El código recibido mediante SMS ya no se ve como una forma fuerte de autenticación debido a nuevas técnicas utilizadas por ciberdelincuentes para tomar control de teléfonos celulares.

Mediante el servicio de banca en línea los bancos buscan aliviar la carga de trabajo que representa la atención al público en sus dependencias, apuntando a la disminución de la cantidad de clientes que son atendidos físicamente en sus instalaciones.

 

Desde que existe esta forma de servicio, los bancos han estado buscando formas seguras más allá de una simple contraseña, que les permitan autenticar las identidades de sus clientes a la hora de operar, fundamentalmente a la hora de hacer transferencias hacia cuentas ajenas.  

 

Se comenzó a trabajar sobre el concepto de múltiple factor de autenticación, pasándose a difundir el uso de la autenticación de 2 factores, o 2FA (por su sigla en inglés, 2 Factor Authentication). Esta última consiste en el uso de dos elementos para autenticar la identidad de una persona; los dos factores más utilizados han venido siendo algo que la persona sabe (como es una contraseña o un PIN) y algo que la persona tiene (un objeto cuya presencia se puede probar o demostrar).

 

En un comienzo, fue suficiente con una lista de números válidos de transacciones o TAN (por la sigla de Transaction Authorization Number) que el banco le entregaba a cada cliente, y este debía utilizar secuencialmente al hacer sus transferencias. Luego se pasaron a utilizar las tarjetas de coordenadas, un recurso también físico pero que permitió más flexibilidad que las listas originales.

 

Pero, estas formas pronto comenzaron a sufrir la obsolescencia provocada por los abusos de los propios usuarios y por supuesto, los delincuentes no se hicieron esperar. Los usuarios las perdían y por eso copiaban sus listas y tarjetas de coordenadas, pasando a existir así más de una instancia del objeto original de seguridad, y hasta llegaban a guardar las imágenes en sus computadoras, comprometiendo así aún más todo el esquema de seguridad.

 

Tras esto, los bancos evolucionaron y adoptaron nuevas formas de autenticar online a sus clientes, más allá de la contraseña. El segundo factor tomó la forma de una secuencia numérica que el sistema del banco hace llegar por mensaje de texto (SMS) al cliente que está intentando hacer una transferencia, previo registro de su número telefónico. En principio, se ve como algo muy seguro, en la medida que el celular del cliente es algo que normalmente solo está en su poder, y por tanto contar con su presencia en el momento que un cliente hace una transferencia online parece algo lógico y seguro.

 

El problema es que los delincuentes están siempre buscando como abusar de las nuevas defensas y esta no fue la excepción. Así, pronto se hizo corriente el compromiso de los teléfonos celulares, mediante diferentes técnicas de engaño que dejan el dispositivo bajo el control de los atacantes. De esta forma, pasó a ser posible para estos acceder al contenido de los mensajes de texto recibidos, entre otras cosas. Adicionalmente, mediante ingeniería social se generalizó en muchos lugares del mundo lo que se conoce como intercambio de SIM o SIM swap, una forma de ataque consistente en hacerse de un duplicado de la tarjeta SIM de un usuario a través del propio operador del servicio telefónico, consiguiendo así recibir todos los mensajes y llamadas que se hagan al número en cuestión.

 

Esto ha motivado que cada vez más bancos en el mundo, y particularmente ahora muchos bancos alemanes (incluyendo públicos y privados) hayan decidido dejar de usar definitivamente el SMS como un segundo factor de autenticación, según consta en el informe.

 

Basan esta decisión en la consideración de que el código recibido mediante SMS ya no se ve como una forma fuerte de autenticación, dado que ha dejado de ser algo que se tiene para ser algo que se sabe, similar a la contraseña, desvirtuándose así el concepto de doble factor. 

 

Adicionalmente, se están alineando con lo que se establece en la Directiva de Servicios de Pago de la Unión Europea 2  (PSD2) la que obliga a que las transacciones electrónicas remotas realizadas por parte de consumidores de la UE se autoricen mediante una "autenticación fuerte del cliente" (SCA), lo que significa el uso de 2 o más factores, categorizados como conocimiento, posesión o inherencia.  

 

En este sentido, desde Security Advisor estamos impulsando en nuestro medio el uso de la tecnología de la firma OneSpan (ex VASCO), de la cual somos canal certificado. En esa línea ofrecemos a las instituciones bancarias la posibilidad de implementar una solución de segundo factor sumamente robusta, basada en algoritmos criptográficos de alta seguridad los que se implementan sobre dispositivos generadores de contraseñas de único uso, disponibles tanto en formato físico como virtual. Esto último, puede utilizarse bajo la forma de una aplicación altamente segura para dispositivos móviles, provista por la marca en un formato básico, o alternativamente ser desarrollada por el banco mediante un SDK provisto a los efectos.

 

El desarrollo de una aplicación propia, permite a las instituciones implementar su aplicación móvil (app) con todas las funcionalidades de negocio que deseen y entiendan convenientes, a la vez de embeber en ella un componente generador de contraseñas de único uso.

 

Estas aplicaciones, tanto la provista por OneSpan como la que puede desarrollar cada institución, cuentan con defensas que impiden su compromiso por parte de eventuales delincuentes que hayan infectado el dispositivo móvil en que funcionan, pudiendo así garantizar así la seguridad de las transacciones que el cliente autorice. 

 

Le invitamos a consultarnos para así saber más de esta tecnología y entender cómo su institución puede beneficiarse de su adopción, siendo que el uso de SMS posee muy bajos niveles de seguridad, según costa en el siguiente informe haciendo click aquí

 

 

Autor:

Hugo Köncke - Gerente Regional de Consultoría de Security Advisor

Autor: Leonardo Berro | Security Advisor