El pasado jueves 3 de agosto se realizó el evento CIBERDELITOS: UN ENFOQUE DESDE LOS EXPERTOS, organizado por Montevideo Legal Hackers y Blockchain Summit Global. Dicho encuentro contó con dos paneles con impresionantes expertos en el área. Uno de los paneles fue dedicado a la regulación y aplicación práctica de los ciberdelitos, dicho panel ya fue comentado en resumen en artículos anteriores, y el otro panel, que vamos a estar comentando en este artículo, es el dedicado al análisis y prevención de las modalidades de estafas y ciberdelitos con criptomonedas.
Este último panel fue integrado por Mariel Lemes especialista certificada en Crypto Compliance - Asociación Uruguaya de Compliance, es oficial de cumplimiento en Nexo Uruguay corredor de Bolsa (Grupo Matba Roflex) y de Remitex (grupo Huobi). También fue integrado por el Dr. Pablo Zanetta, abogado con master en Digital Currency (Cryptocurrencies & Blockchain Tech) por la Universidad de Nicosia, Certified Cryptocurrency Investigator, especialista en prevención de lavado ACAMS e investigador de maniobras criminales con criptodivisas y Blockchain Forensics. Además, como panelista estuvo el Dr. Juan Diana, abogado especializado en regulación del sistema financiero y prevención del lavado de activos, miembro del staff de Brum Costa Abogados. El moderador fue el Ing. Ignacio Varese, fundador de la empresa Blockbear Software Solutions y de la conferencia Blockchain Summit Global.
Al inicio el moderador el Ing. Ignacio Varese presentó la temática y comentó las dificultades que hay en la industria cripto y blockchain por los problemas de estafas que han sucedido últimamente. Se inicia con con una pregunta disparadora a los expertos para que definieran las estafas más comunes y ejemplos prácticos que puedan comentar.
El Dr. Pablo Zanetta realizó una introducción al ecosistema cripto y luego comentó la modalidad el tipo estafa triangulación. El ecosistema cripto es el motor fundamental del estadio evolutivo de la era de internet en donde cualquier persona puede crear, representar o transferir valor en forma enteramente digital. Es decir: la Web 3. Existen muchas formas de representación digital de valor. Millas aeronáuticas, monedas virtuales de juegos en línea como Second Life, programas de fidelidad de clientes, etc.
Sin embargo y tal como se resalta en una multitud de documentos emitidos por organismos globales de supervisión (entre ellos el Grupo de Acción Financiera internacional), hay una diferencia crucial entre las criptos y todo lo demás: las criptos tienen la capacidad inherente de transmitir valor. Como si fuera poco, funcionan 24/7, 365, en todo el mundo y sin intermediarios.
Esta capacidad inherente hace que, por ejemplo, un bitcoin, sea una forma de valor digital muy apetecible para actores maliciosos. Desde sofisticados ciber-ataques hasta las más simples formas de fraude son utilizados por delincuentes para obtener bitcoins.
Algunas son metodologías nativas del ecosistema cripto. Otras, son aplicaciones o adaptaciones de maniobras ya conocidas. Éstas últimas son muy peligrosas para usuarios nuevos.
Comentó que, para ayudar a la salud de la adopción, detallará algunas formas básicas de un tipo de estafa conocida en el mundo cripto como “triangulación”.
Supongamos el siguiente escenario: un estafador publica en un sitio como Mercado Libre un anuncio en el que ofrece la venta de un artículo de alta demanda, a un precio muy razonable.
Un teléfono móvil, una mascota de pura raza o una computadora a un precio por debajo del valor de plaza, es buena carnada para articular una estratagema, una maquinación insidiosa y hacerse de un provecho injusto en perjuicio de otro.
La trama de la película versa sobre la eficacia de la estratagema para lograr que una víctima crea que esta comprando el artículo falso y envíe el dinero al estafador, sabiendo éste que el artículo nunca va a llegar.
Cuando la víctima hace la denuncia, las autoridades persiguen el destino del dinero para determinar la identidad del autor.
Es muy fácil engañar a alguien de esta manera, pero igual de fácil es dar con el estafador. ¿Qué tal si existiera una manera de obtener el valor del artículo falso publicado, pero de forma tal de que el flujo de dinero dirija la atención de las autoridades a otra persona? Obviamente, el provecho injusto no puede ser el dinero de la víctima del ejemplo anterior.
El objetivo entonces sería hacernos de un tipo de bien, una “cosa” inmaterial pero inherentemente valiosa, que le podamos sustraer a una persona mediante engaños, utilizando el dinero de un tercero, y que luego podamos vender en cualquier parte del mundo, lejos del alcance de las autoridades.
Para lograr ese objetivo, usamos la vieja estratagema del artículo falso y esperamos que algún despistado esté dispuesto a enviar su dinero sin siquiera saber a quién se lo está enviando. Al mismo tiempo, operamos para ganar la confianza de nuestra verdadera víctima: alguien que tiene, compra o vende bitcoins.
El nuevo escenario es entonces el siguiente: el estafador publica el artículo falso. Al mismo tiempo establece una relación con una o varias personas honestas, que compran y venden bitcoins, actividad que es perfectamente legal. Les compra bitcoins en repetidas ocasiones por montos pequeños, utilizando, por ejemplo, transferencias bancarias como medio de pago. La autoridad del banco es en muchos casos la clave para que el vendedor “baje la guardia”, para que se confíe.
Cuando el interesado en comprar el artículo falso hace “click” en comprar, el estafador le indica que solo acepta transferencias bancarias. El comprador del artículo falso le solicita al estafador que le indique el número de cuenta para hacer el depósito. Al mismo tiempo, el estafador le solicita al vendedor de bitcoins una compra por un valor igual al del artículo falso, y le pide su número de cuenta para hacer la transferencia.
El estafador entrega el número de cuenta del vendedor de bitcoins al comprador del artículo, el comprador envía el dinero a la cuenta del vendedor de bitcoins creyendo que está pagando, el vendedor de bitcoins le envía los bitcoins al estafador, y el estafador desaparece con los bitcoins.
El comprador nunca recibe su artículo y, cuando realiza la denuncia, ¿a dónde fue a parar el dinero?
A la cuenta del vendedor de bitcoins, quien siempre fue el verdadero objetivo de la maniobra, entregó bienes adquiridos con dinero propio y que no tiene arte ni parte en estratagema alguna. Para empeorar la situación, en caso de tratarse de transferencias entre cuentas de un mismo banco, muchas veces la operación es referida como “interna”, lo que hace que el vendedor de bitcoins ni siquiera pueda comprobar si el nombre del titular de la cuenta de donde proviene el dinero coincide con el su comprador (el estafador).
Sin embargo, lo más fácil y lo que habitualmente sucede es que el usuario de criptos es prejuzgado como el autor, debiendo enfrentar acusaciones injustas o teniendo que asumir perjuicios económicos que son en realidad el resultado de la imprudencia o la complicidad de otra persona, bajo amenaza de consecuencias penales.
Hace algunos años, esta metodología alcanzo niveles casi epidémicos en nuestro país. La casuística del mundo “analógico” indica que el destinatario del dinero es el beneficiario (y por lo tanto el autor) de la maniobra. Así, el desconocimiento de cómo funcionan las estafas con criptodivisas derivó en la aparición de modalidades más complejas de triangulación.
Por su parte, el Dr. Juan Diana habló sobre los denominados “Esquemas Ponzi” ejecutados a través de criptomonedas. Utilizando un ejemplo reciente llevado a cabo en Argentina, explicó que el activo virtual utilizado para la estafa en este caso es 100% emitido y controlado por quienes cometen el delito, y es mostrado a las víctimas como parte del elenco de supuestas inversiones con rentabilidades extraordinarias que se les prometen desde un inicio.
En estos casos, comentó que el precio de la criptomoneda utilizada en la maniobra sube pero a raíz de la demanda ficticia generada por los nuevos entrantes al esquema, y no por una valorización real del mercado en función de las expectativas de uso y aceptación generalizada.
Adicionalmente, destacó la importancia de la educación financiera como mecanismo de defensa ante este tipo de casos, y repasó el estado de la regulación en Uruguay de cara a la próxima evaluación de nuestro país en lo relativo al cumplimiento de los estándares internacionales antilavado.
Para el contexto de cumplimiento Mariel Lemes comentó que en un contexto globalizado las organizaciones están cada vez más expuestas a los riesgos de ser utilizadas para el lavado de activos.
Las formas tradicionales de delincuencia también han evolucionado a medida que las organizaciones delictivas recurren cada vez más a Internet para facilitar sus actividades y maximizar sus ganancias en el menor tiempo posible.
¿Como se puede gestionar esa exposición?
En general, el cambio normativo se produce a raíz de las recomendaciones emitidas por el FAFT/ GAFI. O sea que, si bien la implementación de las recomendaciones puede diferir entre sí en cada jurisdicción, la esencia de la recomendación recibida debe cumplirse dándole la interpretación que le da el FAFT/ GAFI.
Las instituciones reguladas deben desarrollar un Sistema de Prevención, el cual debe incluir las políticas y procedimientos de prevención y control, con la finalidad de evitar que la misma sea utilizada en maniobras tendientes a la legitimación de activos provenientes de actividades delictivas, a la financiación del terrorismo y al financiamiento de la proliferación de armas de destrucción masiva. Uruguay no cuenta con un marco regulatorio existe sobre Criptoactivos, si bien se ha presentado un proyecto de Ley.
Desde el punto de vista teórico, se reconocen en el proceso de lavado Tres etapas:
I. Colocación de los bienes o fondos
II. Transformación para disfrazar el origen, propiedad y ubicación de los fondos y por último
III. Integración de los fondos.
En este sistema financiero disruptivo o no tradicional, estas etapas se hacen muy velozmente, con bajos costos y dificultad para rastrear el origen, sobre todo cuando hay intermediarios Ej: Exchange (PSAV), Mixer o ciertos activos virtuales.
Por ello, es crucial que el sistema de Prevención de las empresas sea robusto en cuanto a herramientas informáticas, así como en recursos humanos calificados. Es acertado utilizar un enfoque basado en riesgo (EBR) que permite medir analizar los potenciales peligros y trabajar en las mejoras de todas las funciones y operaciones que se realizan, además de evaluar la eficacia de los procesos su cometido es gestionar y minimizar el riesgo de ser utilizado en maniobras delictivas precedentes de PLAFT, para ello hay que monitorear continuamente, contar con alertas por transacción y por cliente. Dado que a mi juicio el riesgo 0 no existe, este conjunto de medidas entre otras, ayudará a gestionar y minimizar los riesgos, propios de la actividad.
El cierre: En el cierre hubo preguntas del público que quedó atrapado con el panel, y de esta manera se realizó el cierre con muchas ganas de seguir conversando e intercambiando sobre estos temas tan interesantes. Nos propusimos realizar más instancias por lo que Montevideo Legal Hackers estará organizando nuevos eventos en los próximos meses.