Llegamos a ustedes gracias a:



Reportajes y análisis

¿Cómo proteger las transacciones en línea?

[16/02/2012] El teléfono de confianza se está convirtiendo en uno de los elementos clave en los nuevos esquemas de autenticación multifactor, diseñado para proteger a la banca en línea y otras transacciones financieras basadas en la web de la rápida evolución de las amenazas de seguridad.
Las nuevas directrices federales americanas, que entraron en vigor el mes pasado, recomiendan varios niveles de controles de seguridad más allá del tradicional nombre de usuario/contraseña, en particular fuera de la banda de los métodos de autenticación.
Si bien las reglas del Federal Financial Institutions Examination Council (FFIEC) se aplican específicamente a los bancos, cooperativas de crédito, prestamistas hipotecarios, y a los ahorros y préstamos, cada organización que se ocupa de transacciones financieras en línea, tales como portales de compras, compañías de tarjetas de crédito, pagos de facturas en línea, etc. También se ven afectadas.
Punto, contrapunto
Una de las principales armas en el arsenal de hackers de hoy es el phishing de contraseñas. En este escenario, los piratas informáticos utilizan correos electrónicos de phishing para robar las credenciales del banco en línea y entrar en las cuentas del usuario.
En respuesta, los bancos y otras instituciones financieras han implementado tecnologías como la identificación de dispositivos, preguntas de seguridad y tokens que generan contraseñas de un solo uso, de acuerdo con Sarah Fender, vicepresidente de gestión de productos de autenticación del proveedor PhoneFactor.
El analista de Forrester, Andras Cser hace hincapié en que los ID de usuario y contraseñas ya no son suficientes. Él dice que las imágenes preseleccionadas, las preguntas de seguridad, información del dispositivo y la reputación de los dispositivos son eficaces como autenticadores de segundo factor.
Pero el problema con muchos de esos métodos de autenticación "de banda" es que el dispositivo puede estar infectado con malware, añade Fender.
Además, hay amenazas más avanzadas, como los keyloggers, Man in the Browser (MITB) y Man in the Middle (MITM), que requieren medidas de seguridad más sofisticadas.
El analista de Gartner, Ant Allan señala: "Prácticamente todas las técnicas de autenticación pueden ser comprometidas o evitadas. La autenticación es mejor que las contraseñas existentes para minimizar el riesgo de sufrir ataques "rápidos y sucios", tales como el phishing, pero hay un límite de la utilidad en la búsqueda de mayores métodos de garantía de que sean más difíciles de poner en peligro directamente. En algún momento, los atacantes se trasladarán a los ataques MITB, que secuestran sesiones que han sido autentificadas para manipular detalles de la transacción o insertar transacciones fraudulentas".
Allan señala que hay dos tecnologías avanzadas que son eficaces en la lucha contra la actual ola de ataques: Web Fraud Detection (detección de fraudes Web) y Transaction Verification (verificación de transacciones).
De acuerdo con Allan, Web Fraud Detection evalúa la información contextual sobre la conectividad del usuario (identidad del punto final, la ubicación geográfica, etc) y busca el comportamiento transaccional anómalo (en comparación con el historial del usuario y otros usuarios; por ejemplo, varios usuarios que hacen transferencias a la misma cuenta nueva).
Transaction Verifications utiliza una serie de técnicas para confirmar que los detalles de la transacción recibidos por el banco (A) se originaron con el usuario y (B) son lo que el usuario desea. La confirmación interactiva de la transacción a través de un método fuera de banda, como se indica en la guía FFIEC, es eficaz para las sesiones del explorador de escritorio y es posiblemente la opción más atractiva.
Por supuesto, hay métodos de seguridad aún más robustos -hardware de tokens OTP (One-Time Password) con PIN pads y lectores de tarjetas de pago EMV (Europay, MasterCard, Visa)- pero los bancos se han topado con resistencia de los clientes a este tipo de medidas de seguridad.
Autenticación de vanguardia
Estas son algunas de las opciones actuales para la autenticación efectiva de las transacciones en línea.
* Autenticación basada en riesgos: Un ejemplo de autenticación basada en riesgos es RiskFort de CA Arcot, una sofisticada herramienta que incorpora modelos analíticos de fraude sobre la base de un análisis estadístico de las transacciones y los datos de fraude.
"RiskFort recoge una amplia gama de información acerca de cada inicio de sesión o de la transacción, para producir una puntuación de riesgo derivada de los análisis y las reglas", señla Ram Varadarajan, director general de soluciones CA Arcot Security, CA Technologies.
Y añade: "La puntuación de riesgo determina la acción, en su caso, a tomar para una transacción determinada, como la exigencia de una forma superior de autenticación. Este es un escenario donde el riesgo basado en la autenticación se realiza en colaboración con la autenticación fuerte. Si una transacción parece sospechosa, otro factor de autenticación puede ser invocado para "intensificar" la autenticación y la seguridad".
* Plataformas de autenticación versátil: Entrust ofrece IdentityGuard y TransactionGuard. "IdentityGuard se encarga de la autenticación fuerte en amplitud y profundidad. Es compatible con tokens fuertes y suaves, tarjetas inteligentes, tokens de SMS, geo localización, eGrids, y mucho más. La autenticación podría ser relativamente sencilla para los clientes que utilizan sus propias computadoras desde sus propias casas, pero su profundidad aumentaría si es que están usando un punto de acceso, y más aún si están en otro país", señala Jon Callas, CTO de Entrust.
Una mejora de la tecnología es la red electrónica patentada (eGrid), de Entrust, un sencillo sistema de autenticación de dos factores que requiere poca o ninguna tecnología de apoyo. Es una red de códigos de dos caracteres en un índice por letras y números. Un banco puede pedir un usuario, por ejemplo, proporcionar los códigos para E4, A1, H3. El usuario los busca en su eGrid y responde CX, G3, 23 (que es, obviamente, distinto en cada tarjeta), y si las tablas coinciden, la autenticación es correcta.
"Tenga en cuenta que no requiere que los usuarios tengan una tarjeta inteligente, un token, o cualquier otra tecnología de apoyo", añade Callas. "Se puede imprimir, mantenerse como una imagen, grabar en una tarjeta de identificación o cualquier otra cosa. Tengo uno que es un cuadro, que guardo en mi iPhone, y lo uso para autenticarme al correo web".
* Autenticación basada en el teléfono: "La autenticación basada en el teléfono se está convirtiendo rápidamente en el método de elección", señala Fender de PhoneFactor de. "Estos sistemas aprovechan el teléfono del usuario como el dispositivo de confianza para el segundo factor de autenticación. Los teléfonos son muy difíciles de duplicar y los números de teléfono son muy difíciles de interceptar. La combinación del teléfono y un nombre de usuario con contraseñas fuertes permiten una autenticación de múltiples factores con un impacto mínimo sobre la experiencia del usuario".
Y añade: "Los usuarios de PhoneFactor pueden elegir el método de autenticación que prefieran, ya sea llamada telefónica o mensaje de texto, y todas estas soluciones proporcionan el mismo nivel de seguridad y comodidad fuera de banda. Las características de seguridad adicionales incluyen el modo de PIN, huella de voz, y la verificación de la transacción, que se pueden asignar a usuarios particulares y/o a niveles de riesgo''.
* Autenticación basada en imagen: Una nueva e inteligente tecnología de Confident Technologies utiliza imágenes en un teléfono de pantalla táctil para la autenticación. A diferencia de los procesos de autenticación de factores múltiples que envían un mensaje de una sola vez, mensaje de texto, y pasan el código al teléfono del usuario, esta tecnología proporciona un segundo factor de seguridad mediante el cifrado de un código de acceso de una sola vez dentro de un desafío de autenticación basado en imágenes.
La contraseña de imagen de Windows 8 es "un juguete de Fisher-Price", señala el padre de la autenticación de dos factores.
"Cuando un requisito de autenticación está activado, los usuarios identifican imágenes en la pantalla de su teléfono que coincidan con las que han seleccionado previamente, sus categorías de secretas", señala Curtis H. Staker, CEO de Confident Technologies. "Por ejemplo, si un usuario preselecciona las categorías llamadas automóviles, comida, y perros, una rejilla de 12 (o menos) imágenes aparece con varias imágenes, tres de ellas se adaptan a sus categorías, como un Corvette, una hamburguesa y un beagle. Al identificar correctamente las imágenes que coincidan con sus categorías secretas de autenticación, a los usuarios, en esencia, se les vuelve a asignar el código de acceso de una sola vez que se cifró en esas imágenes. Es importante destacar que el proceso sigue estando completamente fuera de banda de la sesión web".
"Este concepto de categorías de imágenes es intrigante", señala Scott Crawford, director gerente de investigación de Enterprise Management Associates, "sobre todo para los factores de forma de las pantallas móviles o táctiles (donde el ingreso de texto puede ser un reto) y para uso en casos de cruce cultural o multi idioma, pero la técnica debería cuestionarse si los usuarios siempre pueden recordar las categorías que han elegido".
Staker añade que las imágenes específicas que se muestran son diferentes cada vez, pero las categorías de los usuarios son siempre las mismas. Esto hace que sea difícil para cualquier otra persona poder determinar las categorías secretas de los usuarios. Incluso si alguien gana la posesión del teléfono móvil o intercepta la comunicación, no sería capaz de autenticarse ya que la contraseña de una sola vez se cifra dentro de las imágenes, añade Staker.
* Biometría: La biometría incluye propiedades de autenticación tales como el reconocimiento de rostros, identificación de huellas digitales, biometría geométrica de la mano, escaneo de retina, escaneo del iris, firmas digitales y análisis de la voz.
"No estoy seguro de si la biometría se considera nueva, pero sin duda ha mejorado, y es un área que va y viene, en cuanto a intereses se refiere", señala Chris Silva, analista de la industria móvil en Altimeter Group. "El nuevo aspecto de la biometría que está atrayendo la atención en el espacio móvil es el reconocimiento facial. Tiene una gran promesa para los dispositivos que todos llevamos con nosotros, que tienen limitados teclados físicos (o ninguno en absoluto) y, a los que a menudo hay que acceder cuando estamos haciendo múltiples tareas".
"El reconocimiento de voz, la topografía facial, y la estructura del iris son las tecnologías emergentes que también parecen atractivas cuando se puede aprovechar el teléfono móvil de un usuario como un dispositivo de captura (todos tienen micros y la mayoría tienen cámaras para el usuario)", añade Allan. "La mayoría de estas tecnologías son relativamente pasivas y discretas, para ofrecer una buena experiencia de usuario".
Muchas compañías están experimentando con la biometría como una capa adicional de seguridad, por ejemplo, PhoneFactor utiliza Voiceprint Verification como un tercer factor de autenticación en la parte superior de sus otras ofertas.
"El uso de un canal de voz existente, PhoneFactor, simultáneamente verifica algo que tiene (el teléfono) y algo que es (su huella de voz) para los factores de segunda y tercera autenticación", señala Fender. "La verificación de voz proporciona uno de los mayores niveles de autenticación sin los altos costos normalmente asociados con la autenticación biométrica".
Resumen
Como todo el mundo sabe en el negocio de la seguridad, no hay una respuesta perfecta. Allan de Gartner señala que "sea cual sea el nivel deseable de seguridad, tiene que ser equilibrado con el costo (los despliegues de cientos de miles de usuarios son muy sensibles a los costos) y la experiencia del usuario. Sabemos que los clientes del banco pueden cambiar sus bancos si las nuevas características de seguridad como la autenticación degradan la experiencia de los usuarios: en una encuesta de hace un par de años, Gartner encontró que el 3% de los clientes lo habían hecho, y otro 12% lo consideraba", añade Allan.
Julie Sartain, Network World (EE.UU.)