Cómo frenar a los defraudadores antes de que causen daños
Fraude financiero: Lo que debes saber para proteger tu empresa
¿Qué es un marco de evaluación del riesgo de fraude? En pocas palabras, es un proceso que ayuda a identificar las áreas en las que una organización puede ser vulnerable al fraude para poder desarrollar planes concretos de mitigación. Si se lleva a cabo correctamente, un marco de evaluación del riesgo de fraude mantiene a la empresa unos pasos por delante de los perpetradores de fraude al visualizar la empresa de forma holística desde la perspectiva de un defraudador. El marco guía el esfuerzo para responder a preguntas como: ¿Dónde tenemos debilidades en nuestros sistemas de control que podrían explotarse? ¿Y de qué manera podría nuestra organización estar ayudando inadvertidamente a los defraudadores a escapar de la detección?
Para ser eficaz, un marco de evaluación del riesgo de fraude debe tener varias capas fundamentales basadas en datos. La primera capa comprende el esfuerzo por identificar con precisión a los clientes potenciales o terceros: quiénes son realmente y si presentan posibles riesgos o discrepancias en función de los datos de la empresa. La segunda capa implica el escrutinio de los marcadores de identidad digital asociados a esas entidades: credenciales electrónicas que ayudarán a establecer un perfil completo de riesgo de fraude empresarial durante los procesos transaccionales en tiempo real.
Primera capa: verificar la identidad: ¿se trata de un negocio legítimo?
En el momento en que una empresa o un proveedor inicia una nueva relación comercial es óptimo llevar a cabo un proceso de due diligence para verificar la legitimidad de la organización. Este proceso se basa en los datos, en el mejor de los casos, a partir de aquellos datos que han sido rigurosamente examinados utilizando múltiples fuentes para garantizar que la empresa existe de forma genuina y única.
Los perfiles de menor riesgo se caracterizan por tener una mayor coherencia entre los datos empresariales autodeclarados y los datos de referencia. Las incoherencias en estos datos suelen indicar un perfil de mayor riesgo y una mayor probabilidad de intento de fraude. Estas inconsistencias incluyen discrepancias menores que podrían descartarse como errores accidentales, pero que en realidad son deliberados. Por ejemplo, un defraudador puede añadir una «S» o «Inc.» después de un nombre comercial legal para crear un nombre de empresa «parecido».
Los estafadores inventan, exageran o incluso omiten ciertos datos para que el negocio parezca más consolidado. Por ejemplo, una empresa puede afirmar que comenzó a operar en 2015, mientras que fuentes de datos fiables muestran que se creó en realidad en 2021. Al afirmar que la empresa se constituyó en el año 2015, el defraudor podría exagerar el número anual de empleados, los ingresos por ventas o el volumen de operaciones para que el perfil general de la empresa parezca más creíble, creando así oportunidades para que la entidad cometa acciones fraudulentas.
Investigar la dirección de una entidad es un paso importante de verificación. Por lo general, un mayor riesgo de fraude está asociado a las ubicaciones de oficinas virtuales, los apartados de correos, las direcciones residenciales y las direcciones de envío de mercancías para una transacción comercial.
Entre las preguntas clave que deben formularse durante esta fase de evaluación del riesgo de fraude se encuentran las siguientes:
- ¿Cuál es la información firmográfica de la empresa? ¿Se puede verificar?
- Las empresas no cometen fraudes, sino los individuos, por lo que ¿se pueden identificar a las personas que están detrás de la empresa?
- ¿La identidad de la empresa es legítimam o artificial?
- ¿Estaban sus directivos involucrados en algún negocio anterior ya desaparecido?
- ¿Qué productos están comprando? y ¿tiene sentido que esta empresa lo haga?
Segunda capa: descubrir los riesgos detrás de un dispositivo, una IP o una dirección de correo electrónico
Cuando la pandemia mundial paralizó el mundo físico, los defraudares aprovecharon el momento. Los datos de Dun & Bradstreet muestran un aumento del 251% en el robo de identidad de empresas en 2020, en comparación con 2019 (Figura 1). Este pico está fuertemente correlacionado con el drástico aumento de los volúmenes de transacciones digitales y los ciberataques. Un incremento de datos de identidad de los consumidores a manos de malos actores se traduce en más casos de fraude entre empresas.
Figura 1: Incremento anual de casos de robo de identidad de empresas (%)
Por lo general, las redes de fraude utilizan un puñado de direcciones IP o servidores y recorren una larga lista de credenciales de usuario robadas para violar las defensas de seguridad de una empresa. Por este motivo, es fundamental evaluar el riesgo de fraude en función del correo electrónico, el dominio, el número de teléfono o el dispositivo y la dirección IP que se utilizan para las transacciones.
En particular, la antigüedad del correo electrónico es un indicador de riesgo revelador. Por ejemplo, una dirección de correo electrónico establecida dos días antes de ser utilizada en una transacción de préstamo comercial sería muy irregular. El análisis de los datos ha mostrado una mayor incidencia de actividad fraudulenta relacionada con los correos electrónicos de más reciente creación.
Por ejemplo, si un dominio comercial real es abcpizza.com, un estafador podría crear abcpizzainc@pizzaparlor.com, en lugar de first.last@abcpizza.com. En un ejemplo real, un estafador realizó un gran pedido de equipamiento para un restaurante, y en lugar de utilizar el dominio comercial real abcpizza.net, utilizó uno similar, abcpizza.us.
Al investigar un dominio como parte de la evaluación del riesgo de fraude, una de las mejores prácticas es mirar la información “whois» (buscador WHOIS – WHOIS es un protocolo TCP basado en petición/respuesta para efectuar consultas en una base de datos que permite determinar el propietario de un nombre de dominio o una dirección IP en Internet.). Es importante saber cuándo se creó el dominio y comparar esa fecha con la fecha de inicio de la empresa.
El perfil del dispositivo tendrá que ser capturado en tiempo real para evaluar el riesgo del dispositivo. Las consideraciones clave incluyen la antigüedad del dispositivo, la velocidad, la reputación y la IP de este.
- La antigüedad del dispositivo detectará un dispositivo nuevo en la red.
- La reputación del dispositivo es muy eficaz para identificar los dispositivos utilizados previamente para el fraude.
- La velocidad permitirá medir si el mismo se está utilizando para crear varias cuentas en un corto período de tiempo.
- La IP del dispositivo puede detectar desajustes de geolocalización entre la ubicación operativa de la empresa y la ubicación del dispositivo.
Una de las ventajas de utilizar los datos de riesgo de los dispositivos es que el ID del dispositivo proporciona características informáticas anónimas, en lugar de información personal, para ayudar a crear un perfil digital para la detección del fraude. Si una cuenta de empresa ya ha sido rechazada debido a un comportamiento sospechoso, y el defraudador utiliza el mismo dispositivo para solicitar otra cuenta con un nombre diferente, la organización lo sabrá de inmediato porque el dispositivo puede ser verificado.
Un marco integral de evaluación del riesgo de fraude es mucho más amplio de lo que se ha descrito aquí; las organizaciones también deben examinar sus procesos de control del fraude existentes, asignarlos a diferentes esquemas de fraude y poner en marcha las actividades adecuadas para remediar las lagunas de control del fraude. Disponer de datos de calidad que puedan autenticar las identidades físicas y digitales de una entidad, y por tanto impedir que los defraudadores accedan a la empresa, ahorra un tiempo valioso e intercepta muchos sistemas de fraude importantes antes de que puedan causar un daño financiero y de reputación real.
En nuestro próximo y último artículo de la serie sobre el fraude empresarial de Dun & Bradstreet, hablaremos de la importancia de aprovechar las listas negativas del sector y de evaluar el estado operativo y financiero de las entidades empresariales como parte fundamental de su evaluación integral del riesgo de fraude.
Artículo original de Dun & Bradstreet
No hay comentarios