PSD2: Cómo realizar enlaces dinámicos de manera conveniente y compatible

Frederik Mennes, 29 de Marzo de 2018
PSD2: How to Perform Dynamic Linking in a Compliant, Convenient Way

Uno de los requisitos más discutidos de las normas técnicas reglamentarias (RTS) finales sobre autenticación fuerte de clientes (SCA) y Comunicación Común y Segura (CSC) bajo PSD2 es el requisito de realizar el llamado "enlace dinámico" para autenticar una transacción financiera.

El requisito de enlace dinámico tiene tres partes. En primer lugar, exige que el pagador autentique una operación financiera mediante el cálculo de un código de autenticación a partir de determinados datos de la operación (por lo menos el monto y cierta información que identifique al beneficiario), de modo que dicho código esté vinculado a esos datos. En segundo lugar, la confidencialidad e integridad de los datos de la transacción deben protegerse durante todo el proceso de autenticación. En tercer lugar, el usuario de la banca en línea debe saber cuáles son los datos de la transacción que autentica. Este último requisito se suele denominar "Lo que ves es lo que firmas" (WYSIWYS). Esto implica que no basta con mostrar un algoritmo hash de los datos de la transacción o un identificador de sesión.

 

Los legisladores europeos que redactaron la PSD2 establecieron el requisito de enlace dinámico para contrarrestar los ataques de intermediarios, en los cuales un adversario altera los detalles de una transacción después de que el pagador la ha autenticado. Un ataque así podría convertir una transferencia auténtica de EUR 100 a un amigo en una transferencia fraudulenta de EUR 1000 a un impostor, sin que el verdadero pagador se diera cuenta. El requisito WYSIWYS tiene como finalidad evitar los ataques de ingeniería social, en los cuales se convence a un pagador de que autentique datos que no comprende y que, posteriormente, resultan ser una transacción fraudulenta. Como tal, la PSD2 va un poco más allá que las directrices finales de la ABE sobre la seguridad de los pagos por Internet, que actualmente rigen en la mayoría de los Estados miembros de la UE y que no exigen un enlace dinámico.

Para los bancos, el cumplimiento de estos requisitos de la PSD2 plantea varias cuestiones. ¿Cómo puede hacer un banco para implementar el enlace dinámico en su aplicación de banca en línea o móvil de manera que resulte práctico para el cliente? ¿Se pueden utilizar mensajes SMS para implementar el enlace dinámico? ¿Y qué pasa con las transacciones por lotes?

Exploremos estos temas.

La practicidad del enlace dinámico

Supongamos que un usuario inicia una transacción financiera a través de una aplicación de banca en línea que se ejecuta en el navegador de su computadora, y utiliza un token de hardware específico o una aplicación de banca móvil para autenticar la transacción.

Una forma práctica de implementar el enlace dinámico consiste en el uso de códigos QR de color o códigos Cronto. Cuando el usuario quiere iniciar una transacción, realiza lo siguiente:

  1. Introduce los datos de la transacción en la aplicación de banca en línea en el navegador. A partir de estos datos de la transacción, el servidor bancario genera un código de color, que representa los datos cifrados de la transacción, y lo muestra en el navegador.
     
  2. Escanea el código de color con la cámara de su token de hardware o dispositivo móvil. El dispositivo decodifica el código de color, descifra los datos de la transacción y muestra al cliente los datos de la transacción de forma legible en la pantalla.
     
  3. Se autentica en su dispositivo (p. ej., introduce el PIN de su dispositivo) y este calcula el código de autenticación según los datos de la transacción mediante una clave criptográfica almacenada en el dispositivo.

Pasos de CRONTO

Este método cumple con todos los requisitos del enlace dinámico que se indicaron anteriormente y, además, no exige que el usuario introduzca manualmente los datos de la transacción en el dispositivo.

Otro método, solo para móviles, es transferir los datos de la transacción del servidor bancario a la aplicación de banca móvil por medio de un mensaje de notificación push cifrado. Cómo funciona:

  • El usuario recibe un mensaje de notificación push en su teléfono.
  • Al aceptarlo, la aplicación de banca móvil se abre y muestra los datos de la transacción al usuario.
  • El usuario se autentica, por ejemplo, por medio de la lectura de sus huellas dactilares o de su rostro.
  • El dispositivo calcula el código de autenticación a partir de los datos de la transacción.
  • La aplicación de banca móvil envía el código de autenticación al cliente a través de Internet.

Este método también cumple con los requisitos del enlace dinámico y no exige que el usuario introduzca manualmente ningún dato en el dispositivo móvil.

Transacciones por lotes

El requisito de enlace dinámico también se aplica a las transacciones por lotes o a los pagos globales, en los que se conjugan diversas transacciones a diferentes beneficiarios. Más en concreto, el RTS final establece que, en el caso de las transacciones por lotes, el código de autenticación debe ser específico para la cantidad total de dinero de todas las transacciones conjuntas y para los diversos beneficiarios.

Si la cantidad de beneficiarios es grande, resulta poco práctico mostrárselos todos al usuario para su validación. Los siguientes métodos pueden utilizarse para lograr un equilibrio entre la seguridad y la comodidad del usuario:

  1. Mostrar al usuario los beneficiarios correspondientes a las transacciones de mayor riesgo.
     
  2. Mostrar al usuario beneficiarios seleccionados al azar.
     
  3. No mostrar al usuario ningún beneficiario de la lista blanca.

En todo caso, conviene incluir un hash de todas las transacciones en el cálculo del código de autenticación a fin de proteger la integridad de todas estas.

PAPEL BLANCO

PSD2: ¿Qué soluciones sólidas de autenticación y transacción cumplen?

Descubra los requisitos más importantes del RTS final y qué soluciones de autenticación tienen más probabilidades de cumplir con los requisitos.

Descargar ahora

¿Enlace dinámico a través de SMS?

También se plantea la cuestión de si el enlace dinámico podría implementarse a través de SMS. En este caso, el usuario recibiría un mensaje SMS con los datos de la transacción y el código de autenticación calculado a partir de los datos de la transacción.

Debido al requisito de proteger la confidencialidad e integridad de los datos de las transacciones, es preciso que, cuando estén en un mensaje SMS, dichos datos deben estar cifrados. No está claro cómo se podría descifrar el mensaje en el dispositivo móvil sin usar una aplicación exclusiva. Si la aplicación móvil tiene que procesar los mensajes SMS, se pierde uno de los principales beneficios de los SMS.

Más información

En resumen, los bancos deben abordar la PSD2 no solo desde el punto de vista del cumplimiento, puesto que también es importante plantearse cómo optimizar la experiencia de usuario mediante procedimientos de autenticación prácticos y sólidos con enlaces dinámicos. Para obtener más información, descargue PSD2: ¿qué soluciones de autenticación fuerte y monitoreo de transacciones cumplen las normas?

 

Frederik dirige el Centro de competencia de seguridad de OneSpan, donde es responsable de los aspectos de seguridad de los productos y la infraestructura de OneSpan. Tiene un conocimiento profundo de autenticación, gestión de identidad, tecnologías regulatorias y de seguridad para aplicaciones