Ver todo educación y recomendaciones
octubre 16, 2013
Herramientas de autenticación para banca electrónica comercial: lo bueno, lo malo, lo necesario
Pareciera tedioso, pero verificar su identidad cuando hace operaciones bancarias en línea, de acuerdo con nuestros Expertos de Administración de Dinero, es una medida de seguridad vital para cualquier negocio. Abajo, resumimos lo bueno, lo malo y lo necesario de los protocolos de autenticación y los controles de seguridad en capas que ayudan a detectar y evitar el fraude de la banca en línea.
¿Qué es autenticación?
La autenticación describe el proceso de verificar la identidad de un usuario cuando se conecta a una sesión de banca en línea. Generalmente, el usuario inicialmente da la información de identificación válida y luego relaciona una o más credenciales de autenticación, algo que el usuario es, tiene o conoce, para comprobar su identidad.
Los métodos de autenticación son numerosos y van de lo simple a lo complejo, de un solo factor a múltiples factores, e incluyen tokens de seguridad y autenticación fuera de banda (OOBA).
Tokens de seguridad
Los tokens, similares a las llaves electrónicas, son dispositivos de tamaño bolsillo que ya sea se conectan con su computadora (tokens tipo USB se conectan directamente en el puerto USB y las Tarjetas inteligentes se insertan en un lector de tarjetas incorporado) o generan una contraseña de una sola vez (OTP) cada 30 a 60 segundos que debe escribirse en la pantalla de inicio de sesión. Estos se consideran una técnica de autenticación multifactorial, porque verifican la identidad del usuario usando dos factores.
En el caso de los tokens USB y Tarjetas inteligentes, el dispositivo primero debe ser reconocido (primer factor) antes de que se le pida al usuario que inicie sesión en el portal del banco (segundo factor). Con los tokens para generación de contraseñas, usted debe escribir su nombre de usuario y contraseña (primer factor) y luego la OTP generada por el token (segundo factor).
Lo bueno: Pequeños, duraderos y portátiles, los tokens son sumamente fáciles de usar. Debido a que son resistentes a falsificaciones, sensibles al tiempo/síncronos y difíciles de duplicar, comprueban que son un dispositivo de almacenamiento seguro para información personal. También pueden guardar certificados digitales que se pueden usar en un entorno de infraestructura clave pública (PKI).
Lo malo: Usted debe tener acceso al token siempre que quiera iniciar sesión en sus cuentas bancarias en línea desde un lugar remoto. Las Tarjetas inteligentes también necesitan un lector de tarjetas más que esté incorporado a la computadora y el software compatible. Aunque su tamaño pequeño mejora las cualidades de portabilidad y utilidad de los tokens, hace que sea más fácil perderlos.
Autenticación fuera de banda
Cuando el inicio de transacción o el intento de inicio de sesión de un usuario parece sospechoso o riesgoso, desviándose del entorno normal de procesamiento o del historial de transacciones (por ejemplo, una computadora o conexión no reconocida, actualizaciones, una ubicación geográfica inusual, diferentes ajustes de la computadora, cantidades altas o inusuales de una transferencia o ACH, etc.), la autenticación fuera de banda le exige identificarse por otro canal:
- Llamada por teléfono: Primero selecciona un teléfono de la lista registrada con su banco (esto puede incluir líneas de trabajo y números móviles). Luego recibirá una llamada automática que contiene un número que debe escribir en la pantalla de inicio de sesión en su computadora. En el caso de las extensiones que se marcan que no son directas, puede programar un número de códigos de control para organizar la configuración del sistema de su teléfono (numeral, asterisco, pausa corta, pausa larga, etc.).
- Mensaje de texto: Usted tendrá la opción de seleccionar un teléfono móvil o escribir uno (debe coincidir con un número que ya esté en el expediente) antes de recibir un mensaje de texto que contenga el código de seguridad. Debe escribir el código en la pantalla de inicio de sesión antes de continuar.
- Notificación de aplicación: Esta es una innovación muy reciente que ofrece autenticación con un botón de comando con acceso directo a una plataforma de seguridad que se comunica con la aplicación de banca en Internet.
Lo bueno: Incluso si los criminales adquirieren su información personal a través de un software para registro de pulsación de teclas, suplantación de identidad o verificaciones de antecedentes, no pueden acceder ilegalmente a sus cuentas sin acceso a su teléfono.
El teléfono funciona particularmente bien como un canal fuera de banda porque puede registrar la llamada, el número que se marcó y respondió, los indicadores de hora del proveedor de servicio telefónico y comparación biométrica de voz en tiempo real.
La autenticación fuera de banda es sencilla, fácil de usar y no necesita más capacitación ni instalación de hardware.
Lo malo: La autenticación fuera de banda frecuente algunas veces puede ser monótona y molesta, pero usted puede adoptar medidas para garantizar que el sistema reconozca mejor la diferencia entre la actividad legítima y la fraudulenta. Asegúrese de que su computadora permita cookies de terceros, Javascript, Flash, Silverlight y un explorador moderno establecido para cargar imágenes automáticamente, recordar el historial y guardar cookies cuando salga.
Lo necesario
Ahora que los estafadores encuentran cada vez más formas de acceder ilegalmente a las cuentas bancarias, la actividad delictiva en línea ha llegado a generalizarse. Los propietarios de los negocios pueden verse fastidiados con fondos malversados, cuentas vaciadas, y pagos y transferencias ACH fraudulentos.
En un entorno en línea como ese, la autenticación de múltiples factores, los controles de seguridad en capas y las evaluaciones anuales de riesgo se están volviendo más esenciales que nunca. Los tokens y la autenticación fuera de banda reducen significativamente las probabilidades de que los delincuentes cibernéticos intercepten sus cuentas, porque la mayoría no tiene el tiempo, los recursos ni la sofisticación técnica para aventajar estas medidas de seguridad.
Tokens y autenticación fuera de banda: lo necesario.
Autenticación para su negocio
¿Cómo sabe qué herramientas de autenticación son las adecuadas para su negocio? Su banco evaluará el riesgo asociado con su cuenta, considerando su industria, las capacidades de transacción, confidencialidad de la información, acceso a la tecnología y volumen de transacciones, y sugerirá los métodos de autenticación que mejor se ajusten a sus necesidades.
Comuníquese con el Departamento de Administración de Dinero de su institución financiera para obtener más información sobre tokens, autenticación fuera de banda y proteger su información confidencial.