En resumen
Durante tres años, un supervisor de almacén operó un sistema de desvío que procesó más de dos millones de pesos en mercancía. No hackeó ningún sistema. Solo entendió mejor que nadie cómo funcionaba el proceso de inventario.
Por qué importa
Rodrigo no era un criminal de carrera. Era un empleado que encontró una oportunidad y la aprovechó durante tres años porque nadie diseñó el sistema para que eso fuera imposible.
Durante tres años, un supervisor de almacén en una empresa distribuidora de consumo masivo operó un sistema de desvío que procesó más de dos millones de pesos en mercancía. No hackeó ningún sistema. No falsificó documentos complejos. Solo entendió mejor que nadie cómo funcionaba el proceso de inventario y encontró el espacio entre lo que el sistema registraba y lo que realmente ocurría.
Lo llamaré Rodrigo. Llevaba ocho años en la empresa cuando comenzó. Era el empleado que todos querían en su equipo: puntual, conocedor, resolutivo. El tipo de persona que, cuando había un problema, ya tenía la solución antes de que alguien terminara de explicar el problema.
El mecanismo
El sistema de inventario de la empresa registraba las entradas y salidas de mercancía, pero tenía un punto ciego: las devoluciones de clientes. Cuando un cliente devolvía producto, el proceso requería que el supervisor de almacén autorizara la recepción y actualizara el inventario. Rodrigo había aprendido que si la devolución se registraba como "producto dañado para destrucción", el sistema la cerraba sin requerir verificación física adicional.
Durante tres años, Rodrigo procesó devoluciones reales como "producto dañado para destrucción" y desvió el producto a un comprador externo que él mismo había conseguido. El sistema siempre cuadraba. Las auditorías siempre pasaban. Porque el sistema registraba exactamente lo que Rodrigo le decía que registrara.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
El fraude no explotó una vulnerabilidad técnica. Explotó la confianza que la organización había depositado en el proceso de autorización de un solo individuo. Rodrigo no era el problema. Era el síntoma de un diseño que concentraba demasiado control en una sola persona.
Cómo se detectó
No fue una auditoría. Fue un cliente que llamó a reclamar un crédito por una devolución que, según los registros de la empresa, nunca había ocurrido. El cliente tenía el comprobante. La empresa no tenía el producto. Alguien tuvo que explicar la diferencia.
Las lecciones
- ▸El proceso de devoluciones es uno de los puntos de mayor riesgo en operaciones de distribución — requiere controles específicos.
- ▸La autorización de un solo individuo para cerrar transacciones de alto valor es una vulnerabilidad de diseño.
- ▸Los sistemas que registran lo que el usuario les dice que registren sin verificación independiente son sistemas con puntos ciegos.
- ▸La detección por queja de cliente es la peor forma de detectar un fraude — significa que ya duró demasiado.
- ▸La confianza en el empleado más capaz es exactamente el sesgo que los defraudadores más sofisticados explotan.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.