Cajeros automáticos: hardware, software y operación
1. Acerca de los cajeros automáticos (Mayo de 2017).
I. Introducción.
Dentrode las máquinasde autoserviciodestacanloscajerosautomáticos,tantoporel número
y cualidad de sus componentes como por la diversidad de operaciones que realizan. La
inmensa mayoría de estas máquinas pertenecen a instituciones bancarias y con ellas los
bancos ofrecen una variedad de servicios siendo el retiro de efectivo la más solicitada; de
hecho, el cajero automático se inventó precisamente para hacer retiros de dinero. El primer
cajeroautomáticoenteneréxitofue instaladoen1965[1]
y no fue la dispensaciónde billetesla
innovación,máquinasexpendedorasexistendesde finalesdel sigloXIX[2]
,sinola autenticación
del cliente.Enel otropolode loscajerosautomáticosestaslasmáquinasque recibenbilletesy
monedas,aquíla problemáticanoeslaidentificacióndel usuario sino la validación del dinero
que se recibe, particularmente complicada y de mayor riesgo con los billetes. Receptoras de
billetes comercialmente disponibles existen, por lo menos, desde 1964[3]
, sin embargo solo
recientemente los bancos las han integrado como parte de sus cajeros; mucho antes que los
bancos,algunasempresasproveedorasde servicioslashanutilizadocomoparte de susistema
de cobro.
Resumiendo y de acuerdo a su aplicación primordial los clasifico como:
1. Cajeros Bancarios:
Aplicaciones principales: Retiro de efectivo a cargo de cuenta de débito o crédito,
Consultas de saldo y Estados de cuenta, Compra de tiempo aire, Monedero electrónico;
actualmente algunosofrecen Recepción de efectivo para el Depósitos a cuenta y el Pago
de servicios.
2. Receptoras de pagos de servicios:
Operadas por la empresa proveedora, ofrecen el pago al servicio que proporcionan. La
consulta del adeudo se da como parte del flujo del servicio.
II. Hardware.
El equipamientode loscajerosautomáticosconsiste de unaPCyuna serie de dispositivos
especializadosconectadosaésta.Los dispositivosusualesson:
1. Lector/Grabador de tarjeta.
Los medios en que se lee o graba son: Banda magnética, chip de contacto y sin contacto.
Este dispositivoesmandatoriopara los cajeros bancarios. Para las máquinas de pago solo
será necesariosi se tienenaplicacionesque loutilicen,porejemplomonederoelectrónico.
2. Existen los siguientes tipos:
Motorizado (Motorized), en estos la tarjeta es retenida por el cajero y devuelta al
finalizar la transacción, puede leer banda y chip simultáneamente.
Inserción (DIP), el usuario debe insertar la tarjeta hasta el tope del dispositivo y
retirarla manualmente en el momento en que el software del cajero se lo indique.
Puede leer la banda o el chip pero no simultáneamente.
Deslizamiento (Swipe), consta de una ranura donde se desliza la tarjeta para leer la
banda magnética, no sirve para leer el chip y por ello ha caído en desuso en
aplicaciones bancarias.
También existen lectores para chip sin contacto (contactless) que se utilizan en
aplicaciones donde no se requiere la autenticación del usuario, por ejemplo las
tarjetas de abono para el transporte público o los monederos electrónicos.
2. Teclado numérico encriptor.
Tambiénmandatorioencajerosbancarios.A travésde este dispositivoel clienteteclea
su número de información personal (NIP) de una manera segura. Usa algoritmos de
cifrado tanto simétricos como asimétricos y el intercambio de llaves se hace a través
de firmaso certificados digitales almacenados en el dispositivo y no accesibles desde
el software de la PC.
3. Dispensador de efectivo.
Existendiversosmodelos,unosparadespacharbilletes (con 2, 4 o 5 billeteros) y otros
para monedas (con 2, 3 o 4 monederos). En las máquinas de pago se usan para dar
cambio. Evidentemente los despachadores de billetes son imprescindibles para los
cajerosbancariosy básicamente existendostipos:losque entregan directamente del
billetero al usuario y los que hacen el despacho en dos pasos: en el primer paso los
billetesse desplazan a un receptáculo interno no accesible al usuario (escrow area) y
en el segundo paso se hace la entrega.
4. Aceptador de efectivo.
Aquí también existen diversos modelos para billetes y monedas, este equipo es
imprescindible para las máquinas de pago, no así para los cajeros automáticos. Tanto
para billetescomoparamonedasexistenmodelosque solo aceptan una pieza a la vez
y los que pueden recibir varias en una sola interacción.
3. 5. Recicladores de efectivo.
Algunos aceptadores de billetes tienen la capacidad de separar los billetes por
denominaciónyalmacenarlosenlosbilleteroscorrespondientes que posteriormente
serviránpara serdispensadosentransaccionesde retiroopara dar cambio.Aunque se
trata de unsolodispositivointegrado,enlaprácticalo podemos consideran como dos
dispositivos separados.
6. Lector de códigos de barras
Debido a que en la mayoría de los recibos para el pago de servicios se imprime un
códigode barras como el identificadordel mismo,este dispositivoesconveniente para
máquinas de pago.
7. Impresora de recibos.
Dispositivo utilizado tanto en cajeros bancarios como en máquinas de pago. Para
algunas aplicaciones este puede ser un dispositivo crítico.
8. Sensores e Indicadores.
Adicional a los sensores que tienen cada uno de los dispositivos anteriores el cajero
automáticotambiéncuentaconuna serie de circuitosespeciales,algunosde ellosson:
Sensores de calor, sismo y proximidad.
Sensores para puertas de la caja fuerte y la carcasa.
Sonidos y luces indicadoras.
Existenmuchosmásdispositivosperolalistaanterioreslaque considero básica para el servicio al
cliente.
III. Software.
1. Sistema operativo.
Son los fabricantes del hardware los que deciden el sistema operativo e
independientementede laspolémicasacercade las vulnerabilidades,realesoficticias,
de la plataforma Windows, ésta es la que se utiliza en la casi totalidad de los cajeros
automáticos. Lo que no se debe de perder de vista es al cajero hay que concebirlo
como una máquina de propósito específico que solo debe de ejecutar el software
necesario y suficiente para su misión y por tanto es imprescindible realizar un
exhaustivo proceso de “hardening”.
4. 2. Controladores delosdispositivos.
El fabricante debe de elaborarloscontroladores(drive) parasusdispositivosy,por
supuesto,adaptadoal sistemaoperativo.Tambiéndebe de presentar suAPI
(ApplicationProgram Interface)que normalmenteconsistede unaDLL, un archivode
encabezadosdel lenguajeCy unarchivoLIB. Es el fabricante el que decide las
funcionesyargumentosde tal API.
3. EMV.
Esta no es una pieza de software sino una especificación[4]
que deben de cumplir los
fabricantes de lectores de tarjeta con chip, de hecho para poder operar deben de
obtener la certificación del organismo EMVCo[5]
. En tanto los bancos deben de
certificar sus aplicativos ante VISA y MasterCard.
4. Capa CEN/XFS.
Ante la proliferación de dispositivos de distintos fabricantes en 1995 Microsoft
desarrolló la especificación WOSA/XFS (Windows Open Services
Architecture/Extensions for Financial Services) y en 1998 esta fue adoptada por el
Comité Europeode Normalización(CEN),larevisión más reciente es la 3.30 publicada
por el CEN en 2015[6]
. El objetivo era que cada dispositivo presentará una API común
independientedel modelo y fabricante. Sin embargo, en la practica el "estándar" fue
interpretadode manera distinta por los distintos fabricantes, dando lugar a notables
diferencias. Llama la atención de que no exista un organismo certificador para XFS.
5. Middleware.
Para ocultar las diferencias arriba señaladas, algunos fabricantes y desarrolladores
independientes han creado su propio software, una capa arriba de los XFS llamada
middleware[7]
. Cabe insistir que esta es una capa propietaria, no estandarizada y son
incompatibles entre ellas.
Nota:los trespuntosanterioressonaplicablesaloscajerosbancariosyno necesariamente
a las máquinas de pago.
6. Aplicativos.
Todoslos fabricantesde middleware,tambiénofrecensupropioaplicativopara cajero
bancario en tanto que para las máquinas de pago son las empresas proveedoras las
que desarrollansuaplicativoalamedida.Esnecesarioseñalarque el servicioal cliente
no lo es todo, el aplicativo también debe de controlar otras operaciones: la
configuración y estado de salud de los dispositivos; la dotación y concentración del
efectivo; la auditoria, el corte y las cifras de contabilidad, etc. El conjunto se estas
operacioneseventualmentepuedenresultarmáscomplejasque la parte dedicada a la
interacción con el cliente.
5. Por otro lado,existen diferencias básicas entre un aplicativo para cajeros bancarios y
otro para máquinas de pago, a saber:
Cajero bancario:
- Cualquier persona que cuente con una tarjeta de crédito o débito es un
potencial usuario sin importar el banco del que sea cliente.
- Menú y flujo de servicio diferenciados de acuerdo al tipo de tarjeta.
- La gama de servicios es amplia y creciente: retiros a través de celular, por
ejemplo.
- Deben de implementar especificaciones técnicas específicas: EMV, por
ejemplo.
- Tambiéndebende implementarregulaciones gubernamentales más estrictas
que las comerciales.
- Obligadamente deben de estar equipados con ciertos dispositivos: Teclado
encriptor y lector de chip, por ejemplo.
- Protocolos de mensajería estandarizados.
Máquina de pagos:
- Solo atiende a sus abonados.
- Un solo flujo principal con leves desviaciones.
- No requieren teclado: Toda la captura de datos se puede hacer en pantalla.
- Protocolos de comunicación propietarios.
7. Conectividad.
Salvo excepciones, los cajeros de autoservicio establecen una conexión con los
sistemasdel bancoylas empresas al momento del servicio al cliente. Las conexiones
típicas son SNA, TCP/IP, ODBC y WebServices. Para los cajeros bancarios existen los
protocolos: NDC de NCR, 91x de Diebold e IFX del IFX Forum.
6. 8. Monitoreo.
Garantizar la continuidad del servicio requiere de la supervisión regular de las
variables:Suministrosbajosoagotados,dispositivosinoperables,intentos de fraude o
vandalismo, aplicativo fuera de línea, cajero en mantenimiento, etc. Es conveniente
que el monitoreo se haga por fuera del aplicativo principal y utilizar protocolos
especializadoscomoel SNMP.Porcierto,la especificaciónXFSdefine una MIB para tal
efecto. Las empresas que no se adhieran a este estándar deberían desarrollar su
propia MIB.
9. Distribución de software.
Es altamente recomendable que los bancos y las empresas implementen un sistema
especializadoexclusivoparaladistribuciónde software ensuscajerosautomáticos.En
particular, estas máquinas no deben de participar en las actualizaciones automáticas
del S.O.y/osus componentes.Antesde distribuirunanuevaversiónesimprescindible
el probarla y pilotearla.
Agustín OrtizValdiviezo.
Referencias:
[1] https://en.wikipedia.org/wiki/Automated_teller_machine
[2] http://www.standardchange.com/page_history.html
[3] https://en.wikipedia.org/wiki/Vending_machine
[4] https://www.emvco.com/specifications.aspx
[5] https://www.emvco.com/approvals.aspx
[6] https://www.cen.eu/work/areas/ICT/eBusiness/Pages/CWA16926.aspx
[7] https://en.wikipedia.org/wiki/CEN/XFS