Es lunes por la mañana en un proveedor de atención médica ocupado. El equipo de cuentas por pagar está inmerso en las facturas de los proveedores médicos, las aprobaciones de nómina y las solicitudes urgentes de los jefes de departamento. En medio de la avalancha de correos electrónicos, destaca un mensaje: un proveedor confiable está actualizando los detalles de su cuenta bancaria y necesita realizar el cambio antes de la siguiente ejecución de pago. La solicitud parece completamente legítima: el logotipo del proveedor está presente, la dirección de correo electrónico parece correcta y el mensaje menciona un pedido en curso de equipos de laboratorio. Ante la presión del tiempo, el especialista de AP introduce los datos de la nueva cuenta bancaria y continúa.
Dos semanas después, el proveedor llama y pregunta por qué se han detenido los pagos. Sólo entonces el equipo se da cuenta de que han enviado miles de dólares no reembolsables a un estafador. Lo que parecía una simple “tarea” se ha convertido en una crisis que podría haberse evitado mediante procedimientos más estrictos para revisar las solicitudes de cambio de cuentas bancarias.
Por qué las solicitudes de cambio de cuentas bancarias falsas son más difíciles de detectar
A primera vista, las solicitudes de cambio de cuenta no parecen un gran riesgo; después de todo, los proveedores actualizan constantemente sus datos. Pero los estafadores han descubierto que los departamentos de cuentas por pagar, particularmente en el sector de atención médica, a menudo están sobrecargados y tienen un ancho de banda limitado para revisar las actualizaciones. Esto hace que las solicitudes de cambio de cuenta bancaria sean un importante vector de ataque. Son lo suficientemente rutinarios como para no levantar sospechas, pero si tienen éxito pueden desviar fondos directamente a la cuenta de un delincuente.
Los estafadores son más sofisticados que nunca. Tus deseos:
- Imita la comunicación real. Los atacantes utilizan direcciones de correo electrónico falsas o comprometen direcciones de correo electrónico legítimas, lo que hace que los mensajes sean casi indistinguibles de la correspondencia real con los proveedores. Estos correos electrónicos fraudulentos a menudo contienen los logotipos, el formato e incluso el estilo de escritura correctos, lo que puede engañar incluso a los empleados experimentados de AP. A medida que los ciberdelincuentes perfeccionan sus tácticas, los métodos tradicionales para detectar errores tipográficos o textos inusuales ya no son confiables.
- Utilice la urgencia y la confianza. Las solicitudes suelen tener un plazo ajustado o son de nivel superior, lo que obliga a los equipos de AP a actuar rápidamente y sin escrutinio. Los estafadores saben que las organizaciones de atención médica dan prioridad a la atención al paciente y las relaciones con los proveedores, por lo que ejercen presión para que la solicitud parezca legítima. Esta táctica juega con el comportamiento humano y crea un entorno en el que los empleados de cuentas por pagar y finanzas sienten que no pueden retrasar ni cuestionar el cambio.
- Aprovechar la complejidad. Con miles de proveedores, es difícil para el personal conocer cada contacto, lo que facilita que se escapen solicitudes fraudulentas. Los estafadores aprovechan esta complejidad apuntando a proveedores que tienen menos probabilidades de estar involucrados, asumiendo que los empleados no notarán la diferencia. Cuanto más grande y descentralizada sea la organización, mayor será el riesgo de que se pase por alto una solicitud falsa.
- Evite los controles tradicionales. Una simple devolución de llamada no es suficiente si los estafadores falsifican números de teléfono o se hacen pasar por contactos conocidos. En algunos casos, incluso obtienen acceso a cuentas de correo electrónico legítimas, por lo que una llamada al contacto “normal” termina en manos del estafador. Esto crea una falsa sensación de seguridad y pone a los equipos de AP en riesgo de fraude.
Mejores prácticas que marcan la diferencia
La buena noticia es que las organizaciones sanitarias no tienen por qué seguir siendo vulnerables. Al adoptar mejores prácticas más sólidas y consistentes, los líderes financieros y de AP pueden dificultar el éxito de los estafadores. Estas no son sólo protecciones “agradables de tener”: son defensas importantes en un mundo donde los ciberdelincuentes atacan activamente a los proveedores de atención médica debido a sus altos volúmenes de transacciones.
A continuación se detallan las mejores prácticas que pueden ayudar a proteger una empresa de solicitudes de cambio de cuenta falsas:
- Validar siempre fuera del canal de solicitud. Nunca confíes únicamente en los correos electrónicos o formularios. Verifique los cambios utilizando un método de contacto independiente y confiable. Si recibe una solicitud por correo electrónico, utilice el teléfono y llame a un número de contacto conocido y verificado, no el proporcionado en la solicitud. Este paso puede parecer pequeño, pero a menudo marca la diferencia entre luchar contra el fraude y perder fondos.
- Utilice aprobaciones de varios niveles. Exija una segunda persona para cualquier cambio de cuenta bancaria, especialmente para proveedores grandes o sensibles. Los segundos revisores a menudo notan detalles que la primera persona pasó por alto, especialmente cuando se aplica presión o urgencia. Este control adicional genera responsabilidad y reduce la probabilidad de que un solo error resulte en grandes pérdidas.
- Mantener registros centralizados de proveedores. Mantenga información de contacto actualizada y verificada en un sistema seguro para que los empleados siempre sepan a quién deben llamar. Una base de datos centralizada reduce la dependencia de la memoria, las notas adhesivas y las hojas de cálculo obsoletas, que son las principales fuentes de errores. Al mantener actualizados los datos de los proveedores, resulta mucho más difícil que penetren datos fraudulentos.
- Capacitar al personal de AP y finanzas. La capacitación periódica garantiza que los empleados reconozcan las señales de advertencia y resistan las tácticas de urgencia. La capacitación debe incluir ejemplos del mundo real de solicitudes fraudulentas para ayudar a los empleados a desarrollar instintos para reconocer comportamientos sospechosos. Es más probable que los empleados capacitados cuestionen las solicitudes inusuales y las envíen para una revisión adecuada.
- Introduzca herramientas automatizadas para verificar su cuenta bancaria. La tecnología puede eliminar el error humano y ampliar la protección a medida que crece la base de proveedores de una empresa. Las herramientas automatizadas comparan las solicitudes en tiempo real con fuentes de datos confiables, proporcionando una capa de protección que los procesos manuales no pueden brindar de manera consistente. Esto les da a los gerentes financieros la tranquilidad de saber que cada solicitud ha sido revisada cuidadosamente antes de cambiar los pagos.
Cómo la automatización ayuda a detener el fraude en su origen
Si bien las mejores prácticas proporcionan una base sólida, es la verificación automatizada de cuentas bancarias la que hace que la prevención del fraude pase de reactiva a proactiva. Los departamentos de finanzas y cuentas por pagar de atención médica administran cientos o incluso miles de transacciones cada semana, y no es realista esperar que empleados humanos revisen manualmente cada solicitud de cambio de cuenta bancaria con el mismo nivel de cuidado. La automatización aumenta la velocidad, la escalabilidad y la coherencia del proceso y garantiza que no se realicen solicitudes fraudulentas.
La verificación automatizada de cuentas bancarias proporciona una protección más sólida, rápida y confiable a través de:
- Confirmación inmediata de propiedad. La automatización verifica los detalles de la cuenta bancaria con fuentes de datos confiables para confirmar que la cuenta realmente pertenece al proveedor. Esto elimina las conjeturas y la dependencia de documentos proporcionados por los proveedores que pueden falsificarse fácilmente. El resultado es una claridad inmediata sobre si la solicitud de cambio es segura o fraudulenta.
- Reducir la carga de trabajo en las áreas de cuentas por pagar y finanzas. La automatización elimina la necesidad de devoluciones de llamadas manuales o comunicación de ida y vuelta. En cambio, el personal de cuentas por pagar puede centrarse en tareas de mayor valor, como análisis e informes. Sólo en términos de ahorro de tiempo, la verificación automática de cuentas bancarias puede amortizarse en cuestión de semanas.
- Garantizar la continuidad. La verificación automatizada de cuentas bancarias aplica los mismos estándares a cada solicitud sin depender del juicio o la memoria individual. La verificación manual de cuentas bancarias deja demasiado margen para errores humanos, especialmente cuando los empleados están ocupados o bajo presión. La automatización proporciona coherencia y garantiza que no haya atajos ni descuidos.
- Creación de una pista de auditoría. La automatización proporciona documentación que demuestra que se ha realizado la verificación, lo cual es esencial para el cumplimiento y las auditorías en entornos sanitarios altamente regulados. Este historial es invaluable cuando se trata de demostrar la debida diligencia ante reguladores o auditores. También ayuda a proteger la reputación de su empresa al demostrar un fuerte compromiso con la seguridad.
Un escenario más seguro con mejores prácticas
Compare el “día de la vida” anterior con un día en el que las mejores prácticas y la automatización son parte del trabajo estándar. Llega una solicitud falsa, pero esta vez el sistema marca automáticamente la solicitud para revisión, verifica la propiedad y falla el intento del estafador. Se alerta al equipo de AP, los fondos permanecen seguros y la organización evita un error costoso. En lugar de reaccionar ante el fraude a posteriori, este proveedor de atención médica va un paso por delante: protegiendo a sus proveedores, salvaguardando sus finanzas y fortaleciendo el papel de AP.
Pensamiento final
Las solicitudes falsas de cambio de cuentas bancarias no son sólo otra casilla de verificación en una lista de prevención de fraude: son una de las amenazas más inmediatas y peligrosas que enfrentan los equipos de atención médica de AP en la actualidad. Un solo error puede tener consecuencias financieras y de reputación devastadoras. Al combinar la vigilancia del personal con la verificación automatizada de la propiedad de las cuentas, los líderes financieros pueden transformar las cuentas por pagar de un objetivo vulnerable a una sólida primera línea de defensa, manteniendo a la organización enfocada en la atención al paciente.
Foto: Kentoh, Getty Images
Phil Binkow es director ejecutivo de Financial Operations Networks (FON), desarrollador de VendorInfo, información de facturación y el Centro de Excelencia en Gestión de Información de Proveedores, un conjunto líder de plataformas de software como servicio que permite a los equipos financieros incorporar, revisar y gestionar proveedores con confianza, reducir costos y riesgos y fortalecer el cumplimiento.
Antes de fundar Financial Operations Networks, Phil fue el fundador y director ejecutivo de PayTECH, una plataforma líder en procesamiento de facturas electrónicas, pagos y análisis de gastos para empresas como Oracle, Cisco, Gap, Charles Schwab, JP Morgan Chase y NCR. Bajo la dirección de Phil, PayTECH creció hasta procesar y pagar más de 100 millones de facturas al año. En 2002, FON fundó Accounts Payable Network (TAPN), que se convirtió en la organización de certificación y capacitación en cuentas por pagar más grande del mundo.
Este artículo aparece en el Influencer de MedCity Programa. A través de MedCity Influencer, cualquiera puede publicar sus puntos de vista sobre negocios e innovación en la atención médica en MedCity News. Haga clic aquí para descubrir cómo.
