Desde hace tiempo venimos observando cómo la tecnología contribuye a la deslocalización de las empresas o a la globalización de la economía. En este contexto, el control de las transacciones económicas o el pago de impuestos aplican tensión sin piedad a las legislaciones financieras de los países. No en vano, los flujos financieros ilícitos recurren a menudo a la tecnología como herramienta habilitadora para facilitar la ocultación de sus fondos.
Algunos, sin embargo, se preguntarán: ¿de qué hablamos cuando nos referimos a flujos financieros ilícitos? En cierto modo, y siendo simplistas, podríamos mencionar tres grandes categorías: la generación de ingresos por actividades delictivas; la transferencia de fondos obtenidos legalmente pero no declarados al fisco; y el uso de estos para fines considerados ilegales. En cada una de estas categorías, la tecnología juega un papel muy relevante.
Del B2B al C2C
En la moderna sociedad actual podemos encontrar numerosas formas de utilizar la tecnología para obtener beneficios económicos de forma legal, aunque también de forma ilegal. Un ejemplo de esta ilegalidad se ve reflejado en la Dark Web, donde la tecnología sirve para traficar —transaccionar, si se quiere ver en términos de mercadeo— con cualquier tipo de producto. Incluso con el propio delito.
Frente al B2B, la economía sumergida estructura sus operaciones en torno a lo que se conoce como el C2C (Criminal-to-Criminal). De facto, el C2C copia el modelo que aplican los negocios completamente lícitos. Así, de igual modo a como una compañía de consultoría ofrece productos software o servicios profesionales, los entornos delictivos comercian con productos y servicios ilegales. Nada se escapa a sus rentables modelos de trabajo.
La automatización juega un papel fundamental en este contexto. Los XaaS (X-as-a-Service) son muy habituales. Las plataformas de ransomware, las herramientas de hacking, los servicios de DDoS o la distribución de datos personales son fuentes inagotables de ingresos. La asimilación del modelo empresarial ha llegado a ser tal que los ciberdelincuentes incluyen ofertas, descuentos o incluso niveles de atención personalizados. Al fin y al cabo, se trata de productos que escalan a través de redes de usuarios —partners— que actúan como canales de distribución y donde se llega a incluir la formación o la garantía sobre los servicios prestados.
Tecnología como palanca
El uso de la tecnología en estos entornos sirve de apoyo para la comisión del delito. El anonimato, el cifrado de las comunicaciones, la ocultación de localizaciones, la ausencia de fronteras o incluso la posibilidad de cometer fraudes sin estar directamente en el lugar donde estos ocurren conforman el modelo perfecto para que los ciberdelincuentes operen sin ser detectados —más aún si lo hacen desde países que no disponen de estructuras legales o capacidades técnicas adecuadas.
Y esto enlaza con la segunda característica de los flujos financieros ilícitos.
Ocultación y blanqueo
La tecnología ha dado lugar a que la trazabilidad de los flujos financieros ilegales se haya hecho tremendamente complicada. Ya no estamos hablando de pequeños comercios que utilizan zappers o phantomwares para eliminar apuntes en las cajas registradoras a fin de contabilizar menos ingresos. Ni siquiera de emisores de facturas falsas —que permiten compensar ingresos— cuya trazabilidad se puede perseguir con la implantación de facturas electrónicas. Nos estamos refiriendo a modelos más complejos donde la opacidad, la velocidad de las transacciones o su naturaleza transnacional hacen de la ocultación y del blanqueo de capitales una posibilidad real y efectiva.
Actualmente la tecnología permite fraccionar transferencias entre diferentes bancos e instituciones para hacerlas más difíciles de trazar. Permite ejecutar pagos electrónicos a través de intermediarios que ni siquiera son bancos —algunos de los cuales permiten recuperar el dinero transferido sin demasiadas comprobaciones. Y ¿qué podemos decir de las criptomonedas? De facto, no dejan de ser transacciones que solo ocurren en Internet y para las que por el momento no existe regulación internacional unificada.
Podríamos sumar a estas opciones tecnológicas las plataformas de apuestas online —más aún si se combinan con criptomonedas— o incluso la explotación de empresas de comercio electrónico que realmente no tienen actividad y que están localizadas en paraísos fiscales.
Tecnología sin cooperación…
La convergencia de estos usos tecnológicos da lugar a un ecosistema extremadamente complejo de supervisar y controlar. Internet es en sí misma una red descentralizada donde trazar y perseguir los delitos requiere de cooperación internacional.
Existen numerosas iniciativas que utilizan técnicas de big data y de inteligencia artificial para segmentar el perfil del defraudador y su red de conexiones económicas y comerciales. También hay soluciones que detectan los fraudes cuando se trata de ataques a los servicios transaccionales de las empresas —compras con tarjetas robadas, suplantaciones de identidad, etc.
Sin embargo, nada de esto es suficiente sin la cooperación internacional en un marco legal unificado. Un marco legal asumido globalmente, donde la colaboración público-privada también tenga cabida. Y es que, siendo realistas, el problema del fraude fiscal es suficientemente complejo como para tener que incluir en él elementos que no son meramente tecnológicos.
Los países de la OCDE vienen trabajando desde hace tiempo en definir un marco legislativo que dificulte el flujo ilegal de capitales, aunque con éxito relativo, por el momento. La disparidad de leyes e intereses entre países han hecho que las normativas presenten “algunas vulnerabilidades” en sus modelos de control que, en ocasiones, sean explotadas por los menos escrupulosos.
¿Y si viéramos al fraude fiscal como un malware? Puestos en esta tesitura, la pregunta que nos hacemos es ¿qué ocurriría si abordáramos el problema del fraude fiscal siguiendo los mismos patrones que se utilizan para perseguir un malware en Internet?
Algunas herramientas empiezan a estar ya disponibles. El big data y la inteligencia artificial se aplican a la clasificación de defraudadores; el seguimiento de transacciones financieras son a día de hoy una realidad (por ejemplo, SWIFT GPI Tracker); la identificación de interrelaciones entre defraudadores está estudiándose a través de diagramas de dependencias (véase ATTE); los indicadores de fraude a través de criptomonedas se actualizan periódicamente (FATF); la consolidación de bases de datos con flujos financieros sospechosos (por ejemplo, FINCEN) se emplea en ciertos países… Incluso las herramientas SIEM comienzan a adaptarse para la trazabilidad de las evasiones fiscales.
De alguna forma, aunque con diferencias, estamos enfocando la detección de los flujos financieros ilícitos utilizando conceptos de ciberseguridad: firewalls (financieros), sistemas de control de (cuentas de) usuarios, herramientas de filtrado de flujos de tráfico (monetario), aplicaciones de análisis y correlación de comportamientos (fiscales), etc. Todas son aproximaciones que se han mostrado útiles en ese contexto y que directamente son aplicables también al control financiero. Solo nos faltaría completarlo con una última —compleja y controvertida— propiedad que también es difícil de conseguir en ciberseguridad: la colaboración internacional.
Cinco Días