El fraude y la corrupción representan los principales riesgos para las empresas en México, de acuerdo con la más reciente Encuesta Global de Fraude 2018 de EY. Aunque los empresarios están preocupados por este fenómeno, la consultora matizó que respecto de las medidas que se toman para combatirlo, estas se quedan la mayoría de las ocasiones en manuales de buenas prácticas y buenas intenciones y no en implementaciones efectivas.

De las 50 empresas consultadas para la encuesta en México, 56% expresó que el principal riesgo al que se enfrentan son la corrupción y el fraude y, en segundo lugar, con 24%, hay un empate entre el entorno macroeconómico, los ciberataques y los riesgos geopolíticos. Quedan muy por detrás el entorno reglamentario cambiante (16%), el terrorismo (12%) y el cumplimiento de las leyes de competencia (6%), según la encuesta.

Ignacio Cortés, socio de Investigación Forense de Fraude y Servicios de Integridad de EY, dijo que esta encuesta a 2,550 directivos en 55 países se realizó a principios de este 2018, antes de los ataques cibernéticos contra la industria financiera en México, por lo que lo más probable es que si se realizara en estos momentos, el rubro de los ataques cibernéticos mostraría una magnitud mayor. Según el especialista, el cibercrimen se ha puesto de moda, ya que es uno de los riesgos empresariales más importantes y básicamente, se refiere al fraude cometido mediante vías informáticas.

“Esta encuesta fue realizada antes de los últimos ataques que hemos sufrido aquí en México. Seguramente si la hacemos al día de hoy, los indicadores van a subir”, dijo Cortés durante la presentación de la encuesta y añadió que, si bien el fraude y la corrupción se van a mantener como los principales riesgos, en dos años el cibercrimen va a subir mucho en puntos porcentuales, con lo que podría superar al entorno macroeconómico.

Esta semana, la empresa mexicana de televisión por cable, telefonía e internet Megacable difundió en un comunicado que sus sistemas informáticos fueron víctimas de un ciberataque que afectó “sus servicios de atención y contacto con el cliente”, lo que causó inconvenientes a los suscriptores que acudieron a realizar algún trámite a sus oficinas de servicio. Aunque la compañía informó que había implementado las medidas correctivas que les permitirían operar con normalidad sus oficinas de servicio, el hackeo quitó 2.45% al valor de sus acciones, que cayeron de 95 a 93 unidades el martes 6 de noviembre.

Este fue uno más de los ciberataques que han salido a la luz pública este año y se suma a los ocurridos en contra de las conexiones con el Sistema de Pagos Electrónicos Interbancarios (SPEI) de cinco instituciones del sistema financiero, lo que supuso la pérdida de alrededor de 300 millones de pesos y, más recientemente, en contra de la aseguradora AXA también en su plataforma de conexión con el SPEI.

De acuerdo con el socio de EY, la conciencia sobre el cibercrimen está siendo cambiante, porque los mismos ataques están cambiando y el modus operandi también es diferente. “La pregunta que les hago a los clientes es: ¿Cómo sabe usted que no ha tenido un ataque cibernético? Porque el ataque cibernético no es cuando ya te roban, el ataque igual lo tienes desde hace seis meses y sólo están esperando para robarte, pero ya están dentro”, dijo.

El especialista sostuvo que un aspecto importante sobre este tema es cómo las empresas están discerniendo la diferencia entre la ciberseguridad (cybersecurity), es decir la seguridad del sistema, contra la investigación cibernética (cyber-research), que busca prevenir los ataques. “Seguramente cuando los empresarios responden a esta pregunta es porque no están seguros de que los han atacado, pero en realidad no saben si tienen un ataque en ciernes”, dijo.

Los ciberataques no sólo preocupan a los empresarios mexicanos, también a la población en general. De acuerdo con una encuesta de la compañía estadounidense de tecnologías de la información Unysis, el fraude con tarjeta bancaria es la amenaza de seguridad que provoca mayor preocupación entre los mexicanos, ya que nueve de cada 10 encuestados afirmó tener una gran preocupación por este tipo de eventos. Le secunda el robo de identidad, pues 87% de los mexicanos dijo estar muy preocupado por el acceso no autorizado o el uso indebido de sus datos personales.

Regulaciones, marcos de referencia y herramientas contra el fraude existen, pero no son efectivos

De acuerdo con el socio de análisis de fraudes de EY, tanto en México como a nivel global, existen regulaciones, marcos de referencia y herramientas tecnológicas para combatir el fraude, la corrupción y el cibercrimen. Cortés hizo referencia a instituciones como el Sistema Nacional Anticorrupción y a la Ley General de Responsabilidades Administrativas para las empresas en México, cambios que ocurrieron en la legislación mexicana en 2016.

También habló de certificaciones internacionales como la ISO37001, sobre cumplimiento en temas de corrupción, y de herramientas tecnológicas de análisis forense que permiten identificar algunas de estas prácticas nocivas al interior de las empresas o en su relación con proveedores. Acotó, sin embargo, que en muchos casos todas estas medidas se quedan en buenas intenciones y no llegan a concretarse en los hechos.

“Nos quedamos mucho en manuales de cumplimiento pero estos se quedan en el papel, no se monitorea ni se audita para su implementación y eventual aplicación”, dijo Cortés.

La encuesta reveló que las empresas mexicanas implementan medidas de análisis de datos estructurados y no estructurados, los cuales conforman 20 y 80% de la información que generan, respectivamente. Estas medidas incluyen desde el análisis de la contabilidad financiera, la información de acceso o bitácoras de acceso a la red, los sistemas de rastreo de inventarios y de la base de datos maestra de proveedores, que forman parte de los datos estructurados, hasta la revisión de los sistemas de red o información del servidor, las comunicaciones de correo electrónico, las llamadas con clientes o notas de reuniones, las redes sociales de los empleados y su dispositivo móvil.

Ignacio Cortés dijo que, a partir de los datos de la encuesta, aunque la mayoría de las empresas mexicanas dijeron haber utilizado todas estas herramientas de análisis, en el caso del cumplimiento de la protección de datos y la privacidad, sólo fueron efectivas en 44% de las ocasiones y para las violaciones cibernéticas y amenazas internas, tuvieron efecto en 52% de los casos.

EY, antes Ernst & Young, es una de las consultoras consideradas entre las Big Four (Cuatro grandes), junto con PriceWaterhouseCoopers, Deloitte y KPMG, y su encuesta está orientada a empresas nacionales y trasnacionales de mediano y gran tamaño.

rodrigo.riquelme@eleconomista.mx