Rubén Alejandro Uribe Rodríguez

1. Introducción 

La debida diligencia es un término ampliamente usado y su significado depende del contexto en el cual se mencione. Dentro del ambiente de la prevención de lavado de dinero, suele ser un término asociado con la obtención de información de los clientes de alguna institución bancaria. Dentro de las conocidas 40 recomendaciones del GAFI, tomando en cuenta las notas interpretativas, este concepto es mencionado en 40 ocasiones, lo cual habla del énfasis y la importancia que este tiene para el combate de lavado de activos.

Específicamente la Recomendación #10 que lleva por nombre “Debida diligencia y mantenimiento de registros” señala que las instituciones financieras deben emprender medidas de Debida Diligencia del Cliente (de ahora en adelante “DDC”) cuando, entre otras cosas, exista una sospecha de lavado de activos o financiamiento al terrorismo o la institución financiera tiene dudas sobre la veracidad o idoneidad de los datos de identificación sobre el cliente obtenidos previamente. La misma recomendación posteriormente señala que las medidas de DDC incluyen el identificar al cliente y verificar la identidad del cliente utilizando documentos, datos o información confiable, de fuentes independientes. Siguiendo con el mismo documento, la sección de “Medidas intensificadas de DDC” se señala que cuando los riesgos de lavado de activos o financiamiento del terrorismo sean mayores, debe exigirse a las instituciones financieras que ejecuten medidas intensificadas de DDC, en consonancia con los riesgos identificados, entre las que se sugieren la obtención de información adicional sobre el cliente (ej.: ocupación, volumen de activos, información disponible a través de bases de datos públicas, internet, etc.), y actualización con más sistematicidad de los datos de identificación del cliente y beneficiario final.  

En este sentido, la regulación mexicana en materia antilavado ha cubierto la Recomendación #10 a través de las leyes que indican a los sujetos obligados cuál es la documentación e información que deben de recopilar, tanto en la Ley Antilavado en las Reglas de Carácter General como en las Disposiciones de Carácter General del Artículo 115 de la Ley de Instituciones de Crédito, en donde se menciona que se deberá recabar mayor información y aplicar medidas adicionales de identificación en función del grado de riesgo. Esto se relaciona entonces con las DDC intensificadas que menciona el GAFI y como se señala ahí, entre las actividades a realizar se encuentra la información disponible a través de bases de datos públicas e internet.  

Habría que mencionar que el Grupo Wolfsberg y FinCen recomiendan la búsqueda de media negativa como parte de la DDC, por lo que la importancia de ello es ampliamente señalada por organismos de carácter internacional. La pregunta aquí sería ¿En qué consiste dicha DDC intensificada? 

1. Inteligencia de fuente abierta  

El Basel Institute on Governance, ha publicado en su sitio web un curso sobre “Inteligencia de fuente abierta” en la cual señala que “La inteligencia de fuente abierta es sumamente valiosa para la aplicación de la ley. Genera pistas, corrobora información recibida de otras fuentes y respalda pruebas utilizadas en los procesos judiciales. También es increíblemente útil para que las compañías y las instituciones financieras realicen valoraciones del riesgo y debida diligencia sobre clientes, empleados y terceros. Las fuentes abiertas se pueden utilizar para identificar fraudes o redes de falsificación, o para investigar las declaraciones de un denunciante. Por lo general, la inteligencia empresarial estratégica también está basada en datos de mercado de fuente abierta.”  

Al citar a este instituto, nos encontramos con un nuevo término: Inteligencia de fuente abierta, que por sus siglas en inglés también es conocido como OSINT (Open-source Intelligence) el cual es definido por ellos mismos como “la recolección, procesamiento y análisis sistemático de información de acceso abierto. Se refiere a información disponible para el público en general sin restricciones, como artículos de medios de comunicación, informes de investigación o registros corporativos en un registro mercantil público.” Con dicha definición, podemos inferir que realizar OSINT no solo implicar “googlear” a una persona o empresa, sino la posibilidad de utilizar una serie de herramientas y fuentes para recolectar la mayor cantidad de información de los clientes. Entre dichas herramientas se puede sugerir.  

1. Google Dorks -. Es una técnica que consiste en aplicar la búsqueda avanzada de Google para conseguir encontrar en Internet información concreta a base de ir filtrando los resultados con operadores conocidos como Dorks, que son símbolos que especifican una condición. 
2. Maltego -. Su principal función es visualizar relaciones entre entidades —como personas, correos electrónicos, dominios, direcciones IP, redes sociales y organizaciones— mediante gráficos interactivos que permiten identificar conexiones y patrones. 
3. Geolocalización -. A través de Google Maps y Google Earth, se puede hacer un análisis visual de ciertas ubicaciones. 
4. Social Searcher -. Es una herramienta de búsqueda pública que ayuda a los usuarios a descubrir menciones y contenido en toda la web, con un enfoque en temas relacionados con redes sociales.
5. Búsqueda inversa de imágenes. Permite identificar el origen de una imagen o encontrar imágenes similares en Internet.

Si hacemos una búsqueda en sitios web, cursos, videos de Youtube y otros medios sobre “OSINT” podremos encontrar una gran cantidad de herramientas, tales como SpiderFoot,, Pipl, OpenCorporates, Aleph, entre otros, algunos gratuitos y otros de paga, cada una con sus propias características y ventajas.

1. Conclusiones y uso ético.  

Un ejemplo muy famoso de un uso exitoso de OSINT, citado por el Basel Institute on Governance, es el de Jenny Ambuila, social media influencer, quien debido a unas fotografías publicadas en Instagram en donde presumía de artículos y vehículos de lujo, lo cual llamó la atención de las autoridades quienes descubrieron un esquema de corrupción y lavado de dinero en Colombia orquestada por ella y sus padres, lo cual llevó posteriormente a demostrar su culpabilidad y arresto. Esto nos muestra la gran utilidad que tiene para los sujetos obligados el dar mayor peso a la inteligencia de fuentes abiertas dentro de las investigaciones sobre los clientes, convirtiéndose en una herramienta más para mitigar riesgos. Finalmente hay que señalar que el uso de OSINT debe ser estrictamente dirigido sólo para la mitigación de riesgos dentro de nuestras instituciones y nunca debe ser usado para fines personales debido a las graves violaciones a la privacidad e intimidad que esto puede representar.

Asimismo, si un Oficial de cumplimiento quisiese explorar alguna de estas herramientas dentro de su institución, es imperativo que esto se consulte y autorice con áreas internas relacionadas con tecnología, ética, ciberseguridad y privacidad de datos personales, de forma que su uso se rija a través de principios éticos y normativos que aseguren la protección de los derechos individuales, la legalidad del proceso y la confiabilidad de la información recolectada.