sábado, 8 de diciembre de 2007

Intercambio dinámico de llaves en ATMs y Redes

El intercambio dinámico de llaves tanto en los cajeros propios así como también con las redes interbancarias de cajeros automáticos, nace como producto de las normas de seguridad establecidas por los entes reguladores de las instituciones financieras, con la finalidad de mejorar la seguridad de las transacciones financieras especialmente en las redes de cajeros automáticos.

Entre otros, este fue uno de los proyectos que acabo de implementar exitosamente en uno de los más importantes bancos venezolanos y asimismo ya me encuentro analizando el pedido de otro banco que ha solicitado el mismo tipo de solución.

Como es conocido, todo tema relacionado con seguridad es muy sensible y delicado puesto que estamos hablando de reprogramar el funcionamiento de aquellas máquinas cuya función principal es dispensar dinero en efectivo ininterrumpidamente.

Hay varias formas de plantear soluciones a este tipo de requerimiento, una de las mas sencillas para mi hubiera sido recomendar la compra de hardware y software existente en el mercado para que con estos componentes se sincronicen e intercambien las llaves entre las cajas de seguridad (HSM), los cajeros y las redes y luego por mi lado tener que lidiar con el desarrollo de una interfase entre estos componentes y el aplicativo. Lógicamente que una solución de este tipo además de ser más costoso para el cliente también requería de gran cantidad de tiempo.

Como alternativa a la opción anterior propuse una solución integrada, de menor costo, no requería de hardware ni software adicional, pero si era necesario desarrollar un motor que permita operar y administrar en forma integrada esta nueva funcionalidad pegada al software aplicativo ya existente como es el ATMserver y ATMmonitor, esta última opción fue la que finalmente la dirección de tecnología la acepto, la apoyo y ahora se encuentra en funcionamiento.

miércoles, 21 de noviembre de 2007

Consejos para evitar fraudes en los ATMs

Las rebajas y, con ellas, el aumento de las compras hacen a esta época especialmente propicia para toda clase de robos y hurtos en los cajeros automáticos. Las cinco recomendaciones de Wincor Nixdorf evitarán posibles sustos en nuestras cuentas bancarias.

La vorágine de las rebajas, las prisas para hacernos con ese artículo que hemos visto en nuestra tienda favorita y las colas que se crean para pagar implican a veces que no pongamos todo la atención necesaria cuando nos acercamos al cajero automático a sacar el efectivo. La compañía alemana Wincor Nixdorf, uno de los principales proveedores mundiales en soluciones TI para el sector bancario y de la distribución, recuerda cuáles son las principales medidas de cautela para minimizar los riesgos en los dispensadores de las entidades bancarias.
1.- Seleccione atentamente el cajero desde el que va a operar. Evite máquinas que se encuentran en zonas peligrosas y especialmente si están poco iluminadas, en las que pueda tener dificultades para ver fácilmente el aspecto de la instalación, así como la ranura para la tarjeta o la pantalla.
2.- Verifique el estado del cajero antes de operar. Realice una vista general rápida del aparato para cerciorarse de que no existen objetos extraños, Si el cajero está dentro de la sucursal, preste atención también al lector de la tarjeta de la puerta de entrada. Si observa cualquier elemento extraño o sospechoso, busque otro cajero. No dude en entrar en la oficina, si está abierta, y solicitar ayuda, si es necesario.
3.- Al marcar su número secreto, tape las teclas con la otra mano, una cartera... Los ladrones no podrán visualizar la clave. Además, evite como contraseñas fechas de aniversarios, cumpleaños, que pueden ser fácilmente adivinables.
4.- No se fíe de los extraños. Si tiene problemas con su cajero o su tarjeta ha quedado retenida, llame al Servicio de Atención al Cliente de la entidad sin abandonar el lugar. Desconfíe de la gente que se ofrece a ayudarle o le dice que marcando un par de teclas y su número secreto puede solucionar el problema.
5.- Si cree que puede haber sufrido cualquier tipo de fraude en un cajero automático, llame a su entidad inmediatamente y cancele la tarjeta con la que operaba en el momento del hurto o pérdida de la misma.
Por ultimo, comentar que desde septiembre de 2006, Wincor Nixdorf cuenta en sus instalaciones con el software ProView, una solución capaz de detectar si se da cualquier tipo de manipulación sospechosa en el dispensador, enviando en ese caso una señal a la entidad para determinar las soluciones adecuadas e identificar a los implicados. La solución puede fotografiar al culpable, desactivar el cajero y crear un informe que envía al departamento de seguridad de la entidad.

Nota: Artículo tomado de la página de: http://www.terra.es/

Fraudes en cajeros automáticos

Existe una gran variedad de métodos utilizados para realizar fraudes en los ATMs.
A continuación dejo un link en donde se explica algunos de las formas utilizadas http://www.solotarjetas.com/tarjetas-de-credito/robos-cajeros-automaticos.htm

domingo, 18 de noviembre de 2007

Hacia donde va la banca ?

El hecho de que la automatización de los servicios bancarios cada día es mayor, especialmente en lo relacionado con los autoservicios en donde la percepción y confianza de los clientes ha mejorado notablemente, esta generando que los clientes ya no tengan que recurrir a las ventanillas ó taquillas de los bancos y esto es beneficio para ambas partes puesto que el proceso de las transacciones realizadas en la oficina son más costosas.

El hecho de que un banco ya no se vea abarrotado de gente esperando para efectuar sus transacciones, lleva a que las oficinas bancarias mas bien se conviertan en promotores y generadores del negocio, las oficinas ya no tendrán que adoptar medidas de seguridad extremas, cajas de seguridad, blindajes, manipulación de efectivo directamente, etc. Esto hace que una sucursal bancaria se convierta en un espacio abierto similar a una tienda o una isla de cualquier centro comercial.

Para que esto suceda será necesario la implementación de las máquinas multifuncionales que permitan dispensar y aceptar dinero, aceptar cheques, pagar servicios, realizar compras, transferencias, etc., lógicamente los lugares en donde se instalen este tipo de maquinas requerirán de mayor espacio y facilidades para discapacitados, no videntes, personas de la tercera edad, de tal manera que puedan realizar su transacciones en un ambiente de comodidad y seguridad.

miércoles, 7 de noviembre de 2007

El día en que salí de cacería...

Haces algunos años atrás, un banco ecuatoriano en el que yo trabajaba, estaba recibiendo una gran cantidad de reclamos por parte de sus tarjeta-habientes, puesto que en sus cuentas se mostraban débitos generados por retiros realizado en cajeros automáticos, generalmente los valores retirados siempre alcanzaban el cupo máximo que el cliente tenía asignado a su tarjeta.

Lógicamente en estos casos y con la finalidad de no generar desconfianza en el gran número clientes que tenía el banco, el banco internamente asumía la pérdida y devolvía el dinero a quienes habían reclamado previa una revisión básica de las características de la transacción. Sin embargo al interior del banco el área de tecnología encargada de los cajeros automáticos, del cual yo era su responsable así como el área de seguridad de sistemas teníamos la presión por parte de la alta gerencia de buscar la mejor solución a este grave problema.

Entre las varias acciones que tomamos una de ellas fue establecer estadísticamente las ubicaciones de los cajeros automáticos que tenían mayores reclamos por fraudes, ya anteriormente habíamos por optado por cifrar el número de cuenta y tarjeta que aparecen en el recibo tanto en nuestra red propia así como también en la red interbancaria de cajeros, realmente por ser una de las instituciones mas grandes del país tanto por el número de tarjetas como por el numero de cajeros en la red nos convertimos en los pioneros en el combate de este tipo de fraudes, incluso recuerdo haber realizado una reunión con los representantes de todos los bancos del país para tratar este tema.

Bueno, usando como base los resultados estadísticos y los patrones de fraude conjuntamente con las áreas de seguridad física y lógica del banco y la policía decidimos realizar operativos con la finalidad de capturar a los delincuentes y vaya que obtuvimos resultados positivos, en varios ocasiones se logro capturar a los delincuentes con las manos en la masa así como también descubrimos de que se trataba de una ó quizás más bandas debidamente organizadas y por lo general quienes caían en los operativos eran personas que probablemente de forma ingenua ó no eran utilizados por los verdaderos actores intelectuales de este tipo de fraudes.

Luego de capturar a los delincuentes venía la parte mas complicada, en particular solamente participe una sola vez en este tipo de diligencias, alguien del área técnica tenía que actuar como perito en los juzgados para demostrar el modus operandi y de esta forma legalizar la detención y posteriores trámites judiciales.

Incluso recuerdo aquellas ocasión y que fue bastante chistosa y anecdótica puesto que cuando ya estábamos listo para empezar el peritaje y la demostración técnica de cómo se llevaban a cabo los fraudes, al momento de solicitarle al policía la tarjeta confiscada producto del fraude resultó que dicho gendarme había engrapado la tarjeta justo en el lado de la banda magnética para adjuntarla al resto del informe, esto realmente me provoco risas y frustración el mismo tiempo…bueno lo positivo de esto es que ahora la policía ya sabe como tratar este tipo de evidencias.

Sin embargo, como ustedes lógicamente podrán suponer este tipos de cacerías realmente no solucionaba del problema, solamente aportaba elementos que ayuden a buscar la solución, en otros post seguiré comentando algunas medidas que tomamos posteriormente tanto en este como en otros bancos del país.

domingo, 28 de octubre de 2007

Porqué el software y hardware de los ATMs no está al día ?

Como producto de los diferentes proyectos que he venido realizando en la región, me he dado cuenta de que casi todos los bancos se encuentran con la misma novedad, tanto el software como el hardware de sus cajeros se encuentran completamente desactualizados será porque se preocuparon por única vez sólo al momento de montar su red de cajeros y luego de que esta salió a producción y como todo funcionaba más o menos dentro de los parámetros normales se olvidaron de considerar mantenerse al día con la tecnología.

Sin embargo los cajeros automáticos siempre han representado la imagen de las instituciones financieras y más aún hoy en día cuando la tendencia esta dirigida a que los clientes usen masivamente estos medios de autoservicio.

Otros de los factores que ha incidido notablemente es que hace algunos años atrás las redes de cajeros automáticos tenían que usar software propietario generalmente provisto por los mismos proveedores del hardware y esto ha ocasionado que hasta la fecha los cajeros automáticos sigan prisioneros de este tipo software.

Para ser más práctico muchas de las redes de cajeros automáticos siguen usando el sistema operativo OS/2, Windows NT, trabajan con mensajería nativa en NDC o 911/912, esto complica aún más el panorama al existir muy pocos recursos técnicos con el expertis en esta tecnología.

En cuanto a seguridad muchas redes aún tienen sus sistemas de validación de PIN, CVV, CVC manejados por software lo cual hoy en día ya no esta permitido por los estándares internacionales.

Bueno, ante esta problemática tanto las áreas encargadas de los negocios, así como también la gerencia de tecnología se preguntarán que hacer al respecto, la respuesta es que si no quieren seguir quedándose obsoletos tienen que invertir y probablemente la inversión que tienen que hacer hoy será mayor que si la hubieran realizado progresivamente al son del avance de la tecnología.

Entonces es cuestión de poner manos a la obra, más vale tarde que nunca y comenzar a presupuestar la inversión en upgrade de hardware, software y elementos para la administración de las seguridades.

En lo que respecta al software lo mejor es liberarse de las cadenas del software propietario e irse por lo que en la actualidad se llama software multi-fabricante. El estándar llamado XFS (sobre el que comentaré en otro post) es una norma mundial que rompe el vínculo entre el software y hardware de manera independiente permitiendo de esta forma seleccionar los mejores productos de distintos fabricantes.

Una breve introducción ...

Desde el año 1985 hasta la actualidad he venido desarrollando mis actividades en el área de la Industria Bancaria y por lo tanto he desarrollado varios proyectos en diferentes instituciones bancarias de Latino América tales como Filanbanco, Banco del Pichincha y Banco Amazonas en Ecuador, Banco de Finanzas en Nicaragua, Global Bank en Panamá, Bolívar Banco y Banco del Caribe en Venezuela, Corporación Financiera de Desarrollo y Banco de Caldas en Colombia, Banco Anglo Costarricense en Costa Rica, Banco Popular en República Dominicana, Banco Atlántida de Honduras, Banco Internacional de México, entre otros. Esto me ha llevado a que tenga un buen conocimiento sobre la industria bancaria en la región.

He desarrollado e implementado módulos de tarjetas de débito, crédito, cajeros automáticos, cuentas corrientes, cuentas de ahorros, crédito, cartera, garantías, clientes, firmas digitales, plazo fijo, clientes, plataforma de servicios bancarios, etc.

Otras de las áreas en las que he participado activamente están relacionadas con Organización y Métodos, Re-ingeniería de procesos, Seguridad y auditoria de sistemas, evaluación de software, control de calidad.

Bien, he creado este espacio y la idea básica es dedicar especial atención al área de autoservicios y especialmente a los temas relacionados con cajeros automáticos, se que puedo aportar mi pequeño granito de arena con mis modestos conocimientos y experiencias así como también estoy consciente de que existen muchos excelentes colegas profesionales de los cuales puedo aprender mucho y a su vez compartir ideas y experiencias sobre este campo de la tecnología que tanto me gusta.

A continuación me permito comentarles un poquito más sobre mis campos de acción, los cuales están relacionados con asesoría, desarrollo y implementación de redes cajeros propios, implementación y certificación de redes nacionales e internacionales como las redes de cajeros Visa Plus ó la red de cajeros Cirrus de Mastercard.

Para las redes de cajeros propios en su gran mayoría he realizado implementaciones usando mensajería NDC y en muy pocos casos la mensajería TCS911/912, bueno estos dos tipos de mensajería realmente son los más conocidos a nivel mundial.

En los que respecta a la mensajería usada para el caso de las redes interbancarias ya sea nacionales ó internacionales he realizado muchas implementaciones usando la mensajería ISO8583 y ON/2 que son las mayormente utilizadas.

En lo que se refiere a cajas de seguridad ó HSM he utilizado cajas ATALLA, Thales y el procesador criptográfico que se usa en los equipos mainframe de IBM.

Con respecto a los aplicativos con los cuales he realizado las implementaciones son OCM24, Cobis ATMserver, Cobis ATMadmin.

Las herramientas de desarrollo van desde Cobol, Cics, Assembler, VSAM, DB/2, Stored procedures, SQLServer, Sybase, Unix, Linux.

Bien de esta forma ya les comentado un poquito sobre mi experiencia y los invito a participar con sus comentarios y sugerencias las cuales estoy seguro nos ayudarán a ser mejores en nuestras labores profesionales.

Un Abrazo,

Marcelo Gaona