69 - Cajeros automáticos con PIL (no PIN) - 19/05/2007


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar



En la última semana nuestro foro [1] se encontró especialmente activo debido a notas de distintos diarios argentinos, en donde se mezclaban distintas normativas y conceptos en cuanto a la seguridad en cajeros automáticos y, específicamente, en el manejo de las claves privadas del usuario, conocidas como PIN (Personal Identification Number) y PIL (Personal Identification Letter).

Aparentemente el error provino originalmente de un informe realizado por el diario argentino La Nación [2] en donde el autor confundió dos conceptos distintos: la directiva A-4609 del BCRA y la Clave PIL impulsada por la red de cajeros automáticos Link.

A esta noticia también se sumaron otros diarios [3] mencionando además, de manera incorrecta, que esta nueva normativa había sido dispuesta por el BCRA (Banco Central de la República Argentina).

La confusión proviene de dos aspectos diferentes:

El 27/12/2006, el BCRA publicó la Comunicación A-4609 [4] con los "Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información", dejando sin efecto a partir de ese momento (de los 180 días que se tienen para la implementación) la anterior Comunicación A-3198 para el caso de Entidades Financieras.

A través de sus 8 secciones, esta comunicación mucho más detallada y extensa que su predecesora establece los puntos básicos que cualquier entidad financiera debe cumplir con respecto a la seguridad de la información. Así, en su punto 6.2 establece claramente lo siguiente:

6.2. Operatoria y control de las transacciones cursadas por cajeros automáticos (ATM's).
La operación de los cajeros automáticos por parte de los usuarios deberá basarse en un sistema de identificación de dos factores, en la actualidad tarjeta y clave de identificación (PIN).
Se deben fijar medidas para establecer apropiadamente la clave de identificación del cliente, con una longitud no inferior a la estandarizada internacionalmente para el uso en cajeros automáticos.

Como puede verse se menciona a los estándares internacionales vigentes que en este caso es la norma ISO 9564 [5] que aconseja que el PIN debe estar compuesto de 4 a 12 caracteres alfanuméricos, si bien los cajeros automáticos nacionales actuales están preparados para recibir sólo 4 números.

Esto nos lleva al segundo punto, donde en las noticias mencionadas podía leerse lo siguiente:

"La clave de cuatro números para sacar plata de los cajeros automáticos tendrá desde el 1º de julio una segunda clave de cuatro letras, según dispuso el Banco Central.

Así lo establece la comunicación 4609 que emitió en diciembre último. Los clientes de tarjetas de crédito y débito deberán cambiar sus contraseñas, aunque algunos bancos aún están estudiando su implementación".

Como puede verse esto es incorrecto si bien la clave PIL existe y es parte de una implementación que la red de cajeros Link [6] lleva adelante desde hace tiempo, con algunos bancos del país y, al menos en su comienzo, sería de uso optativo.

Esta iniciativa no es llevada adelante por el BCRA si bien uno de los diarios informa que la red de cajeros Banelco también estudia la implementación de esta clave.

Como puede leerse en la circular enviada a los bancos "de prueba" [7]:

"el objetivo de implementar esta CLAVE ALFABETICA es brindar a los empleados, usuarios de los cajeros automáticos, de una herramienta que optimice la seguridad necesaria para realizar transacciones en los mismos."

El documento también explica el proceso de generación del PIL mediante el uso de la pantalla del cajero, en donde se mostrarán las letras para que el usuario seleccione su clave.

La circular también informa que en caso de viaje al exterior se deberá informar al banco para habilitar el uso de cajeros automáticos normalmente en el país que se trate (mediante el uso del PIN).

Con respecto a la fecha del 1° de julio mencionada en la nota, la misma hace referencia a los 180 días (6 meses a partir del 27/12/2006) que tienen las entidades financieras para la implementación de la comunicación A-4609.

Como puede verse, dos noticias distintas fueron mezcladas, originando una gran confusión en el público, sobre todo por el alcance de tirada de los diarios mencionados. Por otro lado, es importante remarcar que esto no implica que ambas normas puedan entrar en vigencia en forma conjunta.

[1] La noticia en nuestro foro
http://www.segu-info.com.ar/foro/?q=bcra
http://seguinfo.blogspot.com/2007/05/noticia-erronea-contraseas-que.html

[2]
http://www.lanacion.com.ar/Archivo/nota.asp?nota_id=908710

[3]
http://www.rosario3.com/tecnologia/noticias.aspx?idNot=12602
http://www.analisisdigital.com.ar/noticias.php?ed=1&di=0&no=58408
http://www.laopinion-rafaela.com.ar/opinion/2007/05/17/c751798.htm
http://www.lacapital.com.ar/2007/05/16/general/noticia_389339.shtml

[4] Comunicación A-4609
http://www.segu-info.com.ar/politicas/
http://www.bcra.gov.ar/pdfs/comytexord/A4609.pdf

[5] Norma ISO 9564
http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35124
http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=36289
http://www.iso.org/iso/en/commcentre/news/archives/2002/pin.html
http://www.psi.gov.ps/web_en/cat/items/d17309.html
http://www.ecp.nl/download/ISO_TC68_-_Information_Security_Guidelines_for_Banking.doc?PHPSESSID=fff3049e448ec91860

[6] Red Link
http://www.redlink.com.ar/

[7] Circular, Identificación mediante PIL.
http://www.rzw.com.ar/Circular_Clave_PIL_V1.pdf

Buenos Aires, 19 de mayo de 2007

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto