Cómo los bancos pueden combatir los ataques del hombre en el medio

OneSpan Team,

La banca digital se ha disparado en popularidad en los últimos años y no muestra signos de desaceleración. Un informe que analizó el panorama financiero del Reino Unido en 2020 encontró que solo el 7.7% de los clientes bancarios del Reino Unido prefieren las visitas a las sucursales, y la gran mayoría prefiere usar canales en línea o móviles. Como resultado, las sucursales bancarias en todo el Reino Unido han estado cerrando, con ¿Cual? estimando que la red de sucursales bancarias del Reino Unido se ha reducido en un tercio en los últimos cinco años. Solo este año se prevé el cierre de 247 sucursales en el Reino Unido.

Esta tendencia hacia lo digital ha sido impulsada por los bancos retadores solo digitales centrados en el cliente, como Monzo, Revolut y Starling, que cuentan con cerca de 20 millones de clientes entre ellos. En los últimos meses, la pandemia mundial de coronavirus también ha obligado a muchos consumidores a adoptar plataformas de banca digital si no las usaban antes, ya que las medidas para quedarse en casa han impedido el fácil acceso a las sucursales bancarias.

Si bien la banca digital ha aumentado la experiencia general del cliente, también ha ampliado el objetivo de ataque de los ciberdelincuentes, con amenazas como ataques man-in-the-browser o man-in-the-middle cada vez más común y tiene graves consecuencias para los clientes. Afortunadamente, existe una variedad de tecnologías que los bancos pueden implementar para ayudar a defenderse contra tales amenazas sin comprometer la experiencia del usuario de la banca digital.

Ataques del hombre en el medio

Estos ataques ocurren cuando un ciberdelincuente puede interceptar las comunicaciones entre el dispositivo de un cliente y el servidor bancario. Luego, el delincuente puede alterar los detalles de la transacción, como el monto y la cuenta bancaria prevista, sin que el cliente se dé cuenta. Como resultado, una transacción estándar de £ 100 podría convertirse en una transacción de £ 10,000 que se transfiere directamente a la cuenta bancaria de los delincuentes.

Hay varias formas en que los delincuentes pueden interceptar las comunicaciones, pero un ejemplo común es cuando un cliente está utilizando un punto de acceso WiFi público. Estos suelen ser inseguros y los ciberdelincuentes pueden infiltrarse fácilmente. Entonces, cuando un cliente realiza una transacción utilizando una red WiFi pública, es posible que, sin saberlo, esté compartiendo datos confidenciales de transacciones financieras a través de una red controlada por un ciberdelincuente.

Combatir los ataques del hombre en el medio mediante la regulación

En Europa, el Directiva de servicios de pago revisada (PSD2) ha impulsado a los bancos e instituciones financieras a evolucionar sus ofertas de banca móvil y en línea, introduciendo una gama de requisitos de seguridad diseñados para contrarrestar los ataques de intermediarios.

Por ejemplo, PSD2 ha establecido requisitos para la autenticación sólida de clientes (SCA) además de la vinculación dinámica, que también se conoce como firma de datos de transacciones. El requisito de vinculación dinámica protege una transacción en tres partes.

Primero, requiere que el pagador autentique los datos de la transacción que ingresó, como el monto y el beneficiario, y confirme que es correcto. Luego, se genera un código de autenticación que se vincula a los datos de la transacción, de modo que cualquier cambio en los detalles de la transacción invalidaría el código.

En segundo lugar, la confidencialidad e integridad de los datos de la transacción deben protegerse durante todo el proceso de autenticación, de modo que un infiltrado no pueda interceptar y alterar los detalles. Esto asegura que el código de autenticación se genere en base a detalles auténticos de la transacción.

Por último, el cliente debe saber cuáles son los datos de la transacción que se le pide que autentique. Esto significa que los datos de la transacción deben presentarse al cliente en el momento de la autorización.

Combatiendo los ataques del hombre en el medio a través de la tecnología

La tecnología Cronto es una forma en que los bancos pueden verificar las transacciones y proteger a los clientes contra ataques de intermediarios. Cronto está disponible a través de una aplicación móvil y asegura el canal de comunicación entre el cliente y el banco para evitar que los datos de la transacción sean alterados. Luego, los datos se presentan en texto sin formato para que el usuario pueda confirmar que se corresponden con su transacción prevista antes de generar un código de autenticación basado en los detalles de la transacción.

Solo el banco puede generar este código y solo puede ser descifrado por el dispositivo móvil del usuario. Este enfoque único para la verificación de transacciones simplifica la experiencia porque reduce la interacción del usuario requerida para autenticar una transacción; los clientes simplemente apuntan su teléfono a la pantalla para escanear la imagen, esencialmente una imagen en color similar a un QR, e ingresan un código de respuesta en el navegador. . Esto permite que todos los detalles de la transacción cifrada se comuniquen entre el banco y el cliente sin el riesgo de intercepción o manipulación por parte de los hackers.

Como resultado, los bancos pueden ofrecer una solución de seguridad rápida y fácil de usar que protege a los clientes, garantiza el cumplimiento y, en última instancia, mejora la experiencia del usuario.

Raiffeisen Transforming the Customer Experience through Security
Case Study

Raiffeisen Transforming the Customer Experience through Security

Raiffeisen Italy Implements Mobile Authentication & Mobile App Shielding for PSD2 Compliance and Ease of Use.

Read more

Este artículo, escrito por David Vergara, director senior de marketing de productos, apareció por primera vez el 20 de agosto de 2020 el FinanceDerivative.com

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.

Popup default