Delitos Cibernéticos, Cómo Enfrentar los Crecientes Desafíos y Riesgos de los Delitos Financieros en la Era Digital

Visual del Panorama Actual En promedio, solamente 35% de las compañías en Latinoamérica tienen programas corporativos efectivos de prevención de pérdidas. ( fuente disponible) La banca online y móvil en Latinoamérica incrementan aceleradamente su adopción, en comparación con sucursales y ATMs. El 72% de los usuarios de Banca en línea, indican tener tabletas en sus hogares. ( fuente disponible) Mas del 66% de las 100 mayores entidades financieras e Latinoamérica tienen servicios en telefonía móvil, en una variedad de plataformas tecnológicas como SMS, WAP y otras. ( fuente disponible)

La Necesidad de tecnología en el marco de cumplimiento normativo Competitividad Corporativa (Ent-to-End) • Afinar y mejorar los procesos de negocios • Responder rápidamente a sus necesidades de información y cambios regulatorios • Calificar y Cuantificar los datos • Buscar mayor certeza & frecuencia. Administrar el Riesgo Inherente • Tomar decisiones acertadas ($$) • Proteger la Confidencialidad, Disponibilidad e Integridad de la información. • Lograr un equilibrio costo-beneficio Eficiencia Operativa • Reducir el impacto de adopción tecnológica • Agilizar los tiempos para obtener resultados (mejores prácticas, políticas y procedimientos) • Lograr índices de efectividad y eficiencia favorables (Productividad)

El Desafío de la tecnología en el marco de cumplimiento normativo Las 4 Tecnologías que definen la Organización Inteligente: • Inteligencia digital centrada en el Cliente: Móvil, Remoto, Multi-canal, Presente o Virtual • Explotar la información en todos sus aspectos: Volumen, Velocidad, Veracidad, Variedad (4V) • Creación de Valor y Relaciones entre clientes, empleados y comunidad (Social Enterprise) • Adaptación y flexibilidad en acceso en la Nube (Cloud)

Riesgos en los Medios Virtuales de servicios y pagos (en línea y móvil) Los Ataques cibernéticos, se refieren a actividad criminal por medio de internet, que pueden incluir robo, mal uso, pérdida o daños a la propiedad intelectual, activos de información, bases de datos, suplantación de identidad online (MitM, MitB), apropiación de cuentas, robo de passwords o identidad con fines delictivos. Esto también aplica a dispositivos móviles… Las tipos de ataques que se experimentan con mayor frecuencia en las organizaciones son: TOP 5

Focalizando la Atención e Inversión para contrarrestar los Delitos Cibernéticos El costo representando un grave perjuicio en la operatividad de la organización y experiencia-del-cliente. Basado en esto, las organizaciones deben ser más diligentes en preservar la integridad, confidencialidad y disponibilidad de la información crítica para sí mismas y sus clientes. El Retorno de inversión estimado en las tecnologías que combaten el cybercrime :

Estructura de Costos que justifican contrarrestar los Delitos Cibernéticos Detección Investigación y Escalamiento Contención Recuperación Reacción Post-Facto Pérdida o Robo de Información Interrupción del Servicio (Customer Exp) Daño o falla en los sistemas Pérdida de Ingresos Costos Directos, Indirector, Costos de Oportunidad y ACTIVIDADES DE COSTO INTERNO CONSECUENCIAS Y COSTOS EXTERNOS

Recomendaciones y Mejores Prácticas para acceso Online Evaluaciones de Riesgo, al menos una vez anual, que consideren entre otros: • Evolución en las amenazas del entorno tanto internas como externas • Cambios en el portafolio de clientes/usuarios que acceden por canales virtuales • Revisión de las actualizaciones de servicios y funcionalidad ofrecida • Evaluación de los registros de incidencias de la organización o industria. Autenticación de Accesos • Los niveles de control y autenticación deben ser relativos al riesgo del evento • Mecanismos de autenticación adicional por etapas en el transcurso de la sesión • Técnicas de autenticación para identificar dispositivos tipo huella digital. • Inclusión de desafíos de mayor complejidad como segundo factor de autenticación. • Utilización de características únicas de identificación y autenticación (Biométricos). Programas de Divulgación y Educación al Cliente • Explicación de los tipos de protección de acceso y autenticación • Bajo qué condiciones o circunstancias puede requerirse mayor información • Mecanismos de mitigación de su propio riesgo intrínseco de clientes. • Contactos para proceder en caso de sospecha o inquietudes.

Recomendaciones y Mejores Prácticas para acceso Online Establecimiento de Programas de Seguridad en Múltiples Capas, y fases de complejidad. Detección y Monitoreo – Capacidades de monitoreo y bloqueo en tiempo real de operaciones de alto riesgo. Autenticación – de multi-factor que puede utilizarse con una variedad de tokens o o verificación –fuera de banda- Protocolo de Internet y Análisis de Dispositivos- Tener capacidad de analizar comportamientos específicos en línea, localización geográfica, esquemas de dirección IP, huella de dispositivo única para tabletas, teléfonos inteligentes, y identificación de presencia de malware, y la historia de uso indebido de estas huellas en otros eventos. Controles de Limites –límites sistémicos de ocurrencias, tipos, valores, rangos, y otros estadísticos permitidos para cada cliente. Factor Humano– considerar capacitaciones a usuarios internos, implantando mecanismos de identificación de violaciones de políticas y vulneraciones realizadas por empleados.

Yuri Alexander Marroquin ymarroquin@verticescorp.com (561) 961-9664

Características y Riesgos Únicos de la Moneda Virtual Bitcoin Características y Riesgos Únicos de la Moneda Virtual

Métodos Más Populares de Pago en Línea La mayoría de los sistemas de pago en línea tienen 3 componentes comunes: Centralmente administrado por un tercero de confianza Denominada en monedas fiduciarias existentes Identifica de forma explícita al pagador

Bitcoin Tiene Características Únicas Sistema de pagos “peer to peer,” o usuario a usuario descentralizado. Moneda virtual denominada en Bitcoins; su valor es determinado en un mercado abierto. Todas las transacciones Bitcoin se publican en línea, pero la información que identifica al usuario es la dirección Bitcoin (psuedanonymous). Las transacciones son verificadas; y el doble gasto se evita a través de la criptografía de clave pública. Las transacciones son registradas en “cadenas de bloques.” Los usuarios de la red Bitcoin proporcionan su potencia de cálculo para registrar y conciliar las transacciones (minería). A los mineros se le otorgan Bitcoins de nueva creación. Con un tope de 21 millones de Bitcoin; proyectada para el año 2140.

Bitcoin para la Mayoría de los Usuarios La mayoría de los usuarios experimentarán Bitcoin como una aplicación móvil que ofrece una cartera o billetera electrónica/dirección para el envío y recepción de Bitcoin. Los pagos se realizan de una aplicación de cartera o billetera electrónica ingresando la cantidad o el importe del pago, la dirección del destinatario y darle a envío o “send”. Se obtienen Bitcoins a través de la venta de bienes o comprándolos en un intercambio. Beneficios y Riesgos de Retail * Benefits Beneficios * Lower transaction fees Cargos de transacción más bajos * Faster transactions and greater control Transacciones más rápidas y un mayor control * Privacy (pseudanonymous) Privacidad (pseudanonymous) * Fewer risks for merchants Menor riesgo para los comerciantes * Risks Riesgos * Degree of acceptance Grado de Aceptación * Volatility Volatilidad * Ongoing development El desarrollo contínuo

Herramientas para Aumentar Anonimato Aumentan el Riesgo de Delitos Financieros Los usuarios pueden incrementar el anonimato y crear mayores retos para detectar y detener las actividades ilícitas: Se crea / utiliza una nueva dirección de Bitcoin para cada pago entrante o recibido, Dirige todo el tráfico de Bitcoin a través de un anonymizer (Como Tor), Se combina el balance de la dirección vieja de Bitcoin a una nueva dirección para hacer los nuevos pagos. FBI conducted a report that examined the proliferation of criminal activity through the Bitcoin network. The exploratory research study, intended to advise authorities going forward, concluded that it was likely that the virtual currency had been used for illegal activities, including money laundering. Riesgos de Crimenes Financieros * Additional tools to Increase Anonymity:  Herramientas adicionales para aumentar el anonimato * Use a specialized money laundering service, Utilice un servicio especializado de lavado de dinero * Use a third party eWallet service to consolidate addresses, Utilizar un servicio de Cartera electrónica de tercero para consolidar direcciones * Create Bitcoin clients to allow user to select which Bitcoin addresses from which to make payments. Crear clientes Bitcoin para así permitir al usuario seleccionar de qué dirección de Bitcoin hacer los pagos.

Bitcoin Utilizado para Adquirir Bienes Ilícitos: Silk Road Silk Road permitió el comercio de drogas ilícitas, falsificación de documentos, piratería informática y asesinos a sueldo. Silk Road utilizó “The Onion Router” o Tor para ocultar sus usuarios. Uso obligatorio de Bitcoins.

Silk Road - Enorme incautación de Bitcoin por las Autoridades Federales 144,336 Bitcoins valorados en US$29 millones del presunto autor intelectual. 29,655 Bitcoins valorados cerca de unos US$5.8 millones de compradores y vendedores de Silk Road. Cierre de la red electrónica o portal.

Esquema Ponzi Utilizando Bitcoin Securities and Exchange Commission (SEC) acusó al propietario/operador de Bitcoin Savings & Trust de fraude contra sus inversionistas. Este esquema recaudó 700,000 Bitcoins, valorados en US$4.5 millones al momento del arresto.

El más Grande Intercambio en Bitcoin fue Sujeto a Decreto de Incautación Federal Department of Homeland Security: Incautados US$2.9 millones de la cuenta de un afiliado de Mt. Gox’s en Estados Unidos (EEUU) con Dwolla, Incautados US$2.2 millones de la cuenta de la cuenta de un afiliado de Mt. Gox’s en EEUU con Wells Fargo. Mt. Gox announced new verification procedures that require users to offer more personal information when extracting real currency from their accounts. "It is our responsibility to provide a trusted and legal exchange, and that includes making sure that we are operating within strict anti-money laundering rules and preventing other malicious activity," the statement read.

Potencial Regulación Reglamentación para el “Potential Commodities & Electronic Funds Transfer Act” Bitcoin podría enfrentar supervisión limitada por la “Commodity Futures Trading Commission” si los mercados se desarrollan. Servicios de cartera electrónicas de terceros podrían considerarse por definición “institución financiera” bajo la EFTA. Leyes de transferencia de dinero: Requisitos del “Bank Secrecy Act” La penalidad del “USA PATRIOT Act” por el negocio de transferencia de dinero sin licencia La orientación de FinCEN sobre monedas virtuales Preguntas acerca de la aplicabilidad a los usuarios de Bitcoin y mineros Podría requerir normativa para precisar

Interés del Congreso GAO realiza auditorías con respecto a monedas virtuales a petición del Comité del Senado de Finanzas de EEUU. Monedas Virtuales: Orientaciones adicionales podría reducir los riesgos de cumplimiento tributario (GAO-13-516). El Comité del Senado de EEUU sobre Seguridad Nacional y Asuntos Gubernamentales solicita información sobre las políticas relacionadas, procedimiento y planes de varias agencias federales.

Toni Gillich gillicht@gao.gov (202) 512-3761