Recientemente olvidé la clave de acceso a mi área personal de la app de banca online de mi actual banco. Os muestro el proceso de reset de la clave, llevado a cabo desde el navegador de mi smartphone:
- Introducir el DNI
- Introducir el número de una de mis tarjetas de débito y su código pin
- Solicitar el envío de un SMS para recibir un código de verificación/confirmación
- Recibir el código de verificación a través de SMS para poder acceder a la app y crear un nuevo código de acceso definitivo
El problema de enviar códigos de verificación a través de SMS
Como se puede observar en el esquema anterior (imagen 1) donde se muestra el flujo del proceso, el paso 4 donde se recibe el código de verificación, sucede con la pantalla bloqueada, es decir, el código de confirmación puede ser visto por cualquier persona que tenga cerca el dispositivo móvil, sin necesidad de saber cómo desbloquearlo.
Este hecho se traduce en una brecha de seguridad, puesto que cualquier impostor que tenga en posesión nuestro dispositivo, o que tenga en posesión nuestra SIM (fraude conocido como SIM swapping), podrá acceder al código de verificación, y hacerse con el control de nuestra cuenta bancaria. A partir de este momento, solo nos queda “rezar” para que el banco tenga implantado algún motor anti-fraude basado en la analítica del comportamiento, y que sea capaz de identificar que quien está usando la app bancaria es un impostor, y no el usuario legítimo para ello.
Es cierto que, para llegar a este punto, un impostor habrá tenido que realizar cierto trabajo previamente, como por ejemplo recopilar nuestro DNI, y conocer el número de nuestra tarjeta de débito y su código pin. No obstante, el robo de estas credenciales está a la orden del día, conociéndose este tipo de fraude como pishing, vishing o smishing.
¿Por qué seguimos utilizando los SMS?
Según este informe de Twitter sobre la seguridad en sus cuentas de usuario, el 80% de los usuarios que utiliza un doble factor de autenticación (2FA) para acceder a su cuenta, lo hace a través del envío de un SMS. Twitter permite utilizar otros métodos para implementar el 2FA como por ejemplo el uso de una app externa que te tienes que instalar y desde la que se genera cada vez este código de verificación, o el uso de una llave de seguridad, un dispositivo hardware que se conecta al puerto usb de un pc, y que sustituye al código de verificación porque se presupone que solo el legítimo usuario es quien la posee.
Dada la sencillez de los SMS en comparación con estas otras alternativas, puede parecer razonable pensar que la mayoría de los usuarios de Twitter pueda preferir el SMS como método para recibir el código de verificación porque, entre otras cosas, no supone tener que instalarse una app externa, ni tampoco la adquisición de un dispositivo hardware adicional. Además, todos los usuarios sabemos cómo funcionan los SMS, no necesitamos aprender a utilizarlos como quizás pueda suceder con los autenticadores externos y/o security keys.
¿Podríamos incrementar la seguridad al enviar SMS?
Como hemos mostrado, los SMS son un método con amplia aceptación entre los usuarios a la hora de recibir códigos de confirmación, su usabilidad y experiencia de usuario (por mucho que nos pese), hacen que sea la opción preferida. No obstante, sabemos que este método está expuesto a ataques de suplantantación de identidad, por eso, encontrar una solución y securizar los SMS, puede aportar mucho valor para los usuarios.
Desde el Laboratorio de Innovación en Identidad de Telefónica Tech en la Marina de Valencia, junto con los compañeros expertos en soluciones de verificación de la identidad de Mobbeel, hemos desarrollado una solución basada en el estándar de Identidad FIDO2, que permite confirmar transacciones de usuario, utilizando el envío de SMS de manera segura, ¿cómo?, introduciendo la biometría en medio del proceso.
Como se puede observar en el paso 4 del esquema mostrado arriba (imagen 3), sustituimos la recepción de un código de verificación enviado a través de SMS, por el envío de un SMS que solicita nuestra autenticación a través de la biometría que el usuario ya utiliza en su propio dispositivo móvil; TouchID, FaceID o patrón o código de desbloqueo. Una vez el usuario ha verificado su identidad a través de la biometría en el SMS recibido, podrá continuar con el reset de su clave de acceso a la app.
SMS de verificación seguros a través de la biometría
Desde Telefónica y Mobbeel, hemos sido pioneros en la implementación del estándar FIDO2 para solucionar una problemática real, que afecta a la mayoría de los usuarios de servicios y productos digitales. El envío de SMS securizados a partir de la biométría contribuye a prevenir el fraude online por suplantación de identidad. De este modo, la utilización de SMS para verificar transacciones de usuario, no corre el peligro de que alguien con malas intenciones pueda “situarse en el medio”, y conseguir así ganar acceso a nuestras cuentas.
The post ¿Son seguros los SMS para el envío de códigos de verificación? appeared first on Think Big.