Fraude interno
Implicaciones, desafíos y medidas preventivas para enfrentar la amenaza del fraude interno.
Bien sabemos que las organizaciones se enfrentan a una amplia gama de riesgos y desafíos, tanto externos como internos. Si bien los ciberataques y el robo de datos suelen acaparar los titulares, existe otra amenaza igualmente peligrosa pero menos mencionada: el fraude interno. En este artículo, exploraremos en detalle el concepto de fraude interno en las organizaciones y también mencionaremos el caso del colectivo hacker Lapuss como un ejemplo destacado de fraude interno. Además, analizaremos las implicaciones, desafíos y medidas preventivas para hacer frente a esta amenaza.
El fraude interno y sus implicaciones
El fraude interno se refiere a las actividades fraudulentas llevadas a cabo por individuos que forman parte de una empresa, este puede ocurrir sin importar el tamaño, la industria o el sector de la organización y lo puede cometer empleados, contratistas o socios , ya sean empleados, contratistas o socios. Estas acciones ilícitas pueden incluir el robo de activos, la malversación de fondos, la manipulación de registros contables, el acceso no autorizado a información confidencial, exfiltración de información sensible o incluso venta de accesos remotos. A menudo, el fraude interno pasa desapercibido durante mucho tiempo, lo que puede generar consecuencias devastadoras para las organizaciones, incluyendo pérdidas financieras significativas, daño a su reputación y posibles litigios.
Uno de los ejemplos de reciente difusión, es el caso del colectivo delictivo Lapuss. Este grupo operó con la colaboración de empleados de entidades que comercializaban accesos, comprometiendo información de numerosas organizaciones y llevando a cabo actividades fraudulentas. Utilizando empleados de las empresas, los miembros de Lapuss lograron el control de numerosas cuentas, accedieron y exfiltraron información confidencial, hasta se cree que desviaron fondos de empresas de manera encubierta.
Durante su operación, Lapuss empleaba métodos muy directos para obtener accesos y credenciales de empleados malintencionados. El colectivo establecía contactos con individuos dispuestos a vender información confidencial, quienes proporcionaban datos sensibles, como contraseñas y nombres de usuario, a cambio de compensaciones económicas. A través de ésta táctica, el grupo obtenía información valiosa que les permitía infiltrarse en los sistemas internos de empresas.
Desafíos del fraude interno en organizaciones
Todas las organizaciones pueden ser susceptibles a este tipo de ataques, y frente a este escenario, la implementación de un enfoque de seguridad en profundidad que incluya procesos, tecnología y personas se torna de vital importancia para abordar estos desafíos.
Si bien existen numerosos mecanismos y herramientas de seguridad para segregar funciones, privilegios y accesos, herramientas para analizar el comportamiento de los activos dentro de una red o incluso identificar anomalías en las IPs de origen de las conexiones remotas, son en general soluciones de detección y reacción.
Para abordar un enfoque proactivo de cara al fraude interno, cobra importancia el ciclo de vida de cada colaborador, es decir, desde que es un aplicante, con medidas por ejemplo de background check, su tiempo en la organización con concientización y herramientas de control y su off boarding con soporte legal en los acuerdos de confidencialidad.
Algunas de las acciones clave pueden ser
- Cultura de seguridad: Fomentar una cultura organizacional que promueva la ética, la transparencia y la responsabilidad en todos los niveles de la organización. Esto implica establecer valores sólidos y comunicar claramente las expectativas de comportamiento.
- Políticas y controles internos: Implementar políticas y procedimientos claros que aborden el manejo de activos, la autorización de transacciones financieras, la segregación de funciones y el acceso a información confidencial. Asimismo, es fundamental establecer controles adecuados para garantizar el monitoreo efectivo y la respuesta ante eventos que minimicen el impacto negativo.
- Capacitación y concientización: Brindar capacitación regular a los colaboradores sobre los riesgos de ciberseguridad como compartir credenciales, las señales de alerta y las medidas preventivas frente a ingeniería social, etc. Esto ayuda a crear conciencia y a empoderar a los colaboradores para que informen cualquier comportamiento sospechoso tanto interno como externo.
- Monitoreo y análisis: Utilizar herramientas de análisis de datos para identificar patrones y anomalías que puedan indicar actividades fraudulentas, no sólo a nivel de ciberseguridad, sino también contemplar la revisión regular de registros contables, la comparación de datos financieros y la implementación de sistemas de detección de fraudes.
- Denuncias y canales de comunicación: Establecer mecanismos seguros y confidenciales para que los colaboradores puedan informar cualquier sospecha de fraude sin temor a represalias. Esto puede incluir líneas directas de denuncia, correos electrónicos anónimos o plataformas de reporte en línea.
- Implementar un programa de gestión de consecuencias: Así como se trabaja sobre la cultura, también se debe establecer un marco en el cual estén delimitadas las acciones correctas de aquellas que representan un riesgo para la organización. De esta manera, y de forma proactiva, los colaboradores tendrán presentes en todo momento que su acciones dentro del ecosistema de la organización tienen un impacto. Es importante que dicha gestión de consecuencias forme parte de un código general de conductas el cual debe ser comunicado desde el momento cero y al cual los colaboradores deban adherirse, quedando debidamente notificados sobre las posibles acciones por parte de la organización en base a su comportamiento.
El análisis de fraude interno generalmente queda en un gris entre diferentes equipos como recursos/capital humano, ciberseguridad, control interno, auditoría de manera reactiva, es decir, que se buscan respuestas una vez identificado un accionar malicioso. Sin embargo, de manera reactiva, el análisis de experiencias anteriores, estudios y presencia digital de un aplicante en los procesos de selección y gestión de colaboradores puede desempeñar un papel fundamental en la mitigación de riesgos y la protección de la empresa frente a posibles fraudes internos, así como en la preservación de la reputación y la integridad de la organización.
Evaluar la información proporcionada por los candidatos implica verificar la autenticidad de la información personal, los antecedentes educativos, las referencias laborales y cualquier otra declaración relevante. Además, se pueden realizar comprobaciones adicionales en bases de datos públicas y privadas para detectar posibles indicadores de comportamiento fraudulento, como registros penales o sanciones previas.
Por otro lado, los controles de verificación de antecedentes permiten obtener una visión más completa del perfil de los aplicantes. Esto implica verificar su historial laboral, incluyendo las fechas de empleo, los cargos desempeñados y las referencias proporcionadas. Asimismo, se pueden realizar investigaciones de crédito para evaluar la estabilidad financiera de los individuos, lo que puede ser relevante en roles que implican manejo de fondos o información financiera sensible.
La importancia de estos análisis y controles radica en varios aspectos clave. En primer lugar, ayudan a evitar la contratación de personas con antecedentes fraudulentos o poco éticos, reduciendo así el riesgo de comportamientos deshonestos en el entorno laboral, especialmente relevante en posiciones de alto nivel de responsabilidad o en roles que involucran el acceso a datos sensibles.
La prevención y detección temprana, requiere de una combinación de medidas técnicas, procesos sólidos, tecnología y cultura organizacional arraigada en la integridad y seguridad. ¿Qué medidas de seguridad adicionales consideras que podrían ser efectivas para prevenir y detectar el fraude interno en las organizaciones? Nos encantaría escuchar tus ideas y experiencias.