14/05/2024

Mes: marzo 2018

Seminario Taller PRESENCIAL: Prevención del Fraude

Guido Rosales 04/03/2018

En la ciudad de Santa Cruz. el día 23 de Marzo 2018, durante toda la jornada laboral, se llevara a cabo el Seminario Taller "Prevención del Fraude"

Adjuntamos detalles de esta actividad de modalidad PRESENCIAL:

 

 

1          INTRODUCCION

Toda actividad humana tiende a desarrollar con el tiempo aplicaciones no pensadas, previstas o establecidas inicialmente.

Cuando no existe un adecuado entorno de control, las personas pueden desarrollar acciones de beneficio propio o de perjuicio a la empresa. Cuando las acciones tienen la intencionalidad de lograr un lucro personal o de grupo burlando los controles o la finalidad de los objetivos iniciales y la ausencia de controles, se produce el denominado FRAUDE. De una forma resumida se dice que varios factores deben coincidir en tiempo y espacio, esta teoría fue denominada el triangulo del fraude.

 

Figura 1: Triangulo del fraude

Desarrollar políticas de prevención del FRAUDE son un objetivo inherente al desarrollo de una Cultura Organizacional de honestidad y valores éticos.

2          OBJETIVOS

Analizar los elementos constitutivos del FRAUDE principalmente en su raíz INTERNA para DESARROLLAR un programa de prevención basado en cultura organizacional de honestidad y valores éticos.

Figura 2: Objetivo del Sistema Antifraude

3          CONTENIDO MODULAR

Figura 3: Contenido Modular

3.1          MODULO 1: CONCEPTOS FUNDAMENTALES

Este módulo está orientado a establecer el marco conceptual de la prevención del Fraude. Contempla el análisis de la tipología, los fraudes por tipo de negocio, los métodos tradicionales y el impacto de los sistemas de información o los fraudes digitales. Se analiza casuística internacional y nacional para ir estableciendo el marco de desarrollo del programa, desde fraudes individuales hasta corporativos. Se abarca conceptos tales como el triángulo o diamante del fraude. Se presenta y analiza principales estadísticas del sector financiero en materia de fraudes. Además, se establece el marco metodológico citando estándares y practicas recomendadas de la industria para la formación de especialistas en la lucha contra el fraude. Finalmente se analiza el marco legal y regulatorio existente en el país.

3.2          MODULO 2: DIAGNOSTICO DEL SISTEMA ANTIFRAUDE

Destinado a mostrar técnicas para establecer el nivel de preparación e implementación que tiene el negocio respecto a un sistema antifraude. Se propone el análisis de diferentes aspectos como son el marco normativo, organizacional, códigos y sistemas de información tanto de soporte al negocio como instrumentos de control y alerta temprana. Algo muy importante en el relevamiento es el análisis conductual del factor humano. La patronizacion de conductas y establecimiento de tipos de personas, permite identificar puntos de alerta temprana. Además de las características tradicionales del fraude se analiza el factor EDAD para comprender las tendencias del fraude en el nuevo contexto del ciber espacio. Se analiza la madures forense determinando el nivel y capacidad de respuesta al fraude. Uno de los principales entregables de esta fase en el MAPA DEL FRAUDE donde a partir de un mapa de procesos se determina aquellos que tienen más debilidades de control PDC

3.3          MODULO 3: MODELAMIENTO DEL POTENCIAL FRAUDE

En este módulo se propone el modelamiento de fraudes de escritorio y el hacking operativo donde se simula la preparación, colecta de información, el posible itercriminis hasta la ejecución controlada del fraude para demostrar la probabilidad de ocurrencia. Se toma como insumo el Mapa del Fraude determinado en el modulo 3 y se elige algún proceso.

Se simulan y describen fraudes con alto componente tecnológico y sistemas de información. Se hace especial énfasis en Ciber Fraudes donde la evidencia digital es relevante. En este camino se analiza la posibilidad de generar y además borrar las huellas y evidencias que dejaría un fraude real. Se establecen potenciales Modus Operandi.

El principal entregable de esta fase en la EVIDENCIA DEL FRAUDE, definida como el conjunto de registros que demuestran el intento o la comisión del hecho.

3.4          MODULO 4: RESPUESTA AL FRAUDE

Pese a todos los esfuerzos por prevenir y anticipar situaciones de fraude se debe establecer los procedimientos, recursos, capacitación y entrenamiento para simular la ocurrencia misma de un fraude. En este módulo se propone establecer un plan de gestión de crisis, métodos de detección, sobre todo contención y respuesta oportuna al fraude. Así mismo la fase de mitigación del impacto comprende disparar actividades legales, reputacionales, regulatorias, internas, externas hacia todos los stakeholders relacionados. Algo muy importante durante la respuesta al fraude será la fijación y colecta de evidencias con métodos forenses que permitan eventualmente seguir procesos civiles y penales. Finalmente, en esta parte se instrumenta el desarrollo y fortalecimiento de una Cultura organizacional de honestidad y valores éticos.

El entregable de esta fase es el PLAN DE PREVENCION Y RESPUESTA AL FRAUDE.

4          MATERIAL DE CURSO

Los participantes del curso tendrán acceso de 12 meses a la Plataforma Virtual YOBLAKA, donde tendran a disposición:

  • Material de lectura de libre distribución
  • Videos de documentales relacionados
  • Acceso a cursos libres

 

5          FACILITADOR

GUIDO ROSALES URIONA

Ingeniero de sistemas con maestrías en: Ciencias de la ingeniería, mención sistemas inteligentes y redes (Universidad Internacional de Kiev Ucrania). Gestión Estratégica de TI (Universidad de Leon España).

El Ing. Rosales cuenta con más de 20 años de experiencia laboras desarrollados proyectos relacionados con la seguridad, control, auditoria de sistemas e informática forense. Ha desarrollado varias auditorias forenses y participado como investigador de fraudes en entidades financieras, además de ejercer como perito informático en procesos civiles, penales y arbitrales.

Como experiencia especifica destaca haber investigado fraudes en tarjetas de débito, crédito, transferencias bancarias, tesorería, manipulación de cuentas por cobrar y pagar, sistemas de activos fijos, almacenes, compras, logística, telefonía nacional e internacional, manipulación informática de bases de datos en cajas de ahorro, DPFs, registros biométricos e imágenes.

Los servicios relacionados con Fraudes los ha desarrollado en el sector financiero, entidades de gobierno, sector industrial, minero, comercial y educativo.

Además, ha participado como perito en investigaciones de legitimización de ganancias ilícitas, narcotráfico, homicidios, extorsión, secuestro y terrorismo.

El Ing. Rosales tiene experiencia de consultoría y como facilitador tanto a nivel nacional como internacional.

COSTO

  • El costo es de 700Bs, publico en general.
  • Clientes Yanapti en general - 600 Bs
  • Clientes Yanapti durante la gestión 2017 - 500Bs.

Consultas a capacitacion@yanapti.com

HORARIOS

  • Registro de asistentes: 08:30
  • Mañana de 09:00 a 12:00
  • Tarde de 14:30 a 18:30

 

No puedes controlar? entonces usa su misma medicina!! Champaguerra digital!!

Guido Rosales 04/03/2018

Autor: Guido Rosales

Vamos a hacer como se dice abogado del diablo para analizar las diferentes posturas entorno a una llamada GUERRA DIGITAL o la posibilidad de REGULACIÓN DE LAS REDES SOCIALES. Pero desde un punto de vista TÉCNICO. Legal, moral o ético es otro tema.

Tengo la experiencia de haber vivido en la ex URSS donde si bien estábamos muy cerca de Polonia y Europa, no veíamos y oíamos nada que no estuviera regulado. Extrañamente inmediatamente después de la perestroika y la caída del muro de Berlín teníamos por ejemplo MTV y canales occidentales. Había caído la GRAN CORTINA DE HIERRO.

Entonces puedo explorar la experiencia vivida para tratar de desentrañar estas posiciones encontradas entre prohibir, tolerar o entrar al juego de las redes sociales mediante una consigna de GUERRA.

Quienes están a favor de regular

Países como China y Rusia son los mejores ejemplos no solo de regulación de las redes sociales, sino de represión y opresión de las mismas.

En ambos países se ha generado no solo leyes y doctrinas sobre las libertades en internet a veces disfrazadas de soberanía y protección de sus ciudadanos. En ambos países con la capacidad tecnológica que siempre han tenido se BLOQUEA ciertos contenidos que puedan ser definidos como PELIGROSOS por sus respectivas autoridades.

Por ejemplo, se Rusia se tiene

  • Rusia aumenta el control de internet y prohíbe las VPN

En China, las aplicaciones para conectarse a redes privadas virtuales también fueron retiradas de la App Store de Apple.

https://www.forbes.com.mx/rusia-aumenta-control-internet-prohibe-las-vpn/

Algo más reciente

MOSCÚ (Sputnik) — El presidente de Rusia, Vladímir Putin, llamó a la ciudadanía a vigilar las limitaciones en internet para evitar posibles excesos.

https://mundo.sputniknews.com/rusia/201801301075856634-rusia-ciberespacio-seguridad/

 En China de igual forma

“A principios de año, el Ministerio de Industria e Información Tecnológica de China anunció que todos los desarrolladores que ofrecen VPN deben obtener una licencia del Gobierno. Hemos tenido que eliminar algunas aplicaciones en China que no cumplen con las nuevas regulaciones. Estas aplicaciones siguen estando disponibles en todos los demás mercados donde tienen negocio”, indicó Apple a las empresas cuyas apps fueron retiradas.

Fuente: https://www.forbes.com.mx/rusia-aumenta-control-internet-prohibe-las-vpn/

Desde la llegada de Xi Jinping, cualquier tipo de crítica que amenace con desestabilizar a su régimen, ha sido reprimida despiadadamente

http://www.elmundo.es/internacional/2017/09/02/59a94a9d22601d354b8b45ae.html

 China aprobó nuevas medidas de control y censura en Internet

http://www.noticiasrcn.com/internacional-oriente/china-aprobo-nuevas-medidas-control-y-censura-internet

Las páginas web, aplicaciones, foros de discusión, blogs, microblogs, medios sociales, mensajería instantánea y plataformas de vídeo en directo u otras entidades de selección o publicación de información, deberán, a partir de entonces, obtener un permiso antes de difundir contenidos sobre el gobierno, la economía, el ejército o los problemas sociales, precisó la ACC.

Regular las redes sociales puede hacerse de una manera muy limitada y hasta direccionada por el dedo de alguien mediante la vigilancia visual de los contenidos. Creación de perfiles falsos para mezclarse entre los amigos de algún perfil y monitorear lo que publican. Realmente esa forma es ARCAICA y debería ser la que menos nos preocupe. Muchos lo hacen sin esto ser un peligro real.

El gran Problema que podría surgir y quiero pensar que aun no es posible para un Gobierno como el nuestro, seria filtrar el contenido desde los ISP. Se supone que las redes sociales tienen protocolos seguros mediante certificados digitales. Es decir, desde el momento en que iniciamos una sesión por ejemplo en Facebook, esta conexión va cifrada desde el navegador en la PC hasta los servidores de esta empresa. En el mundo queremos confiar en que debido a las leyes de USA y el poder comercial que tienen colosos del internet como Facebook, Google y similares, no se doblegaran a la presión de gobiernos individuales en cada país. Entonces el tráfico seguirá siendo seguro.

En este panorama están varios otros países como nosotros, entonces el monitoreo tecnológico ha estado viniendo de otra forma. Por ejemplo, ataques de hacking direccionados para robar credenciales, infectar equipos con malware para conseguir claves.

¡Si no puedes filtrar mejor bloquea y punto!!

Ese es el problema real al cual nos podemos enfrentar. El control se hace imposible. El modelo en escala lo tenemos en cada empresa que cada día lucha contra la inseguridad, malware, fuga de información. Por un lado, damos cuerda a los milenians, la banca digital, fintech y otras tukuimas digitales, pero por otro lado renegamos contra las redes sociales. Solo bajo una visión muy limitada no se comprende que ambas cosas van de la mano. En la medida que las personas se sienten con control del internet, libertad en las redes sociales usaran los servicios del mundo digital. Limitar las mismas podrá tener un efecto controlador en el corto plazo, pero en el largo quitará la iniciativa por crear y compartir.

Volviendo al tema técnico, así como se dan los ejemplos de Rusia y China, un gobierno podría presionar para que los proveedores de internet bloqueen ciertos protocolos, por ejemplo, conexiones anónimas, bajo VPN, cifradas y similares. Si no lo puedo ver, entonces no lo dejo pasar.

El bloqueo será entonces combatido mediante la creación de perfiles desde el exterior o mediante suplantación de identidad y perfiles anónimos. Prohibir bajo el pretexto de regular nos llevará a una suerte de Guerrilla digital, donde las personas buscaran la forma de panfletear contra el gobierno, pero eso nos desgastara como país tremendamente.

Guerra digital

Mientras escribía este artículo se publicó esa idea de una guerra digital.

Desde el concepto general, la GUERRA está definido como una forma de resolver un conflicto, pero de manera violenta, cuando la razón no puede imponerse y se pasa al ataque como forma de imponer la posición ideológica de las partes. El aditivo digital únicamente define el espacio donde se lleva a cabo la Guerra. En este caso puntual hace alusión al Ciber Espacio de manera general y de manera específica a las REDES SOCIALES.

Surgen varias preguntas al respecto.

  1. Las Redes Sociales conceptualmente son todas las relaciones que una persona puede establecer con su entorno social. Pero digitalmente se desarrollan bajo plataformas informáticas con propietarios y reglas establecidas.
  2. Una supuesta GUERRA no pasaría de ser un concepto de propaganda e impacto mediático dado que no podría tener lugar en un entorno regulado por alguien, en casos concretos por Facebook, Twitter u otros propietarios de estas redes.
  3. Diferente si se plantean estrategias de posicionamiento digital. No vamos a entrar en cuestiones éticas, sino como se advirtió al inicio vamos a analizar las posibilidades técnicas de hacerlo. Bajo esa línea, contrarrestar una posición ideológica o simplemente una corriente social con otra puede tener muchas aristas.
    1. Convencer realmente a usuarios reales en las redes sociales y lograr su activa participación. Se debe considerar el tema de nativos digitales, generación x, y, z y otras formas de clasificar a los ciudadanos digitales. No es lo mismo tener 1000 seguidores generación X que tener 100 nativos digitales que están muchas horas al día naturalmente colgados del Internet. Las generaciones tipo X se expresarán con ideas plasmadas en texto, mientras que el nativo digital por ejemplo utiliza mucho los memes, imágenes y videos. Al final se debe valorar que forma de difusión tiene más efecto.
    2. La otra opción es querer sorprender con la cantidad de seguidores y supuestos seguidores. El internet ya está plagado de propuestas para conseguir LIKES y seguidores, desde granjas de BOTs hasta seguidores con muy poco o casi nada de valor agregado. Personas a las que se les retribuye por dar click en ciertas páginas.
    3. Contratar personas bajo algún tipo de financiamiento para que mediante perfiles falsos puedan generar corrientes virales y tendencias. ¿La pregunta será cuantos perfiles falsos podrá manejar cada persona? ¿Será efectivo y sobre todo SOSTENIBLE?

El caso en investigación de las elecciones en USA y las supuestas intromisiones rusas deja una también supuesta lección.

  • Si un ESTADO está en contra de las redes sociales, no significa que no las pueda utilizar para su beneficio propio.

Conclusión

Personalmente me preocupan varias cosas:

  1. Ese afán de prohibir lo que no se entiende. Las redes sociales deben ser reguladas, pero con educación digital, desde el hogar, el colegio, la universidad y el trabajo. Se debe fortalecer los valores éticos y morales de las personas para que sus redes sociales reflejen su educación. Se me viene a la mente un ejemplo: No me gusta tu corte de pelo. ¡Voy a prohibir a tu peluquero!! El problema no es el peluquero o el corte, sino la persona que busca expresar algo por este medio.
  2. Las redes sociales están siendo sinónimo de consumismo digital. Nos estamos preocupando de utilizarlas para difundir chismes y no como una fuente de expresión, pero del arte, el turismo, las tradiciones, la riqueza de nuestro país. En pocos años habremos frenado la posibilidad de comercio por redes sociales y estaremos enfrascados como simples ciber consumidores.
  3. El ESTADO, puede y más aún DEBE utilizar las REDES SOCIALES para difundir su trabajo, sus logros y recibir observaciones, quejas e ideas. En la medida que sean receptivos estarán haciendo participes a toda la sociedad de su proyecto de gobierno. Pretender confrontación no es una adecuada estrategia.
  4. Las REDES sociales deben fluir sin tanta manipulación. Buscar medios técnicos por redes de inteligencia artificial, bots y perfiles falsos, solo hará que la gente achique sus círculos a personas de confianza y de una red social abierta pasaremos a CÉLULAS SOCIALES que al final podrán tener el mismo efecto que la red abierta.

 

ataque en tarjetas

Tips para mitigar el Riesgo en transacciones bancarias personales!!

Guido Rosales 04/03/2018

Autor: Guido Rosales

Sin duda todos los tiempos tienen sus características que parecería hacerlos diferentes, sin embargo, tienen un parecido.

Antes de contar con tarjetas de plástico: débito y crédito, todos utilizaban dinero en efectivo, monedas y billetes

Manejar dinero efectivo tenía sus riesgos: Era visible al momento de utilizarlo y ajenos se podían percatar de cuanto se disponía, por cuanto había que contarlo. Podías extraviarlo o perderlo por algún factor externo: fuego, derrumbe, inundación.

Pero considero que un riesgo mayor y no para las personas sino para los gobiernos, era la falta de control sobre su circulación. El dinero en efectivo pasa de mano en mano sin dejar suficiente huella como para rastrearlo.

Ahí nacen los bancos para precisamente manejar tu dinero, guardarlo o prestarlo. Se comienza la era de las entidades financieras que, como parte de las soluciones a brindar, estaba la seguridad de tus ahorros. Pero sin duda también venía a paliar esa falta de control sobre la circulación del dinero. Ahora depositar o retirar cualquier suma de dinero podía ser controlado. Se dio un gran paso. Sin embargo, no fue suficiente.

Con el paso del tiempo nacieron las tarjetas de plástico que, de alguna manera, dotadas de ciertos mecanismos de seguridad, permitirían a las personas utilizar su dinero sin manejar efectivo. Se van creando los sitios donde era posible pagar con este plástico o retirar efectivo para consumos menores, nacen los ATM o cajeros automáticos como los conocemos hoy en día.

Con el auge de los sistemas de información, también crecieron los riesgos de este mundo digital. Si antes te podía robar un ladrón cualquiera, ahora puede hacerlo un ladrón digital o electrónico. Ahí nace el tema de los cracker o hackers y todo ese mundo entre investigadores y delincuentes informáticos. Pero no es el punto del artículo. El tema es que TAMBIÉN alguien puede robarte, entonces la situación no ha cambiado mucho en ese sentido.

Lo que, si se ha logrado de manera muy marcada, es la capacidad de controlar el flujo del dinero. Con las transacciones electrónicas se puede saber de una manera muy exacta, donde, cuanto, como, porque has consumido o usado el dinero. Se ha mejorado la Trazabilidad del efectivo.

Ahora debemos seguir lidiando con esa posibilidad de que alguien de forma electrónica o digital robe tu dinero. Cada Banco casi siempre obligado por la regulación crea mecanismos de seguridad, pero como vemos frecuentemente no son suficientes.

Entonces como mejorar ambas cosas? La seguridad de tus ahorros por un lado y por otro la privacidad del uso de tu dinero? Claro, si te interesa no ser tan transparente en tu consumo.

La seguridad y privacidad pueden resumirse en estas dos ideas

  • Divide y vencerás
  • No poner todos los huevos en la misma canasta.
  • Plan B o contingencia.

¿Como se traduce esto?

Coloca tus ahorros mínimos en dos cuentas de diferentes bancos. A esto le llamaremos CUENTAS DE AHORRO PRINCIPAL.

En cada banco crea cuentas adicionales, a esto le llamaremos CUENTAS DE CONSUMO

En dos bancos mínimamente por contingencia. Mejor si uno pertenece al grupo RED ENLACE y el otro a LINKSER. Si puedes elegir que uno sea MasterCard y el otro VISA

Enlaza las cuentas de ahorro principal con las cuentas de consumo únicamente. Es decir, de las cuentas de ahorro el dinero solo puede salir a las cuentas de consumo. Para esto solo debes tener creado esa cuenta. Puede tener una forma digital para hacer las transacciones o para mayor seguridad puedes definirlas que solo se operan por medio de cheques o transacciones en caja. Seria excelente que los bancos puedan ofrecer este producto y esta lógica.

Dependiendo de los montos y la frecuencia podrá elegir Tokens físicos, como un llavero que genera una clave dinámica cada minuto o TOKES por SMS que te envían la clave mediante celular para cada transacción y también con un tiempo de vida reducido a minutos. Te recomiendo no solicitar la famosa, pero muy riesgosa TARJETA de COORDENADAS.

Las cuentas de consumo podrás utilizarlas para todos los pagos electrónicos por transferencia bancaria e inclusive para pago por tarjeta en comercios o finalmente retiro en efectivo en ATM. Ojo, solo de las cuentas de consumo, NUNCA de las cuentas de ahorro. Carga las cuentas de consumo, según la necesidad. Que el saldo en esas cuentas no tenga duración mayor por ejemplo a una semana.

Con este control y habito bancario, tu exposición a un ladrón digital será lo que haya podido quedar en tu cuenta de consumo. Esta cuenta será la que quede expuesta, deje huella en los comercios, compras por internet y demás consumos. Quizá podrías también adicionar el uso de la Billetera Móvil, pero siempre ligada a la cuenta de consumo únicamente.

La misma lógica se aplica a las tarjetas de crédito. Puedes utilizar una tarjeta para viajes al exterior donde necesitas más fondos y que sea internacional, pero también utilizar tarjetas de créditos prepagas o con limites por debajo de los 1000 dólares. Ten en cuenta que ahora muchas compras por internet se hacen desde la tarjeta de débito, que estaría asociada a tu cuenta de consumo. Debe cuidar de nunca hacerlo desde la cuenta de ahorros.

Para la cuenta de consumo solicita bloqueo regionalizado, es decir tu sabes donde viajas, donde consumes, si solo lo haces en Bolivia, no debería darse transacciones de POS O ATM fuera del país. Las compras por internet son otro tema. Que tu tarjeta tenga bloqueo permanente.

Si te preocupa la privacidad de tus consumos y también la seguridad de ir dejando en todo lado los datos de tu tarjeta, es mejor utilizar medios de pago intermediarios, por ejemplo, PayPal. Gran cantidad de negocios de ventas por internet aceptan esta forma y se encargan de la transacción dejando únicamente los datos de tus tarjetas en PayPal y no en cada negocio donde compras.

Finalmente efectúa tu balance mensual extrayendo los movimientos mensuales de ambas cuentas para revisarlas. Guarda los archivos de manera segura.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023