¿Cómo atrapar a una persona que está cometiendo fraude dentro de la organización?

Estándar

 

 

Por: Julián Ríos. CISSP/CFE. Colaborador de Auditool
CEO & CyberSecurity Scientist, Fraud Examiner, Incident Handler, Ethical Hacker, Forensic & Cyber-Analytics Investigator

Un reconocido flagelo que se está expandiendo en muchas corporaciones está debilitando la capacidad de mantener la planeación, estrategia y desarrollo de nuevos servicios y productos en secreto. Se trata del acceso ilegítimo a información confidencial y el intercambio o la venta no autorizada de la misma con grupos de interés al interior o exterior de las corporaciones.

La fuga de información se puede generar entre departamentos internos de una organización

Tradicionalmente se usan sistemas de prevención de fuga de la información (DLP) para detectar proactivamente éste delito, pero ¿ qué pasa en aquellas compañías en donde aún no se tiene un nivel de madurez en la clasificación de la información y se quiere detectar y atrapar a los delincuentes en menos de una semana ?. La respuesta está en el Big Data. Veamos un caso de la vida real.

POR QUÉ OCURRE ESTE FRAUDE

Según Donald Cressey’s, criminologista Americano, en su definición del Triángulo del Fraude, las personas actúan de forma fraudulenta por una presión, oportunidad y una racionalización justificada. En este caso la presión del delincuente es una deuda bancaria, la oportunidad es el acceso a la información y la racionalización es el daño ausente: él cree que nadie sufrirá un daño real por el hecho de copiar un archivo de un computador.

ABORDEMOS LA INVESTIGACIÓN

El primer paso es conformar el equipo de investigación, donde se reúna el equipo con la experiencia y experticia suficiente para resolver el caso. El segundo paso es la planeación y seguimiento de una metodología para la investigación.

METODOLOGÍA PARA LA INVESTIGACIÓN

Una vez se haya abordado la investigación y conformado el grupo de trabajo, se debe planear la ejecución de la misma así:

  1. Obtención del conocimiento general del caso, donde el cliente narra lo percibido por él y cuál es su teoría del fraude.
  2. Definición de los objetivos de la investigación, que serán encontrar y documentar evidencia, testificar sobre lo hallado y acompañar al cliente en la prevención del fraude.
  3. Selección de quién será informado de los avances, que por lo general debe ser una sola persona de confianza y no una multitud de personas dentro de la organización.
  4. Determinación del alcance, donde se defina la cobertura y límite de la misma. En este caso de fuga de información se podría involucrar a toda la compañía.
  5. Delimitación de la línea de tiempo, donde se establezca la duración de la intervención en su infraestructura y el tiempo que se le dedicará a la investigación.
  6. Establecimiento del plan de acción, donde se definan qué herramientas se usarán y qué metodologías investigativas se abordarán. En este caso seleccionamos el Big Data a través de una exploración digital.

Una vez establecida la metodología para abordar la investigación, definimos 4 actividades Macro a ser realizadas: Análisis de la información recolectada, creación de una o varias hipótesis de fraude, comprobación de cada una de las hipótesis y la consolidación final del caso.

DESPLEGANDO EL PLAN DE ACCIÓN

Se siguen estos pasos para desplegar al plan de acción definido en la metodología de la investigación:

  1. Se despliega una plataforma de Big Data para recoger los logs que mas adelante generarán los sistemas operativos.
  2. Se despliega software agente que recolecte los logs de movimientos en el filesystem de todos los computadores definidos en el alcance y se envía la información al servidor de Big Data. Este software debe recoger en tiempo real información sobre documentos abiertos, modificados, copiados, renombrados, creados y eliminados de todos los equipos.
  3. Se construyen búsquedas y filtros sobre la información de alto volumen y velocidad que se recibe, con sus respectivas alertas.

Teniendo el equipo de investigación conformado, con la metodología definida y el plan de acción desplegado, procedemos a generar la carnada.

PONIENDO LA CARNADA

Si queremos obtener resultados en el tiempo definido para la investigación debemos poner una carnada y propiciar la ocurrencia del fraude en vez de esperar a que suceda en su conducto regular. La compañía anuncia a todos sus empleados a través de la Intranet una estrategia comercial innovadora para uno de sus productos que ha venido construyendo en secreto. La compañía crea información ficticia (archivos) y desarrolla reuniones planeadas siguiendo el proceso que ha venido haciendo durante las ultimas ocurrencias del fraude.

IDENTIFICANDO SOSPECHOSOS

A través del análisis de datos que reside en la plataforma de Big Data, buscaremos las personas en toda la organización que poseen la información que fue generada como carnada junto con toda la trazabilidad de sus movimientos. En esta fase, gracias a que todos los equipos están entregando información de movimientos en el filesystem, podemos construir una hipótesis de fraude que contemple a los integrantes y el modus operandi.

Un documento se puede alterar antes de ser intercambiado para tratar de ocultarlo. Todos los movimientos del filesystem se deben guardar para dar frente a ello.

RECOGIENDO EVIDENCIA Y CONSOLIDANDO EL CASO

Una vez conformado el equipo de investigación, abordado el caso con la metodología definida, con el plan de acción desplegado y con la identificación de los sospechosos y su modus operandi, procedemos con la recolección de evidencia a través de un Análisis forense Digital buscando la ocurrencia de los fraudes originalmente reportados, otorgándole a nuestro cliente el acompañamiento necesario en el juicio y en la prevención a futuro de fraudes similares.

QUÉ SOFTWARE PODEMOS USAR PARA EL PLAN DE ACCIÓN ?

Cualquier software de Big Data podría cumplir perfectamente los objetivos del plan de acción planteado, unos de una manera mas sencilla, complicada, costosa o barata. En NF Cybersecurity and Antifraud Firmrecomendamos el uso del software gratuito The Fraud Explorer, que integra la suite de Big Data ELK(Elasticsearch, Logstash y Kibana) y provee un agente que recoge los logs de movimientos en el filesystem para su análisis.

POR QUÉ FUIMOS EFICIENTES EN LA INVESTIGACIÓN ?

Porque no llevamos a cabo demorados procesos para la detección de la fuga de la datos, como la implementación de un DLP y su previa clasificación de información. Tampoco hicimos análisis forense a todos los equipos de la organización. Ahorramos costos en la investigación haciendo uso de software gratuito y generando exactamente los datos que queríamos obtener a través de un agente y analizándolos con una herramienta que permitiera realizar consultas en tiempo real sobre datos no estructurados.

Referencias

The Fraud Explorer, http://www.thefraudexplorer.com/es/wiki.

Importante:La última semana de octubre estaremos en Colombia, Bogotá (24 y 25) y Medellín (27 y 28), con Marta Cadavid, realizando el Seminario Internacional: Nuevas Técnicas de Detección, Prevención e Investigación de Fraudes en la Era de la Tecnología. Los invito a párticipar en este evento que organiza Auditool.

ACERCA DE JULIÁN

Julián Ríos, experto y certificado en materia de Antifraude y Seguridad de la Información, es el fundador de la firma internacional NF, con base en la ciudad de Medellín, Colombia. También es el creador del software antifraude The Fraud Explorer y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de Ciberseguridad y combate del fraude.

Para conocer más acerca de Julián Ríos y su empresa, por favor visite el sitio web de la firma NF o consulte su perfil público en el enlace de LinkedIn.

Blog: AUDITOOL

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s