Lectura de 5 minutos
·
June 9, 2023

Fraude interno

Fernando González Paulin
Fernando G. Paulin - CEO
Experto en la generación de valor a partir de datos con experiencia en el uso de inteligencia artificial en el sector financiero para resolver problemas complejos. Especializado en detección de fraude mediante el uso de datos.

Implicaciones, desafíos y medidas preventivas para enfrentar la amenaza del fraude interno.

Bien sabemos que las organizaciones se enfrentan a una amplia gama de riesgos y desafíos, tanto externos como internos. Si bien los ciberataques y el robo de datos suelen acaparar los titulares, existe otra amenaza igualmente peligrosa pero menos mencionada: el fraude interno. En este artículo, exploraremos en detalle el concepto de fraude interno en las organizaciones y también mencionaremos el caso del colectivo hacker Lapuss como un ejemplo destacado de fraude interno. Además, analizaremos las implicaciones, desafíos y medidas preventivas para hacer frente a esta amenaza.


El fraude interno y sus implicaciones

El fraude interno se refiere a las actividades fraudulentas llevadas a cabo por individuos que forman parte de una empresa, este puede ocurrir sin importar el tamaño, la industria o el sector de la organización y lo puede cometer empleados, contratistas o socios , ya sean empleados, contratistas o socios. Estas acciones ilícitas pueden incluir el robo de activos, la malversación de fondos, la manipulación de registros contables, el acceso no autorizado a información confidencial, exfiltración de información sensible o incluso venta de accesos remotos. A menudo, el fraude interno pasa desapercibido durante mucho tiempo, lo que puede generar consecuencias devastadoras para las organizaciones, incluyendo pérdidas financieras significativas, daño a su reputación y posibles litigios.

Uno de los ejemplos de reciente difusión, es el caso del colectivo delictivo Lapuss. Este grupo operó con la colaboración de empleados de entidades que comercializaban accesos, comprometiendo información de numerosas organizaciones y llevando a cabo actividades fraudulentas. Utilizando empleados de las empresas, los miembros de Lapuss lograron el control de numerosas cuentas, accedieron y exfiltraron información confidencial, hasta se cree que desviaron fondos de empresas de manera encubierta.

Durante su operación, Lapuss empleaba métodos muy directos para obtener accesos y credenciales de empleados malintencionados. El colectivo establecía contactos con individuos dispuestos a vender información confidencial, quienes proporcionaban datos sensibles, como contraseñas y nombres de usuario, a cambio de compensaciones económicas. A través de ésta táctica, el grupo obtenía información valiosa que les permitía infiltrarse en los sistemas internos de empresas.

Lapssus en telegram


Desafíos del fraude interno en organizaciones

Todas las organizaciones pueden ser susceptibles a este tipo de ataques, y frente a este escenario, la implementación de un enfoque de seguridad en profundidad que incluya procesos, tecnología y personas se torna de vital importancia para abordar estos desafíos.

Si bien existen numerosos mecanismos y herramientas de seguridad para segregar funciones, privilegios y accesos, herramientas para analizar el comportamiento de los activos dentro de una red o incluso identificar anomalías en las IPs de origen de las conexiones remotas, son en general soluciones de detección y reacción.

Para abordar un enfoque proactivo de cara al fraude interno, cobra importancia el ciclo de vida de cada colaborador, es decir, desde que es un aplicante, con medidas por ejemplo de background check, su tiempo en la organización con concientización y herramientas de control y su off boarding con soporte legal en los acuerdos de confidencialidad.


Algunas de las acciones clave pueden ser

  1. Cultura de seguridad: Fomentar una cultura organizacional que promueva la ética, la transparencia y la responsabilidad en todos los niveles de la organización. Esto implica establecer valores sólidos y comunicar claramente las expectativas de comportamiento.
  2. Políticas y controles internos: Implementar políticas y procedimientos claros que aborden el manejo de activos, la autorización de transacciones financieras, la segregación de funciones y el acceso a información confidencial. Asimismo, es fundamental establecer controles adecuados para garantizar el monitoreo efectivo y la respuesta ante eventos que minimicen el impacto negativo.
  3. Capacitación y concientización: Brindar capacitación regular a los colaboradores sobre los riesgos de ciberseguridad como compartir credenciales, las señales de alerta y las medidas preventivas frente a ingeniería social, etc. Esto ayuda a crear conciencia y a empoderar a los colaboradores para que informen cualquier comportamiento sospechoso tanto interno como externo.
  4. Monitoreo y análisis: Utilizar herramientas de análisis de datos para identificar patrones y anomalías que puedan indicar actividades fraudulentas, no sólo a nivel de ciberseguridad, sino también contemplar la revisión regular de registros contables, la comparación de datos financieros y la implementación de sistemas de detección de fraudes.
  5. Denuncias y canales de comunicación: Establecer mecanismos seguros y confidenciales para que los colaboradores puedan informar cualquier sospecha de fraude sin temor a represalias. Esto puede incluir líneas directas de denuncia, correos electrónicos anónimos o plataformas de reporte en línea.
  6. Implementar un programa de gestión de consecuencias: Así como se trabaja sobre la cultura, también se debe establecer un marco en el cual estén delimitadas las acciones correctas de aquellas que representan un riesgo para la organización. De esta manera, y de forma proactiva, los colaboradores tendrán presentes en todo momento que su acciones dentro del ecosistema de la organización tienen un impacto. Es importante que dicha gestión de consecuencias forme parte de un código general de conductas el cual debe ser comunicado desde el momento cero y al cual los colaboradores deban adherirse, quedando debidamente notificados sobre las posibles acciones por parte de la organización en base a su comportamiento.

El análisis de fraude interno generalmente queda en un gris entre diferentes equipos como recursos/capital humano, ciberseguridad, control interno, auditoría de manera reactiva, es decir, que se buscan respuestas una vez identificado un accionar malicioso. Sin embargo, de manera reactiva, el análisis de experiencias anteriores, estudios y presencia digital de un aplicante en los procesos de selección y gestión de colaboradores puede desempeñar un papel fundamental en la mitigación de riesgos y la protección de la empresa frente a posibles fraudes internos, así como en la preservación de la reputación y la integridad de la organización.

Evaluar la información proporcionada por los candidatos implica verificar la autenticidad de la información personal, los antecedentes educativos, las referencias laborales y cualquier otra declaración relevante. Además, se pueden realizar comprobaciones adicionales en bases de datos públicas y privadas para detectar posibles indicadores de comportamiento fraudulento, como registros penales o sanciones previas.

Por otro lado, los controles de verificación de antecedentes permiten obtener una visión más completa del perfil de los aplicantes. Esto implica verificar su historial laboral, incluyendo las fechas de empleo, los cargos desempeñados y las referencias proporcionadas. Asimismo, se pueden realizar investigaciones de crédito para evaluar la estabilidad financiera de los individuos, lo que puede ser relevante en roles que implican manejo de fondos o información financiera sensible.

La importancia de estos análisis y controles radica en varios aspectos clave. En primer lugar, ayudan a evitar la contratación de personas con antecedentes fraudulentos o poco éticos, reduciendo así el riesgo de comportamientos deshonestos en el entorno laboral, especialmente relevante en posiciones de alto nivel de responsabilidad o en roles que involucran el acceso a datos sensibles.

La prevención y detección temprana, requiere de una combinación de medidas técnicas, procesos sólidos, tecnología y cultura organizacional arraigada en la integridad y seguridad. ¿Qué medidas de seguridad adicionales consideras que podrían ser efectivas para prevenir y detectar el fraude interno en las organizaciones? Nos encantaría escuchar tus ideas y experiencias.

Más historias e ideas

January 31, 2024
8 MIN

¿Por qué un KYC no es suficiente para detener el fraude?

Nuestro equipo de análisis de datos llevó a cabo una investigación para determinar la efectividad de los métodos comúnmente utilizados en la prevención del fraude.

Leer más
November 21, 2023
Lectura de 5 minutos

Desmintiendo mitos: ¿Cuáles son los límites del machine learning para evitar el fraude?

Existen muchos mitos sobre la capacidad de los modelos de machine learning y su funcionalidad para prevenir el fraude.

Leer más
October 19, 2023
Lectura de 5 minutos

El intrincado vínculo entre tasas de interés y fraude: una perspectiva integral

Tasas elevadas de fraude pueden generar tasas elevadas de interés. Descubre cómo se da esta fascinante relación.

Leer más
September 22, 2023
Lectura de 4 minutos

¿Por qué las empresas están buscando nuevas formas de fortalecer su KYC?

Con la digitalización en auge, ¿es realmente seguro confiar solo en el proceso KYC?

Leer más
August 10, 2023
Lectura de 5 minutos

¿Cómo optimizar el proceso de onboarding en la era digital?

Aprende a optimizar el proceso de onboarding de nuevos clientes en la era digital

Leer más
January 12, 2023
Lectura de 5 minutos

Suplantación de identidad por WhatsApp

Conoce cómo pueden robar tu cuenta y estafar a tus contactos.

Leer más
July 26, 2023
Lectura de 5 minutos

¿Por qué creamos Trully?

Una lectura rápida sobre nuestra misión y por qué creamos Trully para ayudar a las instituciones a combatir el fraude.

Leer más
March 20, 2023
Lectura de 5 minutos

La huella digital como herramienta de prevención de fraudes

Una lectura rápida sobre el uso de la huella digital como herramienta para ayudarnos a combatir el fraude.

Leer más
April 13, 2023
Lectura de 5 minutos

¿Cómo te afecta el robo de cuentas?

Descubre cómo funciona el robo de cuentas y cómo podemos protegernos a nosotros mismos y a nuestra empresa.

Leer más
February 11, 2022
Lectura de 5 minutos

Los riesgos de fraude durante el ciclo de vida de un producto digital

Aprende todo sobre los riesgos de fraude durante el ciclo de vida de un producto digital.

Leer más
May 4, 2023
Lectura de 5 minutos

El mercado negro de los datos de identidad en México

Descubre la magnitud del mercardo negro de identidades en México y como protegerte contra el robo de identidad.

Leer más
October 26, 2022
Lectura de 5 minutos

Cuidado con el fraude de identidad

Protégete del robo de identidad con los siguientes consejos en los que te contamos cómo.

Leer más
June 9, 2023
Lectura de 5 minutos

Fraude interno

Implicaciones, desafíos y medidas preventivas para enfrentar la amenaza del fraude interno.

Leer más
July 17, 2023
Lectura de 5 minutos

Identidad sintética: un desafío emergente

Todo sobre el surgimiento de la identidad sintética.

Leer más