OTP: autenticación 2FA en operaciones bancarias

Primero, el nombre de usuario; después, el PIN, y ahora ¿otra contraseña? Para muchos usuarios de la banca en línea, estas medidas de seguridad estrictas son un mal necesario del que con gusto prescindirían. Desde su introducción en 1976, ha sido sobre todo el número de autenticación de transacción (TAN, por sus siglas en inglés) el que ha contribuido eficazmente a la protección de las finanzas privadas –siempre y cuando el titular de la cuenta aplique correctamente el procedimiento correspondiente y no caiga en las estafas de los ciberdelincuentes. Para conocer cuáles son estos métodos de protección, qué seguridad ofrecen y qué puedes hacer para proteger tus cuentas de accesos indeseados, sigue leyendo esta guía.

Un TAN es una contraseña dinámica de un solo uso (one time password u OTP) que normalmente consta de seis dígitos decimales y se utiliza principalmente para transferencias y cambios en la configuración de la banca en línea. Las OTP son una de las herramientas más utilizadas en la autenticación de dos factores y, junto a los nombres de usuario y códigos PIN, logran levantar otro obstáculo para el acceso, puesto que están diseñados para evitar que los delincuentes obtengan el control no autorizado sobre cuentas bancarias ajenas. Incluso si ya han capturado un PIN usando phishing o troyanos, sin una contraseña dinámica OTP no pueden hacer transferencias, y estas contraseñas de un solo uso están directamente vinculadas a datos sensibles como el número IBAN y el importe de la transferencia. Además, solo son válidas para una sola transacción y solo durante un período de tiempo limitado (normalmente unos pocos minutos).

En los métodos de autenticación basados en OTP el usuario legítimo recibe una contraseña válida solo durante un determinado lapso de tiempo con la que puede llevar a cabo una transacción sensible. Existen varios procedimientos diferentes, pero el principio básico es muy similar en todos ellos:

1. En primer lugar, inicia sesión en el portal de Internet de tu banco utilizando una aplicación de banca en línea o un software bancario, edita tu transferencia y envíala.
    
2. La información de la transferencia bancaria que has introducido se te mostrará de nuevo. Revísala cuidadosamente para asegurarte de que es realmente tu pedido y de que no ha sido manipulado de ninguna manera. A continuación, confirma la transferencia.
    
3. Tu banco te pedirá ahora un código en función del método que tu banco y tú hayáis definido (tarjeta de coordenadas, SMS, etc.). Al ingresar el número de transacción correcto, tu transferencia queda verificada y podrá ejecutarse.

Las entidades bancarias utilizan diferentes formas de verificación de identidad para acceder a la cuenta y de autorización para realizar transacciones. Los nuevos métodos de autenticación fuerte o de dos factores (2FA) han reemplazado a los de un factor y consisten en sistemas que combinan dos o más de estos elementos:

• Conocimiento: algo que el usuario sabe (contraseña, código PIN)
• Posesión: algo que el usuario tiene consigo (tarjeta de coordenadas, generador de contraseñas dinámicas, teléfono móvil)
• Inherencia: algo que el usuario es (huella digital, reconocimiento facial, escaneo de iris)

Por lo general, en la actualidad la mayoría de entidades utilizan métodos de autenticación de riesgo porque solo utilizan dos de estos elementos, generalmente lo que el usuario sabe y lo que tiene.

Hace algunos años, el único método con OTP disponible en nuestro país era la tarjeta de coordenadas, en papel o en forma de tarjeta, que el banco enviaba al usuario por correo postal. Aún de uso generalizado, para legitimar las transacciones con este modelo de verificación, el usuario debe introducir un determinado número de la lista en la página web de su banco. Cuando se agota la lista, se solicita una nueva. La debilidad de este método es obvia: si se pierde, el usuario no puede legitimar sus transacciones, mientras que un extraño tendría en sus manos todos los códigos válidos. A esto se añade que muchos usuarios la escanean o fotocopian para tenerla siempre disponible. Esta es la razón por la que se han ido imponiendo otros métodos de autenticación con OTP, si bien este sigue siendo el más utilizado aún en nuestro país, pese a que el Banco Central Europeo ya recomendó en 2013 la implementación de métodos de autenticación fuerte.

La tarjeta de coordenadas sigue siendo el método estándar basado en OTP en la banca online española para clientes particulares. Su particularidad es que la institución financiera especifica un número de posición muy específico (índice) que coincide con un código de transacción en la lista y que no puede predecirse de antemano. Si bien esto teóricamente proporciona un mayor nivel de seguridad, también tiene una serie de desventajas: como nunca se sabe por adelantado qué código necesitará el banco, siempre se debe tener a mano la lista completa. Tampoco son infrecuentes las capturas de estas listas por parte de piratas informáticos, que las utilizan para actividades fraudulentas. Por eso, no es un método OTP completamente seguro. Sin embargo, la mayoría de entidades siguen ofreciendo las tarjetas de coordenadas como una protección mínima que incluso los proveedores desaconsejan, señalando procedimientos más modernos.

Con la aplicación en 2019 de la Directiva de Servicios de Pago de la UE PSD2 (Directiva PSD2|EU) esto podría cambiar. Aprobada mediante real decreto-ley por el Consejo de Ministros a finales de 2018 (con diez meses de retraso), esta nueva directiva tiene como objetivo primordial igualar las condiciones de los proveedores de servicios de pago en la UE. Si la PSD permitió implantar la zona SEPA para transacciones intracomunitarias, la PSD2 aumentará la protección del consumidor que utiliza servicios de pago y endurecerá la seguridad, exigiendo la “autenticación reforzada del cliente” cada vez que el consumidor realice un pago o acceda a su cuenta. Esto se hará en el futuro mediante certificados digitales, OTP, tokens de acceso, escaneo del iris o huella digital. Con esto llegarían los últimos días de la tarjeta de coordenadas como medio de autorización de transacciones.

El concepto del envío de la OTP por SMS que ya utilizan algunas entidades y redes sociales se basa en el factor “lo que se tiene”, generalmente un segundo dispositivo, que suele ser un teléfono móvil. Para verificar una transferencia, el banco envía al usuario una contraseña de un solo uso recién generada al teléfono móvil o smartphone del cliente por SMS, que ha de introducir en el lugar previsto para ello en la página de su banco.

Debido al uso generalizado de teléfonos móviles, esta forma de verificación está bastante extendida, puesto que su implementación es muy sencilla para el usuario, y como ya no hace necesario tener la lista de coordenadas a mano para realizar transacciones, se considera más seguro. Pese a sus ventajas, no obstante, no puede impedir un ataque man in the middle o que alguien con intenciones dudosas logre desviar el envío del SMS a otro móvil. Además del usuario, hay otros eslabones de la cadena, como la operadora telefónica, que son vulnerables.

Aunque la banca en línea y la recepción de la contraseña dinámica se pueden ejecutar en el mismo dispositivo, la mayoría de los bancos lo impiden por medio de obstáculos técnicos. Si todo se realizara en el mismo dispositivo, la seguridad en las transacciones bancarias se vería comprometida. Por lo tanto, esta separación también redunda en interés del cliente; si el usuario perdiera su smartphone, ambos factores de autenticación podrían caer en manos de desconocidos. Por esta razón, conviene siempre utilizar un dispositivo separado para la banca en línea. A medida que los teléfonos móviles han ido evolucionando hasta convertirse en dispositivos multifunción con una conexión constante a Internet, se ha vuelto más fácil para los ciberdelincuentes obtener los datos de acceso almacenados en ellos mediante phishing y troyanos. Esto hace necesario considerar el uso de un teléfono fijo capaz de recibir mensajes cortos en lugar de un teléfono inteligente. Por regla general, no se puede instalar ningún software adicional y, por lo tanto, ningún malware.

En otros países de la UE, los clientes de las entidades bancarias ya utilizan otros métodos más seguros de autenticación con contraseñas dinámicas de un solo uso. Dado que a finales de 2019 España también tendrá que implementar las medidas previstas en la directiva PSD2, te adelantamos aquí en qué consisten los métodos más avanzados de protección de los que probablemente no tardes en tener noticias.

Aunque en la generación de OTP por app móvil solo se utiliza un único dispositivo móvil (como un smartphone o una tablet), este sigue permitiendo la autenticación de dos factores. En este proceso, el dispositivo móvil utiliza dos canales separados: mientras que en un canal el cliente navega por el portal de su banco o de la aplicación bancaria asociada, en el otro se instala una aplicación generadora de OTP protegida por contraseña (disponible gratuitamente en la Apple Store o la Google Play), que muestra de nuevo los datos de la transferencia para su verificación y genera un código de transacción que puede transferirse directamente a la app del banco si ambas aplicaciones son compatibles y están vinculadas. Con esta aplicación, la ventaja resulta obvia, y es que solo hace falta un terminal, pero la desventaja también, si pierdes tu teléfono, alguien podría realizar transferencias bancarias sin tu conocimiento.

Esto es particularmente fatal si has utilizado la misma contraseña para proteger la app del banco y la generadora de OTP. Por lo tanto, para estar seguro, debes separar estrictamente ambas aplicaciones en dos dispositivos separados, como te recomendamos también para el procedimiento de la OTP por SMS.

Para este procedimiento, inusual aún en nuestro país, se necesita un hardware adicional, un generador de contraseñas dinámicas de un solo uso (TAN generator). Se trata de un pequeño dispositivo inalámbrico que puede obtenerse en la misma entidad bancaria o en tiendas de electrónica y que se puede utilizar sin problemas para varias cuentas y personas al mismo tiempo. Para activar el generador se necesita una tarjeta chip o smart card (normalmente la tarjeta de débito de la entidad), que se solicita en el banco. De ahí que también incluyan a veces funciones de lectura de tarjetas inteligentes. Para generar una OTP, se inserta la tarjeta en el generador y se procede a realizar una transferencia. Se creará entonces un código de barras gráfico a partir de los datos introducidos. Si se sostiene el generador con sus sensores ópticos contra la pantalla, el generador escanea el código y emite una OTP como resultado. Si por cualquier motivo no se escaneara bien, pueden introducirse los datos de transferencia manualmente.

Dado que el generador de contraseñas nunca está conectado a Internet, el procedimiento se considera especialmente seguro. Esto por sí solo hace que este procedimiento valga la pena a pesar de los posibles costes de adquisición del dispositivo y del esfuerzo adicional que supone su manejo. Un riesgo potencial, sin embargo, es la pérdida de la tarjeta chip, porque, si cayera en las manos equivocadas, esta persona podría crear innumerables números de transacción con un generador cualquiera. Por lo tanto, si pierdes tu tarjeta inteligente, asegúrate de que tu banco la bloquea lo antes posible.

Estos dispositivos se diferencian sobre todo por su diseño y funcionalidad. Mientras que hay algunos que se asemejan a una calculadora al uso con una pantalla de varias líneas, otros tienen el tamaño de un lápiz de memoria USB, pero sin pantalla. Una vida útil de la batería lo más larga posible y la función Bluetooth (para transferir datos de transferencia y OTP) son útiles, pero lo más importante es que el generador cumpla con el estándar de seguridad HHD 1.4 de la industria bancaria alemana.

Este relativamente nuevo procedimiento es muy similar al anterior, ya que también requiere adquirir un dispositivo de hardware, un lector de OTP en forma de código QR (o photo TAN), que en ocasiones también combina funciones de generación de contraseñas dinámicas o de lectura de tarjetas inteligentes. Como alternativa, también puede utilizarse una aplicación gratuita en el teléfono móvil que utiliza la cámara nativa del dispositivo para escanear el código.

Este procedimiento iguala a los dos anteriores en ventajas, pero también en riesgos. En primer lugar, la pérdida de la tarjeta chip del teléfono en el que está instalada la aplicación de lectura del código QR. Además, investigadores de seguridad informática de la Universidad Friedrich-Alexander en Erlangen-Nuremberg, Alemania, probaron en 2016 que tales aplicaciones son susceptibles al pirateo, al menos si tanto la aplicación de banca en línea como el lector comparten dispositivo. No obstante, dado que el procedimiento no está aún muy extendido, los expertos consideran muy improbable que el índice de fraude sea alto. Incluso existiendo riesgo de hacking cuando se utiliza un smartphone, este puede minimizarse si en su lugar se usa lector.

HBCI, siglas de Home Banking Computer Interface, es un estándar abierto desarrollado en 1998 por diversos grupos bancarios alemanes como mecanismo de seguridad para las transacciones bancarias en Internet. Fue diseñado principalmente para empresas y usuarios con múltiples cuentas en diferentes instituciones financieras. Aunque el procedimiento pasó a denominarse FinTS (Financial Transaction Services) en 2002 tras su posterior desarrollo, sigue conociéndose por el nombre de HBCI. Por el momento, su uso se limita a Alemania.

Al igual que los dos procedimientos anteriores, este también requiere un lector de tarjetas en combinación con una tarjeta con chip y, además, un código PIN y un software de finanzas. Este último puede obtenerse en comercios especializados o directamente en la entidad correspondiente por un precio de compra, que oscila en función de la versión y la gama de funciones, o por una cuota mensual.

El complejo proceso de registro del procedimiento garantiza un alto nivel de seguridad para HBCI:

• En primer lugar, se inicia el software financiero y se entra con los datos de acceso. El programa genera automáticamente dos claves digitales, una “clave de firma” para la tarjeta chip y una “clave de encriptación” para el servidor del banco, que juntas actúan como firma electrónica para todas las transacciones.
   
• Después de haber creado la transferencia bancaria, se conecta el lector de tarjetas HBCI al ordenador, se verifica la identidad con el PIN y se inserta la tarjeta HBCI en el dispositivo.
   
• La clave de firma de la tarjeta chip legitima ahora la transferencia, que se codifica con la clave de encriptación y se envía al servidor del banco a través de una conexión segura. Tan pronto como se haya comprobado la clave de encriptación, se ejecutará la transferencia.

Dados los elevados costes de adquisición y la complejidad del procedimiento, es probable que el HBCI resulte poco atractivo para la mayoría de los usuarios privados. Sin embargo, es sin duda el procedimiento de OTP más seguro disponible actualmente en el mercado. Debido a que los ciberdelincuentes suelen concentrarse en los sistemas operativos y navegadores más comunes para maximizar la eficiencia de sus ataques, no se conocen hasta ahora casos de fraude en este método de seguridad.

Si bien en España los consumidores solo tienen acceso todavía a un número limitado de opciones de seguridad para sus transacciones, es de esperar que poco a poco vayan entrando otros procedimientos más modernos y seguros. Por eso, no está de más estar al tanto de las novedades para conocerlas mejor cuando llegue el momento, sobre todo en lo que hace a costes, facilidad de uso o nivel de seguridad. A continuación, una tabla de pros y contras:

Los procedimientos con OTP garantizan el mayor nivel posible de seguridad en la banca en línea, pero nunca al cien por cien, a pesar de lo que puedan sostener muchos proveedores. La cruda realidad es que, a excepción de HBCI, que estrictamente hablando no se incluye entre los métodos basados en contraseña dinámica, cada uno de los métodos explicados ha sufrido en algún momento un ataque. Aunque las vulnerabilidades de seguridad inherentes al proceso jugaron un papel importante en cada caso, en general fue una debilidad muy diferente la decisiva: el cliente. Aislado de la infraestructura de seguridad interna del banco, a menudo poco versado en temas tecnológicos y a veces actuando impulsivamente, el usuario es el eslabón más débil de la cadena para muchos delincuentes.

Esta es también la razón por la que los ciberataques a una cuenta bancaria siempre apuntan primero a su propietario, de modo que es el cliente quien ha de ocuparse de la seguridad de su cuenta y desarrollar una conciencia del manejo seguro de los procedimientos de banca en línea y OTP. En este contexto, puede ser útil conocer y comprender el curso típico de un ataque. Ahora hay una gran variedad de posibles escenarios de ataque, y los delincuentes están encontrando nuevas formas de sacar provecho de los más incautos. Por lo tanto, no podemos resumir todas sus artimañas aquí de forma exhaustiva, pero nos gustaría explicar al menos los procedimientos más típicos. Pasaremos a explicar algunas formas de ataque relativas al envío de la OTP por SMS.

A menudo los atacantes utilizan el factor humano para infiltrarse en un sistema de seguridad informática. Para ello cuentan con una serie de herramientas digitales y técnicas, a las que añaden tácticas de ingeniería social con las que se ganan la confianza de sus víctimas con el fin de que actúen de forma incorrecta en una situación crítica. Por ejemplo, un hacker podría hacerse pasar por un empleado de una empresa externa de soporte de TI al que se le pidió que resolviera problemas con el software de contabilidad y banca en línea. En este contexto, intentaría entonces obtener los datos de acceso o bancarios de su interlocutor.

A menudo, el primer paso de un ciberataque consiste en infiltrar un troyano. Esto se logra, por ejemplo, engañando a la víctima para que haga clic en un enlace infectado en un correo electrónico de confianza. Cuanto más respetable sea el correo electrónico y su dirección, más probable es que este tipo de phishing tenga éxito. Asuntos como “Recordatorio”, “Suspensión de la cuenta” o “Control de seguridad” tienen por objeto presionar a la víctima potencial y alentarla a tomar medidas desatinadas.

1. No importa cómo se instale un troyano bancario. Una vez ha entrado en el dispositivo que se utiliza para realizar operaciones bancarias en línea, puede espiar los datos de acceso. El hacker ha superado entonces el primer obstáculo.
    
2. Ahora el atacante solo tiene que superar el procedimiento con OTP, para el que tiene una serie de opciones diferentes, de las cuales te presentaremos tres:

• Robar el dispositivo móvil es probablemente el método más común, pero también el más fácil de detectar.
   
• Otra estrategia consiste en utilizar los datos de acceso capturados para transferir el número de teléfono móvil del titular de la cuenta a una segunda tarjeta SIM o solicitar una tarjeta SIM adicional. El atacante la configura de tal manera que los SMS (y, por lo tanto, también los números de transacción) se envían a su propia tarjeta SIM, mientras que todas las demás funciones (por ejemplo, la telefonía) permanecen disponibles para la víctima. La víctima solo se da cuenta de que algo anda mal pasado algún tiempo.
   
• Sin embargo, el llamado ataque del hombre intermedio o del hombre en el navegador es particularmente engañoso porque es casi invisible. En esta variante, el troyano anida en el navegador de la víctima y manipula la representación visual de una plataforma de banca en línea modificando elementos o añadiendo nuevos. La víctima introduce su información de transferencia, incluyendo el código de transacción correspondiente, como de costumbre y los envía. En un segundo plano, sin embargo, el atacante ya ha interceptado los datos y está dirigiendo las transferencias a su propia cuenta bancaria. Dependiendo de su astucia, pueden pasar semanas o incluso meses antes de que se descubra el daño.

En realidad, la manera como un criminal se hace con tu OTP no es una preocupación real para ti en tanto que consumidor, pero sí lo debería ser cómo armarte contra los primeros pasos de un ataque cibernético (ingeniería social e infiltración de troyanos bancarios). Debes prestar atención, por ejemplo, a los clásicos correos phishing y cuidar de no pasar datos confidenciales a extraños sin más preámbulos, incluso si actúan como proveedores fiables de servicios (soporte informático, proveedores de servicios de contabilidad, etc.).