El RBI pide a los bancos que apaguen Windows XP en los cajeros automáticos

El RBI ordena a todos los bancos actualizar los cajeros automáticos que aún funcionan con Windows XP para junio de 2019

El Banco de la Reserva de India (RBI) ha emitido un aviso a los bancos del país para desinstalar el sistema operativo Microsoft XP de todos los cajeros automáticos y actualizarlos para junio de 2019.

Para aquellos que no lo saben, en abril de 2014, Microsoft anunció que dejaría de dar soporte a las versiones de la construcción de Windows XP. Desde entonces, la compañía no ha lanzado ningún parche de seguridad ni ha anunciado nuevas características para Windows XP.

En abril de 2017, el RBI, a través de un “circular confidencial” a los bancos, había enfatizado las preocupaciones sobre los cajeros automáticos que funcionan con Windows XP y otros sistemas operativos vulnerables.

“Se invita a hacer referencia también a nuestro Aviso Confidencial No. 3/2017 de fecha 06 de marzo de 2017 y No. 13/2017 de fecha 1 de noviembre de 2017, en el cual se aconsejó a los bancos implementar, con efecto inmediato, controles adecuados enumerados en la lista ilustrativa de controles”, dijo el RBI en un circular confidencial a los bancos sobre los cajeros automáticos que funcionan con Windows XP y otros sistemas operativos no soportados.

A pesar de haber enviado avisos a los bancos en el pasado instruyéndolos a establecer planes de migración, las cosas no se han movido lo suficientemente rápido para el RBI.

“El lento progreso por parte de los bancos para abordar estos problemas ha sido visto seriamente por el RBI”, decía el aviso.

El circular emitido por el banco central también destaca que “la vulnerabilidad que surge de los cajeros automáticos de los bancos que operan con versiones no soportadas del sistema operativo y la no implementación de otras medidas de seguridad, podría afectar potencialmente los intereses de los clientes de los bancos de manera adversa, además de tales ocurrencias, si las hay, afectando la imagen del banco.”

El banco central ha advertido que tomará medidas regulatorias contra los bancos que no cumplan con la orden.

“Se puede notar que cualquier deficiencia en el cumplimiento oportuno y efectivo de las instrucciones contenidas en este Circular puede invitar a acciones de supervisión apropiadas bajo las disposiciones aplicables de la Ley de Regulación Bancaria de 1949 y/o la Ley de Sistemas de Pago y Liquidación de 2007”, dijo el RBI.

El RBI ha dado a los bancos y a los “operadores de cajeros automáticos de marca blanca” un plazo para abordar todos los problemas y llevar a cabo actualizaciones de manera gradual. Quiere que al menos el 25% de los cajeros automáticos sean actualizados para septiembre de 2018, mientras que el 50% de los sistemas deben ser actualizados para diciembre de 2018. Todos los cajeros automáticos con versiones soportadas del sistema operativo deben ser actualizados a la versión más reciente para junio de 2019.

Además de ordenar a los bancos que actualicen sus cajeros automáticos, el RBI también les ha pedido que implementen otras medidas de seguridad como la contraseña de BIOS, deshabilitar puertos USB, deshabilitar la función de autoejecución, aplicar los últimos parches del sistema operativo y otros softwares, solución de seguridad de terminal, acceso administrativo basado en tiempo, etc. para agosto.

Además, el RBI ha ordenado a los bancos implementar soluciones de anti-skimming y listas blancas en los cajeros automáticos para que solo el software aprobado pueda ejecutarse en ellos. La fecha límite para implementar esto es marzo de 2019.

El RBI ha instruido a los bancos a presentar sus planes de cumplimiento antes de finales de julio de 2018. “El progreso realizado en la implementación de estas medidas debe ser monitoreado de cerca para asegurar el cumplimiento de los plazos establecidos”, añadió el circular.