Sistemas de Seguridad y

Protección aplicados a los ATM

´s.Antecedentes y Situación Actual.

Juan Carlos Camacho Martínez Sub-comité de

Cajeros Automáticos ABM – México

Septiembre 1°, 2008.

Sistemas de Seguridad y Protección aplicados a los ATM´s.Esquemas de Protección Actual.

Antecedentes Regulatorios de Seguridad

LEY REGLAMENTARIA DEL SERVICIO PÚBLICO DE BANCA Y CRÉDITO (1985-1990)

• Art. 76 Las sociedades nacionales de crédito deberán establecer medidas básicas de seguridad que incluyan la instalación y funcionamiento de los dispositivos, mecanismos y equipo indispensables, con objeto de contar con la debida protección en las oficinas bancarias para el público, sus trabajadores y su patrimonio.

• Art. 67 La instalación y el uso de equipos y sistemas automatizados, que se destinen a la celebración de operaciones y a la prestación especializada de servicios directos al público, se sujetarán a las reglas generales que dicte la SHCP.

CIRCULAR 101-470 DE LA SHCP. REGLAS SOBRE LA INSTALACIÓN Y USO DE EQUIPOS Y SISTEMAS AUTOMATIZADOS.

• TERCERA. La instalación de cajeros automáticos, dispensadores de efectivo y otros equipos automatizados para su uso directo por el público, en lugares distintos a las oficinas bancarias y locales autorizados por la SHCP, sólo podrá realizarse cuando se permita el uso compartido a las demás sociedades nacionales de crédito.

Antecedentes Regulatorios de Seguridad

REGLAS GENERALES QUE ESTABLECEN LAS MEDIDAS BASICAS DE SEGURIDAD, A QUE SE REFIERE EL ARTÍCULO 96 DE LA LEY DE INSTITUCIONES DE CRÉDITO (3-OCT-2003).

• SEXTA. Los cajeros automáticos ubicados en las Sucursales deberán observar lo siguiente:

a) Abastecerse desde el interior de la Sucursal,

b) Contar con sistemas de grabación de imágenes,

c) Contar con un programa de mantenimiento continuo a las puertas de acceso a dichos cajeros automáticos, y

d) Contar con dispositivos y procedimientos que permitan identificar al usuario y a la operación que se realice a través de los cajeros automáticos.

Normativa Aplicable

Normatividad Normatividad

UL 291 y 140 (Underwriters Laboratories Inc.)• Normas de construcción de los cofres o cajas fuerte • Equipo de Seguridad en cerraduras

VISA, MASTER CARD y PROSA• Encripción de Información de clientes• Intercambio de información cliente-servidor• Tiempos de respuesta en el intercambio de información• Infraestructura

Manual Tipo de la SHCP• Anclaje• Sistemas de alarmas• Puerta con acceso controlado• Señalización disuasiva• Abastecimiento de efectivo en horario variable• Dispositivos y procedimientos para identificar operaciones y

usuarios

Situación Actual

En términos generales los Bancos cubren con las Normas anteriores para los diferentes modelos y marcas de ATMs y se hacen esfuerzos para su homologación.

Medidas Físicas • Cofre de seguridad con 15 min. de resistencia al ataque físico• Reforzamiento en bisagras, estructura de facias• Peso mínimo vacío de 750 lbs.• Anclaje al piso del cofre de seguridad• Teclado antivandálico, Pantalla con filtro de privacidad y antivandalismo• Cerradura electrónica con señal de amago• Detección de objetos extraños en dispensador de efectivo• Detectores de puerta abierta• Detectores de temperatura y vibración en el cofre• Detector de desprendimiento

Medidas Electrónicas• Prevención contra retención forzada de tarjeta (Anti-libaness loop )• Sensores de bloqueo de puerta de efectivo, de entrega de efectivo• Alarmas de falla al servidor central/Central de seguridad• Encripción de datos sensitivos• Seguridad de acceso y control de sistema y aplicativo

Regulaciones Aplicables

MATRIZ COMPARATIVA DE LAS PRINCIPALES REGULACIONES Y MATRIZ COMPARATIVA DE LAS PRINCIPALES REGULACIONES Y RECOMENDACIONES QUE APLICAN A LOS CAJEROS AUTOMATICOS DE LAS RECOMENDACIONES QUE APLICAN A LOS CAJEROS AUTOMATICOS DE LAS

DISTINTAS INSTITUCIONES FINANCIERAS EN MEXICO.DISTINTAS INSTITUCIONES FINANCIERAS EN MEXICO. ENTIDAD REGULATORIA

DESCRIP-CIÓN DE LAMEDIDA

MANUAL TIPO DE

SEGURIDAD Y

PROTECCIÓN BANCARIA

SHCP

VISAMASTER

CARDPROSA

UL 291 Y 140

SEGURIDADFISICA

EQUIPO ANCLADO AL PISOCUBICULO PARA LA

DOTACIÓN DE EFECTIVOCABLEADO DE

ENERGÍA Y DATOS PROTEGIDOILUMINACIÓN

SUFICIENTE TRANSPARENCIA DEL

CUBICULO DE CLIENTES DESDE LA CALLE

RECOMIENDA QUE UN ATM DEBE ESTAR DISPONIBLE LAS 24 HORAS DEL DIA LOS 7 DÍAS DE LA SEMANARECOMIENDA EL

USO DE TECLADOS NUMERICOS EN LOS ATMS

EL BANCO EMISOR DEBE ADVERTIR AL TARJETAHABIENTE QUE ÉL ES RESPONSABLE DE MEMORIZAR SU PIN, TOMAR LAS PRECAUCIONES PARA QUE NO SEA VISTO CUANDO LO TECLEE EN UN ATM, NUNCA COMUNICARLO VERBALMENTE, NO TECLEARLO EN UN CAJERO QUE NO PAREZCA GENUINO O TENGA ADOSADO ALGUN OBJETO SOSPECHOSO

EN LO POSIBLE EL ATM ESTARA LOCALIZADO EN VESTIBULOS DE ACCESO RESTRINGIDO AREAS DEL CAJERO

CONSTRUIDAS DE MATERIALES SÓLIDOS Y PUERTA DE BUENA CALIDAD CON MECANISMO INTERNO DE PROTECCIÓN CONTRA APERTURAEN LO POSIBLE

CONTARA CON VIGILANCIA NO UNIFORMADAVECINDAD DEL ATM

SEGURA E ILUMINADA

EL COFRE BLINDADO DEBE TENER UNA CERTIFICACIÓN UL TL15 O SEA 15 MINUTOS DE RESISTENCIA AL ATAQUE FÌSICOEL COFRE DEBE

CONTAR CON CUATRO OJIVAS DE ANCLAJE EN SUS CUATRO ESQUINAS EN EL PISO DEL MISMOCON DIAL DE

APERTURA ANTI-VANDÁLICO

Regulaciones Aplicables

MATRIZ COMPARATIVA DE LAS PRINCIPALES REGULACIONES Y MATRIZ COMPARATIVA DE LAS PRINCIPALES REGULACIONES Y RECOMENDACIONES QUE APLICAN A LOS CAJEROS AUTOMATICOS DE LAS RECOMENDACIONES QUE APLICAN A LOS CAJEROS AUTOMATICOS DE LAS

DISTINTAS INSTITUCIONES FINANCIERAS EN MEXICO.DISTINTAS INSTITUCIONES FINANCIERAS EN MEXICO.

ENTIDAD REGULATORIA

DESCRIP-CIÓN DE LAMEDIDA

MANUAL TIPO DE

SEGURIDAD Y

PROTECCIÓN BANCARIA

SHCP

VISAMASTER

CARDPROSA

UL 291 Y 140

SEGURIDADELECTRÓNIC

A

SENSORES DE PUERTA ABIERTA, DE TEMPERATURA Y DE VIBRACION-IMPACTO O DESPRENDIMIENTODIAL ELECTRONICO

CON CLAVE DE AMAGOCONECTADOS A UNA

CENTRAL DE MONITOREO DE ALARMASCONTROL DE

ACCESOS AL CUBICULO DE CLIENTESSISTEMA DE VIDEO

EN EL CUBICULO DE CLIENTES

LOS ATMS DEBEN CUMPLIR CON EL ESTANDAR DE UN SISTEMA TRIPLE DE ENCRIPCIÓN DE INFORMACIÓNEL ATM DEBE

TENER UN TAMPER DE DETECCIÓN DE CARACTERÍSTI-CAS QUE EVITE UNA INTRUSIÓN EXITOSA O EL DECIFRAMIEN-TO DE CLAVES ENCRIPTADAS

COMO MEDIDA DE SEGURIDAD ELECTRÓNICA DEL PROCESO DE ENTRADA DEL PIN EN EL ATM, DEBERA CONTAR CON UN SISTEMA QUE ENCRIPTE EL PIN MEDIANTE ALGUN ALGORITMO NÚMERICO

SISTEMA DE ALARMA CONTROLADO DE FORMA CENTRALIZADALA PUERTA DE ACCESO

CONTARA CON UN DISPOSITIVO LECTORLINEAS DE

COMUNICACIÓN Y ENERGÍA PROTEGIDAS, AISLADAS Y BLINDADAS, CABLEADO NO EXPUESTOCAJEROS CON

CONFIGURACIÓN A PRUEBA DE ASALTO O VIOLACIÓN FISICAEN ATMS DE LOBBY

TENDRAN CÁMARAS DE FOTOGRAFÍA O VIDEO

Principales riesgos que afectan a los ATMs

Robo total del ATM por desprendimiento

Robo hormiga de la dotación

Robo a través de rutinas de mantenimiento

Vandalismo

Robo de partes y componentes

Asalto al momento de dotar

Atentados terroristas mediante la colocación de explosivos

Sopleteado del cajero

Ataque con herramienta de corte (esmeril)

Fraude al tarjeta-habiente al ofrecerle ayuda

Skimming de las tarjetas (skimmers, facias falsas, etc.)

Lebaness loop en el lector

Trampas en el dispensador del efectivo (tablillas)

Datos Estadísticos

Datos Estadísticos

Datos Estadísticos

Ejemplo Real de un ataque en Ensenada, BC

BOQUETAZO POR UNA COLINDANCIA AL LOCAL DEL ATM

VANDALIZADO CON SOPLETE PARA SUSTRAER EL EFECTIVO

Ejemplo Real de un ataque en una Empresa de Terceros en el D.F.

CASETA DE LOS ATMs JUNTO A LA ENTRADA DE LA EMPRESA EN IZTAPALAPA, D.F.

AMBOS CAJEROS FUERON VANDALIZADOS CON SOPLETE

Manual de Seguridad para ATMs

Objetivo.

Contar con un manual de seguridad física para los ATMs instalados tanto en recintos de terceros como en sucursales bancarias a nivel nacional, que responda a las necesidades de protección actuales en función de los principales modus operandis utilizados por la delincuencia para vandalizarlos y sustraer el efectivo o defraudar a los tarjeta-habientes.

Tipos de medidas aplicables a los ATMs.

Medidas indispensables de seguridad y protección.

Medidas mínimas de seguridad y protección.

Medidas concretas.

Niveles de Seguridad en los ATMs

Criterios de aplicación:

Medidas Indispensables, son aplicables a todo cajero automático instalado que entre en operación a nivel nacional ya sea dentro de una sucursal bancaria o en un recinto de tercero.

Medidas Mínimas, son aplicables a los cajeros automáticos instalados en recintos de terceros.

Medidas Concretas, son aplicables a cajeros automáticos considerados de alta criticidad o riesgo por su ubicación geográfica (estado o ciudad con alta siniestralidad), lugar de instalación (tipo de sucursal, empresa o recinto de terceros donde se ubica), ubicación específica dentro de terceros (grado de exposición a ser vandalizado) y el tipo de servicio y facturación que registra que lo hacen especialmente atractivo para ser robado, así como la cantidad de ATMs concentrados en un mismo sitio.

Descripción de las Medidas de Seguridad

Medidas Indispensables:

Verificar que el piso donde se ancle el ATM sea de losa de concreto armado de 6” de espesor

Anclado al piso con por lo menos 4 puntos de fijación y tornillos de alta resistencia

Proteger la base del ATM contra ataque de apalancamiento a través de mecanismos de protección perimetral de la base del equipo

Contar con una protección física de los cables de alimentación y comunicación (gabinete metálico, ahogados en muro, tubería rígida, etc.)

Área de atención al público del ATM con una iluminación adecuada

Señalización disuasiva de seguridad

Cofres de seguridad de los ATMs que cumplan con la Norma UL-291 con un nivel 1 como mínimo

Contar con el “kit básico de seguridad” que los cajeros traen de forma nativa:Sensor de puerta abierta (contacto magnético)

Sensor de vibración/calor (detector de temperatura y/o vibración)

Sensor de desprendimiento (sensor de arrastre)

Sensor de amago (cajeros que cuentan con dial electrónico)

Estos dispositivos conectados a una central de monitoreo 365/24

Contratos de confidencialidad con todos los prestadores de servicio internos y externos del Banco que atienden los ATMs en cualquier de sus especialidades.

Descripción de las Medidas de Seguridad

Medidas Mínimas:

El ATM debe estar retirado de talleres de mantenimiento o similares donde existan herramientas o equipo de corte que puedan ser usados para vandalizarlo

Debe estar ubicado en una zona de la empresa que el área de seguridad del Banco identifique como de menor riesgo

Estar retirado de zonas abiertas, patios de maniobra, pie de calle, estacionamientos, etc.

No debe estar ubicado en pasillos de circulación peatonal ni vehicular

Alejado de las salidas y ventanales o canceles, a excepción de los que están en sucursales bancarias

Las cerraduras de la facia y puertas no seguras del ATM no deben tener combinaciones universales

Las alarmas del cajero deben estar conectadas a la garita de seguridad o módulo de vigilancia de la empresa

“kit de sirena disuasiva” con sirena de 117 dB instalada dentro de la parte segura del ATM y conectada a los dispositivos de alarma; lógica de control del kit de la sirena

Patrullaje por parte de la Policía Pública local, en donde las empresas o terceros permitan hacer la verificación del estado físico de los ATMs

Supervisión constante de los ATMs por parte del personal de vigilancia de la empresa durante sus rondines y del área de seguridad del Banco al que pertenezca el cajero por lo menos una vez al año para corroborar que las condiciones de seguridad sigan siendo validas

Descripción de las Medidas de Seguridad

Medidas Concretas:

Colocar burladeros metálicos perfectamente ahogados al piso a una distancia de cuando menos 5 metros entre el ATM y el arrollo vehicular a fin de evitar que el cajero pueda ser jalado con facilidad por un vehículo

El ATM deber ser instalado pegado a una pared de muro sólido, no dejando espacio entre la pared y el cajero automático para evitar que puedan lazarlo y jalarlo para desprenderlo

Deberá instalarse en los caseteros del ATM un sistema de “manchado de billetes” que se dispare de forma automática ante el intento de horadación o desprendimiento

En aquellos caos en donde se justifique podrá emplearse un sistema de protección del ATM a base de una “bomba de humo” que se dispare al vandalizar el cajero y no permita la visibilidad o bien usar aspersores de “gas pimienta” que desalienten la criminal a cometer el ilícito

Dotaciones controladas de los cajeros automáticos (disminución de saldos)

Sistemas de alarmas inalámbricas con monitoreo remoto GPRS

Sistemas de Geo-referenciación satelital (GPS)

Adicionalmente y a juicio de cada Institución Bancaria, podrán agregarse las medidas que consideren necesarias

Tendencias de la criminalidad en ATMs

Tendencias Mundiales:

Mayor violencia para la comisión del ilícito con la participación de grupos delictivos (entre 4 y 6 personas fuertemente armados)Uso de gas acetileno en Europa que se inyecta a los cajeros para al mezclarse con el oxígeno generar una chispa y volar la puerta del cofre blindadoUso de explosivos plásticos para abrir las cajas fuerte como en el caso de SudáfricaActualmente la forma más recurrente de vandalizar los cajeros es mediante el desprendimiento del piso, jalándolo con cadenas o cinturones de seguridad para llevárselo completoHoy en día resulta mucho mas atractivo robar un ATM que asaltar una sucursal por los siguientes motivos:

Mayor cantidad de efectivo en su interior ($1’000,000 pesos en promedio por c/u)Mayor facilidad para la comisión de ilícito en recintos de terceros (no hay CCTV)Normalmente en una empresa hay mas de un cajero de distintos BancosExiste la colusión de personal de las empresas o de los cuerpos policíacos locales