Nuestro mundo se digitaliza cada día más, alcanzando niveles de bienestar nunca vistos con una vida más sencilla y cómoda para los ciudadanos.
Con la digitalización también se ha incrementado preocupantemente el llamado e–fraude, y la urgencia de los bancos para encontrar medidas efectivas que reduzcan el riesgo y protejan a sus usuarios.
En el Congreso de Seguridad Bancaria “Celaes 2010, se dieron a conocer datos como el de Estados Unidos, con su crisis económica aumentó el intento de fraude en un 39% en el 2009, tendencia que sigue creciendo”.
La banca electrónica representa un foco principal para el cyber fraude debido a la mayor canalización de servicios para los clientes a través de las vías online y a la importancia en términos económicos que obtienen los criminales.
En 2011, los profesionales en seguridad de TI necesitarán dar el siguiente paso en la batalla contra el e-fraude y aprovechar la evolución de la tecnología de autenticación robusta que se ha convertido en el aliado más importante, para enfrentar un entorno de riesgo cambiante con soluciones flexibles, capaces de modificar los niveles de seguridad cuando mayor es el riesgo y la importancia de la operación, en cualquier canal bancario.
La evolución de la autenticación robusta ha sido sorprendente, ninguna otra tecnología está obligada a estar más actualizada y a ser más flexible para poder migrar y adaptarse a cualquier nueva amenaza de fraude en el menor tiempo posible.
Un sistema de identificación ha de poseer unas características básicas para ser viable: debe ser muy fiable, económicamente factible, ser capaz de mitigar los ataques más avanzados y adaptarse a los nuevos, tener una alta flexibilidad para autenticar múltiples canales o aplicar múltiples estándares, y además de todo, ser conveniente para los usuarios.
No todos los esquemas de autenticación pueden cubrir todos los niveles de riesgo, identificados hoy o que surjan en un futuro cercano. Algunas de las preguntas que enfrenta un profesional de TI al seleccionar una nueva solución de autenticación bancaria son: ¿cuáles son los objetivos de una nueva solución de seguridad robusta de eBanking?, ¿cómo saber si la solución que nos parece adecuada hoy podrá enfrentar un riesgo futuro?, ¿cómo capitalizar la inversión hecha hasta ahora al incluir una solución nueva?
Planear y ejecutar una nueva solución de seguridad para eBanking es una tarea compleja que involucra no sólo evaluar la tecnología, sino también los objetivos de crecimiento y modelo de negocio, la relación con el cliente, la logística, el costo y otras cuestiones importantes.
Gemalto ha realizado un análisis sobre las variables más importante que pueden apoyar a la banca en su proceso de selección de una plataforma de autenticación más robusta. En este artículo revisaremos las tendencias globales de los ataques y qué riesgos puede proteger cada método de autenticación.
Esquema de usuario/contraseña estática
Este modelo, ya no ofrece protección contra las crecientes formas de fraude online como phishing, keyloggers y Troyanos. Ocurre lo mismo con las tarjetas de coordenadas que además son extremadamente vulnerables para un usuario víctima de phishing, o el robo o pérdida de documentos.
La solución de autenticación OTP, siglas para “One Time Password”, en castellano “generación de claves de uso único”, posee un esquema adaptable y flexible de doble factor que requiere una contraseña nueva cada vez que se utiliza, minimizando el impacto de que un tercero pueda capturarla y reutilizarla. Los usuarios se identifican utilizando dos factores únicos – algo que conocen (nombre de usuario/contraseña o pin de usuario) y algo que poseen (el OTP/contraseña dinámica que le da su dispositivo tipo token).
Este esquema ya es vulnerable por ataques más sofisticados de troyanos o “man in the middle” que buscan entrometerse entre el usuario y el banco, sin ser detectados por ninguno, para modificar los detalles de una transacción como la cuenta de destino y el destinatario.
En el método de autenticación “Desafío-Respuesta” una de las partes presenta una pregunta (desafío) y la otra parte debe proporcionar una respuesta válida (respuesta) para poder autenticarse. Evita ataques de phishing y pharming, el usuario verifica que el sitio en que está autenticándose es realmente su banco, pero, aún así no puede proteger las transacciones de ataques sofisticados como el mencionado “man in the browser” que infecta y controla el navegador del usuario.
El esquema de autenticación basado en la Firma de Transacción: no sólo se autentifica la identidad del usuario, sino que además, la propia transacción se firma de forma electrónica por el token, asegurando tanto la confirmación, como el no repudio. Este método añade un nivel muy alto de control de riesgo contra ataques como, “man in the middle”, o malware sofisticado. Su aplicación puede ser multicanal, autenticar igualmente las operaciones en banca en línea, como las realizadas en banca móvil, en comercio electrónico, en cajeros automáticos o incluso telefónicas.
Gemalto ha desarrollado una nueva generación de tecnología de autenticación robusta que es capaz de incorporar en el mismo dispositivo diversas funciones de autenticación, logrando así, la máxima protección del usuario que podrá utilizar un esquema de “desafío-respuesta” para transacciones de bajo riesgo y firma de transacción para las más riesgosas; pero además, es capaz de mitigar ataques entre canales a través de teclas de función separada criptográficamente en un mismo dispositivo.
Por último, el uso de la criptografía en la autenticación robusta, es una tecnología altamente segura y cada vez más extendida, como por ejemplo la infraestructura de Firma Digital PKI (en español infraestructura de llave pública y en inglés Public Key Infrastructure). Una combinación de hardware, software, políticas y procedimientos de seguridad, que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.
En el mundo, los bancos, las empresas, los gobiernos y las organizaciones de defensa han implantado infraestructuras de llave pública PKI para asegurar casi todo, desde el acceso a la red de la empresa, a transacciones electrónicas multimillonarias, hasta la entrada física en instalaciones militares.
Los desarrollos y aplicaciones PKI permiten el uso de certificados digitales, que contienen la identidad digital. Para garantizar que la Firma Digital está realmente bajo su control y lejos de ambientes hostiles como una PC, una notebook, un pendrive o un CD, donde puede ser usurpada o utilizada para un proceso de firma fraudulento, se recomienda la utilización de una smartcard o un USB token para transportar y almacenar los certificados digitales.
La tecnología PKI es capaz de mitigar los más sofisticados ataques de “man in the middle”, aunque trate de interceptar el tráfico entre el usuario y el servidor no podrá recrear la función algorítmica que genera el servidor legítimo, luego rechazará cualquier intento de conexión salvaguardando las transferencias, datos de identidad y claves.
Para alcanzar un mayor nivel de seguridad, Gemalto incluye un navegador embebido en el USB PKI Token, lo que agrega un entorno mayor de seguridad al dispositivo. Bancos que tienen una cartera importante de empresas y usuarios individuales que realizan altas transferencias de dinero y viajan, eligen esta plataforma de autenticación por su alto nivel de seguridad, la facilidad de su implementación, la flexibilidad para utilizarlo también en la firma de documentos, y la conveniencia para el usuario final con la mayor certeza de que lo que ve es lo que firma.
Danilo Ochoa, Gerente Comercial para Latinoamérica de eBanking & eCommerce, Gemalto
Información relacionada
[tubepress views=”false” title=”false” length=”false” video=”FI_O4LV0p84″]