Sistemas de autenticación reforzada
Objetivo: garantizar la seguridad de las transacciones
Desde que a finales de 2018 se aprobara la exigencia de establecer mecanismos de autenticación reforzada para acceder a la banca online, las entidades bancarias han ido adaptando sus sistemas, y desde enero de 2021 estos métodos son una realidad con la que convivimos.
Exigir autenticación reforzada en la identificación es una garantía adicional de seguridad para los usuarios, al prevenir las consecuencias de una compra o de un acceso fraudulento. Si se realizan operaciones no autorizadas, no será el usuario quien deba correr con el gasto.
Distintos sistemas para más seguridad
Los mecanismos de autenticación reforzada, consisten en que, para autorizar una operación debe combinarse el uso de dos o más elementos. Estos elementos que se combinaran para garantizar la seguridad de la transacción deben ser:
- Algo que solamente el usuario conoce, por ejemplo, una contraseña.
- Algo que solamente el usuario posee, por ejemplo, un teléfono móvil en el que se recibe un SMS
- Algo propio del usuario, por ejemplo, la huella digital o el iris.
Además, estos elementos deben ser independientes, de manera que, aunque un hacker pueda robar una contraseña, no tenga acceso a los otros elementos. Por eso, se establecen una serie de requisitos que deben cumplir todos los métodos de autenticación reforzada.
- Al menos uno de los elementos no debe ser susceptible de ser robado a través de Internet.
- Al menos uno de ellos no debe ser reutilizable, de manera que el código de autenticación generado sea único y no pueda utilizarse en otra operación distinta.
¿Cuáles son los métodos más utilizados?
La normativa da libertad a las entidades para que decidan los mecanismos que va a aplicar en cada caso. ¿Qué mecanismos de autorización reforzada son los más usados en España?
En el caso de compras online los sistemas de autenticación suelen ser diferentes en función de si el cliente tiene o no instalada la app de su banco o del emisor de la tarjeta.
Con la app, métodos biométricos. Si tienes instalada la app, lo más habitual son los métodos basados en la utilización de elementos biométricos (huella dactilar, reconocimiento facial…). Estos métodos evitan tener que recordar diferentes contraseñas y claves, así como la introducción de claves únicas, lo que hace mucho más sencilla la operativa.
Si no tienes instalada la app, el sistema utilizado suele ser el envío de un SMS, combinado con un sistema adicional:
1. SMS con un enlace a la página de la tarjeta
El mensaje SMS incluye un enlace a una página segura del emisor de la tarjeta. Desde esa página es donde se autoriza la compra mediante una contraseña o con la huella digital.
2. Mensaje SMS y código
Otro sistema es utilizar un SMS más una clave específica para compras online. Al realizar una compra se recibe una clave por SMS que se debe introducirá en la web de comercio
3. SMS y otras claves, como el PIN
El mensaje llega con una clave, pero además de usar esa clave en la página, hay que añadir otra información, como una clave personal del usuario para compras online o incluso el PIN de la tarjeta.
Seguros, sí... pero sin excluir a nadie
Es cierto que todas estas medidas tienen un objetivo positivo, mejorar la seguridad de las operaciones de pago o de otras gestiones bancarias, pero son muchos los usuarios que, a pesar de utilizar la banca online desde el ordenador, no acceden al banco a través del móvil, por ejemplo.
- Estos sistemas para ser efectivos exigen que se hayan facilitado determinados datos al banco: el número del móvil al banco, disponer de teléfono con acceso a Internet, descargar y mantener actualizada una app…
- Además, estos sistemas suponen de hecho la exclusión de personas sin habilidades digitales, un colectivo formado principalmente por personas de edad avanzada, cuya vulnerabilidad es cada vez mayor.
En OCU llevamos años combatiendo la exclusión bancaria, por eso creemos que es necesario que todas las entidades ofrezcan a sus clientes alternativas para autorizar sus compras y pagos online sin necesidad de instalar una aplicación de banca móvil, dando preferencia al SMS y si se quiere reforzar más la seguridad, junto con una clave adicional.
No bajes la guardia frente a los engaños
¿Es necesario contar con tantas medidas de protección? Pus sí, porque según los datos, las noticias y las quejas de los usuarios, los ciberengaños están a la orden del día. Precisamente muchos ciberdelincuentes recurren a SMS fraudulentos para tratar de hacerse con tus datos o tu dinero: en OCU luchamos contra el smishing (los ciberengaños a través de un SMS falso) y contra cualquier variedad de phishing. Toma nota de los indicios que pueden hacerte sospechar de que algo no es como debiera, y si has caído en la trampa, cuenta con nosotros: