combate del fraude con big data - acis

COMBATE DEL FRAUDE CON BIG DATA

Santiago Acosta – Julián RíosXVI Jornada Internacional de Seguridad Informática ACIS

XVI JornadaInternacionaldeseguridadInformática

AGENDA DE LA PRESENTACIÓNCOMBATE DEL FRAUDE CON BIG DATA

1. OBJETIVOSQué se espera de la presentación

2. INTRODUCCIÓNQué es el Big Data

3. FRAUDESClasificación según el tipo

4. ESTADÍSTICASCifras que arroja la industria

5. METODOLOGÍASBig Data con el Triángulo del fraude

6. MADUREZCombatir el fraude con innovación

7. ANALÍTICAAnalítica el Triángulo del Fraude

8. CASO DE USOAplicación en la industria

9. PREGUNTASHaga su pregunta

XVI Jornada Internacional de seguridad informática ACIS


OBJETIVOSQUÉ SE ESPERA DE LA PRESENTACIÓN

DATO VS INFORMACIÓNQué es un dato y cómo éste se convierte eninformación y cuáles son sus propiedades ycaracterísticas.

QUÉ ES EL BIG DATACuál es su definición y cuáles son sus fuentesprincipales de datos, con ejemplos orientados alas tecnologías.

ACERCA DE LOS FRAUDESQué son, cómo se explica la ocurrencia de unfraude, cómo se clasifican y cómo se vería unfraude en acción.

ESTADÍSTICAS DE DETECCIÓNUn recorrido por un estudio que muestra elresultado de una encuesta sobre cómo esdetectado el fraude en la actualidad.

TRIÁNGULO DEL FRAUDE Y ANALÍTICALa suma del Big Data con la metodología dedetección de fraudes basada en el triángulo delfraude aplicada a la industria.

CASO DE USOEjemplo ficticio de cómo se combina lametodología del combate del fraude con el BigData y la analítica.

OBJETIVOSQUÉ SE ESPERA DE LA PRESENTACIÓN



INTRODUCCIÓNQUÉ ES BIG DATA, INFORMACIÓN VERSUS DATOS



REGISTRO REGISTRO REGISTRO REGISTRO REGISTRO

Adelanto Comisión Adelanto Cierre Factura

10 60 31 12 80

Pedro Juan Pedro Juan pedro

Medellín Bogotá Bogotá Cali Cali

Dificultad Oportunidad Ayuda Diseño Construcción

$49 $99 $149 $199 $249

REGISTROSQUÉ INFORMACIÓN PRESENTAN ESTOS REGISTROS

0

10

20

30

40

50

60

70

80

30 60 90 180 250

INFORMACIÓN

La información se obtiene a partir de losdatos, con utilidad, oportunidad, validez ytransferencia.

Los datos se convierten en informacióncuando se recolectan, capturan, sealmacenan, se clasifican, se totalizan, seordenan, se validan y por último cuando setransfieren.

INFORMACIÓN VS DATOSDATOS EN ALTO VOLUMEN Y VELOCIDAD



Pedro

Juan

PER

LOG

M2M

REDLOGSRegistros de softwareFirewall, Servidor web, Sistema operativo, Servidores, Routers, Aplicaciones, Telefonía IP.

M2MMáquina a máquinaMedidores, sensores de temperatura, presión, sonido, magnitudes.

PERSONASComunicacionesFacebook, Chat, Correo electrónico, fotografía, búsquedas en Internet, telefonía.

TransmisionesChat, Correo electrónico, FTP, SSH, HTTP, VoIP, Networking, TCP, UDP.

ALTO VOLUMEN Y VELOCIDADEl Big Data, Macrodatos o Datos Masivos es un concepto que hace referencia alalmacenamiento de grandes cantidades de datos y a los procedimientos usadospara encontrar patrones dentro de ellos.

BIG DATAQUÉ ES Y PARA QUE SIRVE

RED



FRAUDESCLASIFICACIÓN SEGÚN SU TIPO

SEGÚN LA ASOCIACIÓN DE EXAMINADORES DEL FRAUDE

Es cualquier acción que pretendasacar una ventaja deshonestasobre otra persona.

Existen los fraudes internos yexternos en contra de lasorganizaciones, pero aldemásexisten fraudes que se cometencontra individuos (personasnaturales).

El fraude ocurre por lacombinación de tres elementos:

• La presión• La oportunidad• La justificación

Contemplados en el tríangulo delfraude, inventado por el Dr.Donald Cressey.

“

“Las personas más confiables se convierten en violadores de confianza”

DEFINICIÓN DE FRAUDEQUÉ ES Y QUÉ SIGNIFICA COMETER UN FRAUDE


Justificación

Presión

Oportunidad

HIPÓTESIS

Las personas de confianza se convierten en violadores de confianza cuandose conciben a sí mismos teniendo un problema que no es compartible, sonconscientes de que este problema puede ser resuelto en secreto violando laposición de confianza y son capaces de aplicar a su propia conducta en esasituación, verbalizaciones que les permitan ajustar sus concepciones de símismos como personas confiables.

POR QUÉ OCURRE EL FRAUDEPOR QUÉ LAS PERSONAS COMETEN FRAUDE


‘‘’’ Dr. Donald Cressey

Corrupción, apropiación indebida

de activos, falsificación.

CLASIFICACIÓN DE FRAUDESPOR LA INDUSTRIA SEGÚN SU TIPO

INFORMÁTICOAtentados contra

sistemas de información, redes y

comunicaciones

OCUPACIONALIntencionalidad de enriquecimiento personal en un ambiente corporativo

COMÚNUso de

computadores como medio o

como un fín para cometer un

fraude

Los computadores son usados para cometer fraudes, ya sea informáticos

u ocupacionales

Phishing, Malware, Cracking, Accesos

ilegales, daño informático, piratería.



EL FRAUDE EN ACCIÓNUSANDO COMPUTADORES COMO MEDIO PARA PLANEARLO

No me siento cómoda con esto, pero así

podremos pagar la cuota inicial del apartamento, he

trabajado muy duro y me lo merezco

ÁNGELAESPOSA DE FERNANDOACME S.A – GERENTE

FINANCIERA

‘‘’’

Ángela, aprovecha que despidieron a varios en

auditoría y dile a tu cliente que consigne el

adelanto en nuestra cuenta, luego lo

arreglas

FERNANDOESPOSO DE ANGELA

ACME S.A - OPERADOR DE MAQUINARIA

‘‘’’

Solo asegúrate de no dejar rastros,

empecemos por no hablar por este medio.

Cuidado con la jefe, esa señora se las huele

todas

FERNANDOESPOSO DE ÁNGELA

ACME S.A - OPERADOR DE MAQUINARIA

‘‘’’

CONVERSACIÓN PLANEANDO FRAUDE



ESTADÍSTICASCIFRAS QUE ARROJA LA INDUSTRIA

0

5

10

15

20

25

30

35

40

45

50

Controles Auditoría Accidentalmente Denuncias

2013 2014 2015

ESTADÍSTICASCÓMO ES DETECTADO EL FRAUDE (ACFE - REPORT TO THE NATIONS)

DENUNCIASLineas éticas, correos anónimos, declaraciones, testimonios, cartas, periodismo

ACCIDENTALMENTEError de un sistema, descuadre, escucha de una conversación, comentario de pasillo

AUDITORÍA Y CONTROLES INTERNOSRed Flags, auditorías externas e internas de sorpresa y alertas automáticas

Más del 65% de los fraudes son detectados debido a las denuncias anónimasy a que accidentalmente las personas se dán cuenta. El resto equivale atécnicas tradicionales de control y auditoría – ACFE, Report to The Nations.



METODOLOGÍASTRIÁNGULO DEL FRAUDE

OPORTUNIDADAbuso de su posición deconfianza y capacidad paracometer el fraude

JUSTIFICACIÓNNadie saldrá herido, es por unabuena causa, en la empresatambién hacen cosas poco éticas

PRESIONPor cumplir una meta comercial,por pagar una deuda, para enviarlos hijos a la universidad

EL TRIÁNGULO DEL FRAUDEPARA EXPLICAR SU OCURRENCIA



PRIMER PASO

Identificar y clasificar las fuentes de datos con las que cuenta una

organizaciónSEGUNDO PASO

Seleccionar cuáles fuentes proporcionan datos que se puedan correlacionar con el triángulo del

fraude

TERCER PASO

Recoger datos de dichas fuentes seleccionadas y enviarlos a una

plataforma de analíticaQUINTO PASO

Realizar analítica vertical, horizontal y diagonal para prevenir

y detectar el fraude

CUARTO PASO

Construir modelos predictivos y alertas de presencia de conductas

que obedezcan a un fraude

BIG DATA + TRIÁNGULO DEL FRAUDEBIG DATA COMBINADO CON EL TRIÁNGULO DEL FRAUDE


MADUREZCOMBATIR EL FRAUDE CON INNOVACIÓN

MODELO TRADICIONAL BASADO EN REGLAS

Con datos estructurados, elmodelo tradicional basado enreglas donde se ejecutan querys yse hace analítica, tiene bajo gradode detección del fraude Con datos estructurados, el

modelo de analítica visual se basaen gráficas y a través de suinterpretación tiene un alto nivel dedetección del fraude

Con datos no estructurados, labúsqueda de palabras en fuentesde datos puede arrojar buenosresultados pero con un álto índicede falsos positivos Con datos no estructurados,

se convierte en el modelo másconfiable de analítica, el que tieneel ratio de menos falsos positivos yalto grado de detección del fraude

MODELO DE ANALÍTICA VISUAL

BUSQUEDA DE PALABRAS

SEMÁNTICA

MODELO DE NIVEL DE MADUREZEN LA ANALÍTICA DE DATOS ORIENTADA AL FRAUDE



ANALÍTICAANALÍTICA DEL TRIÁNGULO DEL FRAUDE



2016-1Score FTA

2016-2Score FTA

2016-3Score FTA

2016-4Score FTA

2016-5Score FTA

2016-6Score FTA

2016-7Score FTA

2016-8Score FTA

2016-9Score FTA

2016-10Score FTA

30.2

90.7

Existe la analítica horizontal, vertical y diagonal y cada unahace referencia a cómo se examinan los datos, si de formagráfica, en tablas de datos o con una combinación de las dos.

ES UN EXAMEN DETENIDOLa analítica es el análisis, examen oestudio detenido de una cosa,normalmente datos.86%

QUE ES LA ANALÍTICADEFINICIÓN Y APLICACIÓN

Diagnóstico de riesgos de fraude Link a

Procesos de negocio

Link a personasLink a

unidades de negocio

Recolecte sus datos

Establezca un tiempo

límite

Realice el análisis

ANALÍTICA BASADA EN RIESGOSABORDAR EL COMBATE DEL FRAUDE CON ANALÍTICA BASADA EN RIESGOS



Big Data



0

1

2

3

4

5

6

Presión Oportunidad Justificación

ANALÍTICA DEL TRIÁNGULODESPUÉS DE IDENTIFICAR PROCESOS, AREAS Y PERSONAS

ANÁLISIS DE PRESIÓNÁngela está sometida a una presión por partede su esposo y una cuota inicial que pagar

ANÁLISIS DE OPORTUNIDADEs la gerente financiera, puede hablar con losclientes y ordenar pagos a otras cuentas

ANÁLISIS DE JUSTIFICACIÓNHa trabajado muy duro, lleva muchos años en la compañía, se lo merece, luego lo arregla

Angela

Scor

eFr

aud

Tria

ngle

Anal

ytic

s

Semana 1 Semana 2 Semana 3 Semana 4

CASO DE USOBIG DATA CON TRIÁNGULO DEL FRAUDE + ANALÍTICA DE TEXTO

LA COMPAÑÍA RECIBIÓ UNA DENUNCIA ANÓNIMA

• En respuesta, la compañía decidió iniciar unainvestigación interna

• Ha identificado los riesgos, los procesos y las unidadesde negocio aparentemente involucradas

• Han seleccionado una muestra de 170 personas• Se ha capturado en un periodo de 30 días conductas

de esas personas cuando usan su correo, chat,internet, las aplicaciones corporativas y documentos

• Realizaron analítica con el triángulo del fraude sobre 10millones de registros, construyendo el modelopredictivo y diseñando la solución de software

• A través de la analítica resolvieron que 5 hombres y 9mujeres, durante 30 días cometieron frauderelacionado con la denuncia anónima

EMPRESA FICTICIA ACME S.AVÍCTIMA APARENTE DE FRAUDE OCUPACIONAL, POR DENUNCIA



FUENTES DE DATOS DISPONIBLESQUÉ FUENTES DE DATOS TENÍA LA ORGANIZACIÓN

CORREO Y CHATEmail entrante, saliente,

borradores, spam, con filtros, eliminados y

chat corporativo

NAVEGACIÓNForos, motores de

búsqueda, páginas web, formularios de contacto

y soporte web

APLICACIONESDesarrollos In-house, notas a facturas, ERP, contabilidad, relacionamiento con el cliente, acuerdos de pago

DOCUMENTOSArchivos compartidos en la nube privada, Word, Excel, Powerpoint y de texto plano



PRESIÓN JUSTIFICACIÓN

OPORTUNIDAD A LA MEDIDA

CONSTRUCCIÓN MODELO PREDICTIVOUSO DE LA SEMÁNTICA SOBRE LAS FUENTES DE DATOS

PRIMER ELEMENTOPRESIÓN

SEGUNDO ELEMENTOOPORTUNIDAD

TERCER ELEMENTOJUSTIFICACIÓN

CUARTO ELEMENTOA LA MEDIDA

No dejes que el auditor se entere, no dejes huellas, me siento incómoda, no quiero ser parte de ello, no ético

Fee adicional, adelanto de efectivo, comisión no registrada, sin inspección, sin factura, por debajo

Me lo merezco, todo el mundo lo hace, lo arreglaré después, no hiere a

nadie, no me pagan lo que merezco

Venganza, nepotismo, avaro, no se lo merece, robo, descuido, última

oportunidad, sucio



SOFTWARE ANALÍTICA

En el ecosistema Opensource se encuentransoluciones abiertas, muchas gratuitas, quepermiten implementar una infraestructura paraejecutar la Analítica del Triángulo del fraude a lamedida.

Para este caso de uso se trabajó con el Stack ELK(Elasticsearch, Logstash y Kibana) junto con elsistema de alertas ElastAlert y el cosechadorconductual The Fraud Explorer, que recogió todosaquellos datos de las fuentes disponibles del ladode la organización en tiempo real.

DISEÑO DEL SISTEMACÓMO EXTRAER DATOS DE LAS FUENTES Y PROCESARLOS

Logstash y Elasticsearch

The Fraud Explorer

Kibana y ElastAlert

Apache Hadoop



5

9

ANALÍTICA APLICADACUÁNTOS Y QUIÉNES PODRÍAN ESTAR COMETIENDO EL FRAUDE

ANALÍTICA HORIZONTAL—La analítica horizontal fue la primera fase delanálisis, se enfocó principalmente en diversasrepresentaciones visuales de los datos quepermitían contar con una impresión general deconductas relacionadas con el fraude de unamanerá rápida y sencilla.

ANALÍTICA VERTICAL—La siguiente fase del análisis pasó por profundizardentro de los indicadores seleccionados, así seabordó la denominada analítica vertical. Esta faserequirió dejar por un momento la representacióngráfica y bucear por las diferentes tablas de datosque alimentaban los gráficos.



EFICIENCIACon los modelos tradicionales se hubiera optado por otros métodosde investigación, como Análisis Forense Digital, Empleado Encubiertoó Due-Dilligence, con altos costos y limitantes en tiempo y recursospara una muestra de 170 personas. Con el Big Data y la Analítica delTriángulo del Fraude se resolvió en menos tiempo, con una muestramás amplia, con menos recursos e índices más altos de detección.

FOCALIZACIÓNEl exito de la investigación radicó en abordar el problema desde unpunto de vista basado en riesgos, identificando primero procesos,departamentos, personas y fuentes de información, para despuéspasar al uso de herramientas opensource gratuitas y así enfocar losrecursos de la compañía en labores consultivas de analítica deltriángulo del fraude.

RESULTADO FINALLECCIONES APRENDIDAS



PREGUNTASFORMULE SU INQUIETUD EN RELACIÓN A LA TEMÁTICA

Julián RíosCertified Fraud ExaminerMedellín, [email protected]

Santiago AcostaSeguridad InformáticaMedellín, [email protected]

Teléfonos+57 (4) 322 2663+1 (442) 2486410

Email / Página [email protected]

XVI JORNADA INTERNACIONAL SEGURIDAD INFORMÁTICACOMBATE DEL FRAUDE CON BIG DATA

combate del fraude con big data - acis

Documents