Las tarjetas de coordenadas pasaron al olvido en Chile y, ahora, métodos de autenticación tradicionales, como los códigos únicos por SMS, los PIN y los tokens físicos podrían seguir el mismo camino.
La presión para dejar atrás estos métodos proviene de reguladores y de tendencias del mercado. Según especialistas en ciberseguridad consultados por iupana, el aumento del fraude y la sofisticación de los atacantes están empujando a bancos y fintechs de América Latina a migrar hacia tecnologías más seguras e invisibles para el usuario.
“Uno de los métodos más cuestionados actualmente es el OTP por SMS. Aunque fue ampliamente utilizado, hoy se considera inseguro debido a su exposición a ataques como el SIM swapping, la interceptación de mensajes y el malware”, opina Felipe Pizarro, fundador de ExpertsFraud, un repositorio de información vinculada a ciberseguridad.
“No cumple con los criterios de autenticación fuerte (SCA) establecidos por regulaciones, como la PSD2 en Europa, lo que ha acelerado su reemplazo”, comenta.
Advirtiendo estas vulnerabilidades y señalando que este método carga toda la responsabilidad al usuario, desde el unicornio Konfío de México, coincidieron en que están migrando hacia esquemas más robustos.
En esa línea de mejora, el regulador chileno ordenó que desde el 1 de agosto los emisores de tarjetas eliminen mecanismos impresos y apuntó a una autenticación reforzada del cliente, que cumpla con al menos dos factores entre conocimiento (lo que se sabe), posesión (lo que se tiene) e inherencia (lo que se es).
La medida empuja a la industria por optar a métodos de autenticación más afines a la experiencia de usuario además de más precisos, como la biometría comportamental, que cumple con estándares internacionales.
No obstante, Eduardo Beltrán, CEO de Nubatech, una empresa especializada en seguridad digital explica que el problema no está en los códigos OTP en sí, sino en el canal por el que se transmiten.
“Un SMS es un medio vulnerable, un correo electrónico es un medio vulnerable, pero que te manden por ejemplo un número OTP a través de una aplicación del banco puede ser un medio mucho más protegido”, asegura.
Los PIN, tokens y preguntas de seguridad
Beltrán agrega que al evaluar la obsolescencia de mecanismos de autenticación se debe tener en cuenta la facilidad para que el usuario final revele lo que sabe.
Los PIN son señalados por el especialista como altamente riesgosos porque con métodos de ingeniería social son revelados.
“‘Señor entrégueme el PIN que tiene para hacer transacciones’ Hay gente que va a caer, hay gente que no», grafica Beltrán.
Los tokens, los llaveros que generan claves dinámicas, también están quedando obsoletos, pues tienen desventajas.
“Son costosos de fabricar y mantener, y su uso implica que el usuario debe portarlos físicamente para acceder a servicios. Si se extravían u olvidan, las operaciones quedan bloqueadas”, apunta Pizarro de ExpertsFraud.
Añade que las preguntas de seguridad, como el nombre de los padres han perdido vigencia, pues la información cada vez es más fácil de obtener y muchas están en redes públicas.
“Los métodos estáticos o vulnerables están siendo progresivamente eliminados, tanto por exigencias de seguridad como por la evolución tecnológica y la mejora en la experiencia del usuario”, sentencia el fundador.
