Por Juan Alejandro Baptista.
El aumento de la amenaza global que representan los criminales cibernéticos viene generando la implementación de nuevos procesos que recaen sobre las estructuras de control y monitoreo de transacciones de las instituciones financieras.
Contar con sistemas de monitoreo de operaciones, debida diligencia e identificación de clientes hace que los departamentos de cumplimiento antilavado y antifraude sean los llamados a trabajar conjuntamente con los expertos en seguridad informática para reducir las vulnerabilidades y minimizar la exposición a los ataques.
Esto fue confirmado por el director de la División de Delitos Cibernéticos del Buró Federal de Investigaciones (FBI por sus iniciales en inglés), John Riggi, y otros expertos que participaron en el foro titulado “Ciber-Guerra: Cómo los ataques a las instituciones financieras están creando un nuevo reino de anarquía” durante la 20° Conferencia Internacional contra el Lavado de Dinero y los Delitos Financieros de ACAMS-Moneylaundering.com el pasado mes de marzo.
Riggi afirmó ante unos 1.500 profesionales ALD / CFT que actualmente están coincidiendo en una misma encrucijada la seguridad informática con la lucha contra el lavado de dinero y los esfuerzos antifraude.
Doble carga para entidades financieras
Ante este nuevo escenario de “amenaza cibernética”, las instituciones financieras juegan un doble rol y, por ende, tienen una doble carga: son consideradas un “objetivo estratégico” de los hackers y son la infraestructura utilizada por los cibercriminales para mover su dinero.
En febrero de 2015, la firma rusa Kasperky Lab concluyó en un informe que aproximadamente 100 instituciones financieras habían sufrido ataques cibernéticos que originaron pérdidas conjuntas superiores los US$ 1.000 millones.
Uno de los casos recientes más significativos de ciberataque contra instituciones financieras fue el anunciado por JPMorgan Chase en octubre de 2014, cuando el banco explicó que ciberdelincuentes habían comprometido la información de decenas de millones de clientes comerciales y corporativos.
Pero además de víctimas, las instituciones financieras pueden ser victimarios por negligencia o por desconocimiento. Muchas veces la ausencia de controles internos efectivos es la justificación de los ataques, especialmente cuando hay complicidad interna de un empleado de la empresa.
Riggi explicó que “hay bancos pequeños regionales que no tienen controles internos tan fuertes como los bancos multinacionales, entonces muchos empleados pueden tener acceso a información clave de clientes que pueden extraer y luego vender”.
Aumenta el cumplimiento ALD
Se espera que durante los próximos años la respuesta de la comunidad internacional para enfrentar los ciberdelitos sea la promulgación de nuevas regulaciones que exijan más controles informáticos por parte del sector privado, especialmente de grandes corporaciones que manejan millones de datos de clientes y de las instituciones financieras.
El experto del FBI dijo que hay una deficiencia regulatoria en la materia, porque “estamos hablando de crimines cibernéticos, pero los legisladores todavía no han tomado en cuenta qué vamos a hacer con esto. Nos tenemos que enfocar en proveer más legislación en relación a estos problemas”.
Estados Unidos ya dio el primer paso en este campo con la Orden Ejecutiva emitida el miércoles 01 de abril por la Casa Blanca, que anunció la inclusión de los delincuentes cibernéticos en la lista negra del Departamento del Tesoro, enfocando de esta forma los recursos de sus entes investigadores, del gobierno y del sistema financiero en contra de los criminales virtuales.
Más intercambio de información
Otra tendencia asociada a los ataques cibernéticos es la posibilidad de que se aumente el intercambio de información asociada a cada ataque, con la finalidad de que los encargados de la seguridad informática y del monitoreo de transacciones puedan prevenir mejor la acción de los delincuentes virtuales.
En este sentido, en marzo fue presentada una propuesta de ley apoyada por la Casa Blanca que será sometida a discusión en el Congreso y, de ser aprobada, promoverá el intercambio de información técnica estratégica entre las empresas que han sido víctimas de ataques cibernéticos.
La norma también permitirá que las autoridades puedan facilitar al sector privado más información obtenida de las investigaciones, con la finalidad de que los mecanismos de control sean fortalecidos.
