SMS OTP no cumple con los requisitos de vinculación dinámica PSD2, según EBA
Los bancos y los proveedores de servicios de pago a veces confían en los SMS para autenticar a una persona que desea iniciar sesión en una cuenta de pago en línea o confirmar un pago. Envían un mensaje SMS con un contraseña de un solo uso (OTP) al teléfono móvil del usuario, y el usuario ingresa esta OTP en la aplicación de pago del banco o proveedor de servicios de pago. En el caso de un pago, el SMS normalmente también contiene información de pago, como el monto y el beneficiario del pago.
Además de la OTP, los proveedores de servicios bancarios y de pago a veces requieren que el usuario ingrese una contraseña estática en la aplicación de pago, para que el usuario se autentique mediante un sistema de autenticación de dos factores. El SMS OTP representa un factor de posesión ("algo que solo el usuario tiene"), mientras que la contraseña estática representa un factor de conocimiento ("algo que solo el usuario sabe").
Desde la introducción de la Directiva de servicios de pago revisada (PSD2) y los Estándares técnicos regulatorios (RTS) sobre autenticación sólida de clientes (SCA) y comunicación común y segura (CSC), se ha debatido mucho sobre el cumplimiento de los sistemas de autenticación basados en SMS con los requisitos de la SCA. En particular, surgió la pregunta de si SMS OTP puede cumplir con los requisitos de enlace dinámico de PSD2, que estipulan cómo autenticar los pagos. Estos requisitos esencialmente establecen que:
- El código de autenticación debe calcularse sobre cierta información de pago (al menos el monto y el beneficiario del pago); y
- La confidencialidad, integridad y autenticidad de la información de pago deben protegerse durante todo el proceso de autenticación.
Veamos más adelante si SMS OTP cumple con los requisitos para el inicio de sesión de la cuenta, por un lado, y la vinculación dinámica, por el otro.
Caso 1: SMS OTP para inicio de sesión de cuenta
La primera pregunta que exploramos más a fondo es si SMS OTP cumple con los requisitos de la SCA para iniciar sesión en cuentas de pago. De hecho, esta cuestión ya fue abordada por la Autoridad Bancaria Europea (ABE) en un Opinión publicado el 21 de junio de 2019, y también a través del Herramienta de preguntas y respuestas sobre el reglamento único de la EBA .
El Dictamen aclara que los SMS pueden considerarse un elemento de posesión válido. Más específicamente, la tarjeta SIM en el dispositivo móvil que recibe el SMS es un elemento de posesión válido. Esto implica que las contraseñas de un solo uso (OTP) entregadas a través de SMS se pueden utilizar para construir un mecanismo de autenticación sólido cuando se combinan con un segundo factor (por ejemplo, una contraseña o PIN). En otras palabras, SMS OTP cumple con los requisitos SCA de PSD2, como abogamos en el pasado .
Sin embargo, esto no significa que sea una buena idea utilizar SMS OTP para iniciar sesión en la cuenta, ya que los SMS están sujetos a una gran cantidad de vulnerabilidades de seguridad. Más específicamente, los mensajes SMS se pueden interceptar / alterar aprovechando las vulnerabilidades del protocolo SS7 subyacente y mediante el malware que reside en los dispositivos móviles.Además, los ataques de intercambio de SIM permiten que los delincuentes se apoderen del número de teléfono móvil de la víctima para que el delincuente reciba los mensajes SMS destinados a la víctima. Los ataques contra los mecanismos de autenticación de los sistemas bancarios en línea que explotan estas vulnerabilidades son bien conocidos y existen desde hace muchos años.
Caso 2: SMS OTP para vinculación dinámica
Sin embargo, el Dictamen no analiza SMS OTP en el contexto de la vinculación dinámica y no aclara si SMS OTP cumple los requisitos para la vinculación dinámica. Desde el requisito de enlace dinámico estipula que se debe proteger la confidencialidad, integridad y autenticidad de la información de pago, y dado que el contenido de los mensajes SMS no está protegido, uno esperaría que SMS no cumple con los requisitos de enlace dinámico . Sin embargo, hasta el momento no había una opinión clara de la ABE sobre este tema.
Para aclarar la situación, en diciembre de 2018 le pregunté a la EBA a través de su oficial Herramienta de preguntas y respuestas del Rulebook único si SMS OTP cumple los requisitos de enlace dinámico. La semana pasada, más de 2 años después, la EBA brindó un respuesta . Los dos últimos párrafos de la respuesta son los más relevantes:
En el caso de que el SMS se utilice para la transmisión de una OTP pero no contenga el código de autenticación ni ninguna información de pago, como el beneficiario o el monto de la transacción, el emisor no estaría obligado en virtud del artículo 5 (2) de la Reglamento Delegado para garantizar la confidencialidad, autenticidad e integridad de la información transmitida a través del SMS.
En el caso de que el SMS contenga el código de autenticación y / o la información de pago, como el beneficiario o el importe de la transacción, mientras que el emisor aún puede utilizar un SMS OTP para evidenciar el elemento de posesión, como se aclara en el párrafo 25 del Dictamen de la ABE. sobre los elementos de autenticación fuerte de clientes bajo PSD2 (EBA-Op-2019-06) y Q&A 2018_4039, de acuerdo con el artículo 5 (2) del Reglamento Delegado, el emisor debe tomar todas las medidas de seguridad necesarias para garantizar la confidencialidad, autenticidad y integridad del código de autenticación y / o la información de pago transmitida a través del SMS.
Estos párrafos probablemente se pueden interpretar de la siguiente manera:
- Si un SMS no contiene información de pago o un código de autenticación, el SMS no tiene que estar protegido. Esto es lógico, ya que no hay datos sensibles en el SMS. Curiosamente, este párrafo hace una distinción entre "OTP" y "código de autenticación", lo cual es notable ya que la OTP es normalmente el código de autenticación.
- Si la información de pago está presente en el SMS, el SMS en sí mismo no proporciona suficiente seguridad y la información en el SMS debe protegerse. Esto significa efectivamente que el simple hecho de enviar un SMS con información de pago y código de autenticación no es suficiente para cumplir con los requisitos de vinculación dinámica. Sería posible cifrar el contenido del SMS, pero luego surge la pregunta sobre cómo se puede descifrar el contenido en el teléfono móvil; esto está lejos de ser trivial y probablemente necesite una aplicación móvil, renunciando a la razón para usar SMS en el primer lugar.
Conclusión
Podemos resumir el cumplimiento de SMS OTP con los requisitos SCA de PSD2 de la siguiente manera:
- SMS OTP para iniciar sesión cumple con PSD2
- SMS OTP para enlaces dinámicos no cumple con PSD2, a menos que el contenido del SMS esté protegido (pero esto no es sencillo)
OneSpan ha trabajado extensamente con bancos y otras instituciones financieras para ayudarlos a cumplir con los requisitos PSD2 para SCA y enlaces dinámicos. Entendemos que para los servicios financieros, es importante contar con un socio de seguridad con amplia experiencia en PSD2, junto con un enfoque en simplificar la experiencia del cliente. Vea cómo estos bancos implementaron enlaces dinámicos y sus flujos de usuario de autenticación de una manera conveniente y compatible:
Odeabank | Mejora de la experiencia de autenticación para usuarios de aplicaciones móviles
Para proteger su aplicación de banca móvil, Odeabank integró OneSpan Mobile Security Suite con todos los componentes necesarios para proteger una aplicación.
Descargar ahora