El mercado cripto debe poner atención a los procesos de verificación de la identidad, como primer paso en una relación de confianza con los clientes.
La nueva función de iOS 12 expone a los usuarios al fraude bancario online
Autocompletar Código de Seguridad (del inglés, “Security Code AutoFill”) es una nueva característica de iOS 12 para iPhone. Se supone que mejora el uso de la autenticación de dos factores (del inglés, “two-factor authentication”), pero podría exponer a los usuarios al fraude bancario en línea al eliminar el aspecto de validación humana del proceso de firma/autenticación de transacciones.
La autenticación de dos factores (2FA), también denominada verificación en dos pasos, es un elemento esencial de muchos sistemas de seguridad, especialmente para las transacciones en línea y el acceso remoto. En la mayoría de los casos, 2FA proporciona una seguridad prolongada al verificar si el usuario tiene acceso a un dispositivo móvil. En la 2FA basada en SMS, por ejemplo, un usuario registra su número de teléfono con un servicio en línea. Cuando este servicio detecta un intento de inicio de sesión para la cuenta del usuario, envía una Contraseña de Un Solo Uso (del inglés, “One Time Password”, OTP), al número de teléfono registrado. El usuario legítimo recibe este código y puede introducirlo durante el proceso de inicio de sesión, algo a lo que un impostor no tiene acceso.
En la conferencia de los desarrolladores celebrada en junio, WWDC18, Apple comunicó que automatizarán este último paso del proceso 2FA en iOS 12 para mejorar la experiencia del usuario. La función Autocompletar Código de Seguridad, actualmente disponible para los desarrolladores en una versión beta, permitirá que el dispositivo móvil escanee los SMS entrantes para detectar dichos códigos y los indicará en la parte superior del teclado predeterminado.
Mejorando la experiencia del usuario de 2FA basada en SMS
Actualmente, estos códigos SMS dependen de que el usuario cambie de aplicación y memorice el código, lo que puede demorar unos segundos. Algunos usuarios intentan memorizar el código del banner de vista previa y luego introducirlo. La nueva función de iOS de Apple requiere un solo toque del usuario para introducir automáticamente el código de seguridad. Esto acelerará el proceso de inicio de sesión y reducirá los errores, una mejora significativa de la utilización de 2FA y que podría aumentar su aprobación entre los usuarios de iPhone.
Ejemplo de la función Autocompletar código de seguridad en funcionamiento en iPhone (Fuente: Apple)
Además, si los usuarios sincronizan SMS con su MacBook o iMac, la característica de reenvío de mensajes de textotambién se aplicará con los códigos de su iPhone y se habilitará el Autocompletar Código de Seguridaden el navegador Safari.
Ejemplo de la función Autocompletar código de seguridad sincronizada con macOS Mojave (Fuente: Apple)
La reducción de las incidencias para conseguir mejorar la implementación de la tecnología por parte de los nuevos usuarios y aumentar la usabilidad y la satisfacción, no es un concepto nuevo, sino un objetivo común dentro de la industria, por ejemplo, en los servicios bancarios y financieros. Esto es evidente en la forma en que la industria de pagosy la industria financieraha apoyado los “pagos sin contacto” (Comunicación de Campo Cercano, en inglés “Near Field Communication” o NFC), lo que hace que las transacciones sean mucho más rápidas que los pagos tradicionales de PIN y chip.
La nueva función de iOS 12 “Autocompletar Código de Seguridad”, podría exponer a los bancos y a los usuarios al fraude
Los arquitectos y diseñadores, especialmente en seguridad informática, saben que, al realizar cambios en una parte de un sistema, deben evaluar cómo esto afecta a las otras partes con las que interactúa. En el caso de la próxima función de Autocompletar Código de Seguridaden iOS 12, al hacer que el 2FA basado en SMS sea más conveniente para los usuarios, puede invalidar los beneficios de seguridad de la firma para transacciones y del Número de Autenticación de Transacción (del inglés, “Transaction Authentication Numbers”, TANs)
La autenticación de transacción, a diferencia de la autenticación de usuario, asegura la correcta ejecución de una transacción en lugar de solo la identidad de un usuario. Es generalmente conocido en la banca en línea y, en particular como forma de cumplir con el requisito de la Directiva de Servicios de Pago Revisados (del inglés, “Revised Payment Services Directive”, PSD2)de la UE para la vinculación dinámica, herramienta esencial para defenderse contra ataques inteligentes. Por ejemplo, un rival puede intentar engañar a una víctima para que transfiera el dinero a una cuenta diferente de la que se pretendía. Para conseguir esto, el adversario podría usar técnicas de ingeniería social como phishing y vishing (suplantación de identidad) y/o herramientas como el programa malicioso Man-in-the-Browser(Ataque informático).
La autenticación de transacción se utiliza para defenderse de estos adversarios. Existen diferentes métodos, pero en el de más relevancia, el banco resumirá los datos de la transacción, agregará un Numero de Autenticación de Transacción creado específicamente por esos datos y enviará ambos por SMS al número de teléfono registrado. El usuario, o cliente del banco en este caso, debe verificar los datos y, si coinciden con las peticiones realizadas, introducir el Numero de Autenticación de Transacción del mensaje SMS recibido en la página web.
TAN por SMS para banca en línea
Los detractores de la OTP basada en SMS, ya sea para 2FA o para la autenticación de transacciones, lo han calificado como inseguro. Por ejemplo, en los últimos años, el Instituto Nacional de Estándares y Tecnología (en inglés, National Institute of Standards and Technology)criticó públicamente al SMS, calificándolo como inseguro e inadecuado para una autenticación segura y por ello han desaprobado SMS 2FA. Sin embargo, se considera lo suficientemente segurocomo para ser utilizado para la Autenticación Segura del Cliente (del inglés, Strong Customer Authentication, SCA)bajo la PSD2.
Cómo el Autocompletar Código de Seguridadpodría no tener los beneficios de seguridad de la Autenticación de Transacción
Esta nueva función de iOS podría causar problemas para el uso de SMS en la autenticación de transacciones. Aplicado a 2FA, el usuario ya no necesitaría abrir y leer el SMS, ya que el código se mostraría cómodamente en la pantalla. El código se detecta en un mensaje con palabras parecidas a ‘código’ o ‘contraseña’, las cuales se usan en mensajes que entregan códigos 2FA y TANs por igual.
A menos que esta característica pueda distinguir de forma fiable entre OTP en 2FA y TANs en la autenticación de transacciones, es posible que los usuarios también tengan sus TANs mostrados en la pantalla, ej. el importe y el destino de la transacción.
El hecho de que un usuario verifique esta información tan importante es precisamente lo que proporciona el beneficio de seguridad. Eliminar eso del proceso lo hace ineficaz. Los ejemplos en los que elAutocompletado de Código de Seguridadpodría suponer un riesgo para la seguridad de la banca en línea incluyen un ataque Man-in-the-Middle contra el usuario que accede a la banca en línea desde Safari en su MacBook.
Se ha mejorado y facilitado el uso de 2FA y se espera que ello anime a más usuarios de iOS a adoptar 2FA. La autenticación de transacciones basada en SMS podría seguir siendo una tecnología establecida en la banca en línea, y los bancos podrían responsabilizar a los usuarios si no verifican la información de la transacción. Si está justificado o no culpar a los usuarios por comportarse como los anima la tecnología es una cuestión jurídica.
Consideraciones para los casos de uso de la banca
A pesar de que los bancos establezcan mejoras en la experiencia del cliente y protejan a sus instituciones y a sus usuarios contra el fraude, deberían tener cuidado con la nueva función de Autocompletar Código de Seguridad. Se recomienda que los bancos consideren lo siguiente cuando se trata de casos de uso de autenticación de transacciones:
- Continuar informando a los clientes sobre la importancia de validar cuidadosamente los detalles de sus transacciones al autenticar una transacción, especialmente para aquellos que reciben TANs en un iPhone.
- Evitar activar la función de Autocompletar Código de Seguridaden los campos habilitados para introducir TANs en la autenticación de transacciones.
- Implementar tecnologías de autenticación más avanzadas, como datos biométricos (por ejemplo, huella dactilar, rostro, comportamiento), tecnología fuera de banda (no basada en SMS) y/o notificación push para transacciones de mayor riesgo (por ejemplo, transferencias de fondos).
- Proteger las aplicaciones móviles con las tecnologías de protección de aplicaciones y de autoprotección de aplicaciones ejecutadas a tiempo (del inglés, “Runtime Application Self Protection”, RASP).
Contacta con nosotros
Entradas relacionadas
