Trapero
02/09/19 17:05
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Ir a respuesta
Para defendernos del riesgo de suplantación de identidad al conectarnos a los servicios de banca online (o de cuentas de correo, o de comercio electrónico) los bancos utilizan los llamados sistemas de autenticación de dos factores (2FA: two factor authentication). Quiere decir que para demostrar tu identidad, para demostrar que quien está operando con la cuenta eres auténticamente tú, debes aportar al menos dos de entre estos tres factores: algo que sabes (una contraseña), algo que tienes físicamente (tu teléfono móvil, una tarjeta de coordenadas, una llave o tarjeta con chip) o algo que eres (huella dactilar, iris, palma de la mano).
Por ejemplo, una autenticación de dos factores frecuente en banca online consiste en introducir una contraseña más una clave que se mira en una tarjeta de coordenadas. Sin embargo los expertos en seguridad hace tiempo que desaconsejaron su uso por diversas razones. Hoy se considera a la tarjeta de coordenadas como un método obsoleto y se recomienda su sustitución por otros.
Otro sistema que se emplea habitualmente es el de contraseña más clave SMS. Despues de meter la contraseña el banco envía un mensaje SMS a tu teléfono con una clave que caduca en un breve lapso de tiempo. Esa clave es el segundo factor y entraría también en la categoría “algo que tienes” puesto que para recibir el SMS necesitas estar en posesión de tu teléfono móvil.
Desgraciadamente se ha comprobado que la autenticación a través de SMS es igualmente insegura. Las tarjetas SIM que identifican nuestra línea telefónica móvil pueden ser duplicadas por los ciberdelincuentes para recibir ellos los mensajes SMS y tomar el control de nuestra cuenta. También hay técnicas para interceptar los SMS. Y no son casos hipotéticos, los robos con este sistema están sucediendo, y de manera creciente (ver: https://www.eleconomista.es/tecnologia/noticias/9738144/03/19/Cibercriminales-interceptaban-los-SMS-de-seguridad-de-bancos-para-vaciar-las-cuentas-de-los-clientes.html ).
Entonces ¿qué sistemas de dos factores son realmente seguros?
De dos tipos: los que se apoyan en un programa autenticador y los que autentican a través de un dispositivo de hardware externo.
¿Cómo funciona la autenticación con un programa autenticador? Habíamos visto que con el método de SMS se enviaba un mensaje al móvil con una clave desechable para demostrar que el usuario estaba en posesión del teléfono. Los programas autenticadores se basan en el mismo principio de demostrar que tienes tu teléfono, pero en este caso sin necesidad de enviar ningún SMS. Inicialmente se instala en el teléfono una aplicación de autenticación (Google Authenticator es la más usada) y se vincula a la cuenta de banca online (o de correo o comercio electrónico) con la que se vaya a utilizar. Una vez vinculada la aplicación generará en adelante claves únicas para esa vinculación (y por tanto para ese teléfono) y de un solo uso (OTP o “one time passwords”). Esas claves son las que servirán como segundo factor de autenticación.
El otro método seguro, los dispositivos autenticadores de hardware son unos aparatitos que tienen claves “en frío” (fuera de internet) y al conectarlos al ordenador autentican la operación.