Fernando Peyretti Forensics Co-Leader | BDO LATAM
Forensics Manager | BDO Argentina
TERCER MÓDULO – 03 DE ABRIL 2019
GROWING THROUGH SHARING
WWW.IAIA.ORG.AR
https://global.theiia.org
en U$S
Y con el período de tiempo que permanecen ocultos…
Las organizaciones que no poseen controles anti-fraude,
sufrieron el doble de pérdidas.
Acerca del Defraudador
El Fraude según el tamaño de la organización
CONTEXTO INTERNACIONAL
• La Organización de los Estados Americanos es el
organismo regional más antiguo del mundo.
• La OEA reúne a los 35 países de las Américas y
constituye el principal foro gubernamental político,
jurídico y social del Hemisferio
• Para lograr sus más importantes propósitos, la OEA
se basa en sus principales pilares que son la
democracia, los derechos humanos, la seguridad y
el desarrollo.
• En 1996, los Estados miembros de la OEA adoptaron
el primer instrumento jurídico internacional
anticorrupción y en 2002 pusieron en marcha el
mecanismo que evalúa su cumplimiento. La Convención Interamericana contra la Corrupción y
el Mecanismo de Seguimiento de su
implementación (MESICIC).
CONTEXTO INTERNACIONAL
• Las Naciones Unidas nacieron oficialmente el 24 de
octubre de 1945. En la actualidad, 193 Estados son
miembros de las Naciones Unidas.
• Emisión de la Convención de las Naciones Unidas
contra la Corrupción (UNCAC), en diciembre de 2003, cuyos objetivos son:
• Adoptar medidas para prevenir y combatir más
eficaz y eficientemente la corrupción.
• Fomentar la cooperación internacional y la
asistencia técnica en la prevención y la lucha
contra la corrupción.
• Promover la integridad, la obligación de rendir
cuentas y la debida gestión de los asuntos y
bienes públicos.
• Indica que es indispensable que sus normas
sean aplicables también al sector privado y se involucre a la sociedad en el diseño e
implementación de estrategias en la materia.
• La recuperación de activos es fundamental, ya
que estos fondos son propiedad del Estado y es
indispensable su reincorporación a los países de
los que fueron sustraídos.
CONTEXTO INTERNACIONAL
• La Organización para la Cooperación y el
Desarrollo Económico, OCDE, es una
organización internacional de carácter
gubernamental fundada en 1961.
• Su misión es promover políticas que mejoren el
bienestar económico y social de las personas
alrededor del mundo.
• Integrada por 34 países miembros
• La OCDE no proporciona recursos financieros.
Sólo presta asesoría para mejorar las políticas
públicas de los países miembros o de terceros
que lo soliciten.
Argentina está presentando el
pedido de
ingreso como miembro pleno a
la OCDE
CONTEXTO INTERNACIONAL
Sobre esta base, la OCDE y la OEA firmaron en 2007 un memorando de
entendimiento para instaurar un marco de cooperación para las
iniciativas anticorrupción.
Este acuerdo apoya los objetivos comunes de modernización del Estado,
prevención y represión de la corrupción, y promoción de la aplicación de
la Convención Interamericana contra la Corrupción de la OEA, de 1996 y
de la Convención de las Naciones Unidas contra la Corrupción, de 2003.
La OCDE emitió en 2009 “Recommendation of the Council for Further
Combating Bribery of Foreign Public Officials in International Business
Transactions”.
13 13 13
CONTEXTO INTERNACIONAL
FCPA – 1977 & SOX – 2002
CFPOA - 1999
LGSNA - 2016
LRPC - 2009
LA - 2013
LRPJACT - 2016
LAEI – 2016
LRPPJ – 2018
14
En funcionamiento una vez que un incidente ha sido reportado/detectado
Responsable de investigar
Evidencia a obtener
Preservación de la evidencia, garantizando la cadena de custodia (asegurar que resulte válida en instancia judicial)
Información sobre los resultados (cómo, a quién, cuándo)
Obligación de cooperar de todos los empleados.
PROCESO DE INVESTIGACIÓN – SITUACIONES DEFINIDAS
15
DESARROLLAR UN PROTOCOLO DE RESPUESTA
Establece las acciones que una organización tomará ante la sospecha de fraude.
El protocolo no indicará como se investiga cada caso (hay distintos tipos de fraudes)
Apoya a la organización a crear un ambiente que minimice los riesgos e incremente las posibilidades de éxito.
Permitirá aplicar criterios consistentes al tratamiento de los casos.
La respuesta apropiada varia según el caso, no obstante, se pueden prever una seria de escenarios.
16
IDENTIFICAR EL EQUIPO DE RESPUESTA
Representante del management
Representante de auditoria interna
Abogado
Personal de TI
Representante de recursos humanos
Oficial de cumplimiento
Oficial de ética
Representante de seguridad o prevención de pérdidas
El responsable del área
Representante de relaciones públicas.
17
FACTORES A CONSIDERAR
Ubicación de la información de la compañía.
Regulaciones locales.
Regulaciones con impacto trasnacional.
18
IDENTIFICAR FACTORES DE DECISIÓN
Credibilidad de la denuncia
Tipo de incidente
Denunciados
Actividad involucrada
Seriedad o severidad de la denuncia
Potencial impacto negativo
Posibilidad de que el incidente llegue a juicio
Forma en que incidentes similares fueron
manejados
19
PRESERVACIÓN DE PRUEBAS
Notificar empleados que puedan tener
documentos relevantes.
Emitir una instrucción preliminar de preservación.
Asegurar la información digital.
Suspender procedimientos de borrado.
Prohibir destrucción, pérdida o alteración de
cualquier documento relevante.
Prohibir a ciertos empleados ocultar, manipular,
destruir documentos.
Advertir a empleados la consecuencias de
incumplir con la instrucción de preservación.
20
PLANIFICANDO LA INVESTIGACIÓN
Período bajo revisión
Naturaleza del fraude sospechado
Locaciones relevantes
Contactos
Sujetos objetivos de la investigación
Otras entidades, departamentos o regiones
que podrían estar involucradas
21
4W RULE (REGLA DE LAS 4W)
What Who
Where When
22
DESARROLLO DE HIPÓTESIS
Direccionamiento de compras
Existencia de un conflicto de interés no
declarado
Existencia de sobornos u otros beneficios a empleados en perjuicio de la compañía
Posibilidad de ocurrencia de situaciones
similares con otros empleados/proveedores
23
PRUEBA DE LA HIPÓTESIS
Existencia de relación entre personal de la
compañía y el proveedor.
Existencia de un conflicto de interés no declarado.
Verificación de posibilidad de direccionamiento de
compras hacia el proveedor.
Compras a precios sobrevaluados al proveedor.
Compra de bienes de menor calidad al proveedor.
Compras innecesarias al proveedor.
Análisis de nivel de vida/gastos del personal
denunciado/involucrado.
Posibilidad de ocurrencia de situaciones similares
con otros proveedores.
24
INVESTIGANDO…
Análisis de la denuncia para determinar el alcance
de la investigación.
Personas y entidades relacionadas con el caso:
Proveedor A
Proveedor B
Ceo del proveedor B
Personal de Compras ligado a la operación (Gerente y
comprador de vinculado a ese proveedor).
Personal técnico ligado al servicio (Ingeniero que aprueba
la propuesta técnica y quien tiene trato habitual con el
proveedor).
Dark Web
Anónimo y redes
encriptadas, la
plataforma perfecta
para los
cibercriminales.
Deep Web
96% de los contenidos
de la web no están
accesible a los
buscadores
World Wide Web
Solo el 4% de los
contenidos de la web
Esta disponible a
través de motores de
búsqueda como
Google.
¿Cómo está clasificada la información en
Internet?
Tor project ¿Cómo funciona y por qué debemos utilizarlo?
1. Cuando te conectas a un sitio web, tu ordenador o móvil intenta
conectarse directamente a esa máquina por la ruta más directa. Es
una cuestión de eficiencia, de velocidad.
2. Cuando usas Tor, esa línea entre tu PC y el servidor remoto se rompe.
La conexión va pasando por una serie de nodos secretos de forma
aleatoria que cifran los datos que envías y recibes.
¿Qué información puede recolectar el owner de un sitio web?
Otros: Tamaño de la pantalla, sistema operativo, fuente, comportamiento, zona
geográfica.
28
ANÁLISIS UTILIZANDO INFORMACIÓN PÚBLICA
2) Relevamiento
de información
4) Búsqueda de
redes sociales 6)
Relevamiento de Información
7) Búsquedas posteriores:
Volver a la etapa 1)
5) Validación de identidad
3) Descartar homonimia
1) Búsqueda con operador +
filtro
FUENTES DE INFORMACIÓN OFICIAL ABIERTA
DATOS PÚBLICOS EN FORMATOS ABIERTOS
Entidades constituidas en la Inspección
General de Justicia (IGJ)
- Razón social
-Tipo societario
Autoridades de entidades constituidas
en la IGJ
-Apellido y Nombre
-Número y tipo de documento
(en algunos casos)
Domicilios de autoridades
constituidas en la IGJ
Declaraciones juradas de
Funcionarios Públicos
- Numero de documento
- Nombre y apellido
- Sector
- Cargo
- Fecha de alta
Facebook: búsqueda por medio de comandos
Obtención del Facebook ID
Cada perfil. Ej. www.facebook.com/bdoargentina, trae asociado un número de
ID.
Para el perfil https://www.facebook.com/bdoargentina, el ID correspondiente es el
n° 577256295683034
Nota: Si un determinado perfil de Facebook ha desactivado la opción de
permitir ser buscado por medio de motores de búsqueda el Facebook ID no
podrá ser obtenido.
La búsqueda por medio de comandos se realiza mediante la carga de los
mismos en la barra de búsqueda del navegador de internet.
Facebook Link + “Search” + Facebook ID + Comando + Intersect
Ejemplos:
Amigos (Nivel 1)
https://www.facebook.com/search/1106454146/friends/intersect
Amigos (Nivel 2)
https://www.facebook.com/search/1106454146/friends/friends/intersect
Facebook: búsqueda por medio de comandos
Facebook: búsqueda por medio de comandos
Personas Link del comando
Amigos (Nivel 1) https://www.facebook.com/search/1106454146/friends/intersect
Amigos de Amigos (Nivel 2) https://www.facebook.com/search/1106454146/friends/friends/intersect
Nivel 3… https://www.facebook.com/search/1106454146/friends/friends/friends/intersect
Nivel n…
Familia https://www.facebook.com/search/1106454146/relatives/intersect
Coworkers https://www.facebook.com/search/1106454146/employees/intersect/
Classmates
https://www.facebook.com/search/1106454146/schools-attended/ever-
past/intersect/students/intersect/
Likes - Interacciones
Imágenes https://www.facebook.com/search/1106454146/photos-liked/intersect
Videos https://www.facebook.com/search/1106454146/videos-liked/intersect
Posts https://www.facebook.com/search/1106454146/stories-liked/intersect
Comentarios
Fotos comentadas https://www.facebook.com/search/1106454146/photos-commented/intersect
Etiquetas
Publicaciones https://www.facebook.com/search/1106454146/stories-tagged/intersect
Fotos https://www.facebook.com/search/1106454146/photos-of/intersect
Videos https://www.facebook.com/search/1106454146/videos-of/intersect
Intereses
Páginas https://www.facebook.com/search/1106454146/pages-liked/intersect
Perfil
Fotos https://www.facebook.com/search/1106454146/photos-by/
Videos https://www.facebook.com/search/1106454146/videos-by/
Posts https://www.facebook.com/search/1106454146/stories-by/
Grupos https://www.facebook.com/search/me/groups
Eventos pasados https://www.facebook.com/search/me/events-joined/in-past/date/events/intersect/
Eventos futuros https://www.facebook.com/search/me/events-joined/
La licitación abierta contenía 3
proveedores, El proveedor 1,
empresa local, el Proveedor 2,
empresa multinacional, y el
proveedor 3 empresa local.
El proveedor 3 es una empresa
agrupada en la cámara de
proveedores.
La empresa local ganadora
(Proveedor 1) tiene un director en
común con el proveedor 3. Uno de
los directores del proveedor 3, es
hermano del ministro de
planificación de la provincia en la
que la empresa realiza sus
operaciones.
El proveedor 1, tenía un precio de
250 USD por hora de trabajo.
El proveedor 3 tiene como socio a
un hermano del usuario aprobador
técnico de la oferta.
Resultados Parciales
¿Podemos revisar los e-mails de los empleados?
36
Jurisprudencia y doctrina igualan jurídicamente al
“correo electrónico” con el correo tradicional
37
“El empleador tiene prohibido, en principio, leer e-mails enviados o recibidos”
“El correo electrónico posee características de protección de privacidad más acentuados que el correo postal”.
“…no es lo que en su caso determinará la inadmisibilidad del correo electrónico, sino la circunstancia de haberse obtenido mediante la transgresión a un derecho constitucional”
38
Casilla de e-mail intervenida solo
mediante una orden judicial y una vez
iniciada la causa en contra de una
persona.
Sin orden judicial: una violación a las
garantías constitucionales de intimidad y defensa
en juicio.
Sin orden judicial: nulidad de las
intervenciones y los actos que deriven
de ellos.
Reglas generales
Expectativa de privacidad
39
Se requiere comunicar a los empleados las reglas con relación al uso de dispositivos tecnológicos en
los que se guarde información, estas reglas deben ser claras y
adecuadamente difundidas, incluyendo posibles inspecciones
por parte de la empresa.
Adquisición
Preservación
Análisis
Presentación de las
evidencias
Fases y principios de una investigación
informática forense.
Principios
I. Ninguna acción tomada debe cambiar los datos
almacenados en una computadora o medios de
almacenamiento que posteriormente pueda ser
presentada como prueba.
II. Las tareas deben ser desarrolladas solo por
personal competente, consciente de las
consecuencias de sus acciones
III. Llevar registro de todos los procesos aplicados a
la evidencia para determinar las pruebas. Una
tercera parte independiente debe ser capaz de
examinar esos procesos y lograr el mismo
resultado.
IV. Las personas a cargo de la investigación tienen la
responsabilidad de asegurar que se da
cumplimiento a leyes, reglamentaciones y
normas.
Es indispensable contar con la infraestructura
y know how para recolectar información de
diversos dispositivos de almacenamiento
(discos rígidos, memorias, teléfonos celulares,
etc.)
Es recomendado el uso de protocolos de
relevamiento y análisis para la adquisición de
información.
Posibilidad de constatar las actividades
realizadas con actas notariales para lograr
validez judicial.
Adquisición
Preservación
Análisis
Presentación de las
evidencias
Recopilar la información necesaria para
trabajar sobre la fuente de datos
El tiempo nuestro peor enemigo
Debe poder verificarse la integridad de la
imagen forense. Este proceso es llevado a
cabo a través del cálculo de una función
HASH sobre dicha imagen. El valor obtenido
con la función HASH nos permitirá en un
futuro verificar que la imagen forense no fue
alterada.
Las imágenes forenses pueden realizarse a
través de equipos diseñados
específicamente para ello o con software
específico (EnCase, FTK Imager).
Adquisición
Preservación
Análisis
Presentación de las
evidencias
Recopilar la información necesaria para
trabajar sobre la fuente de datos
Llevar un registro para
cada una de las copias
generadas.
Se genera la
documentación desde el
momento que ha sido
recolectada la
información, hasta el
momento de entrega
junto con la evidencia
digital estableciendo una adecuada cadena de
custodia.
Todas las copias
deben ser
almacenadas en
formas segura,
evitando el
acceso no
autorizado a las
mismas.
Adquisición
Preservación
Análisis
Presentación de las
evidencias
Definir los métodos adecuados para el
almacenamiento y etiquetado de las
evidencias.
Es recomendable que el procedimiento de
almacenamiento físico de los medios sobre
los cuales se realizaron las copias contemple
que los mismos queden fuera del alcance de
campos magnéticos, vibraciones fuertes,
humedad, polvo, temperaturas extremas o
cualquier otro tipo de elemento que pueda
ocasionarle daño o destruirlos.
Definir los métodos adecuados para el
almacenamiento y etiquetado de las
evidencias.
A partir de técnicas y herramientas
específicas podemos realizar búsquedas de
palabras, expresiones y/o cadenas de bytes
(keywords) sobre la totalidad de la
información recolectada.
A partir de los resultados obtenidos, se
puede determinar si la información se
hallaba en un archivo borrado, en el cuerpo
o como adjunto de un correo electrónico,
etc.
En casos particulares, con la debida
intervención judicial, estamos en condiciones
de intentar obtener claves de acceso y otro
tipo de información personal del usuario o
propietario del dispositivo.
Adquisición
Preservación
Análisis
Presentación de las
evidencias
Reconstruir con todos los datos disponibles
del ataque o fraude.
Adquisición
Preservación
Análisis
Presentación de las
evidencias
Información
Datos Estructurados
Búsqueda de
Estructurada BI
Datos No Estructurados
Keywords Métodos
avanzados
Acá hay mucha información
Herramientas innovadoras – Información no estructurada
Herramientas innovadoras – Información no estructurada
Herramientas innovadoras – Información no estructurada
La información que se obtuvo a partir del
análisis debe ser puesta a disposición en el
informe final, para ser presentado a las
partes requirentes. Este informe debe ser
desarrollado conservando un lenguaje
común sin hacer uso de tecnicismos,
facilitando su correcta interpretación.
El informe antes mencionado debe ser
acompañado:
• Cadena de Custodia de los discos,
dispositivos y documentos asociados.
• Inventario de copias forenses.
• Soporte digital de todo lo actuado.
Adquisición
Preservación
Análisis
Presentación de las
evidencias
Cada uno de los pasos debe ser
documentado y fechado.
INVESTIGANDO…
Luego de revisados los discos rígidos de las
personas investigadas se relevó:
Gerente de compras: enviaba información sobre el presupuesto de la
compañía al presidente de la cámara de proveedores.
El gerente técnico de la Petrolera: enviaba e-mail a su hno (director de la
empresa C), asegurando que la empresa A iba a ser la ganadora, y que
a partir de eso, el hno del ministro de planificación que trabajaba con él,
debía cumplir con su palabra y relajar los controles que el estado hacía
sobre la petrolera.
¿Qué hacemos?
"Buscando personas
para contratar, usted
debe buscar tres
cualidades:
integridad,
inteligencia y
energía. Y si esas
personas no tienen la
primera, las otras dos
terminarán matándolo
a usted".
Puede que algunas
empresas con un
prestigio muy sólido
ignoren muchas de las
amenazas que
penden sobre ellas…
cuidado!
Fin de la Presentación
Muchas Gracias