COCIENTE INTELECTUAL SOBRE FRAUDE

Transcripción

1 COCIENTE INTELECTUAL SOBRE FRAUDE Por Dawn Taylor y Andi McNeal, CPA* Se pone mucha atención a la salvaguarda de los activos físicos y financieros contra el fraude, pero la información personal o patentada puede ser también blanco para el robo. Qué sabe usted sobre proteger información personal y corporativa contra los presuntos defraudadores? Averigüe con este cuestionario del C.I. sobre Fraude. 1. Recientemente, la información personal financiera de Fernando se vio comprometida o invadida. Como resultado está considerando bloquear su reporte de crédito para proteger su crédito de un potencial mal uso. Bloquear el reporte de crédito del consumidor de Fernando daría como resultado cuál de los siguientes? a. Fernando tendría dificultad para obtener crédito inmediato. b. Los probables emisores de tarjetas de crédito y prestadores estarían bloqueados para emitir nuevo crédito a nombre de Fernando sin su aprobación específica. c. El acceso al reporte y calificación de crédito de Fernando sería bloqueado. d. Todos los anteriores. 2. Cuál de los siguientes es lo MENOS probable para dar como resultado una filtración de datos? a. Se comprometen las contraseñas b. Robo de laptops encriptadas c. Redes inalámbricas inseguras d. Sistemas de seguridad de red obsoletos 3. Anastasia, la tenedora de libros de una firma legal local, recibió un mensaje de voz supuestamente del banco de la firma, pidiéndole que llamara para un asunto importante. Anastasia devolvió la llamada pero colgó inmediatamente al recibir un mensaje automático que le pedía el número de cuenta y el NIP de la firma. Cuál de los siguientes tipos de trampa podría haber sospechado Anastasia? a. Vishing (falsos teléfonos para que dé uno información personal) b. Skimming (robo de datos al momento de transacción con tarjetas crédito) c. Phishing ( s con ligas falsas para adquirir datos personales) d. Pharming (suplanta sistema de resolución de nombres de dominio y remite a página web falsa) 4. El Acta o Ley de Transacciones de Crédito Justas y Exactas (FACTA) de 2003 intenta reducir las oportunidades de robo mediante: a. Requerir informes anuales de crédito gratis para los consumidores por parte de cada una de las tres principales agencias de reportes de crédito

2 b. Requerir que los terceros preparadores de reportes de consumidores, como reportes de crédito y verificación de antecedentes de empleados, se deshagan de esos documentos quemándolos, pulverizándolos o triturándolos c. Dar a las víctimas de robo de identidad u otro fraude o delito el derecho a alarmas de fraude colocadas en sus cuentas por las tres principales agencias de reportes de crédito. d. Todos los anteriores. 5. Como viajero frecuente, Horacio pasa mucho tiempo en aeropuertos trabajando en su laptop, que contiene gran cantidad de datos confidenciales de clientes. Los aeropuertos que frecuenta tienen comunicación inalámbrica directa pública (wireless hotspots). Aunque Horacio aprecia la comodidad de estos lugares, le preocupa su seguridad. Cuál de los siguientes NO es un paso que debiera dar para minimizar su exposición a los peligros de las redes públicas inalámbricas? a. Evitar conectar a una red pública inalámbrica desconocida. b. Quitarle a su laptop las capacidades de red inalámbrica cuando no las use. c. Permitir que su computadora seleccione automáticamente la red inalámbrica a la cual conectar. d. Asegurarse de que su software antiespía esté actualizado 6. Cuál de las siguientes aseveraciones sobre pharming es falsa? a. El pharming es usado por los hackers (pirata informático) para redirigir el tráfico de un sitio web legítimo a un sitio falso que ellos controlan. b. El pharming usa ingeniería social para engañar a la víctima para que haga clic en una liga para un sitio falsificado. c. El pharming ataca y altera directamente servidores de nombres de dominio. d. El pharming puede ser difícil de detectar porque en el buscador de la víctima aparecerá que él o ella está en el sitio correcto. 7. Un defraudador robó recientemente la información de identificación personal de Griselda y usó esta información para buscar tratamiento médico bajo la póliza de seguros médicos de Griselda. Cuál de los siguientes NO es un riesgo al que se enfrente Griselda como resultado del fraude? a. Daño a su calificación de crédito b. Amenazas a su salud c. Dificultad para acceder a su expediente médico a través de la Fuente Central de Registros Médicos de EUA d. Incrementos en su prima de seguro médico 8. Humphrey está interesado en obtener un nuevo número de Seguro Social porque le robaron el original y lo usaron para perpetrar un fraude. Cuál de las siguientes aseveraciones respecto a obtener un nuevo número de Seguro Social es falsa? a. Si Humphrey obtiene un nuevo número de Seguro Social, podría seguir usando su viejo número. b. Para obtener un nuevo número de Seguro Social, Humphrey necesitaría probar que tiene inconveniencias actualmente por el mal uso de su número. c. Humphrey podría pasar un mal rato para obtener crédito bajo su nuevo número de Seguro Social.

3 d. Probablemente Humphrey no podría obtener un nuevo número de Seguro Social a menos que el uso de su número robado sea tan extenso que haya poca oportunidad de reparar su historial de crédito. 9. Cuál de los siguientes NO es una característica común de seguridad de la red? a. Un número máximo de intentos para acceso a una sesión b. Restricción de usuarios a terminales específicas c. Seguridad lógica d. Salida automática de terminales inactivas 10. Cuál de los siguientes aditamentos es el más efectivo para controlar el acceso físico a áreas restringidas? a. Candados (cerraduras) biométricos b. Candados de claves c. Candados de cifras d. Tarjetas de acceso RESPUESTAS 1. (d) La congelación del reporte de crédito del consumidor son un medio efectivo de proteger el crédito contra un potencial mal uso. Al bloquear su reporte de crédito, Fernando bloquearía el acceso a reporte de crédito y calificación de crédito, impidiendo de manera efectiva la emisión de un crédito instantáneo. Además, los presuntos emisores de tarjetas de crédito y prestadores estarían bloqueados para emitir nuevo crédito a su nombre sin su aprobación específica. Los requisitos paras poner, levantar temporalmente, o quitar una bloqueo varían por estado. Fernando puede saber de los requisitos en su estado si se contacta con cada una las principales agencias de reportes de crédito-equifax, Experian y TransUnion-a las que debe someter una solicitud de bloqueo. El bloqueo seguirá en el reporte de crédito de Fernando hasta (1) que pida que se quite o (2) pida una suspensión temporal del bloqueo para alguien específico o por un determinado periodo de tiempo. 2. (b) La movilidad de las laptop las hace especialmente vulnerables a filtración de datos. Una medida que pueden tomar las organizaciones para reducir su exposición es encriptar las laptop. La encriptación codifica datos, de modo que se pueda acceder a ellos solo con contraseñas y claves especiales. Para que la encriptación sea efectiva, debe educarse a los empleados sobre su uso y hacerlos responsables si dejan de usarla. 3. (a) En una trama de vishing, la víctima recibe un mensaje de voz, supuestamente de un banco, emisor de tarjeta de crédito u otra organización, declarando que hay un asunto importante que tratar y pidiendo que se reporte a la llamada. El mensaje suele sonar legítimo, pero el número de teléfono es el de un defraudador. Cuando se devuelve la llamada, se pide al que llama que dé información sensible, tal como el número de una cuenta, NIP o número de Seguro Social, el cual es registrado entonces por el defraudador. 4. (d) FACTA modificó la Ley de Información Justa de Crédito, con mejoras para prevenir el robo de identidad. Las disposiciones de FACTA incluyen: Se requiere a cada una de las principales agencias de reportes de crédito que den anualmente gratis reportes de crédito a los consumidores.

4 Los consumidores que hayan sido víctimas de robo de identidad u otro fraude o delitos tienen el derecho de que se instalen alarmas de fraude en sus cuentas por parte de las tres agencias. Los terceros que preparan reportes al consumidor, como reportes de crédito y verificaciones de antecedentes de empleados, deben deshacerse de ellos quemándolos, pulverizándolos o triturándolos. Los recibos electrónicos pueden incluir no más de los cinco últimos dígitos del número de una tarjeta de crédito o débito, y pueden no contener las fechas de expiración de la tarjeta. 5. (c) Porque las redes públicas inalámbricas no siempre están aseguradas de manera efectiva, los peligros de acceder a ellas incluyen acceso no autorizado a datos, piratería (hacking) y robo de identidad. Las conexiones automáticas a redes inalámbricas aumentan estos riesgos, ya que el usuario puede pensar que se ha conectado a una red pública inalámbrica cuando realmente ha captado una señal inalámbrica que fue armada por el hacker. Para protegerse de estas amenazas, Horacio debiera evitar conectarse automáticamente a redes inalámbricas configurando su laptop de modo que pueda seleccionar manualmente la red inalámbrica a la que se está conectando. Otras medidas que puede Horacio tomar para minimizar su exposición a los peligros de las redes públicas inalámbricas incluyen: Evitar conectarse a una red pública inalámbrica desconocida. Invalidar las capacidades de red inalámbrica de su laptop cuando no las use. Asegurar que su sistema operativo, cortafuegos, buscador de Web, y software antivirus y antispyware estén actualizados. Evitar realizar transacciones sensibles por una red inalámbrica pública. 6. (b) Los esquemas de pharming no usan ingeniería social para engañar a la víctima a hacer clic en una liga para un sitio falsificado; más bien, los hackers atacan y alteran directamente los servidores de nombres de dominios para redirigir el tráfico de un sitio web legítimo a un sitio falso controlado por los hackers y planeado para inducir a las víctimas a dar información vital. El pharming puede ser difícil de detectar porque el sitio falsificado suele aparecer idéntico o muy parecido al sitio real y porque la barra de dirección (conocida también como barra de localización o barra URL) del buscador de la víctima muestra el URL del sitio verdadero, aun cuando la víctima esté en el sitio falso. Se usó ingeniería social en el recientemente expuesto esquema de spearphishing (n.t.: variante en la que el llega de parte de alguien conocido/de confianza del receptor), que se bautizó como Operation Shady RAT. En ese esquema, los piratas enviaban mails contaminados con software malicioso a personas específicas en organizaciones meta. Cuando una víctima hacía clic en una liga infectada, los hackers podían tener acceso a su computadora y usarla para infiltrarse en la red. 7. (c) Griselda es víctima de robo de identidad médica, que ocurre cuando un defraudador usa la información personal de una víctima para obtener servicio médico y presentar reclamaciones fraudulentas de seguros. Sus expedientes médicos serían esenciales para figurarse los hechos de su caso. Desafortunadamente, obtener estos registros podría llevar mucho tiempo, ya que no hay fuente central de registros médicos. Griselda necesitaría ponerse en contacto con su aseguradora de servicios médicos y cada uno de sus proveedores, hospitales, farmacias y laboratorios para obtener sus expedientes. Además de esta inconveniencia, Griselda se enfrenta a cargas financieras potenciales como resultado de las reclamaciones fraudulentas de seguros, incluyendo mayores primas de seguro médico y daño a su calificación de crédito por facturas no

5 pagadas. Aún más serias son las amenazas a la salud de Griselda que pudieran ocurrir cuando su historial médico se entrelace con el del ladrón de identidad. 8. (a) Si el uso fraudulento del número de Seguro Social de Humphrey fuera tan extenso que hubiera poca oportunidad de reparar su historial de crédito, podría obtener un nuevo número. Para obtener un nuevo número de Seguro Social, Humphrey debe dar evidencia de que el mal uso de su número le está ocasionando inconveniencias. Si Humphrey obtuviera un nuevo número, no podría usar ya su antiguo número, y podría tener dificultad en obtener crédito debido a la falta de algún historial de crédito bajo su nuevo número. 9. (c) Las características comunes de seguridad de la red incluyen un número máximo de intentos de conexión de acceso (logon), restricción de usuarios a terminales específicas y desconexión (logoff) automática de terminales inactivas. La seguridad lógica no es una característica de seguridad de la red sino más bien el método general de proteger información almacenada en un sistema de computadora. Es necesario implementar las características de seguridad de la red para lograr una seguridad lógica. 10. (a) Las áreas de organizaciones que albergan información patentada importante, como cuartos de servidores o laboratorios de investigación y desarrollo, debieran asegurarse con el uso de salvaguardas físicas efectivas. Porque los candados (o cerraduras) biométricos dan acceso con base en características fisiológicas o de comportamiento como huellas dactilares, geometría de la mano, cara, iris, voz y firma, es difícil comprometerlos. En contraste, la naturaleza de los candados de claves, de cifras (es decir cerraduras de combinación por tecleado) y las tarjetas de acceso los hacen bastante vulnerables a violación por pérdida, robo, duplicación y/o por compartirlos, y por tanto, están lejos de ser tan seguros como son los candados biométricos. CALIFICACIÓN Si contestó correctamente siete preguntas, felicitaciones. Su arsenal de conocimiento antifraude está bien armado y listo para ayudar en la lucha contra la conducta fraudulenta. Adelante con su buen trabajo. Si contestó cinco o seis preguntas correctamente, está usted en el buen camino. Use estos recursos para seguir construyendo sus conocimientos de detección e investigación del fraude. Si contestó menos de cinco preguntas correctamente, tal vez quiera un repaso de su conocimiento antifraude. Enriquecer su comprensión de los conceptos de prevención, detección e investigación del fraude le ayudará a asegurarse de que tiene usted lo que se necesita para evitar que se cuele el fraude durante su turno. *Dawn Taylor es especialista en investigación y Andi McNeal es Directora de Investigación. Ambos en la Asociación de Examinadores Certificados de Fraude. Traducción para Veritas del Colegio de Contadores Públicos de México, por Jorge Abenamar Suárez Arana. What s your fraud iq? (Journal of Accountancy, Nov, 2011) El Colegio de Contadores Públicos de México, se reserva la reproducción total o parcial de este material. El contenido de los artículos firmados es responsabilidad del autor, sin que este necesariamente refleje la opinión del Colegio sobre el tema tratado. Cuando se exprese opinión del Colegio se especificará claramente.