer toda la información ingresada, de manera que se puedan
generar duplicados de tarjetas y conocer sus claves. Lo cual les permite realizar con éxito
extracciones fraudulentas de dinero. Frente a este tipo de fraudes, las entidades
bancarias deben fortalecer sus sistemas de seguridad de cajeros, para que no se vean
alterados.
Por último, no hay que olvidar que las entidades financieras necesitan fuertes controles
internos para que empleados o posiciones de alto rango no pongan en peligro la
integridad de la entidad financiera.
Algunos de estos peligros son: i) adulteración de errores contables para que pasen
desapercibidos (como el colapso del banco británico Barings en 1995 al acumular poder
en un solo empleado); ii) concentración de funciones de seguridad en un solo empleado
que podría sustraer grandes cantidades de dinero (el caso del Banco de la Nación en
Argentina por parte de Mario Fendrich quien fue subtesorero y robó una gran cantidad de
dinero gracias al exceso de confianza que habían depositado en él).
33
Medidas antifraude
Hay una conexión inmediata del sistema de alerta temprana con un sistema de detección
de fraude. Este tipo de sistema se centra en el análisis estadístico del comportamiento de
los defraudadores. Dicho examen se complementa con una revisión paramétrica basada
en reglas que reflejan la experiencia de los analistas de fraude, así como con la
evaluación del comportamiento habitual de los clientes legítimos, de manera que se
reduzcan los casos de falsos positivos. Esto se hace estudiando todas las operaciones y
transacciones de la entidad, tanto las monetarias como las no monetarias, apoyados en
herramientas tecnológicas como el software easyap o cualquier otra técnica que combine
el Machine Learning, analítica de datos e inteligencia artificial.
El sistema de prevención de fraudes debe recibir directamente los datos de todas las
operaciones, así podrá calificarlas y establecer un nivel de riesgo de fraude y una
recomendación basada en reglas de negocio. Eso permite actuar sobre la transacción,
autorizándola o denegándola, en el mismo momento que se produce. De este modo, se
reducen sustancialmente las pérdidas por fraude.
34
Adicionalmente, el sistema debe ser adaptable para crear nuevas reglas de negocio que
se ajusten a los cambios en las entidades financieras y a las actualizaciones en la
industria del crimen. Por último, un sistema de este tipo puede también incorporar un
módulo simulador para estudiar, fuera de línea, las políticas de riesgo y denegación antes
de su puesta en marcha, de modo que se facilite la labor de los analistas de fraude.
En cualquier caso, el sistema antifraude debe contar con una serie de normas básicas
como las siguientes:
35
Capacitación antifraude
Para iniciar, es importante resaltar que todo el personal de la entidad debe participar en
capacitaciones antifraude, pero en la medida de sus responsabilidades. Es decir, puede
ser contraproducente pretender que los empleados asuman responsabilidades
gerenciales. Por otro lado, tampoco es conveniente que ciertos roles conozcan tan
detalladamente la estructura de controles llevados a cabo por los roles que previenen el
fraude. En cambio, es conveniente que todo el personal sepa que existen tales controles,
pero no con la precisión de detalle necesaria como para evadirlos.
Por tanto, contemplaremos las diferencias en capacitación que deben tener los
empleados de la entidad. Es decir, entre el personal front office (atención directa al
cliente) y el personal back office (áreas internas de procesamiento de operaciones).
36
Como punto adicional para tener en cuenta en los dos tipos de capacitaciones es que las
capacitaciones:
Asimismo, las capacitaciones deben actualizarse cada vez que haya novedades
relevantes, sea de tipo regulatorio como en materia de operaciones fraudulentas. Es
desmotivador y peligroso que los empleados sepan que la capacitación que han recibido
está desactualizada.
Por otro lado, no hay que olvidar que las capacitaciones también deben hacerse con la
gerencia y altos cargos administrativos. Este es un tema sumamente importante, porque
si se logra comprometer y entusiasmar a los empleados en la prevención del fraude, pero
no a sus superiores, surgirá un conflicto de autoridad.
37
Entonces, en una capacitación antifraude con los cargos gerenciales debe contemplar los
siguientes elementos:
Ahora bien, presentaremos las etapas que debe tener una capacitación antifraude, tanto a
empleados, como a miembros de la gerencia:
3. Definir la audiencia.
6. Administrar la logística.
7. Evaluar la capacitación.
38
Reportes de fraude a las autoridades
Si bien hay casos de fraude que se pueden solucionar al interior de las entidades
financieras, hay ocasiones en las que es necesario reportarlos a las autoridades
competentes. En primer lugar, las instituciones financieras deben desarrollar relaciones
con diversas entidades gubernamentales para saber cuál es la agencia más apropiada
para reportar un caso. No es lo mismo un caso de fraude que uno de lavado de activos,
por dar un ejemplo. En segundo lugar, es importante que la entidad financiera tenga
claridad, documentación y evidencia suficiente para presentar a las autoridades.
Veamos ahora los elementos que se deben tener en cuenta al reportar irregularidades a
las autoridades:
39
• Información provista por testigos: testimonios de personas y documentación
que respalde estos testimonios. Relacionado con ello, tener en cuenta que tales
testigos tienen la libertad de decidir si ratifican sus declaraciones en sede judicial.
• Información sobre investigadores: personas de la entidad financiera que
estuvieron al frente de las diligencias investigativas.
• Cuerpo del reporte:
o Resumen ejecutivo
o Conclusiones obtenidas
Como acotación adicional, si el fraude estuvo relacionado con lavado de activos, la ruta a
seguir es la siguiente: en primer lugar, es importante que, si se tiene sospecha de lavado
de activos por parte de algún empleado o gerente, la entidad financiera deje claro que
esta no hace parte del accionar delictivo. Como segundo paso, es importante realizar un
reporte con los mismos elementos mencionados en el caso del fraude (cuerpo del reporte
y documentación relacionada).
Ahora bien, otro elemento importante al pensar en un reporte sobre fraude a las
autoridades, así como en el combate general al fraude es la cooperación entre las
distintas entidades financieras a escala local e internacional por las siguientes razones:
40
Precauciones para evitar filtración de datos
Como hemos visto a lo largo de toda la guía, gran parte de los fraudes se da por filtración
de datos sensibles, ya sea la información de la cuenta de un cliente o las contraseñas de
los correos electrónicos de la entidad financiera. Por tanto, a continuación, enumeramos
las principales fuentes de filtración de datos para evitarlas:
41
• Atacantes internos: dentro de la entidad deben existir suficientes precauciones
para que no sea posible extraer información a través de accesos privilegiados de
miembros del personal.
Presentamos ahora los desafíos frente a la protección de datos que las entidades
financieras deben tener en cuenta para disminuir su riesgo frente al fraude:
2. Las nuevas tecnologías aumentan el riesgo. Existe una afirmación que asegura
que “ninguna cadena es más fuerte que el más débil de sus eslabones”. La
dinámica del mundo de los negocios financieros ha impuesto a las entidades
financieras la necesidad de conectarse informáticamente con contrapartes de
negocios. Típicamente, sistemas procesadores de tarjetas de crédito. Sin
embargo, en la actualidad, existen otros ambientes más vulnerables como el uso
de aplicaciones financieras en, por ejemplo, farmacias o supermercados. Al residir
datos bancarios en estos ambientes, más expuestos a ataques, que aquellos
sistemas propios del banco, la fragilidad de los datos financieros se incrementa
sustancialmente.
42
3. Los hackers secuestran, eliminan o comparten información sensible. El uso cada
vez mayor de malware por parte de hackers o bandas delincuenciales hace que
las entidades financieras deban tener cada vez más cuidado y no escatimar en
prevenciones con la información que manejan. Dado que si alguien no autorizado,
con intenciones dañinas, accede a las bases de datos, puede generar millonarias
pérdidas y daños en la reputación de las entidades.
9
https://www.infobae.com/america/tecno/2022/04/27/cuales-son-los-principales-ciberataques-que-sufre-
el-sector-financiero/
10
https://cso.computerworld.es/cibercrimen/el-74-de-las-entidades-financieras-ha-sufrido-al-menos-un-
ataque-de-ransomware-en-el-ultimo-ano
43
• Capacitación al personal de la entidad: como lo mencionamos anteriormente, la
capacitación del personal es un elemento fundamental en cualquier programa o
metodología de prevención que se quiera emprender. Si las personas no tienen
conocimientos suficientes, si no están motivadas o no saben cómo debe enfrentar
las diversas situaciones que se presentan, no hay posibilidad de que las políticas y
procedimientos resulten exitosos.
• Política de proveer a cada uno solo la información que necesita: cuando sujetos,
internos o externos, requieren información, quien la comparte debe tener
claridades sobre si personas autorizadas para acceder a la información, así como
los motivos por los cuales se solicita.
44
Conclusiones
Tanto el fraude ocupacional (el organizado desde lo interno de las organizaciones), como
el crimen organizado que acecha desde el exterior, son conductas que afectan
eventualmente a todas las personas, instituciones y empresas.
En el caso de las entidades financieras este accionar reviste una especial criticidad dada
la magnitud y liquidez de los activos administrados. El grueso de los fondos afectados por
los fraudes financieros afecta al ahorro público y, por lo tanto, reviste una doble gravedad.
En vista de todo lo anterior, las entidades financieras deben asumir un esfuerzo
consciente y diligente para prevenir, disuadir y sancionar el fraude.
45