sábado, 23 de diciembre de 2023

CIBERESTAFA-Bluesnarfing

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

 Qué es el bluesnarfing: la nueva ciberestafa que te roba los datos a través de tus dispositivos Bluetooth

 
Se acabó lo de "Qué más da que no esté usando el Bluetooth, lo dejo siempre encendido y así es más cómodo"

Cuanto más se populariza el uso de las nuevas tecnologías en el ámbito financiero, mayor es la importancia que debemos conceder a las nuevas ciberestafas que van surgiendo, incluso si a veces resulta complicado seguir el ritmo a toda la terminología (frecuentemente en inglés) que va surgiendo.

El mes pasado, un Banco advertía del peligro de una conocida como 'bluesnarfing',  basada en la explotación de vulnerabilidades de la tecnología Bluetooth para acceder al dispositivo de la víctima y robar los datos bancarios y personales almacenados en el mismo.

El término 'bluesnarfing' se deriva de "Bluetooth" y "snarf", un término coloquial para tomar algo sin permiso. A diferencia del bluesniffing, que se limita a detectar dispositivos Bluetooth cercanos, el bluesnarfing es un ataque activo que permite a los hackers copiar datos como contactos, mensajes, correos electrónicos y otros archivos sensibles.

Así pueden atacarte

Este tipo de ataque requiere cierto nivel de conocimientos técnicos y herramientas específicas, y suele ocurrir cuando el dispositivo de la víctima está en un radio de 10-15 metros del atacante. Los dispositivos vulnerables a menudo son los que usan contraseñas débiles o versiones obsoletas de Bluetooth.

CONOCIMIENTO TÉCNICO 

Cualquier dispositivo con su conexión de Bluetooth encendida y configurada como “visible” (que puede ser encontrado por otros dispositivos Bluetooth) puede ser susceptible a Bluejacking y en cierto modo a Bluesnarfing si el software del proveedor es vulnerable. Apagando esta característica, la potencial víctima puede disminuir el riesgo de ser Bluesnarfed; sin embargo un dispositivo configurado como “oculto” puede ser Bluesnarfable si se adivina la dirección MAC del dispositivo por medio de un ataque de fuerza bruta. El principal obstáculo para este ataque es el gran número de direcciones MAC. Bluetooth utiliza una dirección MAC única de 48 bits, de los cuales los 24 primeros son comunes a un mismo fabricante. ​Los 24 restantes tienen aproximadamente 16,8 millones de combinaciones posibles, lo que requiere un promedio de 8,4 millones de intentos para adivinarlos por fuerza bruta.

Los ataques a sistemas inalámbricos han aumentado junto con la popularidad de redes inalámbricas. Los atacantes normalmente buscan puntos de acceso o dispositivos inalámbricos no autorizados instalados en la red de una organización que permiten que el atacante eluda la seguridad de esta. Los puntos de acceso no autorizados y las redes inalámbricas de fácil acceso para terceros a menudo se detectan a través de wardriving, que utiliza un automóvil u otro medio de transporte para buscar una señal inalámbrica en un área grande. El Bluesnarfing es un ataque con el fin de acceder a información de dispositivos móviles que se transmite usando el protocolo Bluetooth. Con los dispositivos móviles, este tipo de ataque se utiliza a menudo para hacerse con la Identidad Internacional de Equipo Móvil (IMEI). El acceso a este código único permite al atacante desviar las llamadas telefónicas y los mensajes a otro dispositivo sin el conocimiento del usuario.

Las consecuencias de sufrir un ataque de 'bluesnarfing' pueden ser graves, pues el robo de información confidencial puede traducirse en suplantación de identidad o en transacciones no autorizadas.

Medidas de prevención

El Banco ha emitido alertas en las que ha enfatizado el riesgo de dejar el Bluetooth activado: la facilidad y comodidad de uso de Bluetooth, especialmente en dispositivos Apple a través de la App AirDrop, puede llevar a los usuarios a olvidar desactivar esta función, aumentando el riesgo de ataques.

Para protegerse contra el bluesnarfing, se recomienda al usuario:

  1.  Mantener actualizado el firmware del dispositivo para corregir vulnerabilidades.
  2. Configurar el Bluetooth en modo "no visible" o "no detectable".
  3. Desactivar el Bluetooth cuando no se utiliza.
  4. Evitar conexiones con dispositivos o redes desconocidas.
  5. Usar contraseñas fuertes (y cambiar las predeterminadas) en los dispositivos Bluetooth.

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

martes, 3 de octubre de 2023

Diez Tecnologías para la CiberSeguridad del Futuro

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

La ciberseguridad se enfrenta a brechas importantes que solventar, desafíos importantes tales como los que aluden a las identidades y a los endpoints (dispositivo remoto en red). La realidad es que tres cuartas partes de los expertos en seguridad y gestión de riesgos afirman estar buscando una estrategia de consolidación de proveedores para las pilas tecnológicas de ciberseguridad, y un 22% pretende llevarlo a cabo para 2025.

Las áreas principales sobre las que consolidar la estrategia de seguridad son en el 56% de los casos las plataformas de datos (DSP), en el 50% las plataformas de protección de aplicaciones nativas en la nube (CNAPP), en el 45% la gestión de identidad y acceso (IGA, AM, PAM), en el 43% la detección y respuesta extendidas (XDR) y en el 37% los servicios de acceso seguro (SASE).

CONCEPTOS FUNDAMENTALES

Inteligencia Artificial (AI)

La inteligencia artificial (Artificial Intelligence, o AI) opera a través de la simulación de procesos de inteligencia humana a través de máquinas, especialmente sistemas informáticos. Estos procesos incluyen el aprendizaje (la adquisición de información y reglas para el uso de la información), el razonamiento (usando las reglas para llegar a conclusiones aproximadas o definitivas) y la autocorrección.

Usamos éste tipo de tecnología para: Análisis de Texto, Análisis de Sentimiento,

El uso adecuado de la Inteligencia Artificial puede significar incremento en ventas, erradicar la ineficiencia, optimizar los procesos operativos, ahorrar dinero, realizar Análisis de Texto, Análisis de Sentimiento, etc.

Machine Learning (ML)

Machine Learning ó Aprendizaje de Máquina puede considerarse una rama de la AI. Algunos sistemas de aprendizaje automático intentan eliminar toda necesidad de intuición o conocimiento experto humano de los procesos de análisis de datos, mientras otros más simples tratan de establecer un marco de colaboración entre el experto y el software.

Usamos éste tipo de tecnología para: Análisis de scoring en distintos ámbitos de los servicios, cuidados de la salud (análisis de riesgo), Marketing Personalizado, Detección de Fraude, Forcasting de Ventas y Producción

 

Las 10 tecnologías efectivas para ciberseguridad

Los ciberdelincuentes están continuamente explorando los sistemas para mejorar sus técnicas de ataque sin llegar a ser detectados, por lo que la AI y ML llegan para proporcionar una detección en tiempo real y dar respuestas de forma automatizadas. En relación a esto, las tecnologías más eficientes para ayudar a los CISO son las siguientes:


1.- Detección y respuesta de punto final
Endpoint detection and response (EDR)

Esta tecnología aborda los desafíos de detectar y dar respuesta a las amenazas más avanzadas, empleando un análisis de comportamiento para detectar los ataques en tiempo real. De igual modo, EDR es eficaz para ayudar a los equipos de seguridad a detectar y responder al ransomware y otras técnicas de ataque que pueden evadir las aplicaciones y los antivirus tradicionales.

 

2.- Plataformas de protección de endpoints
Endpoint Protection Platforms  (EPP)

Los EPP resultan eficaces para combatir las amenazas emergentes y las nuevas vulnerabilidades de malware. Permiten análisis avanzados y una mayor visibilidad y control de los puntos finales.

 

3.- Detección y respuesta extendidas
Extended detection and response (XDR)

Esta tecnología permite agregar y correlacionar alertas de seguridad y telemetría desde los puntos finales, la red, la nube y otras fuentes de datos de una organización. Esta herramienta supera a las de seguridad heredades en detección de amenazas, investigación y de respuesta automatizada, reduciendo los costos y aumentando la eficiencia de las operaciones de seguridad.

 

4.- Detección y respuesta a amenazas de identidad
Detection and response to identity threats (ITDR)

Las plataformas ITDR protegen la infraestructura de identidad de una empresa de ataques sofisticados. Ayudan a las organizaciones a monitorear, detectar, y responder a las amenazas de identidad a medida que los sistemas de identidad se vuelven más críticos y más vulnerables.

 

5.- Defensa contra las amenazas móviles
Defense Against Mobile Threats (MTD)

Esta tecnología protege a los teléfonos inteligentes y otros dispositivos de amenazas avanzadas que pueden eludir los controles de seguridad tradicionales de el phishing, las amenazas de día cero en tiempo real y las técnicas de ataque avanzadas que se basan en el robo de identidad y credenciales de acceso privilegiado.

 

6.- Microsegmentación

Esta restringe el movimiento lateral durante una infracción al separar las cargas de trabajo por identidad. Reduce también la comunicación de carga de trabajo no autorizada y el radio de explosión de un ataque.

 

7.- Borde de servicio de acceso seguro
Secure access service edge (SASE)

SASE permite optimizar los planes de consolidación al tiempo que tiene en cuenta el acceso a la red de confianza cero (ZTNA), asegurando los puntos finales y las identidades.

 

8.- Perímetro de servicio seguro
Secure Service Perimeter (SSE)

Esta tecnología permite la protección de las aplicaciones SaaS (Software como servicio), web y privadas. SSE integra la puerta de enlace web segura (SWG), el agente de seguridad de acceso a la nube (CASB) y ZTNA en una única plataforma de nube. Además el SSE permite simplificar, asegurar y mejorar las experiencias de los usuarios remotos.

 

9.- Seguridad unificada de terminales
Unified Endpoint Security (UES)

Su empleabilidad permite la protección de todos los dispositivos de punto final, incluidos los PC, los dispositivos móviles y los servidores. Resuelve los problemas inherentes a las herramientas descentralizadas como la visibilidad, la detección y las respuestas limitadas.

 

10.- Acceso a la red de confianza cero
Zero trust network access (ZTNA)

La tecnología ZTNA faculta el acceso con privilegios mínimos en cada aplicación, recurso y punto final en una red mientras monitorea toda la actividad de la red. Restringe las conexiones a cualquier activo, punto final o recurso a usuarios, dispositivos y aplicaciones autorizadas en función de la identidad y el contexto verificados.

 

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

martes, 4 de julio de 2023

LEY DE INTELIGENCIA ARTIFICIAL (IA)

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

 ¿Cómo Ecuador regula la inteligencia artificial?

La regulación de inteligencia artificial debe estar basada en riesgos.

La Unión Internacional de Telecomunicaciones (UIT), organismo especializado de las Naciones Unidas para las tecnologías de la información y la comunicación, realizará la sexta cumbre sobre inteligencia artificial (IA), en Ginebra. Uno de los temas a tratar será la regulación sobre esta tecnología.

El evento se realizará este 6 y 7 de julio del 2023. De hecho, la ONU solicitó una semana antes de esta cumbre, denominada: IA para siempre, que países y empresas avancen en la regulación de la inteligencia artificial. China y a la Unión Europea (UE) ya trabajan en normativas.

Los países de la región también han presentado sus propuestas de leyes para el uso de la IA. Por ejemplo, Perú aprobó una ley, de carácter declarativo, para promover el uso de la inteligencia artificial, en mayo pasado. Asimismo, Chile presentó un proyecto de ley que busca regular los sistemas de IA.

Ecuador no tiene un proyecto de ley para el uso y regulación de inteligencia artificial todavía. Sin embargo, expertos, señalan la necesidad de promulgar una normativa sobre esta tecnología.

¿Qué debe tener una ley que regula la inteligencia artificial en el país?

La regulación debe ser fruto de un consenso amplio. Que tome en cuenta, desde luego, las voces de las empresas de tecnología que más saben la inteligencia artificial como IBM. Pero, también a todos los actores que están involucrados en el ecosistema, como la academia, el gobierno y quienes llevan adelante negocios y operaciones con inteligencia artificial. Creemos que las mejores regulaciones y leyes son fruto de un consenso.

En segundo lugar, tiene que ser clara, que marque la cancha correctamente para todos, y además, tiene que ser, esto quizás uno de los puntos más importantes, tiene que ser flexible. Es decir, tiene que permitir el espacio necesario para que la innovación siga sucediendo, esto mientras protegemos los derechos y de los ciudadanos y los valores. Pero, no debe ser una camisa de fuerza, menos aún en estos momentos donde estamos todos recién aprendiendo cuáles son las aplicaciones de la inteligencia artificial.

Además, en el caso ecuatoriano, una ley de regulación de inteligencia artificial tendrá que estar en armonía y alineada con la ley de protección de datos personales, que se aprobó hace dos años y cuyo régimen sancionatorio entró en vigor el 26 de mayo de este año.

¿Cuáles son los principales riesgos al utilizar la inteligencia artificial?

En un sistema de inteligencia artificial hay algunos riesgos de entrada y de salida. Entre los riesgos de entrada podemos mencionar la privacidad de los datos, que es un derecho constitucional. Además, también está la calidad de los datos. Es decir, un sistema de inteligencia artificial que haga una ingesta con datos que no son de calidad, evidentemente va a producir resultados que no son los idóneos. Otro tipo de riesgo es la transparencia en la ingesta de esos datos y en particular lo que se denomina sesgo representacional.

Un riesgo de salida es el copyright. Si yo entreno y alimento a un sistema con textos, imágenes, videos hechos por alguien ¿en qué medida se puede atribuir esta propiedad a los a los autores originales? Por eso es tan importante la transparencia.

¿La regulación debe estar basada en estos riesgos?

Nosotros vemos con buenos ojos una posible regulación de inteligencia artificial basada en riesgos. Es decir, que se haga una categorización previa de los riesgos y que no regule la tecnología en sí. Un ejemplo de este tipo de regulación es la Ley de inteligencia artificial recientemente aprobada por el Parlamento Europeo y que ahora está en la negociación tripartita entre Parlamento, Comisión y Consejo, supongo que sufrirá cambios menores, pero no de fondo en cuanto a la aproximación basada en riesgos.

En Europa clasifican los usos de inteligencia artificial en cuatro riesgos que son: alto mediano, bajo e inaceptable. Es decir, hay usos de inteligencia artificial que son completamente inaceptables. Por ejemplo, actividades policiales predictivas o categorización de emociones en las personas.  

¿Mientras haya una ley de IA, qué deberían hacer las empresas y usuarios de esta tecnología?

Las empresas deben a empezar cumpliendo la ley de protección de datos personales. No se puede hablar de un sistema de inteligencia artificial bien construido sin protección de datos. Esa ley ya está en vigor en Ecuador desde hace más de dos años.

Las empresas pueden empezar a empaparse de esta realidad y empezar a implementar las acciones correspondientes, como capacitar a sus empleados en el manejo de estos sistemas, designar el delegado de protección de datos, que es la persona que va a asesorar y acompañar a la empresa en la implementación un sistema de protección de datos, tener medidas de ciberseguridad y más.

Por un lado es implementar nueva tecnología, pero por otro lado también es tomar conciencia de que los datos de nuestros usuarios o clientes tienen un valor y que por lo tanto tienen que ser protegidos.

La inteligencia artificial (IA) es la simulación de inteligencia humana que crea algoritmos y sistemas informáticos capaces de ejecutar tareas simples y complejas que realizan las personas. Se basa en la idea de que una máquina puede programarse para imitar la forma en que un ser humano piensa y actúa. 

 GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

lunes, 3 de julio de 2023

EL RIESGO DE LA TECNOLOGIA VA MÁS ALLÁ DEL RIESGO CIBERNETICO

GALO LIMA, Oficial de Cumplimiento y Seguridad Informática, 0981478818, galolima@hotmail.com

  

CONCEPTOS CLAVES:

Plan de continuidad del negocio (ISO 27002:2022 Control No. 3).- Un plan de continuidad del negocio es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre. La actualización a ISO 27002:2022 incorpora 11 nuevos controles:

  1. Inteligencia de amenazas.
  2. Seguridad de la información en la nube.
  3. Continuidad del negocio.
  4. Seguridad física y su supervisión.
  5. Configuración.
  6. Eliminación de la información.
  7. Encriptación de datos.
  8. Prevención de fugas de datos.
  9. Seguimiento y monitoreo.
  10. Filtrado web.
  11. Codificación segura.

EL RIESGO DE LA TECNOLOGÍA VA MÁS ALLÁ DEL RIESGO CIBERNÉTICO

Las organizaciones son cada vez más conscientes de la importancia del riesgo de la tecnología. Las noticias sobre problemas de seguridad de la información como hackeos, filtraciones de datos, ransomware (secuestro de datos) o ciberataques han crecido exponencialmente con el pasar el tiempo.

En los últimos 4 años, se expusieron 21,9 mil millones de registros, representando un aumento del 103%. Una de las violaciones de datos recientes más conocidas, por ejemplo, fue en 2020 el hallazgo de las credenciales de más de 500.000 cuentas de Zoom que estaban a la venta en la conocida como “dark web”.

Por tanto, para nadie ya pasa desapercibido que el riesgo de la tecnología es real, crucial para las operaciones de la organización y debe abordarse. Ahora bien, no se puede identificar ese riesgo de la tecnología únicamente como el riesgo cibernético. Analizamos por qué.

¿Es más amplio el riesgo de la tecnología que el riesgo cibernético?

El riesgo de la tecnología se refiere a cualquier riesgo de pérdida financiera, interrupción de las operaciones o daño a la reputación de una organización como resultado de un fallo o problema de sus sistemas de tecnología de la información. Y el riesgo cibernético es un subconjunto del riesgo tecnológico.

Los profesionales de TI suelen tener un conocimiento técnico muy bueno del riesgo cibernético y de los sistemas tecnológicos empleados en la organización. Sin embargo, generalmente solo se enfocan en los impactos inmediatos de las violaciones de datos, como la cantidad de registros expuestos y la solución de la causa de la violación. Y no abordan los riesgos que para el funcionamiento del negocio tiene la tecnología.

Así, los impactos negativos que supone ese riesgo cibernético son más amplios y, por lo general, están fuera del alcance del Departamento de TI:

  1. La continuidad del negocio.
  2. Responsabilidad de terceros.
  3. Afectación a la reputación.
  4. Cumplimiento normativo.

Minimizar, por ejemplo, el tiempo de inactividad ante un ataque cibernético, son consecuencias sobre las que un Departamento de TI relativamente eficaz puede actuar. Esto no implica que el ataque no genere costes y que el daño a la reputación sea irreversible, por mencionar solo dos de los impactos relacionados.

Comprender y gestionar el riesgo de la tecnología de forma eficaz requiere un enfoque integral centrado en el negocio u organización, y no solo que el área de TI tenga la capacidad de disminuir los impactos del riesgo cibernético. 

¿Cómo comprender y gestionar el riesgo de la tecnología de manera eficaz?

Tras el análisis anterior, la conclusión es que los profesionales en el área de TI tienen un conocimiento técnico extenso y profundo, pero que no cuentan con las competencias, las herramientas y el conocimiento sobre gestión de riesgos y comprensión de un fenómeno tan complejo como el riesgo de la tecnología y su alcance, como para garantizar la seguridad y la tranquilidad que la organización y sus clientes, empleados, proveedores y asociados necesitan.

Y esto sucede en gran parte, porque no han sido formados para esta tarea, que es diferente a la gestión técnica, casi científica, y porque su enfoque va hacia la reacción y no hacia la prevención. Ellos piensan en el impacto inmediato tras la ocurrencia de la violación.

Por supuesto, los seguros podrían ser una respuesta a algunos de los problemas generados tanto por el riesgo de la tecnología como por el riesgo cibernético. Pero, ¿hasta dónde resultan efectivos y a qué coste?

Es necesario pensar en los seguros contra el riesgo cibernético como algo similar a la responsabilidad civil y como una forma de protección para mitigar el impacto financiero del riesgo, pero no como una medida de protección real, sobre todo en lo que relacionado con el cumplimiento normativo y con la posible erosión de la reputación y el buen nombre.

Pero, además de lo mencionado, encontramos otros frentes en los que los servicios de una aseguradora se tornan inoperantes:

  1. Parálisis financiera ocasionada por la imposibilidad de operar, ocasionada por algún impedimento para acceder a los datos, a la red o a la información en general.
  2. Todas las estrategias comerciales se detienen, incluso el lanzamiento de nuevos productos, la implementación de software, y el despacho de productos.
  3. Las noticias sobre la violación se propagan rápidamente a través de redes sociales, afectando negativamente la reputación de la organización.

Al final, es evidente la necesidad de contar con profesionales especializados en riesgos, como principales determinadores en la toma de decisiones sobre la gestión del riesgo de la tecnología como del riesgo cibernético.

Este tipo de profesionales requerirán un marco apropiado para abordar los riesgos, y el más adecuado sin duda será ISO 27001, 27002 estándares internacionales para la Gestión de la Seguridad de la Información.

Blogs relacionados

 

miércoles, 28 de junio de 2023

Ofertas de trabajo fraudulentas online

GALO LIMA, Oficial de Cumplimiento y Seguridad Informática, 0981478818, galolima@hotmail.com

Expertos en ciberseguridad advierten sobre ofertas de trabajo fraudulentas en Facebook, TikTok y WhatsApp


El Internet y las redes sociales, que son esenciales en nuestra vida cotidiana, se han transformado en terrenos propicios para ciberdelincuentes. Estos individuos han descubierto en dichos espacios la posibilidad de engañar a personas desprevenidas con presuntas oportunidades de obtener ingresos rápidos. Han estado empleando nombres de plataformas reconocidas como Amazon, Mercado Libre, Linio y YouTube para llevar a cabo sus trampas.

“La mayoría de ellos se hace pasar por representantes de estas plataformas popularmente conocidas y les piden hacer supuestos pedidos virtuales en plataformas de compra para aumentar las ventas, realizar reseñas de los productos, o dar “me gusta” a videos en YouTube, todo a cambio de dinero. Los estafadores hacen contacto utilizando mensajes por WhatsApp, vía SMS o a través de redes sociales como Facebook o TikTok, donde les explica en qué consiste el trabajo y cómo comenzar a ganar dinero”.

La mecánica de la estafa radica en que las potenciales víctimas deben registrarse en una plataforma y recibirán un enlace junto a un código de acceso. Tras el registro, se encuentran con un saldo inicial positivo que permite comenzar a trabajar de inmediato, prometiendo la ganancia de comisiones.

En la modalidad asociada a YouTube, los estafadores piden dar “me gusta” a determinadas cuentas a cambio de dinero. Redirigen al usuario a una cuenta de Telegram donde solicitan datos personales y número de cuenta para hacer el supuesto depósito. En la espera, ofrecen al usuario ser parte de “niveles VIP” donde deben depositar dinero para recibir beneficios económicos.

Recomendaciones de los expertos para evitar caer en estafas online

  1. Desconfía de ofertas de trabajo que parecen demasiado buenas para ser verdad.
  2. Investiga la empresa que ofrece el trabajo o la oferta.
  3. No proporciones información personal, como el número de cuenta bancaria o dirección, a personas o empresas desconocidas.
  4. Nunca pagues por adelantado para acceder a un trabajo o una oferta.
  5. Busca opiniones de otros usuarios sobre la empresa o la oferta en Internet y redes sociales.

Se advierte que proporcionar datos personales a ciberdelincuentes puede tener graves consecuencias, desde robo de identidad y fraude financiero hasta acoso en línea. En casos extremos, podrían acceder a cuentas bancarias y tarjetas de crédito, solicitar préstamos y cometer otros delitos financieros, incluso acoso, extorsión, o suplantación de identidad.


GALO LIMA, Oficial de Cumplimiento y Seguridad Informática, 0981478818, galolima@hotmail.com

miércoles, 3 de mayo de 2023

LAVADO DE ACTIVOS CON TECNOLOGÍA

GALO LIMA, Oficial de Cumplimiento y Seguridad Informática, 0981478818, galolima@hotmail.com

La vertiginosa revolución tecnológica que vivimos llega a todos los rincones de nuestra sociedad. El mundo de las finanzas, la inteligencia artificial, los activos virtuales y el comercio no es ajeno a esta evolución. Vemos continuamente la aparición de nuevas formas de realizar transacciones, nuevos espacios de comercio virtual, novedosos medios de pago e incluso nuevas formas de representar el dinero, más allá del concepto tradicional. Estos cambios, ya no debieran sorprender a nadie, son aprovechados de manera inmediata por los delincuentes para favorecer sus actividades creando nuevas modalidades delictivas vinculadas a estas tecnologías.

El aprovechamiento de los beneficios obtenidos por actividades delictivas ha encontrado en el nuevo ecosistema financiero virtual una nueva forma de conservar, transferir, ocultar, y dar salida a esos activos mediante lavado en criptodivisas.

Resulta un reto nada sencillo de abordar el dar una respuesta policial a tales actividades, exigiendo una rápida adaptación, creación de estructuras y dotación de medios y de formación adecuada a agentes especializados.

Para esto es importante conocer, aunque sea de forma superficial, que actores intervienen en este nuevo ecosistema virtual y que impacto tiene cada uno en la consecución del lavado de capitales.

Palabras clave: Activos Virtuales, blockchain, bitcoin, criptoactivos, disrupción, tecnologías financieras.

ACTIVOS VIRTUALES.- Los activos virtuales surgieron como una propuesta de esquema alternativo para realizar pagos, en el cual se evita la participación de terceros confiables en el proceso de una transacción.

BLOCKCHAIN .- Cadenas de bloques, en realidad, se trata de una enorme base de datos que recoge y almacena la información de manera compartida y descentralizada. De esta forma se crea un registro que es único pero que a su vez generan copias sincronizadas, lo que hace imposible manipular los datos.

BITCOIN.- Es una moneda digital descentralizada y un sistema de pago sin banco central o administrador único.La criptomoneda fue concebida en el año 2008 por una persona o grupo de personas bajo el seudónimo de Satoshi Nakamoto,  cuya identidad concreta se desconoce.

CRIPTOACTIVOS.- El término “criptoactivo” mismo se refiere a un espectro amplio de productos digitales que se emiten de forma privada con tecnología similar (criptografía y, a menudo, registros distribuidos) y que se pueden almacenar y comercializar utilizando principalmente billeteras digitales y bolsas.

DISRUPCIÓN .- Un término que hace referencia al cambio del modelo tradicional de negocio debido a la irrupción de las nuevas tecnologías, lo cual afecta a la totalidad de la estructura corporativa. La disrupción digital en las empresas es por tanto un cambio a nivel global que supone romper con lo establecido. La disrupción digital en las empresas se define como una alteración producida por un cambio a raíz del desarrollo de las nuevas tecnología, cambiando por completo los modelos de negocios tal y como se conocían hasta ahora.

TECNOLOGÍAS FINANCIERAS.- La fintech, fintec o tecnología financiera es una industria financiera que aplica nuevas tecnologías a actividades financieras y de inversión.

ASPECTOS del lavado de DINERO mediante criptoactivos

Antes de analizar las peculiaridades del lavado de activos mediante criptoactivos, se debe señalar que el blanqueo de dinero es un medio de mantenimiento y supervivencia de las organizaciones delictivas, que genera altos rendimientos a partir de diferentes actividades ilegales, pero que requiere introducir dinero en el circuito legal para poder utilizarlo y beneficiarse de él. Por lo tanto, la lucha contra el lavado de activos tiene un alcance más amplio que la investigación de tipos específicos de delitos. El lavado de activos tiene que estar vinculado a una actividad delictiva (narcotráfico, tráfico de armas, trata de seres humanos, terrorismo, fraude fiscal, corrupción, etc.). El desmantelamiento de una organización criminal, materializado solo en el arresto de individuos que han participado en delitos, no es la respuesta más completa y efectiva, ya que las organizaciones se reestructuran rápidamente. Por tanto, es necesario analizar, bloquear e intervenir en el sistema financiero de una organización criminal (redes corporativas, fideicomisos, cuentas bancarias, bienes muebles e inmuebles, etc.) con el fin de debilitar y, en algunos casos, paralizar su actividad ilícita (GAFI 2012).

Para el GAFI (2018), el lavado de activos puede definirse como el procesamiento del producto del delito para ocultar su origen ilegal. Las regulaciones gubernamentales que rigen el lavado de activos pueden dividirse en dos; por un lado, el preventivo, centrado en la evitación de comisión de infracciones y, en concreto, para evitar el lavado; por otro lado, el represivo o punitivo, que es cuando los actos realizados conducen a una infracción independientemente de la etapa en que se encuentre el ilícito.

Tradicionalmente se ha aceptado que la división teórica de la operación de lavado de dinero se compone de tres fases, aunque muchas veces tal división puede parecer irreconocible.

Estas fases se superponen, son simultáneas y desordenadas, con métodos de blanqueo cada vez más complejos, razón por las que algunas de las fases pueden repetirse varias veces antes de entrar en legal circulación. Siguiendo una terminología utilizada por el GAFI (2018), sobre lavado de activos, este delito generalmente se desarrolla en las siguientes tres etapas: primera, colocación; segunda, estratificación, diversificación o conversión; y finalmente, integración o inversión. A continuación, se describen brevemente las tres etapas:

  1. Colocación: Esta es la primera etapa del proceso de lavado, en el que el dinero “sucio”, ya sea en efectivo o materializado en cualquier tipo de bienes obtenidos ilícitamente, cambia de ubicación, y queda fuera del control de las autoridades.
  2. Estratificación, mezcla, diversificación o conversión: Esta es la segunda fase del proceso de lavado de activos y consiste en la mezcla del dinero o los bienes en diversas empresas e instituciones financieras. El dinero se transporta a otros lugares para ocultar su origen ilícito. Lo importante aquí es adquirir activos para transferirlos o intercambiarlos con otros de origen lícito. En esta etapa, una vez que el dinero entra en los circuitos financieros, se hacen movimientos para ocultar su origen, con el fin de erradicar cualquier posible vínculo entre el dinero colocado y su origen. Las técnicas más frecuentes son enviar el dinero a paraísos fiscales o centros offshore, para asegurar que los fondos circulen a través de diferentes países, instituciones y cuentas mantenidas por diferentes personas físicas o jurídicas.
  3. Integración o inversión: Esta es la última etapa del proceso de lavado de activos. El dinero procedente de actividades delictivas se utiliza para actividades financieras, que suelen ser legítimas. En esta etapa se realizan inversiones comerciales, se otorgan préstamos a particulares, se compran bienes y se realizan todo tipo de transacciones a través de registros contables y fiscales, que justifican el capital de manera legal, dificultando el control. Por lo tanto, el dinero se coloca de nuevo en la economía, con la apariencia de la legalidad. En esta fase, una vez colocado y estratificado el capital, el dinero vuelve al circuito financiero legal mezclado con otros elementos lícitos.

El mismo proceso de tres etapas se aplica a los criptoactivos, pero las complejidades asociadas con cada etapa son inherentemente diferentes. Por ejemplo, en la etapa de colocación, los fondos se mueven de un banco tradicional a una cuenta con un servicio de cambio de criptoactivo con el fin de comprar monedas primarias como bitcoin o Ethereum. Luego, en la fase de capas (Estratificación), las monedas primarias se intercambian por varios criptoactivos, alternativos, que permitan mayor privacidad, en un intento de enturbiar el papel electrónico, lo que hace más difícil para las fuerzas del orden seguir el rastro de dinero. Este proceso también se conoce como salto de cadena. Luego, en la etapa de integración el lavador puede cambiar esos criptoactivos de nuevo a otros activos más conocidos, que luego se pueden cambiar de nuevo por dinero tradicional. Mientras que la descripción es de nuevo demasiado simplificada, el relato pretende describir un esquema bien diseñado pues, al fin y al cabo, las criptomonedas han sido vistas como una oportunidad de inversión única y lucrativa, no solo con el fin de lavar activos. Como resultado, puede ser difícil detectar la identificación de actividades de colocación o el reconocimiento de una transacción sospechosa iniciada a través de un intercambio de criptomonedas y deslindarla de una rápida y fácil inversión. Esto es especialmente complejo si la criptomoneda intercambiada no tiene suficientes protocolos de conocimiento de su cliente y favorece el anonimato.

Asimismo, si el servicio de intercambio no lleva un registro adecuado de sus clientes ni hace un intento razonable de verificar la información, las autoridades encargadas de la investigación no disponen de suficientes recursos para investigar cualquier actividad sospechosa. Desafortunadamente, eso es exactamente lo que está sucediendo con ciertos intercambios de criptoactivos, pues los delincuentes conocedores de la tecnología están abriendo cada vez más cuentas con nombres falsos en los mercados extranjeros que no cumplen con las leyes más restrictivas con el almacenamiento o transmisión de los criptoactivos. De hecho, aunque los investigadores pueden seguir los fondos mediante el análisis de la blockchain, puede que no sean capaces de conectar esos fondos a un culpable en el mundo real, y ese es precisamente el actual reto que se presenta en la investigación del delito de lavado de activos.

tIPOLOGÍAS de lavado de DINERO mediante criptoactivos

Gracias a la creciente cooperación judicial y policial internacional existe un completo sistema de prevención y represión del lavado de activos, pero, desde el prisma opuesto, también las organizaciones delictivas se actualizan y evolucionan sus técnicas, ya sea con personal especializado o mediante contactos con entidades dedicadas al lavado de dinero. A través de los criptoactivos están surgiendo nuevas metodologías para el lavado de activos que dificulta la lucha de los países contra este tipo de delincuencia organizada. A continuación, se van a exponer las modalidades más usuales de lavado de activos mediante criptoactivos.

 

Minado de criptoactivos

La minería en el mundo de las criptomonedas puede definirse como el conjunto de procesos necesarios para procesar y validar las transacciones de un criptoactivo utilizando una red blockchain. El protocolo solo permite que estas transacciones sean procesadas por usuarios especializados llamados mineros. Dentro de dicha red, para que una transacción sea validada, un problema matemático complejo debe ser resuelto mediante complejas claves. Una vez descifrado el problema matemático, la transacción se añade como otro bloque, volviéndose irreversible.

El primer usuario que logra resolver el problema matemático recibe una recompensa en forma de un número de criptomonedas, tras lo que estos activos entran en circulación. Los mineros, además de desbloquear monedas y añadirlas a la red, también comprueban las operaciones realizadas.

Prácticamente todas las criptomonedas virtuales descentralizadas se generan a través de la minería, por lo que un número de usuarios, los mineros, son quienes se encargan de realizar las tareas mencionadas, sin que actualmente se pueda conocer (ni siquiera de forma aproximada) las personas que actualmente se dedican a dicha actividad. El equipo minero es bastante caro, más de $2000 por unidad, muy ruidoso, y consume una gran cantidad de energía. Actualmente, por tanto, es necesario tener una gran capacidad tecnológica para poder extraer monedas virtuales, así como suficientes recursos económicos y altos conocimientos informáticos para extraer criptomonedas simultáneamente. A ello se añade que el equipo de minado ha de ser instalado en un lugar insonorizado.

Por estas razones, las empresas u organizaciones que realizan esta actividad tienden a elegir países donde la electricidad es más barata o países más fríos donde se necesita menos refrigeración.

Existen organizaciones que obtienen dinero ilícito a través de diversas actividades delictivas y necesitan blanquearlo, usar ese dinero para comprar equipo minero, con el fin de minar criptoactivos.

Una vez que los beneficios se obtienen a través de la minería, podrían reinvertirse en cualquier activo o en una actividad aparentemente legal, cuyos beneficios pueden justificarse ante las autoridades.

 

Intercambios

Se trata de plataformas virtuales que facilitan el intercambio de criptoactivos para garantizar que los clientes puedan transformar dinero real en dinero virtual y viceversa, a través de diversos mecanismos de pago tales como como transferencias bancarias o tarjetas de crédito.

Las bolsas actúan como carteras para sus clientes, ya que depositan sus fondos en estas plataformas. Las bolsas suelen cobrar tasas por el uso de sus servicios.

Desde el punto de vista del lavado de activos, los tres riesgos asociados al uso de las bolsas son los siguientes:

  1. Tradicionalmente no han sido sujetos obligados en cuanto a la prevención del blanqueo de capitales, aunque cada vez mayor legislación les incorpora como nuevos sujetos obligados, con su inscripción en registros concretos, con obligaciones parecidas a las entidades bancarias.
  2. Los mandantes no operan desde el país en el que está radicada la plataforma.
  3. Pueden ser controladas directamente por la organización de lavado de dinero.

Hasta ahora, como no son sujetos obligados, la política de identificación del cliente ha sido definida por la propia empresa; por lo tanto, los datos requeridos a los clientes han sido muy variables. Diferentes organizaciones internacionales, como el Grupo de Acción Financiera (GAFI) recomiendan que se actualice la legislación internacional sobre la prevención del blanqueo de dinero para garantizar que estas empresas puedan convertirse en entidades obligadas. Por lo tanto, a partir de ahora deberían establecerse controles de prevención del lavado de activos y exigir-cumplir ciertas normas en las políticas de identificación de clientes.

 

Traders locales

Estas son personas que se anuncian (principalmente a través de la darkweb) para cambiar moneda virtual por moneda real, la compra y venta de criptomonedas con el efectivo como un intercambio de co-trading. Las indicaciones que podrían vincularse a las operaciones de blanqueo de dinero serían las siguientes:

  1. Operar con moneda virtual a partir de efectivo en volúmenes significativos.
  2. Realizar cambios de moneda virtual con efectivo utilizando canales que implican pagar altas comisiones y/o soportar peores tipos de cambio que los métodos alternativos.
  3. Intercambios hechos en lugares inusuales y anónimos. En muchos casos, las ventas y compras se organizan a través de foros de Internet (p2p) y los intercambios tienen lugar físicamente para garantizar que el comprador de las criptomonedas paga en efectivo y el vendedor simplemente proporciona su contraseña de cuenta.
  4. La compra se realiza con beneficios directos de otras actividades ilícitas.

Cajeros automáticos (ATM´s) de criptoactivos

Estos son los cajeros automáticos que se utilizan para introducir dinero en efectivo y transformarlo en la moneda virtual que se envía a la cartera del usuario; también es posible vender criptomonedas en efectivo. Los cajeros automáticos suelen instalarse en tiendas abiertas al público y normalmente no son objeto de licencia; por lo tanto, sus medidas de instalación, mantenimiento y seguridad no están reguladas ni supervisadas por ningún organismo público. El funcionamiento de un cajero automático en moneda virtual es el siguiente:

  1. El cliente introduce dinero en efectivo en el cajero automático que la persona quiere transformar en dinero virtual.
  2. El cajero automático envía al cliente el importe equivalente en moneda virtual, menos la comisión cobrada por la operación, a la cartera indicada por el cliente.
  3. La bolsa vinculada al cajero entrega la misma cantidad de moneda virtual al operador a precio de mercado.
  4. El operador recarga el monedero del cajero mediante la transferencia de la moneda virtual de la bolsa.
  5. El operador recoge efectivo del cajero automático.
  6. Finalmente, el operador deposita el efectivo en el banco y realiza una transferencia a la bolsa.

Los cajeros automáticos aumentan el riesgo de lavado de activos, ya que permiten la introducción directa de efectivo en los cajeros automáticos, sin una identificación previa efectiva.

Videojuegos y casinos online

La última tendencia en el lavado de activos es el uso de videojuegos en línea, que es muy simple y aparece en tutoriales en diferentes plataformas de vídeo digitales como YouTube. Hay numerosos videojuegos en línea que son utilizados por los delincuentes para lavar su dinero. Un ejemplo de esta práctica es el videojuego “Fortnite”, que permite la compra de su moneda virtual, llamada V-Bucks, mediante la adquisición de tarjetas que contienen un código de seguridad. Estas tarjetas se revenden en Internet, a cambio de Bitcoins, a los usuarios del videojuego a un precio por debajo del precio de mercado.

Otra forma de lavado a través de este videojuego (o similares) es utilizando un sistema llamado Carding (uso ilegítimo de tarjetas de crédito con fines de lucro para cometer fraude). El procedimiento es muy simple: Se requiere un ilícito anterior como es el robo de tarjetas a un tercero, que se utiliza para completar el perfil de un jugador poderoso que compra artículos en el videojuego con la tarjeta robada y luego los vende a cambio de moneda virtual.

Una vez que tenemos una criptomoneda de origen ilícito, existen diferentes métodos para blanquearla e introducirla en el sistema tradicional, como los explicados en este apartado.

Otro método común para lavar dinero es a través del juego en un casino. En teoría, un criminal podría comprar fichas en un casino con su dinero mal obtenido, jugar algunas rondas de un juego de mesa, como el blackjack o el póquer, y luego cobrar las fichas por dinero limpio del casino. Si la persona pierde dinero en el proceso, generalmente se acepta que ese es el costo de hacer negocios. Naturalmente, sin embargo, si el lavador gana, el dinero todavía se limpia, y además se obtiene un beneficio inesperado. Mientras que los casinos ciertamente tienen una serie de salvaguardias en su lugar para monitorear y evitar que este tipo de actividad ocurra, puede ser mucho más difícil monitorear la actividad en un casino en línea offshore.

Según un informe de 2018 contra el blanqueo de dinero de la firma de seguridad de criptomonedas CipherTrace, hay entre 100 y 200 sitios de juego en Internet que permiten el juego a través de criptoactivos (Cryptocurrency Anti-Money Laundering Report, 2018). Al igual que en un casino regular, los fondos se pueden transferir a un casino en línea con fines de apuestas, pero presumiblemente también se puede retirar sin un número mínimo de apuestas realizadas o una cantidad mínima de dinero gastado. Según el informe, el principal desafío con la vigilancia del blanqueo de dinero a través de los casinos en línea es que debido a que estos sitios de juego tienen poco o ningún conocimiento de su cliente, es difícil para las fuerzas de seguridad obtener información sobre las transferencias de entrada y salida de estos.

Mixers

Se puede traducir literalmente como mezclador, y es un servicio ofrecido por algunas plataformas virtuales para asegurar que sus clientes puedan ocultar el origen de los criptoactivos que están registrados en la blockchain; de hecho, se anuncian como una forma de tener más anonimato en las operaciones. Estas plataformas mezclan el dinero de todos los usuarios que tienen y lo intercambian, perdiendo así la trazabilidad de las transacciones.

 

Proveedores de servicios y bienes

Cada vez hay más empresas que aceptan el pago de bienes y servicios directamente con moneda virtual, lo que conlleva un gran riesgo, ya que facilita el lavado de dinero de origen ilícito. Una simple búsqueda en Internet muestra sitios web donde se puede consultar la lista de empresas y empresarios que aceptan legalmente pagos con virtual moneda, incluidas las relacionadas con viajes, ocio, tiempo libre, videojuegos, tiendas digitales, tarjetas de regalo, ordenadores, electrónica, etc.

Las empresas mencionadas pueden hacer que la gente piense que los criptoactivos solo se utilizan para comprar bienes y servicios con un precio limitado, no muy alto. Sin embargo, esta afirmación no es cierta, ya que podemos comprar bienes con un alto valor de mercado, como una casa o un vehículo. Para ello, es necesario que ambas partes, comprador y vendedor, estén convencidos de llevar a cabo la transacción en estas condiciones. Por lo tanto, el valor del bien debe fijarse por adelantado; sin embargo, la volatilidad del dinero virtual significa que, en el momento de firmar la compraventa, el precio del bien puede variar drásticamente en cuestión de segundos, con los riesgos inherentes a tal tipo de cambio.

Podemos ver cómo ciertas criptomonedas, especialmente Bitcoin y Ethereum, son cada vez más aceptadas como forma de pago; es más, como se expuso, en El Salvador, el Bitcoin ya está considerada moneda de curso legal.

 

Tarjetas bitcoin

Otra forma de lavado de activos se lleva a cabo mediante el uso de tarjetas de crédito precargadas con saldos en moneda virtual, llamadas tarjetas “bitcoin to plastic”. Estas tarjetas están cargadas con moneda virtual y se utilizan para pagar en euros o dólares. Las características esenciales de estas tarjetas son las siguientes:

  1. Es una Visa, Mastercard o similar prepagada, emitida por un emisor de tarjetas con licencia para operar.
  2. Es una tarjeta en euros, dólares u otra moneda oficial.
  3. Es comercializado a los usuarios finales por un proveedor de tarjetas, que tiene algún tipo de acuerdo con un emisor de tarjetas o es un emisor de tarjetas.
  4. Hay una página web para el usuario, ofrecida por el proveedor de la tarjeta.
Estas tarjetas de Bitcoin se pueden clasificar como:
  1. Física o virtual, dependiendo de si la tarjeta es emitida física o virtualmente.
  2. Verificado o no verificado: Depende de si la identidad ha sido verificada por el emisor del proveedor de la tarjeta. Cuando dicha verificación no se haya llevado a cabo o no se haya controlado de forma eficaz, no se verificará.

Estas tarjetas de crédito, precargadas con saldos en moneda virtual, se utilizan en línea pagos o vendedores que aceptan el pago con las compañías usuales. También se utilizan para retiradas de efectivo a través de cajeros automáticos. Ambos métodos son la forma casi perfecta de lavar dinero, ya que prácticamente no dejan rastro. Dependiendo del nivel elegido, no es necesario proporcionar ninguna documentación, o, si es necesario proporcionarla, se puede enviar documentación falsa, o la de un tercero. Esto hace difícil analizar la transacción, haciendo imposible conocer al verdadero propietario de la tarjeta, y favoreciendo la opacidad de las operaciones realizadas. Al elaborar este Estudio se comprobó que ese tipo de tarjetas se pueden comprar incluso por Amazon o proveedores de comercio electrónico similares. 
GALO LIMA, Oficial de Cumplimiento y Seguridad Informática, 0981478818, galolima@hotmail.com
Suscribirse a: Comentarios (Atom)