La tarjeta de coordenadas: una muerte anunciada

viernes, 28 de noviembre de 2014

Hoy en día, las entidades bancarias que ofrecen sus productos y servicios por internet usan diferentes técnicas de autenticación (para identificar a sus clientes) y autorización (para llevar a cabo distintas operaciones). Ya quedaron atrás modelos de autenticación de un único factor, dando paso al proceso de autenticación fuerte, que requiere de la combinación de dos o más elementos.

Estos elementos se suelen categorizar como:
  • Conocimiento: Algo que el usuario conoce, como una contraseña o un código PIN.
  • Posesión: Algo que el usuario tiene, como un token, smartcard, o teléfono móvil/SIM.
  • Inherencia: Algo que el usuario es, o sea, una característica biométrica como la huella digital.

Habitualmente el sector bancario utiliza un modelo de autenticación basado en riesgo, utilizando generalmente dos de estos niveles para permitir el acceso a sus servicios online:



Lamentablemente, la falta de usabilidad de algunos métodos de autenticación provoca malas prácticas, y bajo esas circunstancias, paradójicamente el aplicar mayor seguridad resulta ser contraproducente (por ejemplo, cuando por no disponer de la tarjeta de coordenadas del banco cuando se necesita, el usuario opta por escanearla o fotocopiarla).

Es curioso, pero el concepto de autenticación fuerte no ha tenido una definición oficial hasta que el European Forum on the Security of Retail Payments, SecuRe Pay, publicó en enero de 2013 una guía exhaustiva con recomendaciones para la lucha y prevención del fraude en medios de pago. En ella se definían, entre otros, los criterios mínimos que deben cumplirse en un proceso de autenticación fuerte. Su implementación debe llevarse a cabo antes del 1 de febrero de 2015, según indicaciones del Banco Central Europeo .

El Banco central Europeo resalta la necesidad de que el inicio de los pagos en internet así como el acceso a datos relativos al pago sean protegidos con autenticación fuerte. Analicemos si los mecanismos más habituales implementados por la banca y medios de pago cumplen los criterios mínimos establecidos:



A la vista de la gráfica comparativa anterior, podemos concluir que la tarjeta de coordenadas como elemento que prueba la autenticidad del usuario ha quedado obsoleta, y sin embargo, es uno de los más extendidos en la banca online. Teniendo en cuenta las indicaciones del Banco Central Europeo al respecto, las Entidades Financieras que actualmente trabajen con tarjeta de coordenadas deberán evolucionar a otros modelos.

¿Cuál es la mejor alternativa en este caso?


De entre las diferentes soluciones de OTP, el token software tiene mejor ratio coste-beneficio:

  • Cumple con las indicaciones del BCE.
  • Reduce el coste eliminando el pago de SMS o la necesidad de la compra de HW (tokens) así como de su mantenimiento
  • Tiene en cuenta la usabilidad, aprovechando la generalización del uso de los smartphones conectados a internet
  • Acelera la implementación al eliminar la necesidad de desplegar elementos físicos (tokens e infraestructura)
  • Ofrece mejores características de seguridad frente al SMS gracias a la implementación criptográfica y la posible utilización de contenedores seguros de los smartphones


Latch como alternativa a las tarjetas de coordenadas

Siguiendo con el análisis, y centrados ya en el OTP software como la mejor alternativa para sustituir a la tarjeta de coordenadas, la siguiente cuestión que se nos plantea es ¿qué solución OTP software debería escoger?

Para responder a esta pregunta proponemos hacer una comparativa de los diferentes tipos de soluciones OTP software con los ámbitos que el BCE identifica como claves a la hora de establecer mecanismos de autenticación fuerte:




Como vemos, Latch nos ofrece no sólo las capacidades de un segundo factor de autenticación token push sino que al mismo tiempo enriquece la seguridad actuando en los principales ámbitos destacados como clave por el BCE:

A) Latch como autenticación fuerte:
  • Latch no sólo limita la exposición de los procesos de autenticación, sino que además provee de protección con autenticación fuerte el inicio de cualquier proceso considerado crítico gracias al segundo factor de autenticación que incorpora Latch (token software).
  • Este token es generado por el servicio Latch, y enviado sobre SSL a la aplicación del usuario y banco o entidad financiera, haciendo uso así de un canal independiente (out-of-band). El token es recibido por el usuario a través de su aplicación móvil (token push), disponiendo así de un código de un solo uso de 6 caracteres cuya validez temporal será la definida por el banco (por ejemplo, 60 segundos) 

B) Latch para fijar límites temporales a la validez de la autenticación:

  • El servicio Latch ofrece también la posibilidad de fijar límites temporales al proceso de autorización, programando por ejemplo el bloqueo automático de ciertas operaciones transcurrido un tiempo desde su acceso, o bien fijando una franja horaria (por ejemplo, por la noche).

C) Latch para la detección temprana:

  • Las entidades financieras y medios de pago han sido pioneras en el uso de herramientas de análisis de fraude, trabajando en la identificación de patrones fraudulentos y en el análisis del contexto para identificar riesgos. Sin embargo, la incorporación de Latch como complemento a estos sistemas permite aportar una perspectiva única a la hora de llevar a cabo una detección temprana en los casos de suplantación de identidad como resultado del robo y uso de credenciales:
    • Detección: el usuario será alertado a través de la aplicación móvil en el proceso de autenticación/autorización en el que el banco haya implementado Latch, ya sea él quien haya iniciado el proceso o bien un tercero intentando suplantar su identidad.
    • Prevención: Latch posibilita el bloqueo de las cuentas digitales del usuario cuando no las esté utilizando, evitando así usos no autorizados.
    • Bloqueo: la aplicación móvil notificará al usuario de cualquier intento de acceso a los sistemas del banco utilizando su identidad, permitiendo así al banco realizar un bloqueo temprano en los casos en los que exista un uso fraudulento de las credenciales de sus usuarios.

D) Latch para la protección en múltiples capas:
  • La filosofía de Latch es simple: si mantenemos bloqueadas nuestras cuentas o servicios digitales mientras no los utilizamos reduciremos el riego de un uso fraudulento o no autorizado de los mismos. Por ejemplo, podríamos bloquear el inicio de sesión a la banca online, los pagos con tarjetas de crédito, o el proceso de autorización de transferencias bancarias (cualquier operación sobre la cual queramos aplicar este control). Latch ofrece por lo tanto una capa adicional para mejorar la seguridad global reduciendo el tiempo de exposición de las operaciones:
    • No supone una alternativa a los procesos y sistemas actuales de autorización que tenga el banco, y es totalmente independiente del esquema de autenticación que este emplee.
    • No necesita conocer información alguna sobre los usuarios del banco: durante el proceso de autenticación del usuario se utilizan las API y los SDKs de Latch para consultar el estado actual de la cuenta del usuario pero no se intercambia ninguna información sobre el usuario del servicio.
E) Latch como herramienta que ofrece control al usuario sobre su seguridad
  • Al proporcionar a los usuarios el control sobre sus servicios (pagos con tarjetas o transferencias bancarias), existe una clara mejora en su percepción de la seguridad:
    • Latch les informará de los intentos de acceso utilizando su identidad digital
    • Los propios usuarios podrán definir la disponibilidad de sus servicios, por ejemplo indicando que en ciertos intervalos temporales (como por ejemplo por la noche) el acceso debe estar bloqueado.

Por concluir, vemos como la sustitución de la tarjeta de coordenadas por el token de Latch ofrece múltiples beneficios:

  • Cumplimiento de normativa: ofreciendo un modelo de autenticación fuerte que cumple la nueva normativa del BCE.
  • Control del gasto: sin ser necesario realizar inversión en infraestructura y permitiendo el control del gasto desde el principio (licenciamiento por usuarios activos).
  • Concienciación: se mejora la experiencia de usuario a la vez que se le hace partícipe de la seguridad.
  • Seguridad adicional: además de autenticación fuerte, Latch ofrece una capa de seguridad adicional, monitorización ágil e involucración del usuario.
  • Dentro del plazo límite: la implantación de Latch es rápida y sencilla, lo cual permitiría a los Bancos cumplir con la normativa del BCE dentro del plazo límite (15 de febrero de 2015).

Irene Gómez
irene.gomez@11paths.com

4 comentarios:

  1. Latch es simplemente genial, lo uso a diario en las webs que gestiono, ahora solo queda que mi banco con un pasword de solo 6 caracteres alfanumericos lo implemente......

    ResponderEliminar
  2. Quisiera saber si el uso de Latch por parte de las entidades les exime de tener que utilizar otp-sms, soft token u otp hardware.

    ResponderEliminar
    Respuestas
    1. Buenos días!

      Efectivamente podría ser (como se dice en el artículo) una alternativa más que válida a los actuales (top-sms, sfot token y otp hardware) ya que cumple íntegramente con las normas de seguridad que el Banco Central Europeo dictó, o si las entidades bancarias lo decidiesen así podrían plantearlo como una medida complementaria a los anteriormente nombrados.

      Reciba un cordial saludo del equipo de Eleven Paths.

      Eliminar
  3. Su implementación debe llevarse a cabo antes del 1 de febrero de 2015

    Pues como que no se ha cumplido.

    ResponderEliminar