Sistemas de Seguridad y Proteccin aplicados a los ATMs'

1
Sistemas de Seguridad y Protección aplicados a
los ATMs.

• Antecedentes y Situación Actual.

Juan Carlos Camacho Martínez Sub-comité de
Cajeros Automáticos ABM México Septiembre 1,
2008.
2
Sistemas de Seguridad y Protección aplicados a
los ATMs.
Esquemas de Protección Actual.
3
Antecedentes Regulatorios de Seguridad

• LEY REGLAMENTARIA DEL SERVICIO PÚBLICO DE BANCA Y
  CRÉDITO (1985-1990)
• Art. 76 Las sociedades nacionales de crédito
  deberán establecer medidas básicas de seguridad
  que incluyan la instalación y funcionamiento de
  los dispositivos, mecanismos y equipo
  indispensables, con objeto de contar con la
  debida protección en las oficinas bancarias para
  el público, sus trabajadores y su patrimonio.
• Art. 67 La instalación y el uso de equipos y
  sistemas automatizados, que se destinen a la
  celebración de operaciones y a la prestación
  especializada de servicios directos al público,
  se sujetarán a las reglas generales que dicte la
  SHCP.
• CIRCULAR 101-470 DE LA SHCP. REGLAS SOBRE LA
  INSTALACIÓN Y USO DE EQUIPOS Y SISTEMAS
  AUTOMATIZADOS.
• TERCERA. La instalación de cajeros automáticos,
  dispensadores de efectivo y otros equipos
  automatizados para su uso directo por el público,
  en lugares distintos a las oficinas bancarias y
  locales autorizados por la SHCP, sólo podrá
  realizarse cuando se permita el uso compartido a
  las demás sociedades nacionales de crédito.

4
Antecedentes Regulatorios de Seguridad

• REGLAS GENERALES QUE ESTABLECEN LAS MEDIDAS
  BASICAS DE SEGURIDAD, A QUE SE REFIERE EL
  ARTÍCULO 96 DE LA LEY DE INSTITUCIONES DE CRÉDITO
  (3-OCT-2003).
• SEXTA. Los cajeros automáticos ubicados en las
  Sucursales deberán observar lo siguiente
• Abastecerse desde el interior de la Sucursal,
• Contar con sistemas de grabación de imágenes,
• Contar con un programa de mantenimiento continuo
  a las puertas de acceso a dichos cajeros
  automáticos, y
• Contar con dispositivos y procedimientos que
  permitan identificar al usuario y a la operación
  que se realice a través de los cajeros
  automáticos.

5
Normativa Aplicable

• Normatividad
• UL 291 y 140 (Underwriters Laboratories Inc.)
• Normas de construcción de los cofres o cajas
  fuerte
• Equipo de Seguridad en cerraduras
• VISA, MASTER CARD y PROSA
• Encripción de Información de clientes
• Intercambio de información cliente-servidor
• Tiempos de respuesta en el intercambio de
  información
• Infraestructura
• Manual Tipo de la SHCP
• Anclaje
• Sistemas de alarmas
• Puerta con acceso controlado
• Señalización disuasiva
• Abastecimiento de efectivo en horario variable
• Dispositivos y procedimientos para identificar
  operaciones y usuarios

6
Situación Actual

• En términos generales los Bancos cubren con las
  Normas anteriores para los diferentes modelos y
  marcas de ATMs y se hacen esfuerzos para su
  homologación.
• Medidas Físicas
• Cofre de seguridad con 15 min. de resistencia al
  ataque físico
• Reforzamiento en bisagras, estructura de facias
• Peso mínimo vacío de 750 lbs.
• Anclaje al piso del cofre de seguridad
• Teclado antivandálico, Pantalla con filtro de
  privacidad y antivandalismo
• Cerradura electrónica con señal de amago
• Detección de objetos extraños en dispensador de
  efectivo
• Detectores de puerta abierta
• Detectores de temperatura y vibración en el cofre
• Detector de desprendimiento
• Medidas Electrónicas
• Prevención contra retención forzada de tarjeta
  (Anti-libaness loop )
• Sensores de bloqueo de puerta de efectivo, de
  entrega de efectivo
• Alarmas de falla al servidor central/Central de
  seguridad
• Encripción de datos sensitivos
• Seguridad de acceso y control de sistema y
  aplicativo

7
Regulaciones Aplicables
8
Regulaciones Aplicables
9
Principales riesgos que afectan a los ATMs

• Robo total del ATM por desprendimiento
• Robo hormiga de la dotación
• Robo a través de rutinas de mantenimiento
• Vandalismo
• Robo de partes y componentes
• Asalto al momento de dotar
• Atentados terroristas mediante la colocación de
  explosivos
• Sopleteado del cajero
• Ataque con herramienta de corte (esmeril)
• Fraude al tarjeta-habiente al ofrecerle ayuda
• Skimming de las tarjetas (skimmers, facias
  falsas, etc.)
• Lebaness loop en el lector
• Trampas en el dispensador del efectivo (tablillas)

10
Datos Estadísticos
11
Datos Estadísticos
12
Datos Estadísticos
13
Ejemplo Real de un ataque en Ensenada, BC
BOQUETAZO POR UNA COLINDANCIA AL LOCAL DEL ATM
VANDALIZADO CON SOPLETE PARA SUSTRAER EL EFECTIVO
14
Ejemplo Real de un ataque en una Empresa de
Terceros en el D.F.
CASETA DE LOS ATMs JUNTO A LA ENTRADA DE LA
EMPRESA EN IZTAPALAPA, D.F.
AMBOS CAJEROS FUERON VANDALIZADOS CON SOPLETE
15
Manual de Seguridad para ATMs

• Objetivo.
• Contar con un manual de seguridad física para los
  ATMs instalados tanto en recintos de terceros
  como en sucursales bancarias a nivel nacional,
  que responda a las necesidades de protección
  actuales en función de los principales modus
  operandis utilizados por la delincuencia para
  vandalizarlos y sustraer el efectivo o defraudar
  a los tarjeta-habientes.
• Tipos de medidas aplicables a los ATMs.
• Medidas indispensables de seguridad y
  protección.
• Medidas mínimas de seguridad y protección.
• Medidas concretas.

16
Niveles de Seguridad en los ATMs

• Criterios de aplicación
• Medidas Indispensables, son aplicables a todo
  cajero automático instalado que entre en
  operación a nivel nacional ya sea dentro de una
  sucursal bancaria o en un recinto de tercero.
• Medidas Mínimas, son aplicables a los cajeros
  automáticos instalados en recintos de terceros.
• Medidas Concretas, son aplicables a cajeros
  automáticos considerados de alta criticidad o
  riesgo por su ubicación geográfica (estado o
  ciudad con alta siniestralidad), lugar de
  instalación (tipo de sucursal, empresa o recinto
  de terceros donde se ubica), ubicación específica
  dentro de terceros (grado de exposición a ser
  vandalizado) y el tipo de servicio y facturación
  que registra que lo hacen especialmente atractivo
  para ser robado, así como la cantidad de ATMs
  concentrados en un mismo sitio.

17
Descripción de las Medidas de Seguridad

• Medidas Indispensables
• Verificar que el piso donde se ancle el ATM sea
  de losa de concreto armado de 6 de espesor
• Anclado al piso con por lo menos 4 puntos de
  fijación y tornillos de alta resistencia
• Proteger la base del ATM contra ataque de
  apalancamiento a través de mecanismos de
  protección perimetral de la base del equipo
• Contar con una protección física de los cables de
  alimentación y comunicación (gabinete metálico,
  ahogados en muro, tubería rígida, etc.)
• Área de atención al público del ATM con una
  iluminación adecuada
• Señalización disuasiva de seguridad
• Cofres de seguridad de los ATMs que cumplan con
  la Norma UL-291 con un nivel 1 como mínimo
• Contar con el kit básico de seguridad que los
  cajeros traen de forma nativa
• Sensor de puerta abierta (contacto magnético)
• Sensor de vibración/calor (detector de
  temperatura y/o vibración)
• Sensor de desprendimiento (sensor de arrastre)
• Sensor de amago (cajeros que cuentan con dial
  electrónico)
• Estos dispositivos conectados a una central de
  monitoreo 365/24
• Contratos de confidencialidad con todos los
  prestadores de servicio internos y externos del
  Banco que atienden los ATMs en cualquier de sus
  especialidades.

18
Descripción de las Medidas de Seguridad

• Medidas Mínimas
• El ATM debe estar retirado de talleres de
  mantenimiento o similares donde existan
  herramientas o equipo de corte que puedan ser
  usados para vandalizarlo
• Debe estar ubicado en una zona de la empresa que
  el área de seguridad del Banco identifique como
  de menor riesgo
• Estar retirado de zonas abiertas, patios de
  maniobra, pie de calle, estacionamientos, etc.
• No debe estar ubicado en pasillos de circulación
  peatonal ni vehicular
• Alejado de las salidas y ventanales o canceles, a
  excepción de los que están en sucursales
  bancarias
• Las cerraduras de la facia y puertas no seguras
  del ATM no deben tener combinaciones universales
• Las alarmas del cajero deben estar conectadas a
  la garita de seguridad o módulo de vigilancia de
  la empresa
• kit de sirena disuasiva con sirena de 117 dB
  instalada dentro de la parte segura del ATM y
  conectada a los dispositivos de alarma lógica de
  control del kit de la sirena
• Patrullaje por parte de la Policía Pública local,
  en donde las empresas o terceros permitan hacer
  la verificación del estado físico de los ATMs
• Supervisión constante de los ATMs por parte del
  personal de vigilancia de la empresa durante sus
  rondines y del área de seguridad del Banco al que
  pertenezca el cajero por lo menos una vez al año
  para corroborar que las condiciones de seguridad
  sigan siendo validas

19
Descripción de las Medidas de Seguridad

• Medidas Concretas
• Colocar burladeros metálicos perfectamente
  ahogados al piso a una distancia de cuando menos
  5 metros entre el ATM y el arrollo vehicular a
  fin de evitar que el cajero pueda ser jalado con
  facilidad por un vehículo
• El ATM deber ser instalado pegado a una pared de
  muro sólido, no dejando espacio entre la pared y
  el cajero automático para evitar que puedan
  lazarlo y jalarlo para desprenderlo
• Deberá instalarse en los caseteros del ATM un
  sistema de manchado de billetes que se dispare
  de forma automática ante el intento de horadación
  o desprendimiento
• En aquellos caos en donde se justifique podrá
  emplearse un sistema de protección del ATM a base
  de una bomba de humo que se dispare al
  vandalizar el cajero y no permita la visibilidad
  o bien usar aspersores de gas pimienta que
  desalienten la criminal a cometer el ilícito
• Dotaciones controladas de los cajeros automáticos
  (disminución de saldos)
• Sistemas de alarmas inalámbricas con monitoreo
  remoto GPRS
• Sistemas de Geo-referenciación satelital (GPS)
• Adicionalmente y a juicio de cada Institución
  Bancaria, podrán agregarse las medidas que
  consideren necesarias

20
Tendencias de la criminalidad en ATMs

• Tendencias Mundiales
• Mayor violencia para la comisión del ilícito con
  la participación de grupos delictivos (entre 4 y
  6 personas fuertemente armados)
• Uso de gas acetileno en Europa que se inyecta a
  los cajeros para al mezclarse con el oxígeno
  generar una chispa y volar la puerta del cofre
  blindado
• Uso de explosivos plásticos para abrir las cajas
  fuerte como en el caso de Sudáfrica
• Actualmente la forma más recurrente de vandalizar
  los cajeros es mediante el desprendimiento del
  piso, jalándolo con cadenas o cinturones de
  seguridad para llevárselo completo
• Hoy en día resulta mucho mas atractivo robar un
  ATM que asaltar una sucursal por los siguientes
  motivos
• Mayor cantidad de efectivo en su interior
  (1000,000 pesos en promedio por c/u)
• Mayor facilidad para la comisión de ilícito en
  recintos de terceros (no hay CCTV)
• Normalmente en una empresa hay mas de un cajero
  de distintos Bancos
• Existe la colusión de personal de las empresas o
  de los cuerpos policíacos locales