La Universidad Pablo de Olavide celebró el pasado 4 de abril una jornada de formación sobre Integridad Institucional en la gestión universitaria. Un programa impulsado por la Gerente de la Institución, Concepción Martín Brenes, que se enmarca también dentro del programa de formación antifraude que se han impuesto muchas Administraciones receptoras de fondos procedentes del PRTR, aquí con la generosidad del Alma Mater que permitió acudir al evento a funcionarios de otras universidades, e incluso se retransmitió en directo a los matriculados que así lo demandaron. Magnífica y destacable iniciativa en la que tuve el honor de participar.
El ciclo del fraude fue analizado desde la óptica del derecho penal por Silvia Mendoza Calderón, profesora de ese área y directora de Postgrado de la UPO que pasó revista también a la reciente jurisprudencia que puede aportar luz a la gestión universitaria siempre desde el conocido principio de política criminal de intervención mínima.
Entre las sentencias analizadas encontramos la emitida por el Tribunal Superior de Justicia de Andalucía, de 12 de julio de 2022 que condenaba por malversación de caudales públicos al vicerrector de que pagó con dinero público multitud de consumos (17.122,65 euros) en restaurantes, transportes u otras disposiciones que en realidad eran puramente privadas. Cuatro años y ocho meses de prisión así como penas de inhabilitación para cargo público relacionado con la dirección y representación universitaria y con la administración de fondos públicos durante ocho años, que fueron recogidos por la prensa con gran alarma sobre la gestión.
Inteligencia artificial y fraude
La Profesora Titular del Departamento de Lenguajes y Sistemas Informáticos de la Universidad de Granada, Belén Prados Suárez, tituló su ponencia “Univers-IA: fraudes, valores, retos y oportunidades” y presentó con crudeza un panorama bastante delicado de los peligros que acechan a las universidades. Al terminar su brillante alocución se hizo un silencio que sólo interrumpió un asistente afirmando desde su butaca «¡Que bien se vive en la ignorancia!». En efecto, en la comisión de fraudes con esta tecnología nueva (pero viejos los objetivos) la diferencia estriba en que la IA facilita el trabajo, permite hacer ataques más complejos y dificulta la detección.
Así, frente al clásico fraude del CEO, la suplantación de identidad es casi indetectable. El INCIBE narra algún caso sorprendente. Empiezan a usarse claves internas en videoconferencias (comenzar siempre hablando de la fabada o del Atleti) pues la IA permite dirigir un ataque más realista, convencer con mayor personalización y calidad: “Ya no es un e-mail genérico con faltas de ortografía. Tenemos correos perfectamente redactados o conversaciones telefónicas con tono reconocible”, dijo alertando de los e-mails de proveedores habituales o de la universidad hacia los alumnos reclamando el pago de tasas. En la Dark Web se puede encontrar proveedores que por unos cientos de dólares facilitan las herramientas. No sigo por si hay ropa tendida.
En el ámbito más académico, estas herramientas permiten, desde generar falsos expedientes académicos para la contratación irregular hasta generar peticiones y facturas falsas de proveedores habituales.
De las muchas herramientas preventivas que presentó la ponente, me quedé con FraudGPT que ya es la IA anti-fraude más avanzada, premiada en Europa por la World Compliance Association como la mejor solución antifraude del mundo y reconocida por ACFE en Estados Unidos como la tecnología más relevante basada en el triángulo del fraude.
El Real Decreto 311/2022 regula el Esquema Nacional de Seguridad (ENS) dedicando el capítulo IV a la auditoría de la seguridad y al informe del estado de la seguridad que se desarrolla íntegramente en el artículo 31, detallando las características del procedimiento de esa auditoría, así como de los correspondientes informes preceptivos, que intuyo nadie está realizando. Leer el citado artículo 31 nos vendrá bien: “serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS”. Ahí os lo dejo. El tema será recurrente en los próximos años.
Así, por ejemplo, la Sindicatura de Cuentas de la Comunidad Valenciana ha incluido dentro de su programa de trabajo (epígrafe 6) para 2024 que se realizará en las cinco universidades públicas de la región «una auditoría de la gobernanza de la ciberseguridad de acuerdo con la guía GPF-OCEX 5314, titulada Gobernanza de la ciberseguridad y su auditoría”.
Replica a Ronda de enlaces (8/04/2024) – Obiter dicta Cancelar la respuesta