Easy Solutions, ahora parte de Cyxtera Technologies, entregó recomendaciones de seguridad en el marco del 17º Congreso Financiero de Tecnología e Innovación (CLAB), que se llevó a cabo en Miami los días 30, 31 de agosto y 1 de septiembre y en donde se desarrollaron temas como ciberseguridad, el futuro de los pagos, los retos regulatorios, Inteligencia Artificial, Transformación Digital, Inclusión Financiera, entre otros.
En el marco del evento, Oliver Quixchan, experto de Easy Solutions, tuvo a su cargo una ponencia técnica sobre: “¿Su Institución es Vulnerable si Usa Autenticación Fuera de Banda SMS: Cómo proteger su organización y usuarios sin fricción?”. En la misma el experto habló sobre las últimas declaraciones del Instituto Nacional de Estándares y Tecnología (NIST), ente que declaró que los mensajes SMS son muy inseguros como método de autenticación y cómo los sistemas bancarios que usan esta tecnología han sufrido millonarias pérdidas.
A medida que crece el uso de Internet y las tecnologías van evolucionando, avanzan las amenazas de fraude electrónico. Según datos de Easy Solutions publicados en 2016, el 94% de los titulares de cuentas bancarias de menos de 35 años son asiduos usuarios de banca online. Y el 38% de los Millennials utilizan aplicaciones y otras herramientas móviles para realizar sus pagos.
“Muchos bancos utilizan la tecnología SMS para proporcionar información confidencial a sus clientes, como por ejemplo contraseñas o códigos de acceso único para realizar pagos o transferencias, y 63% de las brechas de datos se dan por contraseñas débiles o contraseñas robadas”, afirma Quixchan.
Lo llamativo es que ya en 2012, una empresa de telecomunicaciones australiana declaró que el SMS no está diseñado para ser un canal seguro de comunicaciones y que no debería ser utilizado por los bancos para la autenticación de transferencias electrónicas. En 2016, el Instituto Nacional de Estándares y Tecnología de Estados Unidos también publicó advertencias sobre la seguridad de SMS como parte de un fuerte sistema de autenticación de dos factores.
Recientemente, una de estas vulnerabilidades se utilizó para evitar la autenticación de dos factores en varios bancos alemanes. Estos bancos (como muchos en Latinoamérica) usaron el SMS para entregar contraseñas únicas (OTP) para verificar las transacciones en línea. Los atacantes aprovecharon los problemas de seguridad de la tecnología de SMS para redirigir estos mensajes a números de teléfono controlados por los atacantes en lugar de ser entregados a los titulares de la cuenta. Los estafadores luego utilizaron los códigos enviados por el banco para acceder y retirar fondos de la cuenta en línea.
“Un punto para analizar es la comodidad de los usuarios. El SMS se mantiene como la prioridad más alta de los usuarios, incluso por encima de la seguridad y a pesar de las numerosas violaciones masivas de datos”, afirma el ejecutivo. Diversos estudios reflejan que si un sistema de seguridad es muy complejo, los usuarios dejan de utilizarlo.
Sin embargo, la conciencia de la seguridad también empieza a ser una prioridad para muchos usuarios, según Deloitte el 61% de los que no usan su dispositivo para realizar transacciones móviles citan la falta de seguridad como la razón principal.
En general las redes telefónicas no fueron diseñadas para ser seguras. La adopción de SMS para el envío de información sensible es el ejemplo perfecto de un patrón que a menudo vemos en la seguridad: cuando nuevos métodos de comunicación o nuevos productos digitales son lanzados, la experiencia del usuario y la velocidad del mercado se dan prioridad sobre la seguridad, como si este fuera un obstáculo para la competitividad.
“Los ataques ocurridos recientemente en bancos alemanes demuestran que las alarmas que se veían escuchando hace unos años eran ciertas y esto debería empujar a las organizaciones a alejarse de la autenticación mediante SMS”, destacó Oliver Quixchan, experto de Easy Solutions.
Los cambios están comenzando a verse en reguladores bancarios del mundo, quienes están creando normas para evitar que los negocios comuniquen información sensible a través de SMS. Un ejemplo de ello en la región es Colombia, la Circular 029, que define lo que las empresas y las instituciones financieras deben hacer para realizar transacciones en línea sobre dispositivos móviles, menciona específicamente que “las informaciones confidenciales, bajo ninguna circunstancia, pueden ser conocidas por las redes de proveedores de telecomunicaciones, o por cualquier otra entidad que no sea la organización financiera que proporciona el servicio a través del canal de transacciones”.
Hoy en día, los códigos de acceso único pueden ser entregados a través de métodos alternativos sin afectar la experiencia del usuario. Por ejemplo, se pueden aprovechar las notificaciones push. Esta tecnología proporciona un canal de comunicación seguro y encriptado que es resistente a los ataques. Una notificación push se envía al teléfono de un usuario a través de una aplicación móvil y el usuario aprueba la notificación para verificar su identidad. Es así de simple. Para mejorar aún más la seguridad, se pueden agregar más capas de autenticación, como la biometría.
Con respecto a la biometría, vemos que la autenticación fue uno de los temas más importantes en el 2016, y no hay duda de que la autenticación mediante factores biométricos llegó para quedarse. En el 2017, esta tecnología ya no es vista como la gran novedad, sino como una necesidad. Consecuentemente, veremos cómo las contraseñas OTP vía SMS se convertirán en una tecnología obsoleta que desaparecerá gradualmente.
Easy Solutions recomienda:
1. Invertir en métodos de autenticación más robustos u otros controles compensatorios proporcionales al riesgo relativo asociado con los activos, las aplicaciones y los procesos empresariales que necesitan ser protegidos, por ejemplo autenticación push, más factores biométricos.
2. Seguir pensando en la experiencia del usuario sin olvidar la seguridad.
