Por: Danilo Ochoa, Gerente Comercial para Latinoamérica de eBanking & eCommerce, Gemalto
La banca electrónica representa un foco principal para el cyber fraude debido a la mayor canalización de servicios para los clientes a través de las vías online.
La evolución de la autenticación robusta ha sido sorprendente, ninguna otra tecnología está obligada a estar más actualizada y a ser más flexible para poder migrar y adaptarse a cualquier nueva amenaza de fraude en el menor tiempo posible.
Un sistema de identificación debe poseer estas características básicas para ser viable: debe ser muy fiable, económicamente factible, ser capaz de mitigar los ataques más avanzados y adaptarse a los nuevos, tener una alta flexibilidad para autenticar múltiples canales o aplicar múltiples estándares, y además de todo, ser conveniente para los usuarios.
No todos los esquemas de autenticación pueden cubrir todos los niveles de riesgo, identificados hoy o que surjan en un futuro cercano.
Por eso, Gemalto ha realizado un análisis sobre las variables más importante que pueden apoyar a la banca en su proceso de selección de una plataforma de autenticación más robusta.
La solución de autenticación OTP un esquema adaptable y flexible de doble factor que requiere una contraseña nueva cada vez que se utiliza, minimizando el impacto de que un tercero pueda capturarla y reutilizarla. Los usuarios se identifican utilizando dos factores únicos – algo que conocen (nombre de usuario/clave) y algo que poseen (el OTP/contraseña dinámica que le da su dispositivo tipo token).
En el método de autenticación “Desafío-Respuesta” una de las partes presenta una pregunta y la otra parte debe proporcionar una respuesta válida para poder autenticarse.
Evita ataques de phishing y pharming, el usuario verifica que el sitio en que está autenticándose es realmente su banco, pero, aún así no puede proteger las transacciones de ataques sofisticados como el mencionado “man in the browser” que infecta y controla el navegador del usuario.
El esquema de autenticación basado en la Firma de Transacción: no sólo se autentifica la identidad del usuario, sino que además, la propia transacción se firma de forma electrónica por el token, asegurando tanto la confirmación, como el no repudio.
Este método añade un nivel muy alto de control de riesgo contra ataques como, “man in the middle”, o malware sofisticado. Su aplicación para operaciones en banca en línea, como las realizadas en banca móvil, en comercio electrónico, en cajeros automáticos o incluso telefónicas.
Gemaltoha desarrollado una nueva generación de tecnología de autenticación robusta que es capaz de incorporar en el mismo dispositivo diversas funciones de autenticación, logrando así, la máxima protección del usuario que podrá utilizar un esquema de “desafío-respuesta” para transacciones de bajo riesgo y firma de transacción para las más riesgosas; pero además, es capaz de mitigar ataques entre canales a través de teclas de función separada criptográficamente en un mismo dispositivo.
Por último, el uso de la criptografía en la autenticación robusta, es una tecnología altamente segura y cada vez más extendida, como por ejemplo la infraestructura de Firma Digital PKI- Public Key Infrastructure/infraestructura de llave pública-. Una combinación de hardware, software, políticas y procedimientos de seguridad, que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.
Los desarrollos y aplicaciones PKI permiten el uso de certificados digitales, que contienen la identidad digital. Para garantizar quela Firma Digitalestá realmente bajo su control y lejos de ambientes hostiles como un computador o un CD, donde puede ser usurpada o utilizada para un proceso de firma fraudulento, se recomienda la utilización de una smartcard o un USB para transportar y almacenar los certificados digitales.
La tecnología PKIes capaz de mitigar los más sofisticados ataques de “man in the middle”, aunque trate de interceptar el tráfico entre el usuario y el servidor no podrá recrear la función algorítmica que genera el servidor legítimo, luego rechazará cualquier intento de conexión salvaguardando las transferencias, datos de identidad y claves.
Para alcanzar un mayor nivel de seguridad, Gemalto incluye un navegador embebido en el USB, lo que agrega un entorno mayor de seguridad al dispositivo. Bancos que tienen una cartera importante de empresas y usuarios individuales que realizan altas transferencias de dinero y viajan, eligen esta plataforma de autenticación por su alto nivel de seguridad, la facilidad de su implementación, la flexibilidad para utilizarlo también en la firma de documentos, y la conveniencia para el usuario final con la mayor certeza de que lo que ve es lo que firma.