¿Los directores de empresas pueden tomar acciones para prevenir intentos de fraude?

Las noticias sobre fraudes ocurridos a diversas empresas o personas no son un tema reciente, sino que es algo con lo que se convive desde hace años. Sin perjuicio de esto, de acuerdo a la Federal Trade Commission, la cantidad de fraudes reportados desde 2017 a 2021 viene en ascenso en USA, a una tasa promedio del 15% anual, mientras que los montos totales defraudados aumentan a una tasa promedio del 54% anual.

Las vías y medios de pagos utilizados para cometer fraudes también van cambiando con el tiempo. De acuerdo a la Federal Trade Commision, en USA, hasta el año 2018 el medio de pago más reportado por fraudes eran las transferencias, pero a partir del año 2019 en adelante las tarjetas de crédito tienen el primer lugar, llevando en 2021 a las transferencias al lugar número seis del ranking, estando por detrás por ejemplo de los pagos con aplicaciones y de las criptomonedas.

Por su parte, el Foro Económico Mundial publicó en su reporte de la Encuesta de Percepción de Riesgos Globales para 2021, que el riesgo relacionado con ciberseguridad ha aumentado. En particular menciona que el fraude se ha vuelto más frecuente con las instituciones financieras trabajando remoto. El informe menciona que ciertas economías muy digitalizadas como Dinamarca, Israel, Japón, Taiwan, Singapur y Emiratos Árabes ubican los riesgos de ciberseguridad en el top cinco de los mayores riesgos a los que las empresas se someten hoy en día.

Si bien la tecnología es una herramienta que permite afrontar estos riesgos de mejor manera y en muchas oportunidades mitigan las vulnerabilidades que puedan existir, parecería que también están quienes buscan sacar provecho de las nuevas funcionalidades para cometer intentos de fraude.

Si nos preguntamos si todas las empresas pueden ser víctimas de fraudes, en principio la respuesta parecería ser que sí. De igual manera podríamos preguntarnos si todos pudiéramos ser víctimas de un robo en la calle, lo cual también podría llevarnos a concluir que sí. Sin perjuicio de esto, como peatones hemos aprendido que existen acciones que podemos tomar para disminuir la probabilidad de que alguien atente contra nosotros, como evitar llevar cartera en la calle, no poner objetos de valor en el asiento del acompañante en el auto, entre otros.

En el caso de las empresas, ¿existen acciones que se puedan tomar para disminuir la probabilidad de ser víctimas de fraudes? Para responder esta pregunta, primero repasaremos algunos tipos de fraudes conocidos o que han ocurrido según diferentes notas de prensa de los últimos años. El entendimiento de los fraudes puede ayudar a entender las fallas de control o vulnerabilidades que las empresas puedan tener:

Fraude del CEO: Envío de mail fraudulento enviado por un tercero, haciéndose pasar por un miembro de la alta gerencia solicitando a un funcionario con potestades suficientes, transferir a determinada cuenta del defraudador un importe, por algún asunto generalmente confidencial (lo cual obliga al funcionario no poder hablar del tema).

Fraude del proveedor: Envío de mail fraudulento haciéndose pasar por proveedor conocido, pasando nuevas instrucciones de cuenta para el pago de las facturas emitidas.

Esquemas Ponzi o piramidal: Utilización de fondos de nuevos clientes para pagar dividendos o retiros de clientes viejos. Se realiza para ocultar pérdidas o rendimientos por debajo de los prometidos a los clientes, o bien para esconder fondos robados a los clientes. En este caso el fraude es habitualmente realizado por una persona dentro de la Institución, o por un tercero haciéndose pasar por un Ejecutivo de Cuenta de la Institución. En los casos que se roban fondos de clientes, en general existe también información financiera adulterada, como estados de cuenta, la cual es enviada directamente por el Ejecutivo de cuenta que realiza el fraude al cliente.

Robo de identidad: Un tercero se hace pasar por el cliente enviando una instrucción, por teléfono, mensaje de texto o mail, según los medios aceptados por la institución. Mediante esta instrucción, el defraudador solicita la realización de una transferencia a una cuenta, o bien solicita modificar la cuenta hacia donde se realizan las transferencias del cliente víctima del fraude.

Phishing: Envío de mails a clientes para que a través de link puedan ingresar a la web de la Institución, la cual es replicada, de forma que el cliente piense es la web original, y de esa manera poder robar su usuario y contraseña.

El factor común que se manifiesta en general en los fraudes, es alguna falla en los controles de las empresas. Por ejemplo, la falta de transparencia, la falta de canales centralizados de comunicación entre las empresas y los clientes, son ejemplos de debilidades donde se han cometido fraudes.

Algunos controles deseados que permiten mitigar estos riesgos son: a) Procesos de capacitación a los funcionarios, b) Alertar a los clientes sobre determinados riesgos de los que pudieran ser víctimas, c) Contar con vías de comunicación centralizados y no solamente con el Ejecutivo de Cuenta que atiende al cliente, d) Recibir información periódica desde canales independientes a su Ejecutivo de Cuenta, e) Realizar procesos de confirmación de saldos con clientes específicos que puedan ser más proclives a ser víctimas de fraude. f) Realizar verificaciones independientes sobre las órdenes de clientes, callback, envío de mensajes, u otros.

El análisis de riesgos, y la verificación de los controles existentes, de forma de diagnosticar su situación particular y las amenazas que pudieran existir es un deber ser para las empresas. La materialización de este tipo de riesgos siempre es mucho más costosa, pudiendo incluso poner en riesgo la continuidad del negocio para la empresa en algunos casos.