NewB implementa seguridad para la banca digital en tan solo semanas, y usted puede hacer lo mismo

Jeannine Mulliner, 26 de Enero de 2022

NewB es el primer banco nuevo que Bélgica ha tenido en los 40 últimos años. Como se trata únicamente de un banco solo digital (banca online), ofrece sus servicios bancarios a sus miembros exclusivamente a través de su portal de banca en línea y su aplicación móvil. NewB es sinónimo de banca ética y sostenible. Como cooperativa, cada miembro es propietario parcial, por lo que cada uno de ellos tiene influencia sobre cómo se administra el banco, independientemente del tamaño de su inversión.

Esta es la historia de los meses previos del lanzamiento al mercado de los servicios de banca digital de NewB. NewB tuvo que implementar la seguridad digital en un periodo de tiempo muy limitado. Era fundamental que el banco implementara la ciberseguridad adecuada para proteger a sus miembros de ciberataques maliciosos y cumplir con los requisitos de seguridad. Después de todo, las aplicaciones digitales de NewB iban a utilizarse para las operaciones bancarias diarias de sus clientes, quienes confiarían sus ahorros información personal a NewB, solicitarían préstamos personales y usarían NewB para pagar facturas y transferir fondos.

Para lograr sus objetivos de seguridad digital, NewB tuvo que responder preguntas fundamentales como: ¿Cuál es la tecnología de autenticación adecuada para proteger nuestras transacciones y a nuestros miembros? ¿Con qué proveedor de seguridad podemos asociarnos para abordar estos problemas de seguridad, estafas de ciberdelincuentes y vulnerabilidades?

El reto: Cómo implementar seguridad que cumpliera con PSD2 para la banca digital rápidamente

El cumplimiento normativo con PSD2 era imprescindible. PSD2 tiene como objetivo que algunos elementos de autenticación avanzada, como la vinculación dinámica, se conviertan en herramientas de seguridad estándar en los servicios financieros. Algunos de los requisitos más importantes de PSD2 para la autenticación sólida de clientes (SCA, por sus siglas en inglés) incluyen:

  • Autenticación de dos factores (2FA): Para asegurar que solo los propietarios legítimos de la cuenta puedan acceder con sus contraseñas a las cuentas bancarias y a los servicios en línea, la 2FA o autenticación multifactor (MFA) es la primera línea de defensa.
  • Enlace dinámico: También conocido como autorización de transacción, tiene como objetivo proteger a los consumidores contra la ingeniería social y otros ataques en los que se interceptan pagos y transferencias de fondos legítimos, que después se envían a otras cuentas.
  • Independencia de los elementos de autenticación: Cuando se usa la aplicación móvil para autenticar a un cliente o una transacción, los proveedores financieros deben usar entornos de ejecución seguros para sus aplicaciones móviles. Una de las mejores maneras de hacer esto es mediante tecnología de protección de aplicaciones.

NewB no tenía mucho tiempo para preparar e implementar soluciones tecnológicas para cumplir con estos requisitos. Cuando obtuvieron una licencia formar parte de las entidades bancarias en enero de 2020, necesitaban actuar rápidamente a la hora de implementar la seguridad.

“En Bélgica, según la ley, cuando obtienes una licencia bancaria, dispones un año para comenzar tus actividades bancarias. Eso significaba que teníamos que comenzar con nuestras actividades bancarias a finales de enero de 2021”, explica Adrien Liénard, gerente de proyectos de NewB.

Era fundamental que todo sucediera a tiempo. No podría haber ningún retraso que afectara la capacidad del lanzamiento de nuestro nuevo banco. Tenían que seleccionar un proveedor de seguridad y ponerlo todo en marcha a principios de noviembre de 2020, porque era entonces cuando estarían conectados al sistema financiero de pagos en Europa.

En enero de 2020, comenzó la carrera para encontrar la tecnología adecuada, y el sistema operativo, buscaban un proveedor con un sólido historial de implementación en instituciones bancarias.

Identificación de una solución: ¿Cuál es la mejor tecnología para lograr nuestros objetivos?

Además de encontrar las tecnologías adecuadas para lograr el cumplimiento de los requisitos de autenticación de PSD2, NewB tenía que implementar estas tecnologías en un plazo de cuatro meses. Esta línea de tiempo requería soluciones basadas en la nube. Las soluciones basadas en la nube se implementan rápidamente, se administran fácilmente y pueden ser compatibles con muchos métodos de autenticación. Y si NewB podía encontrar una solución basada en una sola API REST, sabían que tendrían una configuración simple y podrían ponerlo todo en marcha más rápidamente.

La primera solución que NewB implementó fue OneSpan Cloud Authentication. Para NewB, una de las principales ventajas fue que se puede implementar en cuestión de semanas sin necesidad de comprar, aprovisionar e implementar infraestructura de tecnología informática. Esto es algo muy significativo cuando se compara con las implementaciones locales, las cuales pueden requerir hasta un año según los recursos, el presupuesto y otros factores. Además, OneSpan Cloud Authentication está diseñado para cumplir con los requisitos de autenticación de PSD2 desde el primer momento, lo que incluye autenticación multifactor, enlace dinámico, seguridad móvil y tecnología biométrica como Touch ID en un iPhone de Apple o escáner de huellas dactilares en Android.

OneSpan Cloud Authentication ofrece muchas opciones de seguridad para la banca digital. Las tecnologías Cronto y Mobile Security Suite de OneSpan fueron las soluciones que cumplían con todos los requisitos, explica Adrien Liénard. De esta manera, NewB encontró la seguridad que el banco necesitaba para proteger a los titulares de sus cuentas contra ataques y fraudes, sin dejar de ofrecerles la moderna experiencia bancaria que los miembros esperan de un banca electrónica.

1. Tecnología Cronto

Al diseñar su experiencia de autenticación de clientes, NewB seleccionó dos métodos de autenticación: la solución de autorización de transacciones Cronto® para dispositivos móviles y su equivalente en hardware, el autenticador Digipass® 772.

Para un banco digital, la experiencia de usuario en el teléfono móvil tiene que ser excepcional. Uno de los requisitos de cumplimiento de seguridad que presenta un gran desafío es la vinculación dinámica. La cuestión es cómo implementar enlaces dinámicos de una manera que cumpla con la normativa relevante y que sea fácil de usar para los clientes del banco.

Una de las formas más populares de hacer esto es con un código de color tipo QR conocido como Cronto.

Cronto

Cuando el banco envía una transacción financiera o datos de pago al cliente para su verificación y autorización, esos datos se cifran dentro del código Cronto. El cliente descifra los datos escaneando el criptograma con su teléfono inteligente o dispositivo de hardware. En el caso de que haya malware en la computadora de la persona, este no podrá alterar los datos dentro del código visual. Este enfoque permite a las instituciones financieras cumplir con los requisitos de vinculación dinámica de PSD2.

La funcionalidad de Cronto está disponible tanto en software como en hardware. Esto ofrece a los miembros varias opciones en cuanto a cómo prefieren autenticarse, al tiempo que mantienen la misma experiencia de usuario y seguridad para todos los clientes. Como Adrien Liénard explica, “La razón principal por la que elegimos Cronto fue por su facilidad de uso y porque ofrece la misma experiencia de usuario para todos. Los factores decisivos fueron el costo, la facilidad de uso y el hecho de que nos permitía poner en marcha el banco antes incluso de que nuestras tarjetas de débito estuvieran disponibles”.

2. Mobile Security Suite

El segundo componente de la solución de NewB fue OneSpan Mobile Security Suite (MSS), que permite a los programadores integrar funciones de seguridad adicionales de forma nativa dentro de sus aplicaciones de banca móvil. De estas características de seguridad móvil, NewB hace uso de la función de blindaje de aplicaciones móviles para proteger la aplicación de banca móvil desarrollada.

El blindaje de aplicaciones móviles es una tecnología que no requiere mucho código y que protege contra las amenazas de seguridad cibernética de la banca móvil, como ataques troyanos, técnicas de ingeniería inversa, amenazas en tiempo de ejecución y otros métodos que permiten robar credenciales bancarias, información confidencial o datos personales, así como redirigir transacciones bancarias. También crea un entorno de ejecución seguro, permitiendo que las aplicaciones móviles funcionen de forma segura incluso en dispositivos móviles que no son de confianza, como los que han sido liberados.

Esta tecnología abordó el cumplimiento de PSD2 de forma específica. PSD2 requiere que las aplicaciones móviles bancarias utilizadas en los flujos de autenticación minimicen el riesgo de que un atacante pueda usar ingeniería inversa y entrar a la aplicación y descubrir y reproducir el token secreto que se utiliza para generar un código de autenticación. El blindaje de aplicaciones móviles de OneSpan protege la aplicación bancaria de NewB contra la clonación. Y como beneficio adicional del blindaje de aplicaciones, la aplicación también queda protegida contra los llamados «ataques de reempaquetado».

Selección del proveedor: ¿Qué proveedor de seguridad deberíamos elegir?

Después de una evaluación de los principales proveedores de seguridad, NewB seleccionó OneSpan. “La experiencia y la reputación de un socio son tan importantes como las capacidades de la solución en sí”, dice Adrien Liénard de NewB. “Las autoridades siempre están muy pendientes de los nuevos bancos, eso forma parte de ser nuevo en el mercado. Sabemos que están observando a NewB y les tranquiliza vernos trabajando con socios de confianza. OneSpan trabaja con la mayoría de los bancos en Bélgica y eso nos dio credibilidad frente al Banco Nacional”.

“La reputación de OneSpan en el mercado, su experiencia en seguridad y la experiencia con PSD2 han marcado una gran diferencia para nosotros. Por ejemplo, recientemente tuvimos que enviar un informe de PSD2 al Banco Nacional. Le pedimos ayuda a OneSpan y en 24 horas ya teníamos las respuestas. Ese fue un valor agregado para nosotros, saber que OneSpan nos respalda”.

NewB también seleccionó a MAINSYS como su socio de integración para este proyecto. MAINSYS es una compañía belga de software y servicios de informática que proporciona el sistema bancario central de NewB y se especializa en plataformas digitales para el sector financiero.

“Las limitaciones de tiempo eran significativas, por lo que priorizamos la implementación de la tecnología Cronto de OneSpan y los autenticadores Digipass para la banca en línea. Una vez que habíamos terminado con eso, comenzamos la fase dos, que fue el desarrollo móvil”, explica Mathieu Latour, gerente de proyectos de MAINSYS.

“Era muy importante para NewB que los miembros que no utilizaran un teléfono celular pudieran autenticarse de manera segura con la misma facilidad que los que sí lo usaban. OneSpan resuelve esto al ofrecer su solución en formato de software y hardware, lo que proporciona la misma experiencia de usuario y flujos de autenticación para todos los usuarios. Eso marcó la diferencia y ayudó a acortar el tiempo de implementación”.

Conclusiones

Ahora que todas las industrias quieren implementar procesos y entornos informáticos modernos, la autenticación en la nube es una oportunidad para que la industria bancaria obtenga resultados muy rápidamente. La autenticación en la nube ofrece a las instituciones financieras una solución que es fácil de implementar y económica, con todos los beneficios normales de una implementación en la nube. En un momento en que el fraude está aumentando en los canales digitales y la experiencia del cliente es algo crucial, la nube supone una gran oportunidad. La autenticación en la nube puede ayudarlo a proteger sus canales digitales contra piratas informáticos, ataques de phishing, incumplimientos relacionados con los datos, ransomware, suplantación de identidades, toma de control de cuentas y otros delitos cibernéticos.

Según David Vergara, director senior de marketing de productos de seguridad de OneSpan, "en realidad, lo que la nube hace posible es velocidad, flexibilidad y simplicidad, proporcionando un mecanismo para agregar nuevas tecnologías para abordar el fraude y otros riesgos de seguridad. Y lo cierto es que las plataformas en la nube son perfectas para integrar tecnologías de autenticación y seguridad, y hacer que estas medidas de ciberseguridad estén disponibles para bancos y compañías de tecnología financiera de una manera muy rápida".

Para obtener más información sobre cómo NewB implementó la tecnología en la nube de OneSpan y la incorporó a la experiencia del cliente y los flujos de autenticación para proteger la información financiera de sus clientes, puede leer el estudio de caso completo.

ingenieria social ebook
eBook

Ataques de ingeniería social en transacciones bancarias

En este e-book informativo, encontrará más información sobre las técnicas de ingeniería social y cómo la autorización de transacciones con Cronto puede ayudarlo a combatir los ataques. 

Descargar ahora

Durante 20 años, Jeannine ha escrito sobre tecnología y cómo aplicarla para resolver los desafíos cotidianos. En su rol de Directora de Contenido en OneSpan, Jeannine lidera un equipo de escritores y desarrolladores de contenido enfocados en ayudar a las instituciones financieras y otras organizaciones a obtener valor de las soluciones de seguridad y firma electrónica. Jeannine tiene una licenciatura en escritura profesional de l'Université de Sherbrooke.