Veo en The Register y en ZDNet como el Barclays Bank se dispone a adoptar un novedoso sistema de seguridad para transacciones online basado en el empleo de dos factores de autenticación, convirtiéndolo en uno de los bancos más innovadores y punteros en este sentido. El banco distribuyó el pasado Julio entre cinco mil clientes británicos un lector de tarjetas autónomo no conectado al ordenador, que genera una clave de doce dígitos en sincronía con un servidor central, y válida para una sola transacción. La tecnología está desarrollada por nCipher.
Para explicar en clase los factores de la seguridad suelo recurrir a las categorías «algo que sabes» (una clave, contraseña o dato determinado), «algo que tienes» (una tarjeta con banda física, un generador de contraseñas, un token) y «algo que eres» (tu huella dactilar, tu iris, las venas de tu muñeca). En este caso, el Barclays ha decidido suplementar las claves que el usuario simplemente sabe, pero que otro puede leer mediante sistemas de múltiples tipos (phishing, pharming, lectores de teclado, etc.) con un sistema que el usuario tiene que tener, añadiendo así un nivel adicional a la seguridad muy dificil de superar. Añadir un tercer nivel exigiría dotar a los usuarios de hardware capaz de leer algún tipo de aspecto biométrico, una opción que seguramente fue considerada.
La decisión me recuerda el lanzamiento de la American Express Blue en los Estados Unidos, que traía en el kit inicial un lector que hacía necesario que la tarjeta estuviese insertada en él para poder llevar a cabo la transacción. El artilugio añadía el requisito de la presencia física de banda y proporcionaba un nivel adicional de seguridad, pero el envío de la información podía seguir siendo capturado y clonado, o introducido por error en una página falsa. En este caso, el uso de un generador de contraseñas de tipo token en el que debe introducirse la tarjeta (son necesarios ambos objetos, lector y tarjeta), pero que permanece separado físicamente del ordenador para evitar la intercepción de la secuencia, y que produce además una clave para cada uso mejora sensiblemente el sistema que en su momento adoptó en pruebas American Express.
Quizá me haya perdido algún detalle, pero con este sistema sigue siendo posible montar un ataque de hombre en el medio:
Primero, envío al usuario un correo invitándole a que se conecte al banco pero, en realidad, dirige al usuario a un sitio maligno idéntico al banco. El sitio maligno se conecta a su vez con el banco y extrae cualesquiera datos que se pidan al usuario. El sitio maligno pide dicha información al usuario.
El usuario utiliza su novedoso sistema de seguridad de 11 dígitos y se lo suministra al sitio maligno el cual, a su vez, se lo suministra al banco real, tal y cómo el usuario debiera haber hecho. El usuario puede operar, a través del sitio maligno, y dicho sitio maligno puede invocar, además, transacciones adicionales.
Es decir, los sistemas OTP (contraseña de único uso) sólo son efectivos si el usuario está seguro de estar suministrando esa contraseña al sistema final, y no a un tercero (proxy).
La caixa ya añadió el «algo que tienes» a la seguridad informatica para la banca on-line. Sería muy largo de explicar pero en vez de la solución del barclays ha distribuido una tarjeta con claves que solicita para determinadas operaciones de la banca on-line.
ademas, para evitar el rastreo del teclado, tienes que marcar el codigo de la tarjeta con el ratón sobre un teclado en pantalla y con los números desordenados cada vez.
es un sistema sencillo, comodo y que hace que el usuario perciba un nivel suficiente de seguridad.
un saludo y gracias por el blog.
manuel.
Yo soy usuario de «El Monte» caja de ahorros de Sevilla y también usan un sistema parecido a ese de barclays y al de la caixa. Es una tarjeta personal con un nÃ?º de identificación y con una serie de filas y columnas con dígitos. Para ciertas operaciones te solicitan los díticos correspondientes a la casilla «b6» (por ejemplo) y ya está.
El sistema de OTP, como bien indican arriba también es susceptible de ser comprometido.
Las primeras pruebas de phishing a entidades con token ya se han extendido.
Por ejemplo, al Citibank, que cuenta con token y hay phishing cirulando.
El doble factor físico añade seguridad, pero no un excesivo nivel mas,a digamos, la típica tarjeta de coordenadas.
Para las OTP, nada como el ataque escandinavo. Los usuarios siempre se superan a si mismos.
Ya hay muchos bancos con sistemas de autentificacion de dos factores. En Bancaja, por ejemplo, para determinadas operaciones se pide un codigo de confirmacion que se envia al movil del usuario (algo que el tiene). No es exactamente una atentificacion de dos factores pero casi casi.
De todos modos la tendendia es aguantar con lo que sea hasta la implantacion del DNI digital.
Soy usuario de Barclays y ya usa la trajeta de coordenadas + teclado que cambia y se mueve.
He estado leyendo el articulo y me despista un poco parece que el lector lee un chip y mi tarjeda de barclays es de banda magnetica :-)
Saludos
Yabu.
Al DNI digital ya le han salido problemas antes de ser realidad.
Consciente de la relativa facilidad de intercepción de claves, en cuestiones financiera uso el «antiguo» teléfono para este tipo de operaciones y evito las comunicaciones informáticas siempre que puedo.
Hasta ahora no me causa transtorno alguno. Las consultas si las hago casi todas en la web.
Lo de la tarjeta de claves ya hace muchísimo tiempo que la utilizan distintos bancos.
En Mexico, Banorte entrega a sus clientes un token que genera claves que son válidas por sólo un minuto, este token es único por usuario y a su vez esta sincronizado con un servidor central para permitir validar la llave.
Al conectarte debes introducir tu usuario, contraseña y la llave, siempre y cuando la llave sea aún válida durante el minuto. Bastante seguro y esta funcionado desde hace unos 8 meses.
Los sistemas OTP son muy antiguos, o sea que no se puede decir que utilizarlos sea un indicio de innovación. La primera empresa que basó su modelo de negocio en suministrarlos fue Security Dynamics, que acabó comprando RSA y adoptando su nombre.
por favor. osea, que ponemos un dibujo para evitar que el usuario nos haga pharming? pero si es todo javascript!!!
1.- cogemos la correspondencia (numero letra) si existe (viene en un vector de javascript).
2.- cogemos el dibujo.
si alguien puede leer el teclado puede leer los clicks ó coger el vector escrito en javascript.
lo del dibujo y el raton no añade seguridad señores. es un bluff para usuarios atontados.
Soy usuaria de BARCLAYS y pese a estas innovaciones que parece ser que el banco está investiganod. En dicha entidad últimamente ha habido muchos casos de pharming. De hecho, a nosotros nos paso el pasado 2 de marzo. Asà creo que de seguro nada de nada. Y lo peor de todo, es que según el banco nosotros somos los culpables y se han querido lavar las manos.