Protección contra las amenazas de la banca en línea: hay una aplicación para eso

Frauke De Graeve, 3 de Septiembre de 2019
Protecting against Online Banking Threats: There’s an App for That

De la gimnasia a las finanzas, las aplicaciones móviles han cambiado nuestra vida cotidiana. Las personas no solo utilizan sus teléfonos para realizar operaciones de banca móvil, sino que también los utilizan para proteger sus transacciones bancarias en línea.

Muchos usuarios de banca móvil también son ávidos consumidores de banca en línea. En 2018, el Deloitte Center for Financial Services realizó una encuesta a 17100 consumidores en 17 países. Según la entidad, "los clientes de la banca móvil que respondieron a nuestra encuesta siguen utilizando ampliamente los canales de la banca en línea: el 94 % utiliza el canal en línea al menos una vez al mes".

Las personas llevan sus teléfonos a todas partes y se ha convertido en una rutina tener el teléfono a mano cuando se realizan operaciones de banca en línea en una computadora portátil o de escritorio. Esto permite que una solución elegante para casos de uso, como la autenticación fuera de banda y la firma de datos de transacción, ofrezca protección contra los ataques de intermediarios (MitM) e intermediarios en el navegador (MitB). Lamentablemente, sigue siendo muy fácil descargar malware en una computadora o portátil sin saberlo, y caer en el fraude financiero. El uso de un dispositivo móvil de confianza como una capa adicional de seguridad durante la banca en línea es una manera sencilla de defenderse contra las sofisticadas amenazas en línea.  

Cuando Deloitte analizó las probabilidades de que los consumidores aumentaran el uso de la banca en línea y móvil, la seguridad fue la principal preocupación que los frenó. A nivel mundial, el 56 % de los encuestados utilizarían con más frecuencia la banca en línea si hubiera una mayor seguridad de los datos. En este blog, analizamos un tipo específico de seguridad para la banca en línea: la firma de datos de transacción basada en aplicaciones.

PSD2 y firma de datos de transacción (enlace dinámico)

En Europa, a medida que los bancos y otras instituciones financieras (IF) evolucionan sus experiencias de banca en línea y móvil, también deben cumplir con la Directiva de servicios de pago (PSD2) revisada. La PSD2 establece los requisitos para la autenticación fuerte de clientes (SCA) y el enlace dinámico, también conocido como firma de datos de transacción.

Los legisladores europeos incorporaron el requisito de enlace dinámico para contrarrestar los ataques de intermediarios (MitM). Por lo general, en los casos de ataques de intermediarios, un ciberdelincuente intercepta la comunicación entre el cliente y el servidor bancario, y altera los detalles de una transacción de pago sin que el verdadero pagador se dé cuenta. Una de las formas de hacerse con el canal de comunicación entre la computadora portátil del cliente (o cualquier otro dispositivo) y el banco puede ser una red Wi-Fi maliciosa que se ofrece como una zona con cobertura inalámbrica pública. Las personas se aprovechan de las zonas con cobertura inalámbrica públicas, sin darse cuenta de que pueden estar transfiriendo sus datos de transacciones financieras a través de una red controlada por un infiltrado. Imagine que una transferencia auténtica de EUR 100 a un amigo se convierta en una transferencia fraudulenta de EUR 1000 a un impostor.

El requisito de enlace dinámico de la PSD2 consta de tres partes. En primer lugar, exige que el pagador autentique la transacción mediante el cálculo de un código de autenticación a partir de los datos de la transacción, como el importe de esta y la información de identificación del beneficiario. Es necesario que el código de autenticación esté enlazado con los datos de la transacción, de modo que cualquier cambio en los detalles de la transacción lo anule.

En segundo lugar, la confidencialidad e integridad de los datos de la transacción deben protegerse durante todo el proceso de autenticación, de modo que un infiltrado no pueda interceptar y alterar los detalles. Así se garantiza que el código de autenticación se calcule según los detalles de la transacción auténtica.

Por último, el cliente debe saber cuáles son los datos de la transacción que se le pide que autentique. Esto implica que los datos de la transacción deben presentarse al cliente en el momento de la autorización (a esto también se lo denomina "Lo que ves es lo que firmas").

Cómo la tecnología de Cronto mitiga el riesgo

Los ciberdelincuentes utilizan troyanos de ingeniería social y de banca para alterar las transacciones financieras y robar fondos. Cronto frustra estos ataques al proteger el proceso de autorización de las transacciones. Es una forma fácil de bloquear a los infiltrados que atacan la banca en línea y móvil.

La tecnología de Cronto logra esto de la siguiente manera:

  • Establece un canal de comunicación seguro para proteger la confidencialidad e integridad de los datos de la transacción.
  • Presenta los detalles de la transacción en texto sin formato al cliente, para que pueda comprobar que corresponden a la transacción prevista.
  • Calcula un código de autenticación a partir de los detalles de la transacción.

Debido a que Cronto está disponible como aplicación móvil, el cliente simplemente escanea el código de Cronto (básicamente un criptograma colorido similar a un código QR) con su teléfono para comprobar los detalles de su pago. El código de Cronto contiene los detalles cifrados de la transacción. Únicamente el banco puede generar este código visual y solo el teléfono del cliente puede descifrarlo. Luego el cliente puede autorizar la transacción al responder al banco con el código de respuesta que genera la imagen de Cronto.

Este enfoque visual de la firma de transacciones simplifica la experiencia porque reduce la interacción del usuario necesaria para comprobar una transacción: los clientes simplemente apuntan su teléfono a la pantalla e introducen un código de respuesta en el navegador. Esto permite que todos los detalles de la transacción cifrada se comuniquen entre el banco y el cliente sin el riesgo de intercepción o manipulación por parte de los hackers. Para ver a Cronto en acción, mire un video de demostración.

Gran adopción de la tecnología de Cronto

La firma de transacciones visual es uno de los métodos más frecuentes que se utilizan para proteger las transacciones de banca en línea. Observamos que cada vez se adopta más la firma de transacciones "escanear y firmar" a nivel mundial, tanto en la banca minorista como en la comercial, porque es muy fácil de usar. También es una forma comprobada y rentable de protegerse contra el malware. Estos son algunos de los bancos que han implementado la tecnología de Cronto:

United Bulgarian Bank

United Bulgarian Bank (UBB) forma parte de Belgian KBC Group, el mayor grupo bancario y de seguros de dicho país. Es el tercer banco más grande de Bulgaria por activos, con una cuota de mercado de casi el 11 %. Como parte de la estrategia de innovación de UBB, el banco lanzó su aplicación de banca móvil, UBB Mobile. Para proteger su aplicación contra el malware móvil, el banco recurrió al Mobile Security Suite de OneSpan, un conjunto de SDK móviles para integrar la seguridad de las aplicaciones, la autenticación biométrica y la tecnología de Cronto. UBB añadió la posibilidad de firmar las transacciones iniciadas a través de la banca en línea con Cronto. El banco implementó Cronto para cumplir con el requisito de enlace dinámico de la PSD2 y ayudar a mitigar el riesgo humano en las transacciones de banca en línea. 

Bank of Cyprus

Bank of Cyprus Group es el principal grupo de servicios bancarios y financieros de Chipre. El banco ofrece una amplia gama de productos y servicios financieros, como banca minorista y comercial, banca de inversión y seguros. Bank of Cyprus debía cumplir con los requisitos de la PSD2 para una autentificación fuerte de clientes y enlace dinámico. Sin embargo, como la reglamentación es neutral desde el punto de vista tecnológico, no prescribe un método específico para poner en práctica la firma de transacciones. Después de varias consultas y demostraciones que confirmaron que las soluciones de OneSpan cumplen con los requisitos de la PSD2, Bank of Cyprus eligió Cronto y otras tecnologías disponibles a través de OneSpan Mobile Security Suite. (Vea la demostración de Bank of Cyprus aquí).

Jibun Bank

Cuando los ataques de intermediarios en el navegador empezaron a provocar estragos, el banco japonés de Internet Jibun Bank buscó contramedidas eficaces que no obstaculizaran la experiencia de usuario. Hoy en día, la firma de transacciones está disponible en la aplicación de banca móvil de Jibun Bank (Smartphone Authentication Service). Cuando los clientes completan las transacciones a través de la solicitud, no es necesario que introduzcan más información para autenticarse. Cuando las transacciones se realizan a través de una computadora, la función de firma de transacciones funciona como una autenticación bidireccional para derrotar el fraude en línea. 

Volkswagen Bank

Volkswagen Bank, fundado en 1949, es una subsidiaria de propiedad absoluta de Volkswagen AG. Sus productos van desde la financiación de vehículos nuevos y usados de Volkswagen hasta la financiación de concesionarios. Volkswagen Bank aprovechó OneSpan Mobile Security Suite para desarrollar y proteger su PhotoTAN-App. Esta aplicación se ideó para comunicarse directamente con Volkswagen Bank y permite a sus usuarios iniciar transacciones bancarias a través de su dispositivo móvil. OneSpan Mobile Security Suite proporciona seguridad para la aplicación, como autenticación biométrica, blindaje de aplicaciones y tecnología de Cronto. Al igual que UBB, la solución OneSpan Cronto le permite al banco cumplir con el requisito de enlace dinámico de la PSD2.

Para obtener más información sobre el enfoque visual de la firma de transacciones, visite la página de OneSpan Cronto.

Libro electrónico

Fraude de robo de cuenta: cómo proteger a sus clientes y su negocio

Evite el fraude de robo de cuenta y proteja a los clientes en cada etapa de su viaje digital.

Descargar ahora