Por Juan Alejandro Baptista.
Mientras revisaba las noticias locales en la página web del Minneapolis Star Tribune, John pulsó el anuncio de un hotel que se publicitaba en el respetado periódico. Pocas horas después, su computadora se congeló y mostraba alertas de que numerosos virus y trojanos estaban afectando la información almacenada en su disco duro. John decidió comprar el antivirus que había detectado los maliciosos archivos y el equipo empezó a trabajar normalmente. Lo que no sabía John es que había sido víctima de un grupo de criminales cibernéticos que estafaron millones de dólares a miles de usuarios del portal de noticias.
El surgimiento de novedosos sistemas de pago electrónico y de servicios de envío de dinero ha generado oportunidades de negocios, al mismo tiempo que riesgos para los proveedores de servicios financieros y para el público en general.
Las estafas, fraudes, el robo de información y las penetraciones a redes privadas aumentan a la par de la actividad comercial y el uso social del internet. Miles de millones de dólares ilícitos se manejan cada año procedente de acciones cibernéticas ilícitas, las cuales se consuman mediante los servicios financieros y de envío de dinero que están a disposición de los criminales.
Los riesgos virtuales
La dinámica del “mundo virtual” impone grandes retos de control a las autoridades y a las entidades reguladas que deben tener sistemas de control de las transacciones en línea. El Grupo de Acción Financiera (GAFI) publicó en junio de 2008 una guía en la que destaca las características más riesgosas del comercio electrónico:
-No hay contacto cara-acara- con los clientes
-El posible anonimato de los usuarios o la imposibilidad de verificar eficientemente las identidades
-La rapidez de las transacciones
-La limitada participación humana
-El elevado número de transacciones
-El carácter internacional del comercio electrónico
-La limitada competencia jurisdiccional de las entidades financieras y las autoridades
-Las dificultades para detectar operaciones sospechosas cuando se usa un proveedor de pagos
Evitando la complicidad
Las instituciones financieras y las remesadoras de dinero tienen el gran reto de evitar ser parte de grandes estafas. Muchos fraudes cibernéticos se consuman porque los criminales cuentan con servicios financieros. El GAFI ha indicado que “los sistemas de pagos electrónicos que aceptan tarjetas de créditos como fuente de pago de los usuarios, usualmente se le exige una cuenta mercantil en una institución financiera”, en la cual recibe el dinero de los usuarios.
En los esquemas de fraude electrónicos creados para que las víctimas “paguen” por servicios mediante transferencias de sus cuentas bancarias, el estafador también debe contar con una cuenta en una entidad bancaria o con una empresa remesadora de dinero. Es aquí donde, según el GAFI, debe prestarse atención a las transacciones.
En los casos en que los fondos son transferidos mediante sistemas prepagados, como tarjetas de regalo, “money orders” y efectivo, los controles entonces escapan al banco del estafado, porque muchas veces no participan en la operación de estafa electrónica. Cuando la transferencia de fondos se realiza mediante remesadoras de dinero, hay la posibilidad de que se apliquen procesos de monitoreo que permitan determinar transacciones sopechosas.
Caso de estudio
Revisemos unas estafas millonarias desmanteladas por el Buró Federal de Investigaciones de Estados Unidos (FBI) a principios de julio de este año, en los cuales se puede observar la manera como las organizaciones criminales utilizaron los servicios bancarios y de remesas para estafar a más de un millón de usuarios cibernéticos.
El cuento del “Scareware”: la situación narrada al inicio de este artículo fue real. El usuario de un prestigioso periódico pensó que su computadora tenía un peligroso virus que arriesgaba toda su información y afectaba su funcionamiento. La única solución parecía ser la adquisición del antivirus que tenía en pantalla, llamado Scareware, el cual por US$ 129 le prometía eliminar los archivos maliciosos de su equipo. El PC estaba bloqueado, no respondía y ante el temor de perder su información, accedió a comprar el “software salvador”. Lo cierto es que no existía ningún virus y todo era parte de una multimillonaria estafa que sobrepasó los US$ 74 millones.
Mediante la operación “Tribunal Tridente”, el los agentes del FBI detuvieron a dos sujetos oriundos de Latvia, confiscaron 40 computadores ubicadas en 7 países, varios servidores y congelaron cinco cuentas bancarias utilizadas para engañar a más de un millón de personas, quienes mediante sus tarjetas de crédito pagaron por el supuesto “antivirus”.
Esta estafa se consumó durante tres años, tiempo durante el cual los criminales utilizaron las cuentas que tenían en bancos de Latvia para recibir los pagos, además de contar con servicios de un “merchant account” o cuenta comercial para poder recibir pagos electrónicos con tarjetas de crédito.
La propagación del software malicioso la realizaban mediante dos técnicas: la llamada “malvertising”, que es la publicación de anuncios publicitarios en portales web que cuando son “pulsados” por el usuario, infectan la PC y comienza a generar los problemas antes descritos. También capturaban víctimas mediante la creación de supuestas páginas web que “escanean” las computadoras para detectar virus o medir el rendimiento del equipo. En este proceso, instalaban los softwares maliciosos.
En el caso del Minneapolis Star Tribune’s, una agencia de publicidad creada por los estafadores compró el espacio publicitario y le envió al periódico el “banner”, el cual pasó las revisiones iniciales hechas por los técnicos. Luego que el anuncio estaba funcionando, los estafadores cambiaron la programación del anuncio y comenzaron a perjudicar a los visitantes de la página web del periódico.
El Fiscal del Distrito de Minnesota, Todd Jones, indicó que “el alcance global de Internet convierte a cada usuario de computadora en el mundo en una posible víctima del crimen cibernético”.
Las recomendaciones de GAFI
Por todos estos riesgos, en junio de 2007 el GAFI recomendó implementar una aproximación basada en el riesgo para mitigar los peligros asociados a las operaciones electrónicas. Además, el organismo sugiere a las empresas financieras que procesan pagos u ofrecen algún servicio financiero en internet seguir las siguientes recomendaciones:
-Aplicar la debida diligencia a los clientes
-Monitorear las transacciones
-No aceptar formas de pago anónimas
-Imponer límites de montos a las transacciones
-Mantener registro de las transacciones
-Reportar transacciones muy elevadas o sospechosas a las autoridades
————————————————————————————————–
Documentos relacionados
