18/05/2024

fraude

Facilitador TrYca YPT – Daniel Vargas Madrid

Guido Rosales 30/01/2018

Damos la Bienvenida nuevamente al Lic. Aud. Daniel Vargas Madrid, quien nos estará acompañando como facilitador en los programas de certificación desarrollados y promovidos por Yanapti SRL.

Sin duda el aporte de experiencia y conocimientos del Lic. Vargas serán muy apreciados por los participantes.

Adjuntamos un breve resumen

Especialista en Ingeniería de Sistemas de Información (UTN-Argentina), Auditor Interno ISO 9001:2015 ERCA, Diplomado en Educación Superior (UMSS), Licenciado en Auditoria de Sistemas (UMSS), Certificaciones Nacionales: FCA, ASIC

Experiencia en:  Auditoria de Sistemas (Banca), Auditorias Forenses (Banca), Auditoria Interna (Sector Salud y Banca), Riesgo Crediticio y Riesgo Operativo

Automatización de procesos de revisión/reporting IDEA, ACL, VBA Excel/Access.

Docente de pregrado (UMSS, UNO) y posgrado (UMSS)

También presentamos sus antecedentes profesionales con mas detalle

 

  1. FORMACIÓN ACADÉMICA

 

Licenciatura en Auditoria Financiera

Universidad Mayor de San Simón - 2004

 

Especialidad en Ingeniería de Sistemas de Información

Universidad Tecnológica Nacional - Argentina 2011

 

Diplomado en Educación Superior para Ciencias Económicas

(Enfoque basado en competencias)

Universidad Mayor de San Simón - 2014

 

 

CURSOS  Y EVENTOS DE ACTUALIZACIÓN PROFESIONAL

 

  • Auditor Interno ISO 9001:2015 - ERCA

2016: 24 horas

  • Programa en Sistema de Gestión de la Calidad - ISONOVA SRL

2016: 104 horas

 Auditor de Sistemas de Información - ASIC (ISACA Capítulo 173)

2007: 50 horas presenciales

  • Auditoria - Forense de Sistemas de Información (Yanapti SRL)

2006: 75 horas presenciales

 III. EXPERIENCIA PROFESIONAL

COOPERATIVA JESUS NAZARENO LTDA. (Oct 2015 - Jun 2017)

Cargo: Analista de Riesgo Crediticio

  • Análisis Previo de Solicitudes de Créditos.
  • Análisis de Tensión de Cartera.
  • Evaluación del Riesgo Adicional a la Morosidad.
  • Seguimiento a la Cartera Desembolsada.
  • Automatización de Reportes de Cartera en Access / Excel.

CAJA DE SALUD DE LA BANCA PRIVADA (Nov 2011 - Nov 2013)

Cargo: Auditor

  • Auditorias de Confiabilidad.
  • Auditorias de Procesos de Selección de Personal.
  • Auditorias de Procesos de adquisición de Bienes y Servicios.
  • Auditorias Especiales (Responsabilidades; Tecnologías de Información).

 

YANAPTI SRL (Feb-Nov 2011)

Cargo: Auditor de Sistemas

Capacitador de cursos: Herramientas y Técnicas de Auditoría CAATTs IDEA/ACL; Auditoría de Sistemas (Módulo del Programa CISO); Seminario “Ingeniería Social”; Administración de Proyectos: PMBOK - MS Project.

Consultor Freelancer en diferentes trabajos de investigación forense

COSIM TI SRL (3 años: 2005 - 2008)

Cargo: Auditor de Sistemas

Capacitador de cursos: Excel Avanzado; Investigación de Fraudes en Datos Digitales;  Auditoria de Base de Datos y herramientas CAATTs;  Análisis y Extracción de Datos: Software IDEA.

 

COOPERATIVA DE AHORRO Y CRÉDITO SAN MATEO LTDA.  (2007-2008: 6 meses)

Cargo: Auditor Interno (Outsourcing)

-      Planificación del POA Anual de acuerdo a normativa de la SBEF (actual ASFI).

-      Ejecución del POA Anual (Incluye revisión de Cartera).

  

  1. EXPERIENCIA ACADEMICA

 

DOCENCIA:

 

Universidad Mayor de San Simón  (Octubre 2008)

Docente PostGrado

Diplomado en Auditoría Interna: Módulo II Realización del Trabajo de Auditoria.

 

Universidad Nacional del Oriente (2006 - 2007)

Docente

Materias: Sistemas Administrativos y Contables; Auditoria de Sistemas; Contabilidad Computarizada.

 

Universidad Mayor de San Simón (Curso Verano 2005)

Docente

Materia: Informática II

 

 

AUXILIAR DE DOCENCIA:

 

Universidad Mayor de San Simón (1999 - 2003)

Auxiliar de Docencia:

Informática I (99-03), Informática II (99-03), Contabilidad Básica (99)

 

Universidad Mayor de San Simón - Federación Universitaria Docente (2003 - 2004)

Auxiliar de Servicios

Capacitación en Ofimática a Docentes de la Facultad de Ciencias Económicas.

 

 

CURSOS DICTADOS:

 

Programa de capacitación ISSA - Information System Security Auditor

YANAPTI - Octubre 2012

 

Curso de capacitación: Riesgos Tecnológicos en Entidades Financieras

YANAPTI - 3 Horas reloj  Septiembre 2011

 

Evento INFOFOR 2011: Ponencia Ciberseguridad

YANAPTI - Julio 2011

 

Seminario de Capacitación: Ingeniería Social

YANAPTI - 2 Horas reloj - Junio 2011

 

Curso: Detección de Patrones de Fraudes con CAATTs

YANAPTI  - 13.5 Horas académicas - Marzo 2010

Curso: Detección de Patrones de Fraudes con CAATTs

COSIM TI - 10 Horas académicas - Febrero 2010

Taller: Manejo del Software Win IDEA - Nivel Básico/Intermedio

Cooperativa Jesús Nazareno Ltda. - 50 Horas académicas - Noviembre 2008

 

Disertación: Técnicas de Detección de Fraudes Informáticos

Universidad Privada Domingo Savio - Octubre 2008

LA SEGURIDAD – UNA PARED PERFORADA POR LA CORRUPCION INTERNA

Guido Rosales 08/11/2017

Hay muchas formas de tratar de definir la seguridad digital, las más conocidas

  • Es una cadena, tan fuerte como su eslava más débil. Y generalmente ese eslabón es humano.
  • Es un procese continuo y no un producto.
  • Es una forma de vivir, es un conjunto de hábitos y no solo responsabilidades.

Pero para analizar la seguridad, podemos analizar su opuesto complementario, la inseguridad.

Con el tiempo trato de definir la seguridad de la siguiente manera:

UNA GRAN PARED DE LADRILLOS, TAN FUERTE COMO CADA LADRILLO Y SUS UNIONES CON OTROS LADRILLOS.

 

Esta complicado proteger Todos los ladrillos y sus uniones. Siempre será más fácil encontrar el ladrillo o la unión deficiente para hacer una brecha a la seguridad. Si esta es minúscula, la fuga o daño será invisible, pero existirá.

Llevo más de 15 años en estos gajes de la seguridad y hemos visto de todo. Para no ser muy amplios voy a limitarme a situaciones o fisuras en el campo de las Tecnologías de la información y el abuso de estos recursos. Puedo citar algunas fisuras en la seguridad empresarial:

  1. Negocios con el reemplazo de activos buenos de la empresa por activos dañados de terceros. Como no controlamos datos seriales o huellas mas exactas, el cambio no se nota.
  2. Funcionarios que aprovechan la infraestructura empresarial para desarrollar sus propios negocios. Programadores que llevan parte de sus desarrollos a empresas particulares o realizan desarrollo para terceros desde y en horarios laborales.
  3. Gerentes de TI que extrañamente y de forma permanente renuevan su tecnología con los mismos proveedores. Generalmente las políticas de renovación tienen entre 30 a 50% de descuento, pero los presupuestos se mantienen sin modificación alguna.
  4. Personal retirado crea empresas para participar como proveedores. Extrañamente sin la experiencia necesaria se adjudican todos los contratos.
  5. Empresas o profesionales que se dedican a otros rubros, pero aparecen de un día para otro como proveedores de seguridad, sean en hardware o en software. No se valida experiencia especifica.
  6. Bases de datos que se negocian en el mercado negro de la información. Ciertas entidades invierten miles de dólares para colectar datos, pero estos aparecen en el mercado negro.
  7. Manipulación de bases de datos en cuentas por cobrar. Extraños descuentos y hasta eliminación de deudas por servicios.
  8. Manipulación de programas para favorecer a clientes con servicios que por alguna razón no se contabilizan, pero se consumen.
  9. Recurrentes viajes de capacitación que más parecen vacaciones divertidas por los lugares y tipo de reunión. Ciertos proveedores en el campo de la tecnología ya están estigmatizados por sus suculentos programas de fidelización.
  10. Contrataciones extrañas entre clientes y proveedores. De un dia para otro los funcionarios de un cliente pasan a filas del proveedor o viceversa. Ya se tienen constantes en el mercado.
  11. Contrataciones y pases extraños entre regulados y reguladores. Como que de un dia para otro el control se vuelve controlado, pero la mano dura se ablando.
  12. Compras de activos que no se utilizan o están guardados en almacenes hasta que quedan obsoletos. Esto es mas frecuente en inversiones de licencias de software. Claro que no hablamos de licencias de antivirus, sistema operativo y offimatica, sino licencias de utilitarios de diseño e ingeniería por ejemplo donde las licencias están bordeando los 50mil dólares.
  13. Cursos de capacitación que nunca existieron, pero generaron el gasto, el viaje, el hotel, los viáticos y todo lo relacionado.
  14. Equipamiento reacondicionado entregado como nuevo. Una cosa es comprar versiones nuevas, pero no las ultimas por temas de precio. Pero otra es comprar de un revendedor que al igual que la ropa usada recolecta equipos de todo lado, los reacondiciona, a veces le coloca en la caja el sello “reacondicionado”, pero como las cajas no llegan hasta el usuario final, nadie se da cuenta.
  15. Manipulación de bases de activos dar de bajo o simplemente eliminarlos del inventario y hacerse del mismo. Ojo que no hablamos de un pc o una resma de papel, sino muebles, inmuebles y vehículos generalmente.
  16. Funcionarios de empresas de servicios de comunicaciones con crédito ilimitado. Hasta revenden y transfieren crédito.
  17. Auditores cuidando el contrato del siguiente año y vendiendo observaciones y dictámenes limpios. Como pasarle las preguntas del examen para que siempre salga bien.

 

Todos los ejemplos mencionados son cosechados de nuestro entorno. Como dicen, “los pecados se silban pero no se cantan”. Asi que muchos de estos no salen a la luz por cuanto la brecha es pequeña, parte de la Perdida o merma esperada.

TODOS los negocios tienen su miel y sus propias brechas, sino que tire la primera piedra el que este libre de pecado y pecadores. Como dicen “En todas partes se cuecen habas”

Definitivamente el monstruo de la corrupción tiene muchos tentáculos y la estrategia de contagio es la mas difundida. Todos tiene un negocio particular y como son bomberos, no se pisan la bandera. Por tanto, querer controlar las brechas de la seguridad, identificar las fisuras se hace cada vez mas complejo y hasta imposible. Cuando la brecha ha sido iniciada desde adentro, se hace invisible, traspasa la pared de seguridad haciéndose invisible.

Únicamente aflora cuando la ambición o la colusión interna se rompe. Vemos que los controles son cada vez mas ineficientes por que también los que los escriben, y dominan son parte de las brechas de seguridad.

DELITOS DE CUELLO BLANCO REQUIEREN INVESTIGADORES DE CUELLO BLANCO

Guido Rosales 25/10/2017

La investigación del Banco Unión mas allá de Fiscales y policías requiere de un equipo multidisciplinario para investigar las causas y controles vulnerados que dieron origen al delito cometido. Nos estamos ocupando más de cómo se gastó el dinero y menos de como se hizo de tales cantidades. Destituir funcionarios tampoco soluciona la falta de controles.

Las peleas y disputas entre el Ministerio Publico y la Policía deberían estar acompañadas de la demostración en cuanto a equipo profesional de investigadores. Mas allá de mostrar cargos o grados deberían demostrar experiencia, capacidad y habilidades en la investigación de este tipo de delitos.

Lamentablemente el uso propuesto del polígrafo no tiene efectividad operativa y sobre todo capacidad de prevención. En una entidad financiera, el personal maneja todos los días importantes sumas de dinero. Quienes lo hacen de manera física son los menos, gran parte lo hace de manera digital. Aplicar polígrafo a todos ellos sería una tarea muy compleja. Necesitaríamos gran cantidad de unidades y personal entrenado. Los delitos de cuello blanco o guante no son conductas que vengan premeditadas. Por la experiencia, se puede decir que los responsables en casos ocurridos no entraron a una entidad financiera precisamente porque quieren delinquir, sino que es una fuente más de trabajo. Analizando el itercriminis de un fraude se concluye que las variables: presión, capacidad, oportunidad y justificación se dan de manera aleatoria en tiempo y espacio restando con seguridad eficacia a un control tan limitado como un polígrafo.

En Norteamérica cuan del polígrafo se tienen los delitos de cuello blanco más sonados, véase ENRON por ejemplo o el caso Madoff.

Sin entrar en mucho detalle de los llamados delitos de cuello blanco o un grupo similar pero no idéntico denominado delitos de guante blanco vamos a decir que el termino blanco va en contraposición a los delitos cometido con violencia. Cometido por personas con formación académica, cargos profesionales, respetables socialmente, etc.

En Wikipedia podrán encontrar una definición mas completa. https://es.wikipedia.org/wiki/Delitos_de_guante_blanco_o_de_cuello_blanco

El objetivo de este articulo apunta a la necesidad de contar con personal capacitado y entrenado para combatir este tipo de delito, pero desentrañando las causas con la finalidad de generar acciones de prevención.

Un delito cometido debe ser investigado por el ministerio público y la policía para evaluar las sanciones penales y civiles, pero más allá debe ser investigado por especialistas en FRAUDE y delitos de cuello blanco para detectar las vulnerabilidades atacadas y evaluar las responsabilidades internas.

Es importante desarrollar como país ese tipo de especialistas tanto en el ministerio publico como en la policía. Estos días vemos como se disputan la jurisdicción entre ambas instituciones y el derecho o el deber de participar en la ya tan famosas investigación del Banco Unión.

Como ciudadano y más aun como especialista en seguridad e informática forense, habiendo participado en varios casos de investigación criminal en delitos económicos financieros me pregunto si ambas instituciones están en la capacidad de realizar técnicamente esta investigación. ¿Por el lado de la Policía Boliviana nacional sabemos que gran parte de los oficiales son también abogados, entienden mucho de leyes, pero entienden de contabilidad, auditoria financiera, riesgo operativo, riesgo de liquides, riesgo de mercado, teorías del fraude y demás tópicos que le son exigidos a un especialista en investigación de fraudes?

Tomo recomendaciones internacionales para la conformación de un equipo multidisciplinario:

https://www.auditool.org/blog/fraude/4117-14-profesionales-para-una-investigacion-de-fraude

Con ligeras modificaciones adaptadas al contexto nacional

  1. Certified Fraud Examiner (CFE), están entrenados para conducir y liderar complejos casos de fraude desde su concepción hasta su conclusión.
  2. Consejero Legal, para que toda la examinación se realice con asesoría legal y ninguna actividad se salga de la legitimidad.
  3. Consejero internacional, para lidiar con las investigaciones que enfrentan problemas de jurisdicción al llevarse a cabo fuera del país.
  4. Auditor de procesos, soportan las investigaciones evaluando la efectividad de los controles y procedimientos de una organización.
  5. Auditor contable, para que examine y audite los documentos financieros involucrados en la investigación.
  6. Personal de seguridad, que realiza las entrevistas, identifica testigos externos, obtiene registros públicos y documentos externos.
  7. Recursos humanos, considera las leyes y derechos de los empleados para abogar por su respeto, cumplimiento y no violación.
  8. Ingeniero de sistemas, si un fraude ocurre de seguro hay un computador involucrado y podría ayudar a la identificación de los datos.
  9. Analista Forense Informático, para adquirir, preservar, analizar y presentar evidencia digital en la investigación.
  10. Especialista en analítica de datos, para diseñar mecanismos de adquisición, procesamiento y análisis de grandes volúmenes de datos.

Una de las certificaciones internacionales mas reconocidas en materia de Investigación de fraudes es CFE – Certified Fraud Examiner y se puede conocer mas en http://www.acfe.com/become-cfe-qualifications.aspx

Finalmente cuando hablamos de Fraude en términos simples analizamos 4 variables

  1. Conocimiento /Capacidad: todos los funcionarios logran esta capacidad con el ejercicio profesional.
  2. Oportunidad: Aquí está el detalle de los controles. Si estos no son eficaces y eficientes se encuentra el momento para delinquir.
  3. Presión: Todos tenemos todo tipo de presión: económica, familiar, social, política, etc.
  4. Justificación: Tiene que ver con los valores morales de cada persona. En la práctica muchos opinan que robarle a un banco nunca trae víctimas, al final el seguro termina pagando y todos felices.

 

 

Cuando estas 4 variables coinciden en tiempo y espacio la probabilidad de delinquir se hace muy elevada. Por tanto, los controles de riesgo contra el fraude generalmente implementan controles para monitorear los cambios y patrones de conducta peligrosos.

Las personas somo animales racionales de hábitos. Una línea de control y monitoreo que esta cobrando mucha efectividad a nivel mundial es precisamente el Estudio conductual sobre las personas. El cambio de hábitos es una señal de alerta. Todos los sistemas de información pueden monitorear ese cambio de hábitos basados en el análisis de Patrones Conductuales. Considero que las medidas de prevención del fraude deben ser actuales y considerar inteligencia de negocio, minería de datos e inteligencia artificial orientado a la prevención del fraude mediante la patronizacion de recursos y personas

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023