Cómo aumentar la Seguridad de la Identidad Digital MFA
Ante el paradigma de la relación digital entre los ciudadanos y las instituciones públicas y privadas, aparece un nuevo escenario de ciberdelincuencia donde nuestra Identidad Digital es claramente objeto de deseo para estos ciberladrones. ¿Podemos disponer de medios que nos permitan participar seguros en estos nuevos escenarios digitales?
Pongamos como ejemplo en sector financiero. Con la llegada de las bancas digitales de todas las entidades, éstas han promovido este canal como medio principal de relación de los clientes con los bancos, primando su uso mediante, entro otras, la inmediatez de servicio, la supresión de comisiones o la disponibilidad únicamente de algunas operaciones a través de esta canal digital.
Nuevos niveles de servicio requieren nuevos niveles de identificación de los clientes y firma de operaciones en este nuevo canal digital, para que la entidad tenga todas las garantías de que el clientes es quién dice ser y no alguien suplantando su identidad. La presencia física ya no es un elemento de seguridad en el canal digital como lo era hasta ahora en las oficinas de las entidades.
Tradicionalmente los sistemas de identificación en banca digital, fruto de lo descrito anteriormente, han evolucionado desde el usuario y contraseña inicial, hasta el concepto actual del MFA (Factor Múltiple de Autenticación) donde existen diferentes sistemas de identificación que se combinan según el riesgo de la operación a firmar para dotar a nuestra identidad de una seguridad suficiente.
¿Conoces Wallet ID?
Identidad Digital Segura en tu Móvil
Identificación sencilla y segura mediante dispositivos móviles para autorización y firma electrónica de operaciones y documentos.
Factores de Seguridad de la Identidad Digital MFA
El paradigma de seguridad de la identidad digital MFA se ha basado siempre en tres elementos, tres factores de seguridad. Esto son los siguientes:
- Algo que sabes. Un datos que sólo tú debes saber y no compartir: usuario, contraseña, correo electrónico, …
- Algo que tienes. Un elemento físico único que sólo tú posees y que está bajo tu absoluto control.
- Algo que eres. Un elemento diferenciador que sólo tú puedes tener y está ligado a tu propia existencia: Tu huella dactilar, la biometría de tu cara, de tu voz, de tu retina, etc.
Cuantos más factores de entre estos tres combinemos (con el escenario ideal de la combinación de los tres factores), más segura será nuestra identidad y más difícil será de ser robada y usada con fines ilícitos.
Actualmente, las entidades financieras, por interés propio y por cumplimiento normativo, aplican ya técnicas de MFA para la identificación y firma de operaciones en banca digital. Habitualmente, éstas están formadas por la combinación de “Algo que sabes” como puede ser tu usuarios y una contraseña, con “Algo que tienes” como es un teléfono móvil sobre el que recibir un SMS con un PIN de un solo uso (OTP · One Time Password).
Estos sistemas se planteaban como suficientes bajo el supuesto de que el dispositivo móvil de los usuarios, necesario para recibir el SMS con el OTP, era un dispositivo único, bajo la posesión y el absoluto control del usuario legítimo de banca digital. Sin embargo, hace ya meses que vemos en prensa la aparición de nuevas técnicas que permiten a los ciberdelincuentes “duplicar” nuestra tarjeta SIM (denominadas SIM-swapping), y recibir a la vez que nosotros los SMS con los OTP para la firma de operaciones. Recientes casos han sido publicados en prensa de situaciones similares que se han utilizado para realizar estafas y desfalcos en clientes de banca digital de diferentes entidades.
Involucrar los 3 factores de seguridad en un auténtico MFA
Con este nuevo escenario, la tarjeta SIM deja de ser un buen factor del tipo “Algo que tienes”, ya que puede ser duplicado, pero sin embargo el dispositivo móvil (nuestro teléfono móvil, no la tarjeta SIM) que todos llevamos con nosotros, sí puede ser un buen factor del tipo “Algo que tienes”, dadas las funcionalidades criptográficas de que disponen. Incluso hoy en día pueden añadir el factor “Algo que eres” mediante las capacidades biométricas que tienen los móviles con la identificación de huella dactilar y reconocimiento facial. Con esta última opción llegaríamos a poner en marcha un MFA donde involucremos los tres factores y maximicemos la seguridad.
Un ejemplo de esto último lo tendríamos en la adopción del estándar FIDO2 en los sistemas de autenticación y firma de operaciones de banca digital. FIDO2 es un estándar de autenticación FIDO (Fast Identity Online) creado por la Alianza FIDO (entre los que están Google, Amazon, Mozilla, Alibaba o Facebook). Esto permite utilizar nuestro teléfono móvil como doble factor de seguridad “Algo que tienes” y “Algo que eres”. Si lo unimos a una identificación usuario / contraseña inicial, conseguiríamos el triple uso de factores y un MFA completo. A diferencia de la tarjeta SIM, en este caso no es posible la clonación de nuestro dispositivo móvil, con lo que hace el factor completamente seguro.
¿Te interesa el estándar de seguridad FIDO?
Protocolos de autenticación FIDO para generar confianza los clientes
La autenticación en cualquier servicio digital es una de las piezas clave para establecer la confianza entre cliente/usuario y proveedor.
Ejemplo de un MFA completamente seguro
Veámoslo en un ejemplo. Tras identificarnos en nuestra banca digital con nuestro usuario y contraseña (factor “Algo que sabes”), realizamos una transferencia. Al confirmar los datos de la transferencia, nuestra App de banca digital instalada en nuestro móvil (“Algo que tienes”) nos emite una notificación indicando que el proceso de firma de la transferencia debe hacerse en el móvil. Para ello al acceder a la App de banca digital el dispositivo nos solicita la validación biométrica (huella dactilar o identificación facial, es decir “Algo que eres”), y sólo si es satisfactoria, la operaciones puede ser firmada y confirmada.
Con este sistema implantado, necesitaríamos que un ciberdelincuente tuviese en su poder el factor “Algo que sabes” (lo que hemos visto que es factible), el factor “Algo que tienes” (y en este caso supondría que tuviese en su poder nuestro móvil, no sería posible clonarlo), y el factor “Algo que eres” (que en el caso de la huella dactilar o nuestra cada es harto complicado). Visto esto, el riesgo de fraude disminuye hasta niveles ínfimos y transmite confianza desde las entidades financieras, hacia sus clientes.
En Inycom contamos con una dilatada experiencia y conocimiento de estas tecnologías criptográficas, poniendo en marcha sistemas MFA (basados incluso en el indicado FIDO2) para garantizar la identidad digital de los usuarios. La seguridad de los sistemas de información de nuestros clientes es pieza clave para la eficiencia de sus procesos y su reputación e imagen de marca.
Haz más seguros tus procesos
Soluciones de Identidad Digital
Aumenta la eficiencia y seguridad en los procesos digitales: Identidad Digital y Firma de Operaciones y Documentos.
Social Links: