Autenticacion con Informacion Dinamica
Autenticacion con Información Dinamica
La CNBV (Comision Nacional Bancaria y de Valores), en Marzo del 2006 emitio una serie de controles mínimos que deberán implementar los bancos para la realización de operaciones monetarias a través del Internet o por teléfono, en las que además del Identificador del Usuario y de la clave de acceso o contraseña respectiva, se deberá utilizar un segundo factor de autenticación con
información dinámica.
(La Noticia de esta resolución se puede ver en http://www.robosbancarios.com/2006/10/cnbv_resoluciones_de_seguridad.html )
Por lo que actualmente los bancos ofrecen dos medios para cumplir con esto. El Token y la Tarjeta de Acceso Aleatorio.
1.-El Token
Es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación (en Banamex ya lo empezaron a implementar para todos sus clientes, y le llaman NetKey, y en BBVA Bancomer solo esta disponible para empresas o personas con actividad empresarial). El Token tiene seis posiciones numéricas que cambian cada 60 segundos, lo cual lo hace dinámico y asegura
las operaciones del banco en línea y las financieras vía Internet.
Los tokens electrónicos tienen un tamaño pequeño que permite sean cómodamente llevados en el bolsillo o la cartera y son normalmente diseñados para atarlos a un llavero. Los tokens electrónicos se usan para almacenar claves criptográficas como firmas digitales, o datos biométricos como las huellas digitales. Algunos diseños se hacen a prueba de alteraciones, otro pueden incluir teclados para la entrada de un PIN.
Existen más de una clase de Token de autenticación, tenemos los bien conocidos generadores de passwords dinámicas "OTP" y la que comúnmente denominamos Tokens USB, los cuales no solo perminten almacenar passwords y certificados, sino que permiten llevar la identidad digital de la persona.
Mas información en:
Articulo sobre el Token en el Financiero
http://www.rsasecurity.com/support/pdfs/Token_Disposal_statement.pdf
Además, el aparato despliega una clave numérica, misma que, en combinación con la del usuario y contraseña, ofrece mayor seguridad; está basado en una tecnología de la empresa RSA Security, Inc., y no requiere ninguna interacción en la computadora del cliente, es decir, no se tiene que instalar o mantener ningún paquete de software adicional.
Sólo el token sabe cuál es la clave válida en el momento en que el cliente se está verificando para entrar al servicio de Internet o para realizar una transferencia monetaria. Este dispositivo cuenta con una batería que tiene cinco años de vida, por lo que no requiere ningún mantenimiento o reemplazo.
DESVENTAJAS:
El token tiene una debilidad: es vulnerable ante una técnica llamada man in the middle (hombre en el centro), con la que se ha atacado en 13 ocasiones a uno de los primeros bancos que lo implementaron en México. Esta labor consiste en la intercepción de sesiones encriptadas. El atacante se interpone entre el origen y el destino de una comunicación, para reconocer y/o modificar el
contenido de los paquetes de información, sin que las víctimas lo adviertan. Esto puede ocurrir en diversos ambientes, como en correos electrónicos, navegación por Internet, incluso dentro de una red local.
2.-Tarjeta de Acceso Aleatorio
Esta es una tarjeta impresa, que contiene muchos numeros con algoritmos avanzados, en donde al usuario se le pide que ingrese alguno de esos numeros, el cual lo escoge segun la posicion que se le indica, la cual es aleatoria en cada sesion. En BBVA Bancomer le llaman Tarjeta de Acceso Seguro (TAS), y esta disponible para todos los que no son empresa, ya que el Token no esta disponible para Personas Físicas sin actividad empesarial.
DESVENTAJAS:
Es Fotocopiable, por lo que su contenido puede ser duplicado facilmente, y si alguien llegara a sacarle copias antes de entregarsela al cliente, entonces dicha informacion ya no sería solo exclusiva del cliente, y es menos segura que el Token.
Con ambos metodos, se demuestra que ninguno es 100% Seguro, por lo que la Banca por Internet tiene sus riesgos, a pesar de que cumplan con la Resolucion emitida por la CNBV.
Comentarios
Lo que estoy leyendo me aterra como uno de los tantos usuario de los servicios de banca por internet, pero entonces, ¿que clase de seguridad les debemos exigir a los bancos?. Creo que los problemas no son los tokens, netkeys y tarjetas de acceso seguro, sino los delincuentes que trabajan dentro de los mismos bancos. Hoy por hoy, todos tenemos una tarea muy importante, ejercer muchísima presión como sociedad ¡a difundir este web site!
Publicado por: ALBERTO CAMACHO | Abril 10, 2007 8:52 PM
Que implemente Infraestrucura PKI. Certificado Digitale es el método más seguro dada que la longitud de clave es más robusta.
Publicado por: Jean | Marzo 24, 2010 12:27 AM
Tiene razòn ALberto Camacho, las medidas de seguridad actuales como el token y los datos previos son muy seguros, pero no lo seràn nunca si los
delincuentes son parte de los empleados, ahi tienen el problema. En caso reciente conocido el Banco Scotiabank se lavo las manos echandole la culpa al cliente...
Publicado por: JC | Mayo 30, 2012 2:34 PM
Hunting for dependable service? This trustworthy centre has been in the market for a long time, so it will give you fine quality Ethics Essay.
Publicado por: HansenMaryanne22 | Junio 19, 2013 11:07 PM