El fraude ISO: transparencia y compliance para construir confianza

Las auditorías de certificación que otorgan prestigiosos organismos como ISO o NIST son una herramienta de mejora y, sin embargo, muchas compañías no tienen ningún pudor a la hora de falsearlas.

Procesos rigurosos para apuntalar la confianza del consumidor 

E

n los círculos corporativos, las certificaciones ISO son un distintivo de honor, destinado a simbolizar una garantía de calidad, responsabilidad medioambiental o destreza en ciberseguridad. La Organización Internacional de Normalización (International Organization for Standardization, ISO) ha confeccionado meticulosamente estas certificaciones para convertirlas en un referente global de excelencia. Sin embargo, bajo el brillo de esta industria yace una verdad inquietante. 

Muchas empresas tecnológicas exhiben certificaciones ISO manipuladas o directamente falsas, usándolas como herramientas para ganar ventaja competitiva, atraer inversiones o influir engañosamente en los consumidores para que confíen en sus productos y servicios. Las tretas para poseer un núcleo de certificaciones fuerte pero ficticio se reflejan directamente en la calidad de sus soluciones de onboarding digital o video identificación. Al no cumplir con ciertos estándares, se debilitan los protocolos KYC (Know Your Customer o Conozca a su cliente) y AML (Anti-Money Laundering o Anti-Blanqueo de Capitales). Nuestros especialistas le informarán sobre las mejores estrategias para reforzar el KYC. 

El camino para obtener una certificación ISO legítima no es precisamente superficial: exige una dedicación sólida y un proceso riguroso. Por eso, en muchos casos se utilizan textos engañosos o fraudulentos para conseguir objetivos por la vía más rápida. 

China: la farsa ISO 9001 que dinamita el compliance 

En 2018 se publicó un amplio estudio¹ que ponía de manifiesto que las empresas chinas falseaban el certificado de calidad ISO 9001. El informe, firmado por Iñaki Heras-Saizarbitoriam de la Universidad del País Vasco (UPV), en colaboración con la Université Laval de Quebec, nos sirve como ejemplo paradigmático de ciertas prácticas que contaminan la actividad empresarial a gran escala.  

La norma ISO 9001 que protagoniza este caso establece requisitos para un sistema de gestión de calidad eficaz en las organizaciones. Su objetivo es mejorar la calidad de productos y servicios, lograr eficiencia operativa, gestionar riesgos y promover la mejora continua y el compliance más rígido. Para los proveedores de soluciones de autenticación de usuarios o banca digital es esencial colocarse al lado de normas de este tipo. 

El estudio llega a la conclusión de que los certificados de calidad ISO 9001 falsos están muy extendidos en las empresas chinas y que los procesos de certificación llevados a cabo por las auditoras carecen de credibilidad. Heras y su equipo denunciaban que un alto porcentaje de los productos y servicios chinos analizados no cumplían con las especificaciones necesarias para ser valedores de la ISO 9001 y señalaban diversos métodos de manipulación: 

• Creación directa en Photoshop. 
• Obtención fraudulenta del certificado oficial, declarando que se siguen procedimientos específicos, aunque en realidad no se cumplan, solo con el fin de superar la auditoría externa. 
• Compra del certificado oficial sin desarrollar sistema o proceso alguno. 
• Adquisición del certificado de un organismo no acreditado. 

Además, el informe también subrayaba que se trata de un problema que permea en muchos otros países. En algunos territorios, como en Pakistán o Rusia, la situación es particularmente grave. 

Responsabilidad compartida contra el fraude 

Empresas sin escrúpulos, auditores corruptos y un público carente de conciencia sostienen el engaño, cuyas ramificaciones son profundas. Socava la confianza en todo el sistema de certificación, devaluando así las certificaciones ISO obtenidas de manera genuina y engaña a los consumidores que dependen de estos sellos de confianza al tomar decisiones críticas sobre productos y servicios. Su bienestar financiero y, en algunos casos, su seguridad, penden de un hilo. 

En ocasiones nos encontramos con páginas web de compañías, en especial del sector tecnológico, que no incluyen sellos directamente falsos, pero que hacen un uso torticero de la información para llevar a engaño al visitante y arrogarse virtudes que no ostentan u ostentan a medias. Al no cumplir con todos los requisitos de forma continua o al activar tan solo una parte de una norma existe la posibilidad de que el consumidor sufra una falsa sensación de respaldo.  

Algunas compañías eligen obtener certificaciones en normas ISO que no se relacionan directamente con su actividad principal, desviando así la atención de aspectos esenciales de su funcionamiento.  

También encontramos otro problema que surge cuando las empresas deciden utilizar incorrectamente el logotipo de la norma ISO (u otro organismo), lo que confunde a los clientes y mina la reputación al presentar una imagen engañosa de cumplimiento normativo. Esta táctica suele acompañarse de textos en los que se explica que se están realizando los trámites pertinentes o que se han superado auditorías similares, quizá de menor valor.  

La respuesta a esta problemática recae en la adopción de medidas estrictas para prevenir y castigar la falsificación de certificaciones. Instituciones que otorgan estas acreditaciones deben poner en marcha procedimientos rigurosos de verificación y sancionar a quienes violen la integridad de estas acreditaciones. La transparencia y la comunicación son clave para exponer prácticas engañosas y proteger a los consumidores. 

Defender la transparencia para ofrecer los mejores servicios de onboarding 

TrustCloud ha establecido un sólido conjunto de certificaciones que respaldan y validan su destacada trayectoria como una empresa tecnológica responsable y confiable. Estas certificaciones abarcan una variedad de áreas cruciales, desde la resiliencia organizativa (ISO 22316), la detección de ataques de presentación (ISO 30107) o la gestión de la seguridad de la información (ISO 27001) hasta la robustez de sus soluciones de biometría, de identificación digital, VideoID o firma electrónica (ETSI 119 461, CFR 21 parte 11, etc.) A través de estos certificados, TrustCloud demuestra su compromiso constante con los más altos estándares de calidad y seguridad en todos sus departamentos y etapas operativas. 

Las mejores prácticas en ciberseguridad y la protección de datos sensibles se sitúan en el centro de cada decisión y es por eso que TrustCloud busca superar las directrices más respetadas: no solo ISO, sino también NIST, eIDAS o LINCE. Además, su responsabilidad con la privacidad y la libertad individual se alinea con los preceptos del Código de Nuremberg.  

Este repertorio de certificaciones no es estático. TrustCloud se esfuerza continuamente por mantenerse al día con las últimas tendencias tanto en identificación electrónica o procesos de onboarding como en estándares de seguridad, garantizando las líneas de actuación más exigentes en materia de sostenibilidad, innovación, transparencia y humanismo tecnológico.

 Solicite información sobre la plataforma más certificada a nivel global. 

Las certificaciones deben ser un símbolo de progreso auténtico, no un método para enmascarar deficiencias. La auditoría, cuando se utiliza correctamente, puede ser la brújula que guía a las empresas hacia una mayor eficiencia, seguridad y calidad en todos los niveles. 

¹ Faking ISO 9001 in China: an exploratoty study | Iñaki Heras Saizarbitoria, Olivier Boiral. 2018.