La amenaza desde dentro

Una reciente sesión informativa, “La amenaza desde dentro: Una preocupación creciente”,¹ publicado conjuntamente por ACAMS y CIFAS,² ofrece un marco para comprender el cambiante panorama de riesgos que plantean las personas con información privilegiada que operan en organizaciones del sector público y privado.

Una vez definidas de forma estrecha como comerciantes deshonestos o empleados descontentos, las amenazas internas ahora abarcan una gama más amplia de riesgos. Estos incluyen la colusión con agentes de amenazas externas, como bandas de delincuencia organizada, personas internas maliciosas integradas para la explotación a largo plazo (a veces colocadas por agentes estatales) y la complacencia interna que conduce a delitos financieros críticos o fallas de control de ciberseguridad. Este artículo revela este fenómeno preocupante a través de varios casos prácticos recientes que exponen la amplitud, complejidad y naturaleza intersectorial del fraude con información privilegiada, el lavado de dinero, el ciberdelito y otros esquemas maliciosos.

ACAMS y CIFAS destacaron una evolución crítica: Las amenazas internas ya no se limitan a incidentes aislados, sino que son cada vez más parte de complejos esquemas de fraude y lavado de dinero geopolítico. Las personas con información privilegiada pueden actuar como facilitadores o porteros―sabiendolo o por negligencia―haciendo que la supervisión interna sea esencial pero difícil. En todos los casos examinados, los expertos fueron fundamentales tanto para la ejecución exitosa del delito como para eludir los controles existentes.

Todos estos casos implican una variedad de factores ambientales y deben considerarse en función de sus características únicas, como delitos subyacentes, características organizativas y marcos de control.

Ejemplo:

1. Un caso reciente que proviene de Kenia demuestra la escala potencial de los riesgos que pueden presentar las personas que tienen información privilegiada a una sola institución financiera.³ Una auditoría de Equity Bank descubrió un fraude interno de 11,6 millones de dólares (1,5 mil millones de chelín keniano) que abarcó un período de 90 días. Las credenciales robadas de un gerente de nómina sénior permitieron más de 40 transferencias no autorizadas a cuentas externas a través de nóminas y billeteras móviles. El personal de todos los niveles y departamentos, incluidos los altos directivos y los empleados subalternos, ―algunos fueron implicados debido a una colusión directa, otros por no informar sobre actividades sospechosas. En última instancia, más de 1.200 empleados fueron despedidos o despedidos como parte de una purga interna.

El fraude involucró múltiples métodos: Dirección errónea de pagos móviles, transferencias interbancarias no autorizadas (incluyendo paraísos fiscales) y la aceptación de “propinas” o sobornos del cliente. La escala de la purga expuso las debilidades de gobernanza sistémica en los controles internos y la cultura, el personal antifraude y las auditorías forenses de rutina. El caso ilustra cómo el riesgo interno puede impregnar las transacciones aparentemente rutinarias, destacando la necesidad de una supervisión proactiva del comportamiento de los empleados.

2. En mayo de 2024, una ex analista de presupuesto del Departamento de Estado de los Estados Unidos se declaró culpable de malversar más de 650.000 dólares de su empleador.⁴ Manipuló los registros de los proveedores y presentó autorizaciones de pago falsas, explotando la confianza interna en su papel de directora financiera. Esto tipifica el “riesgo de posición privilegiada”, donde el acceso a los sistemas, combinado con una segregación insuficiente de las obligaciones y una falta de supervisión transaccional, permitió un fraude sostenido. Este caso ilustra cómo las brechas de procesos internos pueden amplificar las vulnerabilidades críticas entre las instituciones. La debida diligencia mejorada y la detección de anomalías en las compras y los pagos de los proveedores son tan vitales como la supervisión a nivel del cliente.

3. En junio de 2025, se destacó un caso en el que un alto ejecutivo del Instituto CFA, un grupo de educación financiera con sede en los Estados Unidos se apropió indebidamente de millones mediante reembolsos de gastos falsos y pagos falsos a proveedores.⁵

El fraude se extendió a lo largo de varios años, lo que implicó el abuso de documentación falsificada y fallas de supervisión.

Este caso demuestra varias señales de alerta "internas" consistentes:

• Cambios de estilo de vida inexplicables
• Retroceso contra auditorías
• Falta de tiempo de vacaciones o delegación (clásico “riesgo de persona clave”)

Este caso subraya la necesidad de análisis de comportamiento―También son indispensables los controles regulares de estilo de vida, la habilitación de denunciantes y las herramientas de detección de anomalías (p. ej., facturas duplicadas o pagos de importe redondo).

4. En otro ejemplo inquietante de colusión, cuatro hombres―incluido un interno―fueron encarcelados por manipular la adquisición del NHS Scotland mediante soborno.⁶ El informante recibió sobornos a cambio de adjudicar contratos a empresas específicas, a veces por servicios inflados o innecesarios. El fraude en las adquisiciones, especialmente en los sectores financiados con fondos públicos, tiene efectos de lavado de dinero que incluyen la creación de proveedores fantasma, la facturación inflada y la integración de fondos a través de vías de pago legítimas.

Las recomendaciones de control incluyen:

• Segregación de la autoridad de contratación pública
• Auditorías periódicas de proveedores
• Análisis de patrones para detectar irregularidades contractuales

5. En mayo de 2025, se reveló que los piratas informáticos sobornaron y reclutaron agentes de llamadas fraudulentas para obtener acceso a los sistemas internos de Coinbase.⁷ Las personas con información privilegiada, contactadas en línea, proporcionaron credenciales o facilitaron el acceso a puerta trasera a cambio de dinero en efectivo. Este caso combina aspectos de ciberseguridad y amenazas internas en una tipología híbrida―Insiders reclutados externamente. Refleja las advertencias de que los actores externos (p. ej., los grupos de ciberdelincuencia y delincuencia organizada) se dirigen cada vez más a los agentes internos en las instituciones financieras y las plataformas tecnológicas.

Cuando las empresas de activos digitales se utilizan como puntos de entrada al sistema financiero, las acciones de un solo empleado pueden conducir a fallas sistémicas de antilavado de dinero (ALD) y evasión de sanciones, lo que potencialmente incluye, pero no se limita a, la transferencia de criptomonedas vinculadas a regímenes sancionados o financiación de la proliferación de armas de destrucción masiva.

6. Una confiscación civil del Departamento de Justicia de los Estados Unidos detalla cómo los actores vinculados a Corea del Norte lavaron más de 7,74 millones de dólares a través de una red de empresas ficticias, bolsas comprometidas e identidades falsas.⁸ En particular, parte del lavado se basó en personas con información privilegiada en los mercados digitales o facilitadores dentro de los bancos regionales. Las personas con información privilegiada son ahora cruciales para los esfuerzos de lavado geopolítico―sean reclutadas voluntariamente o bajo coacción. El uso de trabajo remoto, roles laborales falsificados o identidades de proveedores comprometidas permite a los agentes sancionados integrarse en los flujos de trabajo financieros.

Un artículo⁹ reciente del Wall Street Journal expuso de manera similar cómo miles de trabajadores para tecnologías de la información norcoreanos se infiltran en empresas occidentales a través del trabajo remoto―a menudo con identidades falsas o a través de la colusión con reclutadores. Estos trabajadores ganan dinero extranjero para el régimen y obtienen acceso a sistemas sensibles. El riesgo se extiende más allá del fraude de pagos al acceso maligno―donde los expertos pueden manipular el código, crear puertas traseras o filtrar datos. Los equipos de ALD y fraude interno deben considerar la debida diligencia de reclutamiento y la gestión de proveedores como parte de sus marcos de control.

Tendencias transversales y conclusiones procesables

1. Colusión interna con amenazas externas    

Todos estos casos implican alguna forma de dinámica motivadora personal que hace que las personas sean susceptibles a quejas percibidas, actores del Estado-nación, redes delictivas o proveedores corruptos. Los profesionales de ALD, anticiberdelincuencia y antifraude deben ampliar la definición de diligencia debida del cliente para incluir la debida diligencia de los empleados y terceros socios.

2. Los fallos de control permiten la longevidad

La actividad de información privilegiada puede tener lugar durante varios años. Las funciones de auditoría débiles, las culturas propensas a anular y el análisis de datos insuficiente permiten la intrusión. Las instituciones deberían desplegar:

• Biometría conductual
• Políticas para tomar vacaciones y de rotación
• Supervisión en tiempo real de las finanzas de los empleados y el comportamiento de acceso

3. Dominios de riesgo interconectados

Las amenazas internas ya no están solas. Interactúan con el riesgo cibernético, el riesgo geopolítico, la evasión de sanciones, el fraude de adquisiciones y los esquemas de lavado de dinero habilitados para las criptomonedas.

Recomendaciones para profesionales de la lucha contra los delitos financieros

1. Desarrollar bibliotecas de tipología de amenazas internas: Adaptar los modelos de detección para reflejar los riesgos internos específicos de cada función―Por ejemplo, los responsables de adquisiciones vs. Los administradores de la tecnología de información vs. los profesionales de recursos humanos.
2. Ejercicios del equipo: Pruebe los sistemas con infracciones internas simuladas para identificar los puntos de acceso más débiles.
3. Colabore entre departamentos: Las amenazas internas se encuentran en la intersección de recursos humanos, ciberseguridad, ALD y cumplimiento. Los equipos de detección interdisciplinarios pueden ser críticos.
4. Integrar la puntuación de riesgo de los empleados: Utilizar la puntuación de riesgo para el personal en función de los niveles de acceso, las presiones financieras y las anomalías de comportamiento―Como la puntuación de riesgo del cliente en ALD.
5. Reforzar las protecciones de los denunciantes: Las amenazas internas a menudo se descubren internamente. Los canales de informes seguros y anónimos pueden acelerar la presentación de informes.

Conclusión

Las amenazas internas ocupan ahora un lugar central en el panorama de las amenazas de fraude y delitos financieros. Abordarlos requiere cambios sistémicos en la forma en que las instituciones supervisan, detectan y responden al riesgo interno. Estos casos prácticos recientes―desde departamentos gubernamentales hasta empresas de tecnología financiera―no son atípicos; son señales de advertencia de una vulnerabilidad más amplia. Para los profesionales de ALD, ciberseguridad o antifraude, el camino a seguir radica en redefinir las amenazas internas no solo como un problema de personal, sino como un componente central de la gestión del riesgo de delitos financieros.

Joby Carpenter, SME, Emerging Threats and Illicit Finance, ACAMS, jcarpenter@acams.org,

1. “La amenaza desde dentro: Una preocupación creciente”, ACAMS, Cifas, mayo de 2025, pág. https://www.acams.org/en/media/document/39113
2. Cifas es un servicio de prevención del fraude sin fines de lucro con sede en el Reino Unido que permite compartir datos e inteligencia entre miembros en los sectores bancario, minorista, de seguros y de telecomunicaciones.
3. Adonijah Ndege, “Kenya’s Equity Group despide a 1.200 empleados después de una investigación interna de fraude de 15,4 millones de dólares”, TechCabal, 30 de mayo de 2025, pág. https://techcabal.com/2025/05/30/equity-group-ceo-fires-1200-fraud/
4. “El ex analista de presupuestos del Departamento de Estado se declara culpable de malversar más de 650.000 dólares”, Oficina del Fiscal de los Estados Unidos, 30 de abril de 2025, pág. https://www.justice.gov/usao-dc/pr/former-state-department-budget-analyst-pleads-guilty-embezzling-more-650000
5. Anika Arora Seth, “Ejecutiva del ex-CFA Institute acusada de malversar millones”, Bloomberg, 23 de junio de 2025, pág. https://www.bloomberg.com/news/articles/2025-06-23/ex-cfa-institute-executive-charged-with-embezzling-millions
6. “Cuatro hombres encarcelados por soborno y corrupción de 6 millones de libras contra el NHS Scotland”, NHS Counter Fraud Authority, 5 de junio de 2025, pág. https://cfa.nhs.uk/about-nhscfa/latest-news/four-men-jailed-for-bribery-against-NHS-scotland
7. Tom Gerken, “la principal empresa de criptomonedas Coinbase enfrenta hasta 400 millones de dólares afectados por un ataque cibernético”, BBC, 15 de mayo de 2025, pág. https://www.bbc.co.uk/news/articles/c80k5plpx8do
8. “El Departamento presenta una queja de confiscación civil contra más de 7.74 millones de dólares lavados en nombre del Gobierno de Corea del Norte”, Departamento de Justicia de los Estados Unidos , 5 de junio de 2025, pág. https://www.justice.gov/opa/pr/department-files-civil-forfeiture-complaint-against-over-774m-laundered-behalf-north-korean
9. Robert McMillan y Dustin Volz, “Corea del Norte se infiltra en empleos remotos estadounidenses―con la ayuda de estadounidenses cotidianos”, The Wall Street Journal, 27 de mayo de 2025, pág. https://www.wsj.com/business/north-korea-remote-jobs-e4daa727