IX Encuentro de Responsables de Seguridad de Banca Central

El IX Encuentro de Responsables de Seguridad de Banca Central se llevó a cabo los días 3 y 4 de octubre de 2019 en la ciudad de Lisboa, Portugal, gracias a los auspicios del Banco de Portugal.

En la primera jornada se hicieron presentaciones acerca de los desafíos, implicaciones y requerimientos que en materia de seguridad conlleva la construcción de instalaciones relacionadas con un banco central.

En concreto, el Director de Seguridad de Banco de México, Gonzalo Marañón Villegas, habló acerca de lo aprendido en el proceso de construcción de la nueva fábrica de billetes en Jalisco, México. El director Marañón habló de la importancia de la redundancia de procesos en este tipo de fábricas (producción, sistemas de seguridad, voz y datos y energía eléctrica), determinar la ubicación geográfica, líneas de producción requeridas y posibles alternativas (como la compra de billetes a otras fábricas ya establecidas). Además, señaló que sería deseable establecer un comité para la toma de decisiones en cuanto a planeación e implementación del proyecto, mismo que debe contar con una clara dirigencia. También es importante elaborar un adecuado proyecto ejecutivo, con énfasis en la estructura (por ejemplo, en cuanto especificaciones de la bóveda de almacenamiento de billetes). Un aspecto clave en este proyecto ejecutivo es la definición del perímetro de seguridad de la fábrica.

Celestino Sabillón Granados, jefe de seguridad, y Henri López Pineda, jefe de división de seguridad electrónica e investigación del Banco Central de Honduras, narraron la experiencia en materia de seguridad en cuanto al cambio de sede de esa institución, inaugurado el 11 de octubre de 2016. Se mencionaron las deficiencias en materia de seguridad que existían en la sede anterior y edificios anexos, y cómo éstas se abordaron en el proceso de planeación de la nueva sede, incluyendo las dificultades para el manejo de valores. Se dijo que entre las razones para construir una nueva sede estaban la centralización de instalaciones físicas, mejoramiento sustancial en la seguridad de las operaciones del BCH, mejora en los aspectos administrativos al tener concentrado al personal en un solo edificio, simplificación de las operaciones de los diferentes departamentos, disponer en un solo edificio  de áreas socio culturales , una ubicación en terreno amplio, céntrico y con fácil accesibilidad, y oportunidad de tecnificación de los procesos operativos.

El cambio de sede, sin embargo, significó cambios en el departamento de Seguridad del Banco, incluyendo el aumento en el número de guardias de seguridad y mayor énfasis en la seguridad electrónica. Como desafíos a futuro, se mencionaron la necesidad de capacitar en Normas NFPA, técnicas de investigación, armero e Instructores certificados en cumplimiento a la nueva Ley de Control de Armas en el país; crear un sistema de registro de fichas dactilares electrónico para intercambio de información con la policía; reforzar el perímetro de acuerdo a las amenazas detectadas, e integrar el plan de evacuación al plan de Continuidad del Negocio.

Posteriormente, se trató de las amenazas de túneles. Álvaro Francisco Rojas, subgerente de Sistemas Electrónicos del Banco de México, habló sobre la importancia de la caracterización del sitio en la determinación de medidas de producción anti túneles (condiciones del terreno, tipo de suelo, tipo de construcción, ruido y características del manto freático). Se habló de las diferentes tecnologías de detección de túneles (métodos geofísicos) y su efectividad; tecnologías de prevención y atención, y como recomendaciones se mencionó la importancia de conocer la cateterización del sitio (algo indispensable); solicitar a los proveedores cómo sortean distintos escenarios de ruido y terreno; familiarizarse con el tipo de detección de túneles que mejor se adapte a las necesidades y caracterización; buscar la combinación de soluciones/métodos con independencia entre sus componentes, y contar con una línea base para futuras mediciones y un mecanismo de pruebas controladas.

Hugo Acuña, director de Protección y Seguridad del Banco de la República (Colombia) habló acerca de amenazas de ingreso mediante túneles y otras modalidades, narrando los casos de ataques contra el propio banco de la República (1973, Cartagena; 1977, Pasto, y 1994, Valledupar), que mostraron las deficiencias físicas (no cámaras o no alarmas locales) y electrónicas, así como humanas y de normativa, y señaló, como lecciones aprendidas, la mejor instrumentación de la seguridad física (rondas de vigilancia en bóvedas, y establecimiento de bóvedas aéreas, antebóvedas, esclusas de ingreso y centrales de alarmas). La seguridad electrónica ha mejorado con el establecimiento de sistemas CCTV y sensores, así como una central nacional de alarmas, en tanto que otras acciones incluyen una mejor administración de la seguridad mediante el establecimiento de comités de seguridad a nivel nacional y local, y el sistema ARES, entre otros.

Thomas Lundin, Jefe de Seguridad del Sveriges Riksbank, expuso acerca de los cimientos para las bóvedas automatizadas, y posteriormente acerca de cómo proteger las oficinas de un banco central contra explosivos, ejemplificando con experiencias en los bancos centrales de Suecia y de Noruega.

En la sesión de preguntas y respuestas, los expositores hablaron acerca de los estándares internacionales de seguridad para las construcciones, que en algunos casos son excesivos obligando a prácticas muy costosas, y cómo los bancos centrales pueden plegarse a sus propios estándares. Además, coincidieron en que las buenas prácticas incluyen el analizar el subsuelo antes de construir, procurando escoger el suelo ideal en términos de seguridad y particularmente el suelo rocoso.

Carlos Francisco Murillo Salgado, gerente de Seguridad del Banco Central de Nicaragua, hizo una presentación sobre experiencias recientes de falsificación en Nicaragua, particularmente de billetes en sustrato de papel de algodón, particularmente mediante el uso de la banda iridiscente y el parche holográfico. También se hizo mención de los ataques cibernéticos experimentados por el banco central en 2018 y lo transcurrido hasta el momento en 2019, lo cual significa un reto importante para la institución.

Donaldo Vladimir Cuellar, jefe de Departamento de Seguridad Bancaria del Banco Central de Reserva de El Salvador, habló sobre nuevas amenazas de seguridad para los bancos centrales, incluyendo la delincuencia organizada transnacional (como las pandillas o maras de El Salvador), así como los túneles, mismos que han sido el instrumento para los robos de mayor trascendencia a bancos centrales. Por un lado, la presentación enfatizó medidas de los bancos para hacer frente a las pandillas internacionales, y por el otro hizo un recuento histórico de los casos más recientes de invasiones por túneles (Brasil, Argentina, Bélgica y Alemania).

Mariano Viveros Pineda, director de Seguridad del Banco Central del Paraguay, hizo una presentación sobre el crimen organizado que tiene por objetivo entidades bancarias, y cómo ha habido un aumento de bandas en Brasil con actividad en el territorio paraguayo.

Eric Villalobos Martínez, director de Seguridad del Banco Central de Costa Rica, se enfocó el modelo mixto (público y privado) de seguridad integral de ese banco central. Señaló que la institución redujo su personal propio y describió el nuevo modelo de protección integral.

En la segunda jornada, James Malizia, jefe de Seguridad del Bank of Canada, describió la estrategia de la institución en contra de las infiltraciones o amenazas internas, entendidas éstas como “el potencial de una persona, misma que tiene o ha tenido acceso autorizado a los activos de una organización, para usar su acceso, ya sea de forma maliciosa o involuntaria, de una manera que podría afectar negativamente a la organización”. Ello se refiere particularmente al acceso a información confidencial, pero también al robo interno de bienes y equipo, vandalización de la propiedad del banco, o acceso a áreas restringidas. Como parte de los esfuerzos para mejorar la seguridad en general, el Bank of Canada ha recurrido a terceras empresas para asesorarse en materia de infiltraciones. Algunas lecciones aprendidas y políticas incluyen la capacitación del personal para evitar estas actividades (cuando se realizan por accidente), identificar actividades sospechosas, mejora de la gestión (p. ej. establecer un comité a cargo de la supervisión en esta materia), ejercicios de Red Teaming y construir una red con otras instituciones, además de establecer las líneas de defensa conforme al modelo de las tres líneas de defensa en este ámbito.

Nuno Azevedo, coordinador de Seguridad del Banco de Portugal, hizo una descripción sobre un ejercicio de Red Teaming o simulacro de ataque en el banco (intento de intrusión en un centro de manejo de efectivo y ataque combinado físico y cibernético), explicando la estructura organizacional de la institución para manejo de crisis, y detallando la preparación de dicho ejercicio, las lecciones aprendidas, así como los indicadores que deben observarse al hacer este tipo de ejercicios.

Víctor Manuel Perales Lucendo, Jefe de Seguridad del banco de España, habló también sobre amenazas internas (violencia en el lugar de trabajo, fugas de información y robo) y las medidas que el banco ha instrumentado para minimizarlas. Mencionó que en varios países hay medidas como el uso del polígrafo, pero que en otros (como España) esto se considera muy intrusivo. Señaló que es deseable tratar de detectar el tipo de intruso (insider) y sus motivaciones (saboteador, desleal, pluriempleado, activista, descuidado), y que para lograr una prevención, detección e investigación adecuadas, se requiere la colaboración entre distintas áreas, y filtrar a los empleados mediante una rigurosa investigación de los antecedentes personales de los mismos. Se mencionó además el riesgo de la Dark Web, así como la importancia de las campañas informativas y del uso de programas informáticos para prevenir la pérdida de información.

Gonzálo Marañón Villegas y Álvaro Francisco Rojas Martínez, del Banco de México, volvieron a exponer, esta vez acerca del uso de drones para la seguridad y del equipamiento anti-drones, señalando que los sistemas anti-drones se deben enfocar en la detección, seguimiento y neutralización de ataques, pero que en la actualidad no puede concluirse que los drones constituyan una amenaza seria para las actividades de los bancos centrales, si bien el avance tecnológico en este rubro podría mejorar la eficacia de estos instrumentos y constituir un riesgo para las instalaciones de los bancos. Por este motivo, sería deseable continuar este análisis y posiblemente presentar el resultado de la investigación dentro de dos años.

Al final de las presentaciones, los asistentes al encuentro hablaron sobre los temas de interés para la próxima reunión, considerándose temas de ciberseguridad, medidas biométricas y bioanalíticas, el modelo de tres líneas de defensa (auditoría), y transportación de valores, entre los más relevantes.

Día 1

Palabras de Apertura

Tour de table

Lecciones aprendidas en el proceso de construcción de una fábrica de billetes en Jalisco, México
Gonzalo Marañón Villegas, Director de Seguridad, Banco de México

Modernización y retos del departamento de seguridad derivado del cambio a la nueva sede del Banco Central de Honduras
Celestino Sabillon Granados, Jefe de Seguridad, Banco Central de Honduras Henri López Pineda, Jefe de División de Seguridad Electrónica e Investigación Banco Central de Honduras

Protección contra túneles – Consideraciones iniciales
Álvaro Francisco Rojas Martínez, Subgerente de Sistemas Electrónicos, Banco de México

Amenazas de ingreso mediante túneles y otras modalidades
Hugo Acuña, Director de Protección y Seguridad, Banco de la República (Colombia)

Automated Vault in the Bedrock and How We Physically Protect Our Headquarter Against Explosives
Thomas Lundin, Head of Security, Sveriges Riksbank

Falsificación de moneda y ciberseguridad
Carlos Francisco Murillo Salgado, Gerente de Seguridad, Banco Central de Nicaragua

New Threats to The Central Bank Security (Cybersecurity and Combined Physical and Cyber-Attacks)
Baal Kisoensingh, Coordinator Security of the Governor and Intelligence Unit Centrale Bank van Suriname

Nuevas amenazas a la seguridad de bancos centrales
Donaldo Vladimir Cuellar, Jefe de Departamento de Seguridad Bancaria Banco Central de Reserva de El Salvador

Crimen organizado – Objetivo entidades bancarias
Mariano Viveros Pineda, Director de Seguridad, Banco Central del Paraguay

Modelo mixto (público-privado) de seguridad integral en el Banco Central de Costa Rica
Eric Villalobos Martínez, Director de Departamento, Banco Central de Costa Rica

Día 2

Establishing the Bank of Canada’s First Insider Threat Strategy
James Malizia, Chief Security Officer, Bank of Canada

Red Teaming en Banco de Portugal
Nuno Azevedo, Subdiretor de Segurança, Banco de Portugal

Amenazas internas (Violencia en el lugar de trabajo, fugas de información y robo)
Víctor Manuel Perales Lucendo, Jefe de Seguridad, Banco de España

Uso de drones para seguridad y equipamiento anti-drones – Caso México
Gonzalo Marañón y Álvaro Francisco Rojas Martínez Banco de México