Los informes corporativos proporcionan información vital sobre el desempeño empresarial, influyendo en una amplia gama de decisiones de inversores, reguladores, acreedores, clientes y otras partes interesadas. Estos informes pueden tener un impacto enorme en el valor y la reputación de una organización. Es fundamental que los usuarios confíen plenamente en su integridad, con la certeza de que los datos corporativos son fiables y los informes de auditoría son auténticos.
Actualmente, quienes acceden a la información financiera suelen carecer de una conexión verificable entre un informe regulatorio y su emisor o auditor. Históricamente, esta conexión se basa en afirmaciones de la empresa. Los usuarios deben aceptar los informes con confianza, lo que puede dar lugar a manipulación por parte de agentes malintencionados y a la desconfianza de los usuarios. Para abordar este problema, existe una creciente necesidad de establecer un mayor nivel de confianza digital en la información corporativa.
Si bien podríamos considerar razonablemente que el riesgo de que la gerencia manipule un informe de auditoría antes de presentarlo al regulador es remoto, tales incidentes, aunque poco frecuentes, pueden tener un impacto significativo. Además, con el auge de la digitalización en todos los ámbitos de la vida, aumenta la preocupación por la ciberseguridad. El riesgo de que un informe corporativo (o un informe de auditoría relacionado) sea manipulado por un ciberdelincuente también es relativamente bajo, pero está aumentando a medida que la ciberdelincuencia se vuelve más sofisticada. El impacto de las acciones de un ciberdelincuente, tanto en términos de pérdidas potenciales para el emisor como en la confianza general en un mercado regulado, podría ser extremadamente grave. Por lo tanto, es hora de que los reguladores y los responsables políticos consideren medidas de protección adicionales.
Dado que la presentación de informes digitales es ahora la norma en la gran mayoría de los principales mercados, se requiere una solución digital para mitigar el riesgo de que se vea afectada la confianza en la información divulgada a los reguladores y las bolsas. En un mundo donde la información se intercambia y utiliza a escala global, necesitamos un estándar global de autenticación. Y a medida que la presentación de informes se vuelve más compleja y diversa —incluyendo, por ejemplo, la información sobre sostenibilidad junto con los estados financieros—, un enfoque detallado de la autenticación cobra cada vez más importancia.
La necesidad de confianza digital
La necesidad de un enfoque digital para generar confianza en la información corporativa es acuciante a nivel mundial, tanto para desalentar como para detectar el fraude, así como para garantizar la confianza de los usuarios. Los ejemplos que se presentan a continuación ilustran cómo puede producirse el fraude; si bien provienen de Estados Unidos, se pueden encontrar casos similares en otras jurisdicciones. En definitiva, es fundamental prevenir las actividades fraudulentas desde el principio, lo que requiere una conexión más sólida y fiable entre los informes, los emisores y los auditores.
Dos ejemplos de fraude descubiertos por la Comisión de Bolsa y Valores de Estados Unidos (SEC):
1. La SEC anunció que el 6 de agosto de 2001, Mark S. Jakob había sido sentenciado a 44 meses de prisión por el engaño de las acciones de Emulex y su papel en la difusión de un comunicado de prensa falso que causó estragos en el precio de las acciones de Emulex.
El Sr. Jakob se enfrentaba a una pérdida de casi 100.000 dólares como resultado de la venta en corto de acciones de Emulex Corporation y redactó el comunicado falso en un intento por encubrir sus pérdidas. El comunicado de prensa parecía provenir de Emulex y afirmaba falsamente que la SEC estaba investigando a Emulex, que el director ejecutivo de la compañía había dimitido y que la compañía estaba revisando y reduciendo sus ganancias del trimestre anterior. Al día siguiente, el 25 de agosto de 2000, varios medios de comunicación republicaron el comunicado de prensa. En un período de 16 minutos tras la republicación del comunicado falso, se negociaron 2,3 millones de acciones de Emulex y el precio se desplomó casi 61 dólares, de 103,94 a 43 dólares, lo que provocó que Emulex perdiera 2.200 millones de dólares en capitalización bursátil. Tras la suspensión temporal de la cotización por parte de Nasdaq, Emulex reanudó sus operaciones ese mismo día, una vez descubierto el engaño, y el precio se recuperó hasta cerrar en 105,75 dólares.
2. El 26 de enero de 2010, la SEC interpuso una demanda civil de interdicto contra Tsukuda-América Inc., una corporación de Indiana, y el Sr. John W. Petros, alegando fraude en relación con una oferta de acciones comunes de Tsukuda por valor de 600.000 dólares. Petros, único funcionario, director y accionista de Tsukuda, preparó y presentó la declaración de registro S-1 de Tsukuda para la oferta, la cual contenía declaraciones falsas y engañosas, así como documentos falsificados.
La declaración de registro de Tsukuda contenía un informe de auditoría falsificado, identificaba falsamente a una empresa agente de transferencia de acciones como agente de transferencia de Tsukuda, incluía una opinión legal y un informe geológico falsos, así como consentimientos simulados de un abogado y un geólogo que no existen, y contenía información financiera ficticia.
Ambos ejemplos reales ocurrieron hace algún tiempo, lo que quizás sea una muestra del trabajo realizado por los reguladores en materia de autenticación. Sin embargo, no es difícil imaginar que fraudes de este tipo, potenciados por las convincentes invenciones de los grandes modelos de lenguaje, podrían perpetrarse hoy a gran escala en todo tipo de mercados, y que los riesgos relacionados con el cibercrimen y la inteligencia artificial están aumentando.
Los distintos marcos regulatorios a nivel mundial han adoptado enfoques diferentes para autenticar informes. Algunos reguladores emplean medidas de seguridad mínimas, mientras que otros mantienen sistemas complejos y multicapa. Varios países han implementado la vinculación entre informes de auditoría y estados financieros mediante firmas digitales de Adobe. Sin embargo, es necesario replantearse este enfoque, dado que la presentación de informes se está digitalizando. La adopción generalizada de Inline XBRL, que ofrece la enorme ventaja de permitir la lectura de informes por ordenador, también implica que depender de mecanismos de firma en formato PDF ya no es viable. El mundo necesita un estándar internacional para la firma de informes digitales elaborados en XBRL.
Las firmas digitales, aplicadas de forma estandarizada, ofrecen la solución probada que necesitan los reguladores. Proporcionan una prueba verificable de que un documento fue firmado por la persona indicada, garantizando la no repudiación legal y la certeza de que no ha sido manipulado. Los casos mencionados ilustran la capacidad de personas malintencionadas para falsificar información. El uso de firmas digitales podría asegurar que solo un directivo legítimo de la empresa pueda firmar un comunicado de prensa, solo un auditor pueda firmar un informe de auditoría, etc., estableciendo un vínculo claro y rastreable con cada firmante. Es muy probable que las firmas digitales hubieran evitado estos casos de fraude o, al menos, hubieran permitido su detección en el momento de la presentación de la documentación.
Un nuevo estándar global para firmas digitales
El Grupo de Trabajo sobre Firmas Digitales en XBRL, o D6WG (sí, sabemos que no se nos da bien poner nombres), reúne a expertos de varios países. Se creó para abordar la necesidad global de generar confianza en los informes digitales basados en XBRL. El grupo tiene como objetivo proporcionar un enfoque estandarizado para la aplicación de firmas digitales a los informes XBRL.
El uso de firmas digitales ofrece la no repudiación, la autenticación y la integridad esenciales en el contexto de la información digital. Durante muchos años, XBRL International no incluyó un estándar de firma digital en su hoja de ruta, ya que se consideraba que existían demasiadas soluciones nacionales, a menudo regidas por legislación propia de cada jurisdicción. Sin embargo, los riesgos cibernéticos están aumentando, y la incorporación de requisitos de garantía específicos para las decisiones de etiquetado Inline XBRL en la UE y otros países ha puesto esta cuestión en primer plano.
El objetivo del D6WG no es crear una nueva tecnología de firma digital. Ya existen numerosas tecnologías, incluidas algunas que son obligatorias por ley a nivel nacional o regional. Más bien, el D6WG busca desarrollar enfoques coherentes para aplicar estas tecnologías de firma existentes a los informes XBRL.
¿Qué son exactamente las firmas digitales y qué beneficios ofrecen? En esencia, una firma digital criptográfica proporciona una prueba verificable de que un documento fue firmado por el firmante declarado, utilizando pares de claves. El firmante conserva una clave privada y pública o pone a disposición una clave pública de forma controlada. Gracias a los procesos de verificación que intervienen en la emisión de estos pares de claves, las firmas digitales demuestran la identidad de la persona que firma el documento al probar que posee una clave privada específica.
En otras palabras, si firmo un documento con mi clave privada, puedes tener la seguridad de que fui yo quien lo hizo, ya que puedes verificar mi firma con mi clave pública.
El proceso de firma digital toma como entrada el documento y la clave privada, generando un número muy grande que constituye la firma. Cualquier persona que posea el documento y la clave pública puede verificar la validez de la firma, es decir, que se creó utilizando la clave privada correspondiente a partir del mismo documento. Si el documento ha sufrido alguna modificación, el proceso de verificación fallará. Cualquier persona con la clave pública puede comprobar una firma digital, pero para crear una nueva firma se requiere la clave privada. Estos procesos básicos tienen 50 años de antigüedad y son la base del funcionamiento de internet, los cajeros automáticos y las aplicaciones bancarias, así como de muchos otros sistemas.
Al aplicar esta tecnología a XBRL, el estándar D6 propuesto permitirá a empresas, auditores, reguladores y otras partes interesadas confirmar sus aprobaciones sobre un informe de forma digital y permanente. Al ser neutral respecto al tipo de firma digital utilizada, se adapta a diversos requisitos comerciales y regulatorios. Una característica fundamental del estándar es que las firmas se invalidan si se realizan modificaciones posteriores al documento. Esto garantiza la integridad de los datos y facilita su trazabilidad, permitiendo a los usuarios rastrear el origen y el historial de la información reportada. Esto, a su vez, mejora la transparencia y la rendición de cuentas en los informes corporativos.
Otra ventaja del nuevo estándar reside en su granularidad. Permite múltiples firmas, vinculando cada una a la totalidad o a una parte de un informe XBRL. Una firma digital puede aplicarse al documento completo, a una sección, a una tabla o incluso a un dato específico. Las firmas en Inline XBRL pueden aplicarse a partes del documento legible, a datos específicos etiquetados digitalmente o a una combinación de ambos. Esta granularidad posibilita aprobaciones por niveles, donde todas las partes interesadas pertinentes aprueban las partes correspondientes del informe.
Por ejemplo, el director ejecutivo de una empresa puede firmar el informe anual completo, mientras que el director financiero y el auditor firman el informe financiero, una empresa especializada firma la sección de sostenibilidad, el secretario de la empresa firma el comunicado de resultados y el organismo regulador indica que recibió la copia firmada digitalmente en una fecha y hora específicas. Esto garantiza la no repudiación, dificultando que cualquiera de las partes niegue su participación. Además, deja claro dónde residen exactamente los límites de responsabilidad para cada sección de un informe complejo y permite que cada firmante solo atribuya el contenido específico que ha producido o auditado.
El primer resultado del D6WG fue un documento de requisitos que describe los criterios necesarios para implementar firmas digitales en informes XBRL. Posteriormente, se elaboró una nueva especificación XBRL, actualmente disponible como borrador de recomendación. Una de las preguntas que abordó el grupo de trabajo fue dónde deberían ubicarse las firmas digitales. La especificación permite almacenar las firmas dentro de un paquete de informe XBRL, de manera que se conserven de forma segura junto con los archivos del informe y se conecten a ellos, sin modificar los archivos en sí.
Además, la especificación permite el uso de firmas digitales basadas en la emisión controlada de certificados digitales. Esto requiere una infraestructura de clave pública (PKI) para emitir dichos certificados. La PKI verifica la identidad de las personas que los reciben (específicamente, pares de claves pública/privada), asegurando que sean quienes dicen ser. Normalmente, esto implica la presentación de un documento de identidad, como un pasaporte o un permiso de conducir, junto con diversa documentación justificativa. De este modo, la firma digital no solo demuestra que el firmante poseía una clave específica, sino también que dicha clave pertenece a una persona o entidad verificada.
En este contexto, se espera que el lanzamiento del LEI verificable (vLEI) por parte de la Fundación Global de Identificadores de Entidades Jurídicas (GLEIF) represente un avance significativo para facilitar la adopción global de la prueba de identidad digital en transacciones corporativas de todo tipo, incluyendo la presentación de informes corporativos. El LEI es un identificador de entidad jurídica consolidado que utilizan empresas de todo el mundo para identificarse, incluso en muchos sistemas de informes XBRL existentes. El vLEI es su contraparte digital, diseñado para la autenticación y verificación digital. Proporciona un mecanismo para vincular las claves privadas al LEI, a través de roles corporativos específicos. El vLEI está diseñado para permitir la prueba digital de que una persona específica desempeña un rol específico en nombre de una entidad jurídica específica, en un momento específico.
El uso de claves privadas vinculadas a un identificador como el vLEI permite garantizar que el documento fue creado por sus autores, auditado por los auditores designados y no ha sido modificado posteriormente. Además de facilitar la trazabilidad, este concepto de «no repudio» asegura que el firmante no pueda negar su participación, ya que la clave privada y la firma pueden verificarse. La única alegación que podría presentar es que su clave privada fue robada o accedida por otra persona, algo cada vez más difícil con la aplicación de medidas de ciberseguridad adecuadas.
Cómo frenar el fraude de raíz
Analicemos un ejemplo reciente donde las firmas digitales habrían resuelto preguntas clave y habrían tenido consecuencias muy diferentes. Un informe de 2023 generó serias preocupaciones sobre Tingo Group, una empresa que presentó una solicitud ante la SEC. Hindenburg Research declaró que apostaba a la baja contra Tingo Group porque consideraba que la empresa era una estafa evidente con estados financieros falsificados. El informe también destacó que los estados financieros presentados por Tingo Group estaban plagados de errores.
Según la SEC, el formulario 10-K de Tingo Group correspondiente al ejercicio fiscal 2022, presentado en marzo de 2023, reportaba un saldo de efectivo y equivalentes de efectivo de 461,7 millones de dólares en las cuentas bancarias nigerianas de su filial Tingo Mobile. En realidad, esas mismas cuentas bancarias tenían un saldo combinado inferior a 50 dólares al cierre del ejercicio fiscal.
Lo que hace que esta situación sea aún más intrigante es que el informe financiero fue auditado y los auditores emitieron una opinión favorable a Tingo Group. Hindenburg Research planteó dudas sobre si los auditores realizaron una auditoría exhaustiva.
Esto plantea dos preguntas importantes: ¿Fue realmente auditado el informe por los auditores que aparentemente afirmaron haberlo hecho? Si fue auditado, ¿era el documento que vieron los auditores el mismo que se presentó ante la SEC, o se modificó el informe después de la auditoría? Las firmas digitales podrían responder a estas preguntas sin esfuerzo. Habrían sido invaluables para verificar la autenticidad e integridad del informe financiero y de sus auditores.
Además, la integración del estándar D6 en el proceso de envío de informes haría prácticamente imposible que se presentaran informes falsificados. La necesidad de claves privadas válidas impide generar firmas digitales fraudulentas o, dicho de otro modo, atribuir la autoría de divulgaciones sin la autorización de la persona. Asimismo, cualquier modificación o manipulación del documento tras la firma se detectaría de inmediato, invalidando las firmas e impidiendo su envío.
¿Qué sigue?
La aplicación de firmas digitales a los informes digitales es un paso necesario para garantizar su integridad y autenticidad, y, por ende, para prevenir el fraude y fomentar la confianza en el panorama actual de la información financiera. Al estandarizar el uso de firmas digitales y aprovechar las tecnologías existentes, podemos establecer un enfoque global coherente para la firma de informes XBRL.
Numerosos reguladores y responsables políticos han manifestado un gran interés en la especificación D6. Una vez finalizada, prevemos que muchos reguladores estarán deseosos de utilizar el estándar.
La adopción generalizada de la especificación dependerá también de la experiencia de usuario desarrollada por los proveedores de software y requerirá una firma digital intuitiva y rentable. Animamos a los proveedores y demás partes interesadas a revisar la especificación, proporcionar comentarios y comenzar a sentar las bases para la implementación del estándar de firmas digitales.
También es momento de que diversos actores dentro de la cadena de suministro de información consideren si es necesario actualizar los flujos de trabajo existentes.
- ¿Deberían los reguladores, además de solicitar firmas digitales a la gerencia y a los auditores sobre las secciones pertinentes de los informes que se les presentan, añadir sus propias firmas digitales al informe? Esto proporcionaría una protección adicional contra manipulaciones posteriores por parte de personas malintencionadas que hubieran accedido a sus sistemas, además de brindar mayor certeza sobre la autenticidad de cada documento corporativo presentado, en el que podrían confiar los inversores y en el transcurso de un litigio.
- ¿Deben los auditores replantearse algunas prácticas habituales? En algunas partes del mundo, se dan casos en los que la dirección modifica posteriormente un conjunto de estados financieros auditados y firmados, con el conocimiento del equipo de auditoría, pero sin que la firma auditora los vuelva a firmar, principalmente porque esto podría obligar al equipo a considerar hechos posteriores. El uso de firmas digitales sobre documentos XBRL haría imposibles este tipo de procesos.
- En términos más generales, todos debemos considerar cómo las firmas digitales transformarán los procesos actuales. Las firmas digitales ofrecen garantías extremadamente sólidas de que un documento no ha sido modificado desde su firma, lo que imposibilita realizar cambios menores e insignificantes en una etapa posterior. A las firmas digitales no les importa si triplicaste tus ingresos declarados o simplemente agregaste una coma que faltaba: cualquier cambio invalidará la firma. ¿Qué significa esto para tu práctica profesional?
Se prevé una amplia adopción global del nuevo estándar D6, lo que garantizará la confianza en los datos empresariales en la era digital. En un mundo de riesgos cambiantes y cada vez más sofisticados, ofrece una solución totalmente digital, rastreable y granular para la autenticación y el no repudio de informes, facilitando la prevención del fraude y fomentando la confianza del usuario.