Autenticación sólida de clientes: por qué considerar métodos y herramientas adaptables

Frederik Mennes, 13 de Noviembre de 2018

Cumplir con la Directiva de Servicios de Pago revisada (PSD2) es actualmente una prioridad clave para las instituciones financieras (IF) en Europa y fuera de ella. En particular, las instituciones financieras deben cumplir con los requisitos relacionados con la autenticación fuerte de los clientes y el análisis del riesgo de las transacciones. Estos requisitos se recogen en las Normas Técnicas Reglamentarias (NTR) para la Autenticación Fuerte de Clientes (SCA) y la Comunicación Común y Segura (CSC). Las entidades financieras deben adherirse a ellas a más tardar el 14 de septiembre de 2019. Algunos de los principales requisitos entrarán en vigor seis meses antes.

En este blog, ofrecemos una visión general de los principales requisitos de autenticación del RTS y cómo cumplirlos adecuadamente.

PSD2: Autenticación fuerte de clientes y análisis de riesgo de las transacciones

Los requisitos de autenticación más importantes en el RTS bajo PSD2 son:

  • Autenticación de dos factores: las IF que actúan como proveedoras de servicios de pago deben autenticar a los usuarios basándose en un mecanismo de autenticación que utiliza dos de los tres elementos de autenticación posibles:

    Además, los elementos de autentificación deben ser independientes entre sí. El mecanismo de autenticación debe generar un código de autenticación que sólo es válido una vez (y en la práctica, durante un tiempo limitado).

    • Posesión (es decir, algo que sólo tiene el usuario)
    • Conocimiento (es decir, algo que sólo los usuarios saben)
    • Inherencia (es decir, algo que sólo el usuario es)
  • Vinculación dinámica: La vinculación dinámica también se denomina comúnmente firma de datos de transacciones o autenticación de transacciones. Los legisladores que redactaron la PSD2 introdujeron el requisito de enlace dinámico para contrarrestar los ataques Man-in-the-Middle, en los que un actor malintencionado altera los detalles de una transacción después de que el pagador la haya autenticado. El requisito de enlace dinámico tiene tres partes. En primer lugar, requiere que un pagador autentifique una transacción financiera calculando un código de autentificación sobre determinados datos de la transacción (al menos el importe y alguna información que identifique al beneficiario), de modo que el código de autentificación esté vinculado a la transacción. En segundo lugar, la confidencialidad y la integridad de los datos de la transacción deben estar protegidas (es decir, cifradas) durante todo el proceso de autenticación. En tercer lugar, el usuario de la banca online debe ser consciente de los datos de las transacciones que autentifica.
  • Independencia de los elementos de autenticación: Este requisito se centra principalmente en la seguridad de las aplicaciones móviles. Los requisitos de autenticación fuerte del cliente permiten el uso de aplicaciones móviles como factor de posesión fácil de usar. Cuando el mecanismo de autenticación se basa en dispositivos como los teléfonos móviles o las tabletas, las IF deben adoptar medidas de seguridad para mitigar el riesgo de que la aplicación móvil se ejecute en un entorno de ejecución no fiable (es decir, el dispositivo y el sistema operativo), donde puede ser objeto de ataques de superposición, inyección de código y otras amenazas.
  • Análisis del riesgo de las transacciones: Los bancos deben realizar un análisis del riesgo de las transacciones para prevenir, detectar y bloquear los pagos fraudulentos. El análisis del riesgo de las transacciones debe basarse en elementos como el importe del pago, los escenarios de fraude conocidos, los indicios de infección por malware en la sesión de pago, etc. El reglamento prevé que los pagos de bajo riesgo puedan quedar exentos de la autentificación fuerte del cliente. Sin embargo, esto implica que el análisis del riesgo de las transacciones incluya elementos adicionales, como patrones de pago, análisis de comportamiento, ubicación del pagador y del beneficiario, información sobre el dispositivo utilizado para realizar el pago e incluso la capacidad de recopilar datos de múltiples canales, como móvil, online, cajero automático y sucursal.

De la autenticación autónoma a la autenticación adaptativa

Al evaluar e implementar soluciones para el cumplimiento de los requisitos de autenticación fuerte de clientes, las IF deben considerar métodos y herramientas adaptables. La autenticación adaptativa no es un factor de autenticación, como un nuevo token de un solo uso o una aplicación de autenticación. Se trata de un flujo de trabajo que analiza continuamente las actividades, el entorno y los comportamientos de un usuario para determinar el nivel preciso de seguridad, en el momento adecuado para cada transacción única.

La autenticación adaptativa se distingue de las herramientas de autenticación independientes por emplear métodos de autenticación especializados basados en el análisis de riesgos en tiempo real. En lugar de forzar un evento iniciado por el usuario, como la introducción de un PIN o una contraseña, un usuario puede tener que pasar por una serie de comprobaciones de autenticación para obtener acceso a determinados servicios en el caso de las interacciones más arriesgadas, o no realizar ninguna comprobación adicional en el caso de las transacciones de bajo riesgo (por ejemplo, la comprobación del saldo de su cuenta).

Esto también se conoce como autenticación escalonada. Con la puntuación de riesgo como guía, los pasos de autenticación se aplican dinámicamente a la transacción en tiempo real, y el usuario puede tener que tomar medidas. Por ejemplo, si la transacción está dentro de la pauta de comportamiento normal del usuario, no se necesita una autenticación escalonada. Sin embargo, una determinada puntuación de riesgo puede solicitar una contraseña de un solo uso (OTP), mientras que una puntuación de riesgo más alta puede solicitar al usuario tanto una OTP como el escaneo de la huella dactilar (por ejemplo, para una transferencia de 10.000 dólares a una cuenta bancaria extranjera).

Al aprovechar el análisis de riesgos impulsado por el aprendizaje automático y la inteligencia artificial -y combinado con la orquestación de la autenticación que acabamos de describir-, una solución de autenticación adaptativa entra en una categoría de solución conocida como autenticación adaptativainteligente. Con este tipo de solución, las instituciones financieras pueden simplificar la experiencia del usuario final, reducir el fraude y lograr el cumplimiento de la normativa. Esto se aplica a los múltiples canales de la banca digital, incluyendo la web, el móvil, etc.

Autenticación adaptativa: experiencia de usuario superior y crecimiento a través de seguridad inteligente
White Paper

Autenticación adaptativa: experiencia de usuario superior y crecimiento a través de seguridad inteligente

Descargue este documento y logre el doble objetivo de reducir el fraude y complacer al cliente.

Descargar ahora

Autenticación adaptativa y autenticación fuerte de clientes

Las instituciones financieras se enfrentan a importantes retos para detener el fraude, incluso con las tecnologías de seguridad más avanzadas. La complejidad, las experiencias incoherentes de los usuarios, los requisitos de cumplimiento difíciles de cumplir, los múltiples idiomas e interfaces ocultan las vulnerabilidades de seguridad y mantienen a los gerentes de las empresas en vela. El reto es cómo simplificar los flujos de trabajo de autenticación para aumentar la seguridad, reforzar el cumplimiento de la normativa y crear la mejor experiencia posible para el usuario en múltiples canales.

La Autenticación Adaptativa Inteligente ayuda a las instituciones financieras a lograr estos objetivos, al tiempo que cumple con los requisitos de Autenticación Fuerte de Clientes de la PSD2. He aquí cómo:

  • Autenticación basada en el riesgo: la Autenticación Adaptativa Inteligente permite a las IF admitir una amplia cartera de elementos de autenticación. Pueden ser elementos de posesión (es decir, aplicaciones móviles, fichas de hardware, etc.), factores biométricos (es decir, huella dactilar, facial) y elementos de conocimiento (es decir, PIN). Además, una solución de Autenticación Adaptativa Inteligente también debería ser compatible con estándares de autenticación fuertes como FIDO.
  • Vinculación dinámica: aunque muchas soluciones de autenticación adaptativa funcionan bajo los mismos principios, existe una gran diversidad en el mercado en cuanto a la integración de tecnologías de seguridad clave. En el caso de las soluciones de autenticación adaptativa inteligente que admiten la vinculación dinámica, la clave está en garantizar que se cumpla y sea conveniente para los usuarios finales. Una de las formas más aceptadas de hacerlo es con criptogramas de colores conocidos como códigos Cronto. Cuando el banco envía los datos de la transacción o del pago al usuario para que los verifique y autorice, esos datos se cifran dentro del criptograma Cronto. El usuario descifra los datos escaneando el criptograma con su smartphone (o dispositivo de hardware). En el caso de que el malware troyano esté presente en el ordenador del usuario, no podrá alterar los datos dentro del código visual. Este enfoque permite a las IF cumplir plenamente con los tres requisitos de vinculación dinámica de la DSP2.
  • Independencia de los elementos de autenticación: la Autenticación Adaptativa Inteligente proporciona a las IF una profunda visibilidad de los dispositivos móviles y de las aplicaciones bancarias que se ejecutan en ellos. Aprovecha una gran cantidad de datos de usuarios, dispositivos y aplicaciones, lo que proporciona una medida muy precisa de la confianza a través de una puntuación de análisis de riesgos. La autenticación adaptativa inteligente integra funciones como el blindaje de aplicaciones móviles para crear un entorno de ejecución seguro para las aplicaciones bancarias móviles, lo que les permite ejecutarse de forma segura en dispositivos móviles que no son de confianza. Esto incluye el uso de entornos de ejecución seguros y separados, así como medidas para proteger las aplicaciones móviles contra amenazas en tiempo de ejecución como el rooting o el jailbreaking, los ataques de superposición, la inyección de código y el keylogging.

  • Análisis del riesgo de las transacciones: la evaluación del riesgo del entorno del usuario y de las transacciones financieras es el núcleo de una solución de autenticación adaptativa inteligente. La autenticación adaptativa inteligente recopila información contextual de múltiples fuentes (por ejemplo, el dispositivo móvil del usuario, el ordenador portátil), así como un análisis de comportamiento (es decir, quién, qué, cuándo y dónde), y lo correlaciona con el historial del usuario para detectar patrones de fraude emergentes y conocidos para evaluar el nivel de riesgo de una transacción. La solución aplica entonces el nivel de seguridad preciso para cada transacción financiera única.

Para obtener más información sobre la PSD2 y cómo cumplir con los requisitos de autenticación fuerte de clientes, visite www.OneSpan.com/psd2.

Frederik dirige el Centro de Competencia de Seguridad de OneSpan, donde es responsable de los aspectos de seguridad de los productos y la infraestructura de OneSpan. Tiene un profundo conocimiento de las tecnologías de autenticación, gestión de identidades, normativa y seguridad para aplicaciones en la nube y móviles.