Hay una cosa particularmente alarmante sobre el mayor atraco bancario de la India: el delito cibernético no tuvo nada que ver. No hay genios tecnológicos invisibles y sin nombre que pirateen sistemas informáticos a los que culpar. Más bien, fueron los empleados corruptos en una sola sucursal que usaban la red SWIFT (Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales) quienes lo llevaron a cabo durante años.
En la actualidad, la narrativa de la piratería es extrañamente reconfortante. No implica que la corrupción llegue a la cima, o al menos, significa que no hay un colapso completo de la seguridad del sistema bancario. Los delincuentes simplemente estaban haciendo lo que hacen los delincuentes. Todos pueden sacudir sus puños a la tecnología para cambiar a una velocidad vertiginosa y seguir adelante. (Lea: Cómo funciona el sistema SWIFT)
La estafa de Nirav Modi de $ 1.8 mil millones del segundo prestamista estatal más grande de la India, Punjab National Bank (PNB.BO), es mucho menos elegante.
El banco había dicho en su declaración a los intercambios que las cartas de crédito fraudulentas que permitían a las empresas del comerciante de diamantes hacer uso de préstamos por un valor de $ 1.8 mil millones fueron "hechas por los funcionarios de la sucursal a través de SWIFT sin obtener la aprobación de la autoridad competente, las solicitudes necesarias del importador, documentos de importación, documentación legal con el banco y también sin ingresar en el módulo de financiación comercial del Banco de CBS (solución bancaria central) ".
PNB culpó a dos empleados de nivel junior en su declaración por emitir cartas ilegales y enviar los mensajes SWIFT que no se registraron en el sistema interno.
Lo que plantea la pregunta, ¿todos los bancos que usan SWIFT son vulnerables a este tipo de fraude o el caso PNB involucra un nivel excepcional de negligencia o colusión?
RÁPIDO
La red SWIFT, operada por un consorcio con sede en Bruselas y utilizada por más de 11, 000 instituciones financieras, se ha utilizado antes en atracos bancarios.
El banco central de Rusia dijo recientemente que los piratas informáticos robaron $ 6 millones de uno de los bancos del país utilizando la red SWIFT el año pasado. Los hackers tomaron el control de una computadora en el banco y la usaron para transferir dinero a sus propias cuentas. Del mismo modo, en 2016, los piratas informáticos se saldaron con 81 millones de dólares del banco central de Bangladesh al utilizar las credenciales SWIFT de los empleados. Un banco ecuatoriano dijo que perdió $ 12 millones en un atraco en 2015 donde los ciberdelincuentes usaron códigos SWIFT.
SWIFT rechazó asumir cualquier responsabilidad por tales incidentes. En una carta a los clientes bancarios en 2016, el grupo dijo que los bancos son los únicos responsables de la seguridad de sus sistemas. "Los clientes son responsables de todos los mensajes firmados con sus certificados y, por supuesto, de proteger sus certificados y garantizar que solo los operadores debidamente autorizados puedan usarlos para firmar mensajes", dijo una portavoz a Reuters en ese momento. "SWIFT no es, y no puede ser, responsable de los mensajes que se crean de manera fraudulenta dentro de las empresas clientes ".
La analista de Gartner y experta en fraude financiero, Avivah Litan, dijo en el pasado que le sorprendió que SWIFT confiara tanto en la autenticación en lugar de en "controles muy básicos de detección de fraude", como buscar beneficiarios anormales, buscar la adquisición remota de cuentas y buscar acceso anormal
Pero el fraude Modi es muy diferente de estos atracos, porque aunque surgen nuevos detalles a diario, el banco no ha alegado piratería y el foco se ha centrado en los expertos. Una semana desde que salió a la luz el fraude, seis empleados del Punjab National Bank han sido arrestados por investigadores federales. El ranking más alto de estos es un hombre que dirigió la sucursal de Brady House del banco de 2009 a 2011.
Como tomarle un caramelo a un bebé
La explicación del banco sobre cómo se entregaron las cartas sin detección durante años es que las transacciones no se registraron en su sistema interno porque SWIFT no estaba integrado con él.
“A menos que el entorno de control sea muy laxo o haya una colusión, sería difícil procesar transacciones SWIFT que no están autorizadas y se ingresan en la banca central. Varios controles deberían haber provocado una alerta ", dijo Rakesh Asthana, CEO de World Informatix Cyber Security, cuya compañía fue contratada para supervisar la investigación del atraco del Banco de Bangladesh.
Estos controles incluyen la segregación de deberes: los bancos que usan SWIFT generalmente tienen una persona que ingresa una transacción, una persona separada que aprueba la transacción y una tercera persona que verifica todas las transacciones. También dijo que PNB también podría haber configurado los informes de validación diaria de SWIFT para conciliar totales y transacciones todas las mañanas.
Pero lo más importante es que el sistema de un banco que no está vinculado a SWIFT, como fue el caso de PNB, es muy raro en el mundo financiero global, según Asthana.
También está la cuestión de cómo las transacciones pasaron a los auditores del banco.
"En última instancia, también es un problema de flujo de efectivo", dijo Asthana en un correo electrónico a Investopedia. “Por lo tanto, no me queda claro qué hicieron los auditores internos y externos, si fueron exhaustivos en sus auditorías. Si tenían alguna objeción de auditoría y la administración no actuaba, eso significaría una conspiración mucho mayor en la cadena de administración. Esto necesita una investigación completa para establecer quién sabía qué y cuándo.
“Cualquier actividad comercial realizada por el banco es auditada no solo por el equipo de auditoría interna del banco, sino también por los auditores concurrentes que auditan una sola sucursal, es impactante que tal incidente no haya sido notado no solo por los auditores, sino también por el banco principal personal también ", dijo un banquero anónimo al Economic Times. "Las auditorías analizan las empresas aprobadas para hacer negocios, las facturas financiadas, las cartas de crédito emitidas, las herramientas de financiación a corto plazo, etc."
El analista de investigación Deepak Shenoy de Capital Mind dijo: “A primera vista, parece que el ex empleado está siendo utilizado como chivo expiatorio. Es probable que haya mucha gente involucrada en esto. Y que generó tarifas enormes y enormes para PNB todos estos años ".
El incidente también ha llamado la atención sobre los diversos fraudes anteriores que ocurrieron en PNB y en otros bancos nacionalizados de la India. Los datos del Banco de la Reserva de la India obtenidos por Reuters muestran que los bancos estatales han reportado 8, 670 casos de "fraude de préstamos" por un total de 612, 6 mil millones de rupias ($ 9, 58 mil millones) en los últimos cinco años financieros hasta el 31 de marzo de 2017. PNB encabezó esta lista con 389 casos en total 65.62 mil millones de rupias ($ 1.03 mil millones) en los últimos cinco años financieros
¿Podría SWIFT hacer más?
SWIFT funciona como un sistema de mensajería complejo y no se responsabiliza de la forma en que los clientes aplican los controles de fraude.
"SWIFT puede hacer que algunos de los elementos clave sean obligatorios en lugar de dejarlos a los clientes que tienen diversos grados de control y conocimiento de seguridad cibernética", dijo Asthana cuando se le preguntó si la red podría hacer más para prevenir incidentes tan costosos.
SWIFT ha reconocido la necesidad de ser al menos el denunciante en algunos casos. En abril de 2017, presentó el Marco de controles de seguridad del cliente, que describe un conjunto de controles de seguridad obligatorios y de asesoramiento para los clientes. Se les pidió a los bancos que atestiguaran su nivel de cumplimiento para fines del año pasado, y SWIFT advirtió que se reserva el derecho de informar a los supervisores financieros si no lo hacen. El comunicado de prensa que anuncia que el 89 por ciento de los clientes certificaron su cumplimiento no menciona si los supervisores financieros del 11 por ciento restante han sido alertados desde el comienzo del año. A partir de enero de 2019, extiende su derecho a informar a los usuarios que no han cumplido con los controles de seguridad más importantes.
Es importante recordar que en enero de 2018, SWIFT registró un promedio de 30, 32 millones de mensajes por día y se utiliza en 200 países. Es una cooperativa propiedad de sus miembros y asegurarse de que los bancos sean más disciplinados sería una tarea costosa y hercúlea para arreglar lo que esencialmente se pudre en la administración de bancos individuales con los que tiene poco que ver, para proteger el dinero de las personas con las que no trabaja. para.
La reputación de SWIFT se ve afectada después de cada delito cibernético, pero hay muchas personas a quienes culpar cuando se trata del último fraude de PNB. La investigación parece haber arañado la superficie de lo que los expertos piensan que es una conspiración mucho mayor, y las preguntas sobre la falta de supervisión son, en última instancia, algo que el Banco Nacional de Punjab y el gobierno de la India tendrán que responder. SWIFT proporcionó a PNB más herramientas para protegerse, herramientas que desafortunadamente no se utilizaron.
El martes, el Banco de la Reserva de la India emitió un comunicado diciendo que había advertido y alertado a los bancos sobre la necesidad de evitar cualquier "uso malicioso potencial de la infraestructura SWIFT" al menos tres veces desde agosto de 2016. Ahora ha ordenado a los bancos implementar medidas antes de un plazo estipulado. El banco central también ha creado un comité para analizar "las razones de la alta divergencia observada en la clasificación y provisión de activos por parte de los bancos con respecto a la evaluación de supervisión del RBI, y los pasos necesarios para evitarla; factores que conducen a una incidencia creciente de fraudes en los bancos y las medidas (incluidas las intervenciones de TI) necesarias para frenarlo y prevenirlo, y el papel y la eficacia de varios tipos de auditorías realizadas en los bancos para mitigar la incidencia de tales divergencias y fraudes ".
Investopedia contactó a SWIFT y recibió la siguiente declaración: “SWIFT no hace comentarios sobre clientes o entidades individuales. Cuando se nos informa un caso de fraude potencial, ofrecemos nuestra asistencia al usuario afectado para ayudar a proteger su entorno ". Envió una adición a la declaración después de la publicación:" Para ser claros, no hay indicios de que la red SWIFT tenga alguna vez ha sido comprometido ".
