Seguridad TI, apuesta fuerte para la Banca
La banca móvil ofrece una valiosa promesa de interacción real con los clientes, así como ciertos factores clave que pueden atraer a consumidores. La autenticación fuerte y sencilla es hoy en día determinante para gestionar el riesgo y garantizar un éxito continuo en el mercado móvil.
La primera generación de autenticación fuerte para plataformas móviles utilizaba los mismos factores de autenticación que los canales de banca online. Este enfoque, tenía su origen en consideraciones financieras y en la necesidad de ingresar rápidamente al mercado. En ese momento, el método más común era la utilización de preguntas de reto estáticas.
Más adelante, las nuevas regulaciones y el incremento de los Troyanos (los cuales comprometían los PCs en puntos finales), llevó a los bancos a implementar autenticación mediante un segundo dispositivo. Los teléfonos móviles fueron los candidatos naturales en especial en lo concerniente a los usuarios. Pero en vez de enfocarse en el creciente mercado de los teléfonos inteligentes, muchos bancos decidieron enfocarse sólo en dispositivos que aceptaran mensajes SMS. Las contraseñas SMS de único uso (OTP) se convirtieron así en el estándar para autenticación con dos factores en banca online.
¿Pero qué hay de la banca móvil de hoy en día? En la mayoría de casos, las contraseñas SMS de único uso usualmente eran desplegadas como segundo factor de autenticación para este canal. Algunos sectores decidieron que los mensajes SMS no eran un verdadero sistema fuera de banda (Out-of-Band) para plataformas móviles, así que se determinó el uso de la autenticación basada en conocimientos KBA , también conocida como preguntas de reto dinámicas.
Desafortunadamente, todos sabemos que los sistemas KBA no son efectivos ya que la mayoría de los ‘agregadores de datos’ que proveen dichas preguntas han sido comprometidos, además de que las respuestas a las preguntas dinámicas pueden ser encontradas en las redes sociales de los clientes o incluso pueden ser adquiridas en mercados negros. Aparte de ser inseguras, y de que ya han sido comprometidas, las contraseñas SMS OTP y basadas en conocimientos no proveen una experiencia de usuario nativa e intuitiva en dispositivos móviles.
Para implementar verdadera autenticación móvil, las instituciones deben pensar diferente y no quedarse estancadas en el concepto ‘fuera de banda’ ya que los sistemas de autenticación fuera de banda para plataformas móviles simplemente no existen, a menos que se esté dispuesto a distribuir tokens físicos para que sus clientes de la generación Y inicien sus sesiones de banca móvil.
La autenticación Fuera de Canal (Out-of-Channel) es una de las formas más efectivas para desplegar autenticación fuerte, en la cual se establece un segundo canal de comunicación entre el usuario y su institución financiera para validar las peticiones realizadas en el primer canal de comunicación. Los sistemas SMS y basados en conocimientos no son métodos válidos para autenticación Fuera de Canal.
Las instituciones financieras necesitan dirigir sus miradas a nuevas e innovadoras tecnologías verdaderamente nativas para teléfonos inteligentes tales como Notificaciones Push o sistemas Biométricos. Tales tecnologías son mucho más seguras y proveen una experiencia de usuario significativamente mejor. ¿Pero cómo se logra esto? Las características básicas de la autenticación Fuera de Canal permiten que el usuario autorice el login o las transacciones con un simple toque en la pantalla de su teléfono inteligente.
La verdad es que cada segundo que pasa, nuevas aplicaciones y funcionalidades de los dispositivos móviles, como Mobile Deposit Capture (consignación remota mediante dispositivo móvil), ven la luz del día, las cuales les permiten a los clientes realizar operaciones que antes eran consideradas como imposibles. En consecuencia, la banca móvil nos presenta su propio grupo de desafíos y de esta forma urge a las instituciones a reemplazar los anticuados sistemas de autenticación por aquellos que realmente funcionen.
Por Damien Hugoo, Product Manager de Easy Solutions
