1 dic. 2014

La tarjeta de coordenadas: una muerte anunciada

Hoy en día, las entidades bancarias que ofrecen sus productos y servicios por internet usan diferentes técnicas de autenticación (para identificar a sus clientes) y autorización (para llevar a cabo distintas operaciones). Ya quedaron atrás modelos de autenticación de un único factor, dando paso al proceso de autenticación fuerte, que requiere de la combinación de dos o más elementos.

Estos elementos se suelen categorizar como:
  • Conocimiento: Algo que el usuario conoce, como una contraseña o un código PIN.
  • Posesión: Algo que el usuario tiene, como un token, smartcard, o teléfono móvil/SIM.
  • Inherencia: Algo que el usuario es, o sea, una característica biométrica como la huella digital.

Habitualmente el sector bancario utiliza un modelo de autenticación basado en riesgo, utilizando generalmente dos de estos niveles para permitir el acceso a sus servicios online:

Lamentablemente, la falta de usabilidad de algunos métodos de autenticación provoca malas prácticas, y bajo esas circunstancias, paradójicamente el aplicar mayor seguridad resulta ser contraproducente (por ejemplo, cuando por no disponer de la tarjeta de coordenadas del banco cuando se necesita, el usuario opta por escanearla o fotocopiarla).

Es curioso, pero el concepto de autenticación fuerte no ha tenido una definición oficial hasta que el European Forum on the Security of Retail Payments, SecuRe Pay, publicó en enero de 2013 una guía exhaustiva con recomendaciones para la lucha y prevención del fraude en medios de pago. En ella se definían, entre otros, los criterios mínimos que deben cumplirse en un proceso de autenticación fuerte. Su implementación debe llevarse a cabo antes del 1 de febrero de 2015, según indicaciones del Banco Central Europeo .

El Banco central Europeo resalta la necesidad de que el inicio de los pagos en internet así como el acceso a datos relativos al pago sean protegidos con autenticación fuerte. Analicemos si los mecanismos más habituales implementados por la banca y medios de pago cumplen los criterios mínimos establecidos:

A la vista de la gráfica comparativa anterior, podemos concluir que la tarjeta de coordenadas como elemento que prueba la autenticidad del usuario ha quedado obsoleta, y sin embargo, es uno de los más extendidos en la banca online. Teniendo en cuenta las indicaciones del Banco Central Europeo al respecto, las Entidades Financieras que actualmente trabajen con tarjeta de coordenadas deberán evolucionar a otros modelos.

Fuente: ElevenPath

2 comentarios:

  1. ¿Qué pasaría si la posición de la coordenada a introducir se envía por SMS?. Primer factor: User/Pass, segúndo factor: combinación SMS + Tarjeta de coordenadas.
    Gracias.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!