Jul/Ago 2017  |  Núm. 26






Jim Bracken, CFE

Ángulos del Fraude

Preparación para una investigación de mensajes de tipo SWIFT

Durante cinco años, el banco francés Crédit Agricole canalizó 32.000 millones de dólares en pagos financieros a través de su sucursal de Nueva York en nombre de clientes en Irán, Sudán, Myanmar y Cuba, en violación de las regulaciones estadounidenses. Los fiscales federales y estatales finalmente acusaron al banco de conspirar para defraudar al gobierno estadounidense violando las sanciones económicas y, en 2015, Crédit Agricole acordó pagar $ 787 millones para resolver las acusaciones, incluyendo un pago de $ 385 millones al Departamento de Servicios Financieros del Estado de Nueva York. (Véase Crédit Agricole tuvo que para pagar $ 787 millones para resolver la investigación sobre sanciones en los Estados Unidos, por Karen Freifeld, Reuters, 20 de octubre de 2015, y el comunicado de prensa del Departamento de Servicios Financieros).

En el centro del caso se encontraban los mensajes SWIFT (Sociedad de Interconexión Financiera Mundial) de Crédit Agricole. SWIFT proporciona una red global para que las instituciones financieras y otros miembros envíen y reciban información sobre transacciones financieras en un entorno seguro y confiable. La red SWIFT no procesa ninguna transacción sino que transmite estos mensajes formateados entre sus bancos miembros con instrucciones sobre transacciones financieras u otras comunicaciones empresariales.

Crédit Agricole utilizó la red SWIFT para crear "pagos de cobertura" para ocultar las identidades de las partes involucradas en sus transacciones ilegales. Sucursales fuera de los Estados Unidos intercambiarían un mensaje SWIFT para procesar un pago, como una transferencia bancaria, que incluyera la identidad del cliente, pero enviarían un tipo diferente de mensaje SWIFT -sin identidad- a la sucursal de los Estados Unidos para convertir el pago en Dólares estadounidenses. De esta manera el banco podía acceder al sistema financiero estadounidense en nombre de sus clientes sancionados sin activar ninguna bandera roja. (Vea el comunicado de prensa.)

Los mensajes SWIFT son a menudo las fuentes primarias más importantes de información para los investigadores que realizan investigaciones forenses sobre el posible lavado de dinero, violaciones de sanciones y otras formas de malversación financiera. En enero de 2017, SWIFT envió casi 27 millones de mensajes diarios en promedio en más de 200 países. Pero mientras los mensajes SWIFT están estandarizados, no son muy fáciles de usar, y los investigadores pueden encontrar una serie de problemas potenciales cuando extraen, procesan, almacenan y analizan datos. Saber cómo vincular mensajes SWIFT aparentemente no relacionados a una transacción común -como se hizo en Crédit Agricole- es sólo uno de los desafíos que pueden encontrar los investigadores y los examinadores de fraude al prepararse para las investigaciones de mensajes de la red SWIFT.

Como resultado, las investigaciones de mensajes de SWIFT requieren una planificación y preparación importantes. Aquí hay siete prácticas ejemplares que puede seguir para aumentar la eficiencia y eficacia de sus consultas.

No. 1: Es necesario mapear las fuentes de datos

Un buen primer paso consiste en trazar dónde se almacenan o archivan los mensajes SWIFT relevantes. Debido a decisiones de arquitectura de TI o a consideraciones de privacidad de datos transfronterizos, las instituciones financieras globales suelen almacenar sus datos en múltiples ubicaciones. Algunos podrían tener centros regionales de almacenamiento de datos; otros podrían almacenar datos SWIFT localmente en pequeñas sucursales o en oficinas de respaldo. Dadas todas las posibilidades, pida a los profesionales de TI de un banco que extraigan y transmitan los datos. Sin embargo, si se requiere un alto nivel de independencia, es posible que tenga que desplegar sus propios equipos de extracción de datos en distintas ubicaciones de almacenamiento.

Es posible que tenga que coordinar con proveedores de almacenamiento de terceros o bancos para extraer datos porque muchas instituciones financieras dependen de estos proveedores para alojar sus datos. Maneje estas comunicaciones con cuidado porque estas instituciones podrían no sentirse muy entusiastas sobre el hecho de proporcionarle a un equipo externo el acceso a sus instalaciones.

No. 2: Evalúe los formatos de datos

Los bancos pueden almacenar datos en múltiples formatos. Algunos departamentos de TI respaldan sus datos en cartuchos de cinta externos o en sistemas inesperados que requieren proveedores de servicios de restauración especializados. Muchos mensajes SWIFT se archivan utilizando formatos de datos basados en texto. Otros se guardan en un formato específico de SWIFT, como en los archivos ARME (Archivo de mensajes). Estos tipos de archivo contienen mensajes SWIFT incrustados. Para acceder a los datos del mensaje, restaure el archivo ARME a la plataforma SWIFT mediante SWIFT Alliance Access o software que sea compatible. Si no están disponibles, se debe acceder a los datos del archivo ARME a través de sus archivos de componentes, lo que requiere conocimientos especializados en restauración de datos. El procedimiento de control de calidad más importante en el sitio es la búsqueda de lagunas de datos.

Además, algunas instituciones enriquecen sus mensajes SWIFT entrantes con otra información antes de introducirlos en sus sistemas de registro. Por ejemplo, un banco puede enriquecer un mensaje SWIFT con el nombre del gestor de relaciones de un cliente. Algunos agregan una serie de campos adicionales a sus registros de mensajes. En cada caso, debe decidir si es mejor extraer los registros enriquecidos, los mensajes SWIFT no enriquecidos originales o ambos.

No. 3: Es necesario determinar técnicas de extracción apropiadas y seguras

Es importante seguir siempre las prácticas recomendadas de la cadena de custodia y la seguridad de datos al extraer datos de mensajes de SWIFT y transportarlos a otra ubicación para su análisis.

Puede que no sea factible transferir datos electrónicamente de la red de un banco a su sitio. Los conjuntos de datos pueden ser demasiado grandes o las conexiones demasiado lentas para utilizar Protocolo de Seguridad para la Transferencia de Archivos (SFTP), un método común de transferencia de datos entre redes. Del mismo modo, podría no ser técnicamente factible o podría plantear riesgos de seguridad e integridad de datos el enviar por correo electrónico grandes volúmenes de datos. Por lo tanto, considere la transferencia de los datos a un disco duro cifrado y enviar esa unidad a través de mensajería para su procesamiento. Con una codificación apropiadamente robusta, este es un enfoque confiable y seguro que demarca claramente los eventos en una cadena de custodia que puede ser protegida.

La documentación de cadena de custodia debe incluir: nombres de archivo y tipos de datos, dónde los datos se cifraron (en la ubicación del host o en otro lugar) y el tamaño de los datos. La grabación de valores de hash (una cadena de caracteres alfanuméricos generados por un algoritmo) de los archivos extraídos puede asegurar que las copias tomadas coincidan con los originales en poder de la institución.

No. 4: Plan para el control de calidad in situ

El procedimiento de control de calidad más importante en el sitio es la búsqueda de lagunas de datos. Una bandera roja es cuando se espera un mensaje SWIFT, pero se encuentra faltante. Compruebe los vacíos de datos utilizando una utilidad personalizada que ejecute una cuenta diaria de mensajes SWIFT. Si muy pocos mensajes SWIFT están presentes en un día hábil, consulte con los profesionales de TI y operaciones del banco para determinar por qué está sucediendo esto. Podría ser una bandera roja, o podría haber una buena razón como un corte de sistema, un día festivo, un cierre de emergencia, un error de copia de seguridad de datos o tal vez fue simplemente un día laboral inusualmente lento. No es raro que las instituciones archiven mensajes SWIFT entrantes y salientes en directorios separados. Pregunte si este es el caso y lleve a cabo controles in situ o muestras aleatorias para asegurarse de que ambos tipos de mensajes están presentes en el conjunto de datos.

No. 5: Entender los problemas de filtrado de datos

Analice sólo aquellos mensajes SWIFT que caigan dentro del alcance de la investigación según lo dicten los clientes, fiscales, reguladores u otras partes interesadas. Por ejemplo, los mensajes SWIFT que afectan sólo a determinados países o jurisdicciones podrían estar en cuestión. O la investigación podría limitarse a un período de tiempo específico. Elabore un plan para aislar los mensajes que estén dentro y fuera de un alcance determinado.

Si el ámbito está limitado a ciertas jurisdicciones, comience filtrando mensajes por ubicación utilizando los caracteres quinto y sexto de un Código de Identificador de Banco SWIFT (BIC) que denota el país en el que se originó o terminó el mensaje SWIFT.

Por ejemplo, una búsqueda de BIC remitente y receptor cuyos caracteres quinto y sexto sean "US" producirá cualquier mensaje enviado a una parte interesada ubicada en los Estados Unidos o bien que esa parte envíe. Sin embargo, los BIC también se pueden incluir en otros campos de mensaje SWIFT. Aunque estos otros campos comúnmente contienen BIC, muchos de ellos también permiten al usuario introducir el nombre y la dirección del banco en lugar del BIC. Por lo tanto, una búsqueda por palabras clave para los términos de EE.UU., incluyendo ciudades y estados, también podría ser necesaria para obtener un conjunto de datos más completo. Tenga en cuenta que no todas las jurisdicciones de los Estados Unidos serán capturadas por una búsqueda donde "US" aparecen como quinto y sexto caracteres del BIC. Por ejemplo, el BIC de ocho dígitos 'GMBKGUGU' es el BIC del Banco de Guam, que también podría ser considerado una jurisdicción de los Estados Unidos. Por lo tanto, para compilar un conjunto de datos completo y fiable, filtre para el quinto y sexto caracteres de tal forma que consiga aumentar una búsqueda de palabras clave para países, ciudades o estados.

El filtrado de mensajes SWIFT por ámbito de investigación puede ser complicado. Algunos mensajes SWIFT pueden mostrar transacciones en más de una moneda, como una transacción de divisas. Algunos mensajes pueden estar relacionados con cartas de crédito que abarcan períodos de tiempo que solo se superponen parcialmente a un intervalo de fechas específico. Considere el impacto que estas complicaciones pueden tener en la investigación.

No. 6: Solucionar el problema del mensaje espejo

Tenga cuidado con los mensajes duplicados cuando procese datos de mensajes SWIFT para su análisis. Por ejemplo, un banco alemán puede enviar un mensaje MT103 (una variedad de mensaje común que significa una transferencia de crédito) desde su sede en Frankfurt a su sucursal de Nueva York para ejecutar un pago de un cliente a otro. Pero al hacerlo, ha creado dos copias del mismo mensaje: una almacenada en Frankfurt y otra en Nueva York.

Realizar extracciones de datos en ambas ubicaciones daría lugar a duplicados en el conjunto de datos. Estos "mensajes espejo" se combinan al tratar con grandes instituciones financieras mundiales con decenas de ubicaciones y se puede crear un receptor potencial de tiempo y recursos para eliminar así esos mensajes extraños que podrían distorsionar el número real y el valor de las transacciones en cuestión.

Una de las mejores maneras de administrar estos mensajes espejo es hash y comparar el bloque 4 de mensajes SWIFT (el más sustantivo de los cinco bloques de información). El texto del bloque 4 normalmente será idéntico en los mensajes SWIFT duplicados y producirá los mismos valores de hash. Cuando se detectan valores de hash coincidentes, puede omitir los mensajes duplicados de un análisis posterior.

No. 7: Mensaje de acercamiento con cuidado

A veces los bancos pueden enviar más de un mensaje de SWIFT para realizar una sola transacción, ya que el Crédit Agricole intentó evitar las sanciones económicas de Estados Unidos. Pero enlazar mensajes es un desafío. No hay manera correcta o sencilla de lograrlo.

Para iniciar, puede realizar un análisis de distribución básica de mensajes SWIFT por tipo de mensaje. Es posible que encuentre que la mayoría de los mensajes están representados por algunos tipos de mensajes diferentes, o que algunos tipos de mensajes parecen ser más significativos. A continuación, basándose en los tipos más frecuentes o significativos, puede revisar los manuales de SWIFT para determinar qué tipos de mensajes deben contabilizarse en un procedimiento de vinculación. También puede solicitar a los profesionales del banco cómo utilizan mensajes SWIFT para realizar transacciones. Puede haber protocolos idiosincrásicos que abarquen las combinaciones de mensajes.

Una vez que haya identificado los tipos de mensajes a enlazar, puede desarrollar planes específicos para cada combinación de tipo de mensaje. El orden del procedimiento de vinculación es importante. Por ejemplo, al intentar vincular un MT103 (transferencia de crédito) con otro MT103, debe decidir de antemano si debe orientar únicamente mensajes no enlazados o mensajes ya vinculados en pasos anteriores. A continuación, diseñar la secuencia en consecuencia.

Tenga en cuenta los falsos positivos y falsos negativos al vincular. Puesto que los campos de referencia de un mensaje SWIFT suelen contener números de referencia de transacción únicos, pueden ser los campos más útiles que se puede utilizar para vincular. Lamentablemente, no existe un requisito técnico de que estos números de referencia sean únicos; Los bancos llenan a menudo estos campos con contenido genérico tal como "NOREF" o "00000," lo cual conduce a falsos positivos.

Las listas de exclusión pueden ser extremadamente útiles en la prevención de enlaces falsos positivos. Un análisis exploratorio del conjunto de datos antes de enlazar puede revelar referencias que deben ser excluidas. Adopte un enfoque iterativo para vincular, verificar la precisión en cada paso y buscar resultados inusuales o inesperados.

Estar preparado

Podrá alcanzar más fácilmente sus objetivos de investigación si invierte tiempo y esfuerzo en abordar los matices y complejidades de la extracción, almacenamiento y procesamiento de datos de SWIFT. Cree un marco de datos de mensajes SWIFT eficaz y eficiente y siga estas siete prácticas recomendadas para reducir el tiempo y el dinero dedicados a tratar errores y excepciones en las primeras etapas preparatorias de sus investigaciones.

 

Traducción del artículo de Jim Bracken “Preparing for a SWIFT message investigation” en Fraud Magazine. Mayo, 2017. Disponible en: http://www.fraud-magazine.com/article.aspx?id=4294998167




©2017 ACFE-Capítulo México, A.C., Derechos Reservados.
Aviso de Privacidad
Asociación de Examinadores de Fraude Certificados Capítulo México
Tel. 5207-7557, 5536-0104 | seminario@acfe-mexico.com.mx