Skip to main content Skip to main menu Skip to footer

Prevención del fraude en las transferencias bancarias y ACH - Para las empresas

Prevención del fraude en las transferencias bancarias y ACH - Para las empresas

Disminuir el tamaño del texto Aumentar el tamaño del texto

Page Article

Tanto las transacciones ACH (cámara de compensación automatizada) como las transferencias electrónicas son formas de transferencias electrónicas de fondos (TEF). Las transferencias electrónicas suelen implicar grandes sumas de dinero y se transfieren entre bancos. Las transferencias ACH son transacciones programadas, como los pagos de facturas en línea, que suelen implicar pequeñas cantidades de dinero.

ACH (cámara de compensación automatizada)

El fraude ACH es el robo de fondos a través de la red de transacciones financieras de la Cámara de Compensación Automatizada. La red ACH actúa como instalación central de compensación para todas las transacciones de Transferencia Electrónica de Fondos (EFT) en los Estados Unidos, representando un eslabón crucial en el sistema bancario nacional. Los pagos permanecen en la red ACH a la espera de su autorización para su destino bancario final.

He aquí algunos ejemplos de fraude ACH:
  • The criminal accesses a commercial customer's credentials, generates an ACH file in the originator's name and quickly withdraws funds before the victim discovers the fraud. 
  • The criminal accesses a retail customer's credentials and sets himself up as an automatic bill-pay recipient. 
  • En un escenario de amenaza interna, un empleado de la empresa objetivo o de un banco modifica los archivos ACH para robar dinero.
  • En una variante del "check kiting" -una estafa en la que se hacen malabarismos con los fondos entre cuentas bancarias de distintos bancos- un delincuente se aprovecha del desfase de las transacciones.
  • En una estafa de phishing selectivo, un empleado con autorización para realizar transacciones ACH recibe un correo electrónico que le lleva a un sitio infectado, que instala un keylogger para acceder a la información de autenticación. El ladrón puede entonces hacerse pasar por el representante autorizado de la empresa y retirar fondos. 
Consejos para la prevención del fraude en la ACH:
  • Conciliación diaria de todas las transacciones bancarias.
  • Inicie los pagos de la ACH y de las transferencias electrónicas bajo doble control, con un originador de la transacción y un autorizador de la misma.
  • Si es posible, y en particular para los clientes que realizan un gran número de transacciones en línea, realice todas las actividades bancarias en línea desde un sistema informático independiente, reforzado y completamente bloqueado, desde el que no sea posible enviar correos electrónicos ni navegar por la web.
  • Desconfíe de los correos electrónicos que pretendan proceder de una institución financiera, un departamento gubernamental u otro organismo que solicite información sobre cuentas, verificación de cuentas o credenciales de acceso bancario como nombres de usuario, contraseñas, códigos PIN e información similar. Abrir los archivos adjuntos o hacer clic en los enlaces web de los correos electrónicos sospechosos podría exponer el sistema a un código malicioso que podría secuestrar su ordenador.
  • Instalar un cortafuegos dedicado y gestionado activamente, especialmente si tienen una conexión de banda ancha o dedicada a Internet, como DSL o cable. Un cortafuegos limita las posibilidades de acceso no autorizado a una red y a los ordenadores.
  • Cree una contraseña fuerte con al menos 10 caracteres que incluya una combinación de letras mixtas, números y caracteres especiales.
  • Prohibir el uso de nombres de usuario y contraseñas "compartidos" para los sistemas bancarios en línea.
  • Utilice una contraseña diferente para cada sitio web al que acceda.
  • Cambie la contraseña varias veces al año.
  • No comparta nunca la información del nombre de usuario y la contraseña de los Servicios en línea con terceros proveedores.
  • Limite los derechos administrativos en las estaciones de trabajo de los usuarios para ayudar a prevenir la descarga inadvertida de malware u otros virus.
  • Instale un software antivirus comercial y un cortafuegos de escritorio en todos los sistemas informáticos. El software gratuito puede no proporcionar protección contra las últimas amenazas en comparación con un producto estándar de la industria.
  • Asegúrese de que la protección antivirus y el software de seguridad se actualicen regularmente.
  • Asegúrese de que los ordenadores se parchean con regularidad, especialmente el sistema operativo y las principales aplicaciones, con parches de seguridad. Es posible suscribirse a las actualizaciones automáticas del sistema operativo y de muchas aplicaciones.
  • Borre la caché del navegador antes de iniciar una sesión de Banca Online para eliminar las copias de las páginas web que se hayan almacenado en el disco duro. La forma de borrar la caché dependerá del navegador y de la versión. Esta función se encuentra generalmente en el menú de preferencias del navegador.
  • Verificar el uso de una sesión segura (https no http) en el navegador para toda la banca en línea.
  • Evite utilizar las funciones de inicio de sesión automático que guardan los nombres de usuario y las contraseñas para la banca en línea.
  • No deje nunca el ordenador desatendido mientras utiliza cualquier servicio de banca o inversión en línea.
  • No acceda nunca a información bancaria, de corretaje o de otros servicios financieros en cibercafés, bibliotecas públicas, etc. Es posible que se haya instalado un software no autorizado para atrapar el número de cuenta y la información de inicio de sesión, dejando al cliente vulnerable a un posible fraude.
  • Manténgase en contacto con otras empresas para compartir información sobre actividades sospechosas de fraude.
  • Eleve inmediatamente cualquier transacción sospechosa a la institución financiera, especialmente las transferencias ACH o electrónicas. Hay una ventana de recuperación limitada para estas transacciones y la escalada inmediata puede evitar más pérdidas para el cliente.
He aquí un ejemplo de fraude electrónico:
  • El dominio de correo electrónico legítimo de la organización es @company.com.
  • El atacante registra nombres de dominio engañosamente similares a los de la organización (por ejemplo, @empresa.com, @cornpany.com, @cmpany.com).
  • El atacante se entera de los nombres del ejecutivo designado y del empleado designado a través de la ingeniería social o la investigación en línea.
  • El atacante envía un correo electrónico que pretende ser del Ejecutivo designado, utilizando un dominio de correo electrónico engañosamente similar.
  • The Designated Employee receives this email and sees that it is from “Designated Executive” <Designated.Executive@conpany.com> directing the Designated Employee to have $1 million wired to account number 123456789.
  • El empleado designado, siguiendo el procedimiento, comprueba que el correo electrónico procede del "Ejecutivo designado".
  • Pero el empleado designado no se da cuenta de la falta de ortografía en el dominio de correo electrónico @empresa.com, confundiéndolo con una dirección de correo electrónico legítima de la empresa.
  • El empleado designado se conecta a la cuenta del portal bancario en línea y solicita una transferencia saliente de 1 millón de dólares a la cuenta número 123456789.
  • El banco, siguiendo el procedimiento, comprueba que la solicitud de transferencia proviene de la cuenta del empleado designado en el portal de banca online. 
  • El banco transfiere 1 millón de dólares a la cuenta número 123456789.
  • Mientras tanto, el verdadero Ejecutivo designado no tiene conocimiento de esta transferencia.

Stop large international wire transfers:

Para transferencias internacionales de más de 50.000 dólares, llame a su oficina regional del FBI(https://www.fbi.gov/contact-us/field-offices) y a la policía local. El FBI ofrece un proceso de Financial Fraud Kill Chain (FFKC) para ayudar a recuperar grandes transferencias internacionales robadas en Estados Unidos. El FFKC está pensado para ser utilizado como otra posible vía para que las instituciones financieras estadounidenses recuperen los fondos de las víctimas. 

El FFKC sólo puede aplicarse si la transferencia fraudulenta cumple los siguientes criterios:
  • la transferencia es de 50.000 dólares o más
  • la transferencia es internacional
  • su institución financiera ha iniciado un aviso de retirada de fondos SWIFT
  • la transferencia se ha producido en las últimas 72 horas.
Si se cumplen estos criterios, se necesitará la siguiente información:
  • Resumen del incidente
  • Nombre de la víctima
  • Ubicación de la víctima (ciudad y estado)
  • Nombre del banco de origen
  • Número de cuenta bancaria de origen
  • Nombre del beneficiario
  • Banco beneficiario
  • Número de cuenta del beneficiario
  • Ubicación del banco beneficiario (si se conoce)
  • Nombre del banco intermediario (si se conoce)
  • Número SWIFT
  • Fecha
  • Importe de la transacción
  • Cualquier información adicional que pueda estar disponible, como "para más crédito" o "a favor de"
Las transferencias electrónicas que se produzcan fuera de estos umbrales deben notificarse igualmente a las fuerzas del orden (http://www.ic3.gov/), pero el FFKC no puede utilizarse para devolver los fondos fraudulentos. 



Page Footer has no content