OTP: au­te­n­ti­ca­ción 2FA en ope­ra­cio­nes bancarias

Primero, el nombre de usuario; después, el PIN, y ahora ¿otra co­n­tra­se­ña? Para muchos usuarios de la banca en línea, estas medidas de seguridad estrictas son un mal necesario del que con gusto pre­s­ci­n­di­rían. Desde su in­tro­du­c­ción en 1976, ha sido sobre todo el número de au­te­n­ti­ca­ción de tra­n­sac­ción (TAN, por sus siglas en inglés) el que ha co­n­tri­bui­do efi­ca­z­me­n­te a la pro­te­c­ción de las finanzas privadas –siempre y cuando el titular de la cuenta aplique co­rre­c­ta­me­n­te el pro­ce­di­mie­n­to co­rre­s­po­n­die­n­te y no caiga en las estafas de los ci­be­r­de­li­n­cue­n­tes. Para conocer cuáles son estos métodos de pro­te­c­ción, qué seguridad ofrecen y qué puedes hacer para proteger tus cuentas de accesos in­de­sea­dos, sigue leyendo esta guía.

Un TAN es una co­n­tra­se­ña dinámica de un solo uso (one time password u OTP) que no­r­ma­l­me­n­te consta de seis dígitos decimales y se utiliza pri­n­ci­pa­l­me­n­te para tra­n­s­fe­re­n­cias y cambios en la co­n­fi­gu­ra­ción de la banca en línea. Las OTP son una de las he­rra­mie­n­tas más uti­li­za­das en la au­te­n­ti­ca­ción de dos factores y, junto a los nombres de usuario y códigos PIN, logran levantar otro obstáculo para el acceso, puesto que están diseñados para evitar que los de­li­n­cue­n­tes obtengan el control no au­to­ri­za­do sobre cuentas bancarias ajenas. Incluso si ya han capturado un PIN usando phishing o troyanos, sin una co­n­tra­se­ña dinámica OTP no pueden hacer tra­n­s­fe­re­n­cias, y estas co­n­tra­se­ñas de un solo uso están di­re­c­ta­me­n­te vi­n­cu­la­das a datos sensibles como el número IBAN y el importe de la tra­n­s­fe­re­n­cia. Además, solo son válidas para una sola tra­n­sac­ción y solo durante un período de tiempo limitado (no­r­ma­l­me­n­te unos pocos minutos).

En los métodos de au­te­n­ti­ca­ción basados en OTP el usuario legítimo recibe una co­n­tra­se­ña válida solo durante un de­te­r­mi­na­do lapso de tiempo con la que puede llevar a cabo una tra­n­sac­ción sensible. Existen varios pro­ce­di­mie­n­tos di­fe­re­n­tes, pero el principio básico es muy similar en todos ellos:

1. En primer lugar, inicia sesión en el portal de Internet de tu banco uti­li­za­n­do una apli­ca­ción de banca en línea o un software bancario, edita tu tra­n­s­fe­re­n­cia y envíala.
    
2. La in­fo­r­ma­ción de la tra­n­s­fe­re­n­cia bancaria que has in­tro­du­ci­do se te mostrará de nuevo. Revísala cui­da­do­sa­me­n­te para ase­gu­rar­te de que es realmente tu pedido y de que no ha sido ma­ni­pu­la­do de ninguna manera. A co­n­ti­nua­ción, confirma la tra­n­s­fe­re­n­cia.
    
3. Tu banco te pedirá ahora un código en función del método que tu banco y tú hayáis definido (tarjeta de coor­de­na­das, SMS, etc.). Al ingresar el número de tra­n­sac­ción correcto, tu tra­n­s­fe­re­n­cia queda ve­ri­fi­ca­da y podrá eje­cu­tar­se.

Las entidades bancarias utilizan di­fe­re­n­tes formas de ve­ri­fi­ca­ción de identidad para acceder a la cuenta y de au­to­ri­za­ción para realizar tra­n­sac­cio­nes. Los nuevos métodos de au­te­n­ti­ca­ción fuerte o de dos factores (2FA) han re­em­pla­za­do a los de un factor y consisten en sistemas que combinan dos o más de estos elementos:

• Co­no­ci­mie­n­to: algo que el usuario sabe (co­n­tra­se­ña, código PIN)
• Posesión: algo que el usuario tiene consigo (tarjeta de coor­de­na­das, generador de co­n­tra­se­ñas dinámicas, teléfono móvil)
• In­he­re­n­cia: algo que el usuario es (huella digital, re­co­no­ci­mie­n­to facial, escaneo de iris)

Por lo general, en la ac­tua­li­dad la mayoría de entidades utilizan métodos de au­te­n­ti­ca­ción de riesgo porque solo utilizan dos de estos elementos, ge­ne­ra­l­me­n­te lo que el usuario sabe y lo que tiene.

Hace algunos años, el único método con OTP di­s­po­ni­ble en nuestro país era la tarjeta de coor­de­na­das, en papel o en forma de tarjeta, que el banco enviaba al usuario por correo postal. Aún de uso ge­ne­ra­li­za­do, para legitimar las tra­n­sac­cio­nes con este modelo de ve­ri­fi­ca­ción, el usuario debe in­tro­du­cir un de­te­r­mi­na­do número de la lista en la página web de su banco. Cuando se agota la lista, se solicita una nueva. La debilidad de este método es obvia: si se pierde, el usuario no puede legitimar sus tra­n­sac­cio­nes, mientras que un extraño tendría en sus manos todos los códigos válidos. A esto se añade que muchos usuarios la escanean o fo­to­co­pian para tenerla siempre di­s­po­ni­ble. Esta es la razón por la que se han ido im­po­nie­n­do otros métodos de au­te­n­ti­ca­ción con OTP, si bien este sigue siendo el más utilizado aún en nuestro país, pese a que el Banco Central Europeo ya recomendó en 2013 la im­ple­me­n­ta­ción de métodos de au­te­n­ti­ca­ción fuerte.

La tarjeta de coor­de­na­das sigue siendo el método estándar basado en OTP en la banca online española para clientes pa­r­ti­cu­la­res. Su pa­r­ti­cu­la­ri­dad es que la in­s­ti­tu­ción fi­na­n­cie­ra es­pe­ci­fi­ca un número de posición muy es­pe­cí­fi­co (índice) que coincide con un código de tra­n­sac­ción en la lista y que no puede pre­de­ci­r­se de antemano. Si bien esto teó­ri­ca­me­n­te pro­po­r­cio­na un mayor nivel de seguridad, también tiene una serie de de­s­ve­n­ta­jas: como nunca se sabe por ade­la­n­ta­do qué código ne­ce­si­ta­rá el banco, siempre se debe tener a mano la lista completa. Tampoco son in­fre­cue­n­tes las capturas de estas listas por parte de piratas in­fo­r­má­ti­cos, que las utilizan para ac­ti­vi­da­des frau­du­le­n­tas. Por eso, no es un método OTP co­m­ple­ta­me­n­te seguro. Sin embargo, la mayoría de entidades siguen ofre­cie­n­do las tarjetas de coor­de­na­das como una pro­te­c­ción mínima que incluso los pro­vee­do­res des­aco­n­se­jan, señalando pro­ce­di­mie­n­tos más modernos.

Con la apli­ca­ción en 2019 de la Directiva de Servicios de Pago de la UE PSD2 (Directiva PSD2|EU) esto podría cambiar. Aprobada mediante real decreto-ley por el Consejo de Ministros a finales de 2018 (con diez meses de retraso), esta nueva directiva tiene como objetivo pri­mo­r­dial igualar las co­n­di­cio­nes de los pro­vee­do­res de servicios de pago en la UE. Si la PSD permitió implantar la zona SEPA para tra­n­sac­cio­nes in­tra­co­mu­ni­ta­rias, la PSD2 aumentará la pro­te­c­ción del co­n­su­mi­dor que utiliza servicios de pago y en­du­re­ce­rá la seguridad, exigiendo la “au­te­n­ti­ca­ción reforzada del cliente” cada vez que el co­n­su­mi­dor realice un pago o acceda a su cuenta. Esto se hará en el futuro mediante ce­r­ti­fi­ca­dos digitales, OTP, tokens de acceso, escaneo del iris o huella digital. Con esto llegarían los últimos días de la tarjeta de coor­de­na­das como medio de au­to­ri­za­ción de tra­n­sac­cio­nes.

El concepto del envío de la OTP por SMS que ya utilizan algunas entidades y redes sociales se basa en el factor “lo que se tiene”, ge­ne­ra­l­me­n­te un segundo di­s­po­si­ti­vo, que suele ser un teléfono móvil. Para verificar una tra­n­s­fe­re­n­cia, el banco envía al usuario una co­n­tra­se­ña de un solo uso recién generada al teléfono móvil o sma­r­t­pho­ne del cliente por SMS, que ha de in­tro­du­cir en el lugar previsto para ello en la página de su banco.

Debido al uso ge­ne­ra­li­za­do de teléfonos móviles, esta forma de ve­ri­fi­ca­ción está bastante extendida, puesto que su im­ple­me­n­ta­ción es muy sencilla para el usuario, y como ya no hace necesario tener la lista de coor­de­na­das a mano para realizar tra­n­sac­cio­nes, se considera más seguro. Pese a sus ventajas, no obstante, no puede impedir un ataque man in the middle o que alguien con in­te­n­cio­nes dudosas logre desviar el envío del SMS a otro móvil. Además del usuario, hay otros eslabones de la cadena, como la operadora te­le­fó­ni­ca, que son vu­l­ne­ra­bles.

Aunque la banca en línea y la recepción de la co­n­tra­se­ña dinámica se pueden ejecutar en el mismo di­s­po­si­ti­vo, la mayoría de los bancos lo impiden por medio de ob­s­tácu­los técnicos. Si todo se realizara en el mismo di­s­po­si­ti­vo, la seguridad en las tra­n­sac­cio­nes bancarias se vería co­m­pro­me­ti­da. Por lo tanto, esta se­pa­ra­ción también redunda en interés del cliente; si el usuario perdiera su sma­r­t­pho­ne, ambos factores de au­te­n­ti­ca­ción podrían caer en manos de de­s­co­no­ci­dos. Por esta razón, conviene siempre utilizar un di­s­po­si­ti­vo separado para la banca en línea. A medida que los teléfonos móviles han ido evo­lu­cio­na­n­do hasta co­n­ve­r­ti­r­se en di­s­po­si­ti­vos mu­l­ti­fu­n­ción con una conexión constante a Internet, se ha vuelto más fácil para los ci­be­r­de­li­n­cue­n­tes obtener los datos de acceso al­ma­ce­na­dos en ellos mediante phishing y troyanos. Esto hace necesario co­n­si­de­rar el uso de un teléfono fijo capaz de recibir mensajes cortos en lugar de un teléfono in­te­li­ge­n­te. Por regla general, no se puede instalar ningún software adicional y, por lo tanto, ningún malware.

En otros países de la UE, los clientes de las entidades bancarias ya utilizan otros métodos más seguros de au­te­n­ti­ca­ción con co­n­tra­se­ñas dinámicas de un solo uso. Dado que a finales de 2019 España también tendrá que im­ple­me­n­tar las medidas previstas en la directiva PSD2, te ade­la­n­ta­mos aquí en qué consisten los métodos más avanzados de pro­te­c­ción de los que pro­ba­ble­me­n­te no tardes en tener noticias.

Aunque en la ge­ne­ra­ción de OTP por app móvil solo se utiliza un único di­s­po­si­ti­vo móvil (como un sma­r­t­pho­ne o una tablet), este sigue pe­r­mi­tie­n­do la au­te­n­ti­ca­ción de dos factores. En este proceso, el di­s­po­si­ti­vo móvil utiliza dos canales separados: mientras que en un canal el cliente navega por el portal de su banco o de la apli­ca­ción bancaria asociada, en el otro se instala una apli­ca­ción ge­ne­ra­do­ra de OTP protegida por co­n­tra­se­ña (di­s­po­ni­ble gra­tui­ta­me­n­te en la Apple Store o la Google Play), que muestra de nuevo los datos de la tra­n­s­fe­re­n­cia para su ve­ri­fi­ca­ción y genera un código de tra­n­sac­ción que puede tra­n­s­fe­ri­r­se di­re­c­ta­me­n­te a la app del banco si ambas apli­ca­cio­nes son co­m­pa­ti­bles y están vi­n­cu­la­das. Con esta apli­ca­ción, la ventaja resulta obvia, y es que solo hace falta un terminal, pero la de­s­ve­n­ta­ja también, si pierdes tu teléfono, alguien podría realizar tra­n­s­fe­re­n­cias bancarias sin tu co­no­ci­mie­n­to.

Esto es pa­r­ti­cu­la­r­me­n­te fatal si has utilizado la misma co­n­tra­se­ña para proteger la app del banco y la ge­ne­ra­do­ra de OTP. Por lo tanto, para estar seguro, debes separar es­tri­c­ta­me­n­te ambas apli­ca­cio­nes en dos di­s­po­si­ti­vos separados, como te re­co­me­n­da­mos también para el pro­ce­di­mie­n­to de la OTP por SMS.

Para este pro­ce­di­mie­n­to, inusual aún en nuestro país, se necesita un hardware adicional, un generador de co­n­tra­se­ñas dinámicas de un solo uso (TAN generator). Se trata de un pequeño di­s­po­si­ti­vo in­alá­m­bri­co que puede obtenerse en la misma entidad bancaria o en tiendas de ele­c­tró­ni­ca y que se puede utilizar sin problemas para varias cuentas y personas al mismo tiempo. Para activar el generador se necesita una tarjeta chip o smart card (no­r­ma­l­me­n­te la tarjeta de débito de la entidad), que se solicita en el banco. De ahí que también incluyan a veces funciones de lectura de tarjetas in­te­li­ge­n­tes. Para generar una OTP, se inserta la tarjeta en el generador y se procede a realizar una tra­n­s­fe­re­n­cia. Se creará entonces un código de barras gráfico a partir de los datos in­tro­du­ci­dos. Si se sostiene el generador con sus sensores ópticos contra la pantalla, el generador escanea el código y emite una OTP como resultado. Si por cualquier motivo no se escaneara bien, pueden in­tro­du­ci­r­se los datos de tra­n­s­fe­re­n­cia ma­nua­l­me­n­te.

Dado que el generador de co­n­tra­se­ñas nunca está conectado a Internet, el pro­ce­di­mie­n­to se considera es­pe­cia­l­me­n­te seguro. Esto por sí solo hace que este pro­ce­di­mie­n­to valga la pena a pesar de los posibles costes de ad­qui­si­ción del di­s­po­si­ti­vo y del esfuerzo adicional que supone su manejo. Un riesgo potencial, sin embargo, es la pérdida de la tarjeta chip, porque, si cayera en las manos equi­vo­ca­das, esta persona podría crear in­nu­me­ra­bles números de tra­n­sac­ción con un generador cua­l­quie­ra. Por lo tanto, si pierdes tu tarjeta in­te­li­ge­n­te, asegúrate de que tu banco la bloquea lo antes posible.

Estos di­s­po­si­ti­vos se di­fe­re­n­cian sobre todo por su diseño y fu­n­cio­na­li­dad. Mientras que hay algunos que se asemejan a una ca­l­cu­la­do­ra al uso con una pantalla de varias líneas, otros tienen el tamaño de un lápiz de memoria USB, pero sin pantalla. Una vida útil de la batería lo más larga posible y la función Bluetooth (para tra­n­s­fe­rir datos de tra­n­s­fe­re­n­cia y OTP) son útiles, pero lo más im­po­r­ta­n­te es que el generador cumpla con el estándar de seguridad HHD 1.4 de la industria bancaria alemana.

Este re­la­ti­va­me­n­te nuevo pro­ce­di­mie­n­to es muy similar al anterior, ya que también requiere adquirir un di­s­po­si­ti­vo de hardware, un lector de OTP en forma de código QR (o photo TAN), que en ocasiones también combina funciones de ge­ne­ra­ción de co­n­tra­se­ñas dinámicas o de lectura de tarjetas in­te­li­ge­n­tes. Como al­te­r­na­ti­va, también puede uti­li­zar­se una apli­ca­ción gratuita en el teléfono móvil que utiliza la cámara nativa del di­s­po­si­ti­vo para escanear el código.

Este pro­ce­di­mie­n­to iguala a los dos an­te­rio­res en ventajas, pero también en riesgos. En primer lugar, la pérdida de la tarjeta chip del teléfono en el que está instalada la apli­ca­ción de lectura del código QR. Además, in­ve­s­ti­ga­do­res de seguridad in­fo­r­má­ti­ca de la Uni­ve­r­si­dad Friedrich-Alexander en Erlangen-Nuremberg, Alemania, probaron en 2016 que tales apli­ca­cio­nes son su­s­ce­p­ti­bles al pirateo, al menos si tanto la apli­ca­ción de banca en línea como el lector comparten di­s­po­si­ti­vo. No obstante, dado que el pro­ce­di­mie­n­to no está aún muy extendido, los expertos co­n­si­de­ran muy im­pro­ba­ble que el índice de fraude sea alto. Incluso exi­s­tie­n­do riesgo de hacking cuando se utiliza un sma­r­t­pho­ne, este puede mi­ni­mi­zar­se si en su lugar se usa lector.

HBCI, siglas de Home Banking Computer Interface, es un estándar abierto de­sa­rro­lla­do en 1998 por diversos grupos bancarios alemanes como mecanismo de seguridad para las tra­n­sac­cio­nes bancarias en Internet. Fue diseñado pri­n­ci­pa­l­me­n­te para empresas y usuarios con múltiples cuentas en di­fe­re­n­tes in­s­ti­tu­cio­nes fi­na­n­cie­ras. Aunque el pro­ce­di­mie­n­to pasó a de­no­mi­nar­se FinTS (Financial Tra­nsac­tion Services) en 2002 tras su posterior de­sa­rro­llo, sigue co­no­cié­n­do­se por el nombre de HBCI. Por el momento, su uso se limita a Alemania.

Al igual que los dos pro­ce­di­mie­n­tos an­te­rio­res, este también requiere un lector de tarjetas en co­m­bi­na­ción con una tarjeta con chip y, además, un código PIN y un software de finanzas. Este último puede obtenerse en comercios es­pe­cia­li­za­dos o di­re­c­ta­me­n­te en la entidad co­rre­s­po­n­die­n­te por un precio de compra, que oscila en función de la versión y la gama de funciones, o por una cuota mensual.

El complejo proceso de registro del pro­ce­di­mie­n­to garantiza un alto nivel de seguridad para HBCI:

• En primer lugar, se inicia el software fi­na­n­cie­ro y se entra con los datos de acceso. El programa genera au­to­má­ti­ca­me­n­te dos claves digitales, una “clave de firma” para la tarjeta chip y una “clave de en­cri­p­ta­ción” para el servidor del banco, que juntas actúan como firma ele­c­tró­ni­ca para todas las tra­n­sac­cio­nes.
   
• Después de haber creado la tra­n­s­fe­re­n­cia bancaria, se conecta el lector de tarjetas HBCI al ordenador, se verifica la identidad con el PIN y se inserta la tarjeta HBCI en el di­s­po­si­ti­vo.
   
• La clave de firma de la tarjeta chip legitima ahora la tra­n­s­fe­re­n­cia, que se codifica con la clave de en­cri­p­ta­ción y se envía al servidor del banco a través de una conexión segura. Tan pronto como se haya co­m­pro­ba­do la clave de en­cri­p­ta­ción, se ejecutará la tra­n­s­fe­re­n­cia.

Dados los elevados costes de ad­qui­si­ción y la co­m­ple­ji­dad del pro­ce­di­mie­n­to, es probable que el HBCI resulte poco atractivo para la mayoría de los usuarios privados. Sin embargo, es sin duda el pro­ce­di­mie­n­to de OTP más seguro di­s­po­ni­ble ac­tua­l­me­n­te en el mercado. Debido a que los ci­be­r­de­li­n­cue­n­tes suelen co­n­ce­n­trar­se en los sistemas ope­ra­ti­vos y na­ve­ga­do­res más comunes para maximizar la efi­cie­n­cia de sus ataques, no se conocen hasta ahora casos de fraude en este método de seguridad.

Si bien en España los co­n­su­mi­do­res solo tienen acceso todavía a un número limitado de opciones de seguridad para sus tra­n­sac­cio­nes, es de esperar que poco a poco vayan entrando otros pro­ce­di­mie­n­tos más modernos y seguros. Por eso, no está de más estar al tanto de las novedades para co­no­ce­r­las mejor cuando llegue el momento, sobre todo en lo que hace a costes, facilidad de uso o nivel de seguridad. A co­n­ti­nua­ción, una tabla de pros y contras:

Los pro­ce­di­mie­n­tos con OTP ga­ra­n­ti­zan el mayor nivel posible de seguridad en la banca en línea, pero nunca al cien por cien, a pesar de lo que puedan sostener muchos pro­vee­do­res. La cruda realidad es que, a excepción de HBCI, que es­tri­c­ta­me­n­te hablando no se incluye entre los métodos basados en co­n­tra­se­ña dinámica, cada uno de los métodos ex­pli­ca­dos ha sufrido en algún momento un ataque. Aunque las vu­l­ne­ra­bi­li­da­des de seguridad inhe­re­n­tes al proceso jugaron un papel im­po­r­ta­n­te en cada caso, en general fue una debilidad muy diferente la decisiva: el cliente. Aislado de la in­frae­s­tru­c­tu­ra de seguridad interna del banco, a menudo poco versado en temas te­c­no­ló­gi­cos y a veces actuando im­pu­l­si­va­me­n­te, el usuario es el eslabón más débil de la cadena para muchos de­li­n­cue­n­tes.

Esta es también la razón por la que los ci­ber­ata­ques a una cuenta bancaria siempre apuntan primero a su pro­pie­ta­rio, de modo que es el cliente quien ha de ocuparse de la seguridad de su cuenta y de­sa­rro­llar una co­n­cie­n­cia del manejo seguro de los pro­ce­di­mie­n­tos de banca en línea y OTP. En este contexto, puede ser útil conocer y co­m­pre­n­der el curso típico de un ataque. Ahora hay una gran variedad de posibles es­ce­na­rios de ataque, y los de­li­n­cue­n­tes están en­co­n­tra­n­do nuevas formas de sacar provecho de los más incautos. Por lo tanto, no podemos resumir todas sus artimañas aquí de forma exhau­s­ti­va, pero nos gustaría explicar al menos los pro­ce­di­mie­n­tos más típicos. Pasaremos a explicar algunas formas de ataque relativas al envío de la OTP por SMS.

A menudo los atacantes utilizan el factor humano para in­fi­l­trar­se en un sistema de seguridad in­fo­r­má­ti­ca. Para ello cuentan con una serie de he­rra­mie­n­tas digitales y técnicas, a las que añaden tácticas de in­ge­nie­ría social con las que se ganan la confianza de sus víctimas con el fin de que actúen de forma in­co­rre­c­ta en una situación crítica. Por ejemplo, un hacker podría hacerse pasar por un empleado de una empresa externa de soporte de TI al que se le pidió que re­so­l­vie­ra problemas con el software de co­n­ta­bi­li­dad y banca en línea. En este contexto, in­te­n­ta­ría entonces obtener los datos de acceso o bancarios de su in­te­r­lo­cu­tor.

A menudo, el primer paso de un ci­ber­ata­que consiste en infiltrar un troyano. Esto se logra, por ejemplo, engañando a la víctima para que haga clic en un enlace infectado en un correo ele­c­tró­ni­co de confianza. Cuanto más re­s­pe­ta­ble sea el correo ele­c­tró­ni­co y su dirección, más probable es que este tipo de phishing tenga éxito. Asuntos como “Re­co­r­da­to­rio”, “Su­s­pe­n­sión de la cuenta” o “Control de seguridad” tienen por objeto presionar a la víctima potencial y alentarla a tomar medidas des­ati­na­das.

1. No importa cómo se instale un troyano bancario. Una vez ha entrado en el di­s­po­si­ti­vo que se utiliza para realizar ope­ra­cio­nes bancarias en línea, puede espiar los datos de acceso. El hacker ha superado entonces el primer obstáculo.
    
2. Ahora el atacante solo tiene que superar el pro­ce­di­mie­n­to con OTP, para el que tiene una serie de opciones di­fe­re­n­tes, de las cuales te pre­se­n­ta­re­mos tres:

• Robar el di­s­po­si­ti­vo móvil es pro­ba­ble­me­n­te el método más común, pero también el más fácil de detectar.
   
• Otra es­tra­te­gia consiste en utilizar los datos de acceso ca­p­tu­ra­dos para tra­n­s­fe­rir el número de teléfono móvil del titular de la cuenta a una segunda tarjeta SIM o solicitar una tarjeta SIM adicional. El atacante la configura de tal manera que los SMS (y, por lo tanto, también los números de tra­n­sac­ción) se envían a su propia tarjeta SIM, mientras que todas las demás funciones (por ejemplo, la telefonía) pe­r­ma­ne­cen di­s­po­ni­bles para la víctima. La víctima solo se da cuenta de que algo anda mal pasado algún tiempo.
   
• Sin embargo, el llamado ataque del hombre in­te­r­me­dio o del hombre en el navegador es pa­r­ti­cu­la­r­me­n­te engañoso porque es casi invisible. En esta variante, el troyano anida en el navegador de la víctima y manipula la re­pre­se­n­ta­ción visual de una pla­ta­fo­r­ma de banca en línea mo­di­fi­ca­n­do elementos o añadiendo nuevos. La víctima introduce su in­fo­r­ma­ción de tra­n­s­fe­re­n­cia, in­clu­ye­n­do el código de tra­n­sac­ción co­rre­s­po­n­die­n­te, como de costumbre y los envía. En un segundo plano, sin embargo, el atacante ya ha in­te­r­ce­p­ta­do los datos y está di­ri­gie­n­do las tra­n­s­fe­re­n­cias a su propia cuenta bancaria. De­pe­n­die­n­do de su astucia, pueden pasar semanas o incluso meses antes de que se descubra el daño.

En realidad, la manera como un criminal se hace con tu OTP no es una preo­cu­pa­ción real para ti en tanto que co­n­su­mi­dor, pero sí lo debería ser cómo armarte contra los primeros pasos de un ataque ci­be­r­né­ti­co (in­ge­nie­ría social e in­fi­l­tra­ción de troyanos bancarios). Debes prestar atención, por ejemplo, a los clásicos correos phishing y cuidar de no pasar datos co­n­fi­de­n­cia­les a extraños sin más preám­bu­los, incluso si actúan como pro­vee­do­res fiables de servicios (soporte in­fo­r­má­ti­co, pro­vee­do­res de servicios de co­n­ta­bi­li­dad, etc.).