Saltar al contenido principal Saltar al menú principal Saltar al pie

Prevención de fraudes por transferencia bancaria y ACH: para empresas

Prevención de fraudes por transferencia bancaria y ACH: para empresas

Disminuir el tamaño del texto Aumentar el tamaño del texto

Página del artículo

Tanto las transacciones ACH (cámara de compensación automatizada) como las transferencias bancarias son formas de transferencias electrónicas de fondos (EFT). Las transferencias bancarias suelen implicar grandes sumas de dinero y se transfieren entre bancos. Las transferencias ACH son transacciones programadas, como los pagos de facturas en línea, que suelen implicar cantidades de dinero más pequeñas.

ACH (cámara de compensación automatizada)

El fraude ACH es el robo de fondos a través de la red de transacciones financieras de la Cámara de Compensación Automatizada. La red ACH actúa como centro de compensación central para todas las transacciones de transferencia electrónica de fondos (EFT) en los Estados Unidos, lo que representa un vínculo crucial en el sistema bancario nacional. Los pagos permanecen en la red ACH a la espera de su autorización para su destino bancario final.

A continuación se muestran algunos ejemplos de fraude ACH:
  • El delincuente accede a las credenciales de un cliente comercial, genera un archivo ACH a nombre del originador y retira fondos rápidamente antes de que la víctima descubra el fraude. 
  • El delincuente accede a las credenciales de un cliente minorista y se configura como receptor automático de pago de facturas. 
  • En un escenario de amenaza interna, un empleado de la empresa objetivo o de un banco modifica archivos ACH para robar dinero.
  • En una variante del "check kiting" (una estafa en la que se transfieren fondos de un lado a otro entre cuentas bancarias en bancos diferentes), un delincuente aprovecha el desfase temporal en las transacciones.
  • En una estafa de phishing selectivo, un empleado con autorización para realizar transacciones ACH recibe un correo electrónico que lo lleva a un sitio infectado, que instala un keylogger para acceder a la información de autenticación. El ladrón puede entonces hacerse pasar por el representante autorizado de la empresa y retirar fondos. 
Consejos para prevenir fraudes en ACH:
  • Conciliación de todas las transacciones bancarias diariamente.
  • Inicie pagos mediante transferencias bancarias y ACH bajo control dual, con un originador de transacciones y un autorizador de transacciones separado.
  • Si es posible, y en particular para clientes que realizan transacciones en línea de alto valor o gran cantidad, realice todas las actividades bancarias en línea desde un sistema informático independiente, reforzado y completamente bloqueado desde el que no sea posible utilizar el correo electrónico ni navegar por la web.
  • Desconfíe de los correos electrónicos que supuestamente provienen de una institución financiera, un departamento gubernamental u otra agencia y que solicitan información de cuentas, verificación de cuentas o credenciales de acceso bancario, como nombres de usuario, contraseñas, códigos PIN e información similar. Abrir archivos adjuntos o hacer clic en enlaces web incluidos en correos electrónicos sospechosos podría exponer el sistema a códigos maliciosos que podrían secuestrar su computadora.
  • Instale un firewall dedicado y administrado activamente, especialmente si tienen una conexión de banda ancha o dedicada a Internet, como DSL o cable. Un firewall limita la posibilidad de acceso no autorizado a una red y a las computadoras.
  • Cree una contraseña segura con al menos 10 caracteres que incluya una combinación de letras mayúsculas y minúsculas, números y caracteres especiales.
  • Prohibir el uso de nombres de usuario y contraseñas “compartidos” para los sistemas bancarios en línea.
  • Utilice una contraseña diferente para cada sitio web al que acceda.
  • Cambie la contraseña unas cuantas veces al año.
  • Nunca comparta información de nombre de usuario y contraseña para los Servicios en línea con proveedores externos.
  • Limite los derechos administrativos en las estaciones de trabajo de los usuarios para ayudar a prevenir la descarga inadvertida de malware u otros virus.
  • Instale un software antivirus y un firewall de escritorio comercial en todos los sistemas informáticos. Es posible que el software gratuito no proporcione protección contra las amenazas más recientes en comparación con un producto estándar del sector.
  • Asegúrese de que el software de protección antivirus y de seguridad se actualice periódicamente.
  • Asegúrese de que los equipos reciban parches de seguridad con regularidad, en particular los del sistema operativo y las aplicaciones clave. Es posible que pueda suscribirse a actualizaciones automáticas para el sistema operativo y muchas aplicaciones.
  • Limpiar la memoria caché del navegador antes de iniciar una sesión de Banca en Línea con el fin de eliminar copias de páginas web que se hayan almacenado en el disco duro. La forma de borrar la memoria caché dependerá del navegador y de la versión. Esta función se encuentra generalmente en el menú de preferencias del navegador.
  • Verificar el uso de una sesión segura (https y no http) en el navegador para todas las operaciones bancarias en línea.
  • Evite utilizar funciones de inicio de sesión automático que guarden nombres de usuario y contraseñas para la banca en línea.
  • Nunca deje una computadora desatendida mientras utiliza cualquier servicio bancario o de inversión en línea.
  • Nunca acceda a información bancaria, de corretaje u otros servicios financieros en cibercafés, bibliotecas públicas, etc. Es posible que se haya instalado software no autorizado para capturar números de cuenta e información de inicio de sesión, dejando al cliente vulnerable a un posible fraude.
  • Manténgase en contacto con otras empresas para compartir información sobre actividades sospechosas de fraude.
  • Comunique inmediatamente cualquier transacción sospechosa a la institución financiera, en particular, las transferencias bancarias o ACH. Existe un período de recuperación limitado para estas transacciones y la comunicación inmediata puede evitar mayores pérdidas para el cliente.
He aquí un ejemplo de fraude electrónico:
  • El dominio de correo electrónico legítimo de la organización es @empresa.com.
  • El atacante registra nombres de dominio engañosamente similares a los de la organización (por ejemplo, @conpany.com, @cornpany.com, @cmpany.com).
  • El atacante aprende los nombres del Ejecutivo Designado y del Empleado Designado a través de ingeniería social o investigación en línea.
  • El atacante envía un correo electrónico pretendiendo ser del Ejecutivo Designado, utilizando un dominio de correo electrónico engañosamente similar.
  • El empleado designado recibe este correo electrónico y ve que es de un “Ejecutivo designado” ordenando al Empleado Designado que transfiera $1 millón a la cuenta número 123456789.
  • El empleado designado, siguiendo el procedimiento, verifica que el correo electrónico provenga del “Ejecutivo designado”.
  • Pero el empleado designado no se da cuenta del error ortográfico en el dominio de correo electrónico @conpany.com y lo confunde con una dirección de correo electrónico legítima de la empresa.
  • El empleado designado inicia sesión en la cuenta del portal bancario en línea y solicita una transferencia bancaria saliente por $1 millón al número de cuenta 123456789.
  • El banco, siguiendo el procedimiento, verifica que la solicitud de transferencia bancaria provenga de la cuenta del Empleado Designado en el portal bancario en línea. 
  • El banco transfiere 1 millón de dólares a la cuenta número 123456789.
  • Mientras tanto, el verdadero Ejecutivo Designado no tiene conocimiento de esta transferencia bancaria.

Detener las grandes transferencias bancarias internacionales:

Para transferencias bancarias internacionales superiores a $50,000, llame a su oficina regional del FBI (https://www.fbi.gov/contact-us/field-offices) y la policía local. El FBI ofrece un proceso de Cadena de Eliminación de Fraude Financiero (FFKC, por sus siglas en inglés) para ayudar a recuperar grandes transferencias bancarias internacionales robadas de los Estados Unidos. El FFKC está pensado para ser utilizado como otra vía potencial para que las instituciones financieras estadounidenses recuperen los fondos de las víctimas. 

El FFKC sólo se puede implementar si la transferencia bancaria fraudulenta cumple con los siguientes criterios:
  • La transferencia bancaria es de $50,000 o más
  • La transferencia bancaria es internacional
  • Su institución financiera ha iniciado un aviso de retirada de SWIFT
  • La transferencia bancaria se realizó dentro de las últimas 72 horas.
Si se cumple este criterio, se necesitará la siguiente información:
  • Resumen del incidente
  • Nombre de la víctima
  • Ubicación de la víctima (ciudad y estado)
  • Nombre del banco de origen
  • Número de cuenta bancaria de origen
  • Nombre del Beneficiario
  • Banco beneficiario
  • Número de cuenta del beneficiario
  • Ubicación del banco beneficiario (si se conoce)
  • Nombre del banco intermediario (si se conoce)
  • Número SWIFT
  • Fecha
  • Monto de la transacción
  • Cualquier información adicional que pueda estar disponible, como “para mayor crédito” o “a favor de”
Cualquier transferencia bancaria que se realice fuera de estos umbrales debe ser informada a las autoridades competentes (http://www.ic3.gov/) pero la FFKC no puede utilizarse para devolver los fondos fraudulentos. 




Temas relacionados

Relacionado:

El pie de página no tiene contenido