El celular de López: la verdad al alcance de la mano

Argentina - 27/06/2016 - Clarín - Pág. 25/Sección:  Opinión

   

Cada vez que escribís un mail, imaginátelo en la tapa de Clarín de mañana, y mandalo sólo si no te da vergüenza. Esa es una regla de oro, porque el correo electrónico es ‘público’”, advierte el abogado Martín Elizalde, cofundador de Foresenics, una firma dedicada a la tecnología legal. “El concepto de ‘borrar’ es cada vez más relativo: siempre queda un registro”, añade.

Se refiere, claro, a lo expuestos que quedamos todos por el mero hecho de ser usuarios de Internet, teléfonos inteligentes, geolocalizadores y demás. Desde errores propios hasta ataques maliciosos, pasando por la omisión de medidas de seguridad elementales, son muchos los potenciales conspiradores para que nuestra información privada deje de serlo.

Si esto es así para cualquier persona, es de imaginar cómo será para las empresas… y para los abogados. “Es raro que un abogado sea cliente de otro; pero en Foresenics, 90% de los clientes son colegas míos, porque no somos sus competidores, sino un soporte en el juicio o la negociación”, reflexiona Elizalde. Es que una parte importante de sus servicios está relacionada con el resguardo de pruebas informáticas.

“Donde hay un vacío legal relacionado con Internet, nosotros damos respuestas”, es la divisa de Elizalde y de su socio, Gabriel Paradelo, analista de sistemas. Y Elizalde amplía: “Cuando no tenés una norma específica, igual hay jurisprudencia y se puede recurrir a analogías. Tratamos de convencer al juez de que cada elemento de prueba (un mensaje de texto, un programa, cualquier documento digital) que le sometemos es íntegro, no fue alterado”.

Cadena de custodia En gran parte, esto se logra sosteniendo una buena cadena de custodia. Al juez no se le presenta simplemente –por ejemplo– una captura de pantalla con una amenaza, sino que se puede comprobar la hora y el día en que fue enviada; se le muestran la data y el análisis detallado de la metadata, la trayectoria que el documento siguió en la Web. “Fortalecemos la integridad del aspecto forense del documento, demostrándole al juez que eso que hicimos para obtenerlo puede volver a ser hecho y se llegaría al mismo resultado”, explica Elizalde. “Esa es la parte del laboratorio, que después se refuerza con el acta notarial: en un sistema jurídico romano, como el nuestro, es importante que un escribano llegue a dar fe pública”.

Sin embargo, Foresenics también tiene clientes en otros países, donde los sistemas son otros. Por caso, la firma trabajó para un estudio norteamericano en una de las causas relacionadas con el FIFAgate. “En los Estados Unidos hay normas de procedimiento, no hay escribanos”, indica Elizalde, lo cual por supuesto no impidió que documentos digitales fueran presentados como pruebas.

Foresenics también hace investigaciones para empresas, sobre temas como amenazas en la Web (robo de identidad o datos bancarios, espionaje industrial y competencia desleal, entre otras), fraude interno y control de actividades online de los empleados.

En general, los socios están de acuerdo en que la gente no tiene noción de lo vulnerable que es en su actividad online, pero que hay mucho que puede ser hecho en materia de prevención. “Muchas compañías están digitalizando su información, y ese momento es bueno para darles seguridad”, indica Paradelo. “En vez de tener la información en un archivo podés subirla a la nube, que puede ser pública o privada; pero podés conseguirte un contrato ‘piola’, donde puedas ver la accesibilidad. Así vas formando un grupo de gente que está más segura”.

No obstante, lo más habitual es que los clientes “lleguen cuando ya tienen la dinamita en la mano, incluso cuando ya les explotó”. Entonces, se trata de ver de dónde provino el ataque, recuperar lo perdido y reparar los daños. Para eso también, allí están Elizalde y Paradelo.

Fuente:  Clarín.com por Paula Ancery -  iEco Economía 24/04/16    

Por Ariel Alberto Neuman Entre los que roban para la corona y los que lo hacen para sí, el fenómeno del fraude interno en las empresas parece no haber parado de crecer. En tiempos de caída económica, se incrementa el número y "las empresas locales esperan un incremento en sus niveles para este año", contextualiza la abogada Mercedes Balado Bevilacqua, titular del estudio que lleva por nombre a su apellido. ¿Las modalidades más utilizadas? Sobornos, conflictos de intereses, manipulación de compras y gastos, apropiación de activos, gastos fraudulentos, falsificación de comprobantes, creación de informes financieros falsos, robo de información y fraude electrónico. Los especialistas distinguen entre las firmas alcanzadas por legislaciones anticorrupción foráneas y el resto del sector privado. "Hay una gran diferencia entre los que se las tienen que ver en los tribunales de la calle Talcahuano y los que se las tienen que ver al lado del río Hudson", sintetiza en off el responsable de Legales de una multi que, llegado el caso, debería desfilar solo por los pasillos locales.

¿Cómo?

Balado Bevilacqua señala que "la mayoría de los casos de fraude interno se detectan de forma accidental". Pero, entre los procedimientos más usados para facilitar esa detección aparecen sistemas de denuncias, programas de capacitación antifraude para empleados, mensaje de no tolerancia desde la cabeza de la organización, existencia de un departamento de auditoría interna, un comité de ética o de buenas prácticas corporativas, auditorías sorpresivas de manera regular y externas adicionales o complementarias a las internas. La tecnología tiene hoy un rol fundamental, pero "hay que ser muy cuidadosos en la forma en que se obtienen y resguardan las pruebas; hay veces en que se actúa de un modo impulsivo y se cometen errores que ponen en riesgo la investigación", advierte Funes de Rioja. Para empezar a investigar, suele verse un cambio de estilo de vida del ejecutivo o empleado involucrado, dice el abogado Martín F. Elizalde, fundador de Foresenics Argentina. Para prevenirse, lo recomendable es realizar un mapeo de riesgo. "Se debe identificar a grandes rasgos qué áreas o secciones de la empresa se hallan comprometidas en el ilícito", explica Juan Pablo Montiel, director del Centro de Estudios Anticorrupción de la Universidad de San Andrés y coordinador general del centro de investigaciones en derecho penal Crimint. "Es clave que los abogados respeten escrupulosamente la regulación de data privacy para evitar que un mal manejo de las investigaciones internas acaba agravando la situación", ratifica, y afirma que, una vez terminada la investigación, es recomendable denunciar el hecho. Eso se puede traducir en ventajas punitivas significativas, asegura. Más allá del señalado deber ser, Elizalde reconoce que los procedimientos para este tipo de situaciones dependen de la política de cada empresa. "Las firmas internacionales tienden a seguir los protocolos de sus casas matrices. No es infrecuente que cuando detectan un hallazgo fundado se comuniquen con ellas en busca de instrucciones, pero eso puede ser contraproducente porque la ley argentina es particular en el tratamiento de la prueba digital y su falta de conocimiento da lugar a nulidades", dice. Probar hoy un fraude sin hacerlo por medio de la prueba digital es inimaginable, insiste, y si está arruinada esa prueba el caso caerá antes de nacer. Habrá que identificar esos elementos probatorios y obtener una copia forense. También tomar en cuenta las cámaras de vigilancia, sistemas de control de acceso con tarjetas y, en general, cualquier base de datos, recomienda. Luego, analizarlas. Más allá de seguir procedimientos que los tribunales consideraron válidos, la tendencia es no llegar ante el juez, sino solucionar los temas discretamente. A lo sumo, en el ámbito de una conciliación o mediación anterior a la etapa judicial, afirma Elizalde. Con él coincide Balado Bevilacqua, quien acusa menos de un 1% de denuncias judiciales sobre casos comprobados de fraude interno. "No es que no se castigue, no es que no se despida, pero tal vez prefieren terminar el caso internamente y que la persona involucrada se vaya sin más, pagándole la indemnización de ley", explica el ejecutivo legal que prefiere mantener el off the record. Más allá de su desacuerdo, racionaliza así el tema: los seguros de responsabilidad civil de directores y officers cubren la responsabilidad civil, no la penal. "Las propias compañías se ocupan muchas veces de la defensa de sus ejecutivos acusados en sede penal porque cualquier acto ilícito penal compromete la responsabilidad civil de la firma", explica y agrega: "Primero lo defiendo y después me las arreglo con él". Cuando se los echa en voz baja, agrega en off, también puede ser para cortar las cadenas de responsabilidad en el curso de la investigación. "Me conviene que el infractor se vaya bien tratado, si sé que puede venir algún problema legal grave en el resto de la estructura", afirma.

Buenas prácticas

Si bien al fraude interno se le concede el status de problema serio, en la Argentina no abundan las políticas y procedimientos anti-fraude en las organizaciones, dice Balado Bevilacqua. En cuanto a la normativa imperante, un rompecabezas puede armarse con la convención para combatir el cohecho de la OCDE; las leyes estadounidenses Sarbanes-Oxley y Foreign Corrupt Practices Act (FCPA); la Anti-Bribery Act de Gran Bretaña, y la ley 12.846/13 de Brasil. Ninguna de ellas, claro, es aplicable por sí sola en nuestro país e incluso en los casos en que sus alcances tienen impacto (cuando se trata de empresas que cotizan en sus respectivas bolsas de comercio, por ejemplo) hace falta la implementación de una política que contemple los términos de tales leyes respetando la normativa local laboral, señala la abogada laboralista. Dicho esto, hoy en la materia marcan tendencia las empresas internacionales que están más familiarizadas con normativas y políticas antifraude, que implementan un código de ética y canales de comunicación para denuncias, destacan los consultados. En ese grupo aparecen compañías como 3M. Tomás Thibaud, su general counsel para la Argentina y Uruguay señala que el manejo de los fraudes internos es parte de una cultura de compliance encuadrada en un código de conducta y varias políticas y procedimientos que invitan a que se trabaje en la prevención. "Los empleados sabemos que a 3M la hacemos 80.000 empleados alrededor del mundo, desde hace más de 100 años, pero que una sola persona puede destruirla en tan solo un minuto", apunta en relación a esa cultura. De ocurrir un caso de fraude o violación a alguna de las políticas de comportamiento hay procesos establecidos que se respetan en todas las subsidiarias. "Siempre que se pueda resolver internamente lo resolveremos internamente, pero no se descarta el asesoramiento de especialistas en la materia, externos, dependiendo del caso de que se trate", marca el ejecutivo. "Todas las denuncias se investigan. No se puede asumir el riesgo de no investigar una denuncia, pues nunca se sabe en qué puede terminar, aunque estuviera basada en una sospecha o rumor", afirma. Además: "todos en la empresa cumplimos un rol para detectar un incumplimiento a nuestras políticas, ya que todos estamos obligados a reportar un caso si conocemos algo. De no reportarlo, de alguna manera se transforma en cómplice y ello también puede traer consecuencias". Para informar hay varias vías: se puede comentar el hecho a cualquiera que pueda ser útil como canal (supervisor, director del área, a recursos humanos, a legales y compliance, al presidente, o a alguien de la estructura internacional). También, para eso, hay líneas de contacto totalmente confidenciales (una línea 0800 y un canal web manejados por un proveedor externo).