La seguridad digital es una preocupación constante, y cuando se habla de las cuentas y servicios bancarios, las medidas de precaución aumentan. El miedo a ser víctimas de fraude, robo y otros delitos ha creado dudas alrededor de las compras por Internet o los servicios de banca en línea. Pero, ¿realmente es más seguro andar con la plata en el bolsillo?
El sector financiero es uno de los más innovadores y es consciente de que los bienes que protege no le dan el lujo de permitir vulnerabilidades de seguridad. Pero además de lo anterior, es necesario que los usuarios puedan realizar los procesos de manera fácil, para que tengan la mejor experiencia posible.
Los retos son mayores si se tiene en cuenta que para muchos ya es difícil recordar una contraseña de 4 dígitos para el cajero electrónico (y tener que cambiarla frecuentemente). Ni qué decir cuando, además, hay que tener otra contraseña para la sucursal virtual. ¡Hay que recordar dos contraseñas!
Entonces, algunas personas caen en prácticas poco seguras como apuntar las claves en documentos inseguros (una hoja de papel o una nota en el celular). A esto se suma que la del cajero y la de la sucursal virtual son tan solo 2 de las 90 cuentas en línea que puede llegar a tener un usuario, entre correos, redes sociales y otros servicios. ¿Cómo recordar tantas contraseñas?
Evolución de la seguridad en la autenticación bancaria
La seguridad en la autenticación de usuarios en bancos ha experimentado una significativa evolución a lo largo del tiempo, impulsada principalmente por avances tecnológicos y la creciente sofisticación de las amenazas cibernéticas. En sus primeras etapas, la autenticación bancaria se basaba principalmente en contraseñas o PIN (Personal Identification Number) que los clientes ingresaban en cajeros automáticos o en sitios web bancarios. Estas contraseñas eran relativamente simples y, a menudo, constituían la única capa de seguridad, lo que las hacía vulnerables a ataques de fuerza bruta o suplantación de identidad.
Con el tiempo, se introdujeron mejoras en la seguridad, como la implementación de contraseñas más complejas y la exigencia de cambiarlas periódicamente. Además, se adoptaron medidas como preguntas de seguridad personalizadas para verificar la identidad de los clientes. Sin embargo, estas medidas seguían siendo vulnerables a ataques de phishing y suplantación de identidad, ya que las respuestas a las preguntas de seguridad podían ser obtenidas por los atacantes. La evolución más significativa llegó con la implementación de la autenticación de dos factores (2FA) y las tecnologías biométricas, como el reconocimiento facial y de huellas dactilares, que proporcionaron capas adicionales de seguridad y redujeron significativamente los riesgos de acceso no autorizado.
Proceso de autenticación para garantizar la seguridad
Además de tener herramientas seguras (ya sea en aplicaciones web y móviles, o en el hardware y software que se usa en las sucursales o en los cajeros electrónicos), hay que agregar otros elementos para robustecer la seguridad, como los mecanismos de identificación y autenticación de clientes, con los que se busca evitar la suplantación y los robos.
La autenticación se refiere a cómo comprobar que determinado cliente es quien dice ser, es decir, el verdadero usuario o titular de una cuenta. Para esto se utilizan elementos de prueba, como las preguntas de seguridad, la autenticación en dos pasos, las contraseñas dinámicas, el token, el pin y la biometría, entre otros recursos. Es tal la importancia de la autenticación que las principales compañías de tecnología del mundo crearon la Alianza Fido (Fast Identity Online), con el único propósito cambiar la forma de autenticación ‘online’ para hacerla más segura y cómoda, reemplazando el uso exclusivo de contraseñas por mecanismos de autenticación biométricos más seguros, protegidos por sistemas de encriptación.
- Las contraseñas son la causa raíz de más del 80% de las infracciones de datos.
- Hasta el 51% de las contraseñas son reutilizadas.
- 1 de cada 3 de las compras en línea son abandonadas debido al olvido de las contraseñas.
Fuente: Alianza Fido.
Medidas de seguridad utilizadas para proteger sus cuentas bancarias
Estos son los métodos de autenticación que utilizan los bancos para verificar la identidad de los usuarios y proteger las transacciones que se hacen a través de Internet, en los cajeros automáticos e incluso en las mismas oficinas de los bancos.
Contraseñas seguras
Siguen existiendo y seguramente todavía son las más habituales. En general, se trata de un número de cuatro dígitos con el que se accede a las transacciones en los cajeros electrónicos o los servicios de audio respuesta. Debido a que 4 números no son la clave más difícil de ‘adivinar’, se recomienda que se cambien con mucha frecuencia.
En el caso de las sucursales en línea o de las aplicaciones móviles, algunas entidades usan la misma clave de 4 dígitos, pero otras prefieren una contraseña que haga más difícil la labor de los amigos de lo ajeno. Aunque las recomendaciones comunes de seguridad sugieren el uso de caracteres especiales (@, #, $) en las contraseñas, no todas las entidades bancarias permiten el uso de caracteres diferentes a letras y números.
En cualquier caso, la recomendación siempre es evitar el uso de palabras comunes, secuencias de números (1234) o de letras (se en orden alfabético –abcd– o según su disposición en el teclado –qwerty–) o palabras y números asociados con el usuario (nombres de familiares, la fecha de cumpleaños).
Autenticación de dos factores (2FA)
La activación de la autenticación de dos factores (2FA) es un procedimiento de seguridad que agrega una capa adicional de protección a las cuentas en línea. En lugar de depender únicamente de una contraseña, 2FA requiere un segundo método de verificación para acceder a una cuenta. Esto generalmente implica recibir un código único en su teléfono móvil o en otro dispositivo autorizado después de ingresar la contraseña correcta. Este código temporal debe ingresarse como una segunda prueba de identidad, lo que dificulta significativamente el acceso no autorizado a la cuenta, ya que un atacante necesitaría tanto la contraseña como el acceso físico al dispositivo móvil del usuario para iniciar sesión.
PIN
Es un número o un código diferente a la contraseña, que habitualmente se envía a través de un mensaje de texto al celular del usuario, para verificar que fue él quien ingresó a un servicio usando la contraseña o palabra clave. Es un número o código distinto cada vez, lo que aumenta el nivel de seguridad.
Se usa habitualmente la primera vez que se accede a un servicio (una sucursal virtual o una sucursal móvil), cuando se va a pagar una compra o servicio, o cuando se va a realizar una transferencia. Cada entidad usa esta ‘segunda clave’ según sus políticas, para proteger transacciones que considere de mayor riesgo.
Token clásico y digital
El token es un elemento adicional que viene en diferentes presentaciones. La más conocida es un pequeño dispositivo, parecido a una memoria USB, en el que se generan códigos de acceso que el usuario debe ingresar a la hora de autenticar su cuenta. Dichos códigos se actualizan frecuentemente, de manera que es más difícil robarlos para suplantar a un usuario..
Hoy en día el token ya es digital y los códigos –claves dinámicas– se generan dentro de las aplicaciones bancarias, lo que evita el salir de las mismas para recibir un código a través de mensaje de texto (SMS) o cargar con un elemento adicional.
Alertas por mensaje o correo electrónico
Los bancos implementan un sistema de alertas por correo electrónico y mensajes de texto que desempeña un papel fundamental en la protección de las cuentas bancarias de los usuarios. Estas alertas son personalizadas y permiten a los titulares de cuentas estar al tanto de todas las actividades relacionadas con sus cuentas, como retiros, depósitos u otras transacciones importantes. Cuando ocurre alguna actividad en la cuenta, el banco envía automáticamente una notificación por correo electrónico o mensaje de texto al titular de la cuenta. Esto permite una vigilancia constante y una rápida identificación de cualquier actividad sospechosa o no autorizada. En caso de que se detecte una actividad inusual, el titular de la cuenta puede tomar medidas inmediatas para asegurarse de que su cuenta esté protegida, lo que hace que estas alertas sean una herramienta efectiva para fortalecer la seguridad financiera.
Preguntas de seguridad
La utilización de preguntas de seguridad es otra estrategia que muchos bancos emplean para reforzar la protección de las cuentas bancarias. Estas preguntas son personalizadas y específicas para cada usuario, lo que significa que solo el titular de la cuenta debe conocer las respuestas. Antes de llevar a cabo ciertas transacciones o acciones críticas, como cambiar la contraseña o acceder a información sensible, el banco solicitará al usuario que responda estas preguntas. Esto asegura que incluso si alguien más intenta acceder a la cuenta con la contraseña correcta, aún deberán superar este obstáculo adicional. Estas preguntas de seguridad son diseñadas de manera que solo el titular de la cuenta debería conocer las respuestas, lo que fortalece la autenticación y protege aún más la seguridad de la cuenta bancaria del usuario.
El monitoreo de actividad sospechosa
Es una parte fundamental de la seguridad de las cuentas bancarias. Los sistemas de detección de fraudes están diseñados para constantemente rastrear las actividades en las cuentas bancarias en busca de cualquier comportamiento inusual o transacciones sospechosas. Cuando se detecta algo fuera de lo común, ya sea un retiro no autorizado o una transacción inusualmente grande, estos sistemas emiten alertas tanto al titular de la cuenta como al banco. Esto permite una respuesta rápida para investigar y abordar cualquier actividad fraudulenta potencial, lo que ayuda a proteger los activos de los clientes y a mantener la integridad de las cuentas bancarias. En última instancia, el monitoreo constante es esencial para prevenir el fraude y garantizar la seguridad financiera de los titulares de cuentas.
Actualizaciones y parches
Este es otro de los métodos de autenticación que utilizan los bancos mas proactivo ya que les permite mantener sus sistemas siempre actualizados y, cuando surgen posibles vulnerabilidades o debilidades de seguridad, aplicar rápidamente parches de seguridad para solucionar estos problemas. Esta práctica asegura que los sistemas estén protegidos contra las últimas amenazas cibernéticas y que cualquier brecha potencial se aborde de inmediato. Mantener los sistemas actualizados y aplicar parches de seguridad es esencial para mitigar riesgos y garantizar la seguridad continua de las cuentas bancarias de los usuarios, ya que reduce significativamente la exposición a posibles amenazas y ataques informáticos.
Biometría
Se trata de sistemas que reconocen características del usuario, como la voz, las huellas dactilares, la cara (facial) y hasta el iris. Aunque es una de las tecnologías más sensibles (por su estrecha relación con asuntos como la protección de datos e información personal), es a la vez una de las que goza de mejor percepción de seguridad.
El informe ‘El futuro seguro de la identidad’ (Secure Future Identity), realizado por IBM en 2018, apuntaba que el 67% de 4.000 encuestados en todo el mundo manifestó que se siente seguro con el uso de técnicas biométricas para acceder a sus aplicaciones, incluidas las bancarias.
La adopción de esta tecnología se ha facilitado porque va de la mano de los desarrollos en dispositivos. En gran medida, los smartphones actuales poseen algún elemento de identificación biométrica, siendo el lector de huella uno de los más populares, lo que permite que las aplicaciones bancarias también implementen esta función. Solo en Estados Unidos se estima que para 2021 la gran mayoría de los teléfonos inteligentes llevará la biometría integrada.
Por otro lado, en las sucursales físicas, la biometría también se aplica, pero en esos casos los bancos usan dispositivos adicionales para leer las huellas dactilares.
En el caso de la biometría de voz, lo que se identifica son los patrones que se perciben en la manera de hablar de las personas. También se está usando en la banca móvil, ya sea desde la aplicación del banco o desde aplicaciones de terceros, como los asistentes de voz (Alexa, Echo o Google Home). Y como si fuera poco, la biometría también se puede usar a través de videos. En España, por ejemplo, el BBVA ya permite hacer autenticación solo con grabar un breve video-selfie en el que el usuario muestra su documento de identidad”, según relató La Vanguardia.
Reconocimiento facial
Así como en las sucursales presenciales se están empleando tecnologías para validar la identidad del usuario, como el reconocimiento facial, también sucede en las aplicaciones móviles. Algunos bancos ya permiten abrir una cuenta e incluso hacer pagos solo con el reconocimiento a través de la cámara.
[su_note note_color=”#FCF3CF” radius=”5″]Este contenido fue desarrollado con apoyo de BBVA, que no ha influido en el enfoque editorial. Entre BBVA e Impacto TIC existen acuerdos comerciales a efectos de comunicar información factual y objetiva enfocada en educación financiera.[/su_note]
Imagen de portada: Gerd Altmann (Pixabay).
Desafíos en la Autenticación y Debilidades en la Seguridad Bancaria
La seguridad en el mundo bancario es una preocupación constante, y uno de los desafíos más prominentes radica en la autenticación de los clientes. A lo largo de los años, los bancos han enfrentado diversos incidentes que resaltan la importancia de mantener sistemas de autenticación robustos y confiables. Desde ataques de phishing que engañan a los clientes hasta problemas con la autenticación biométrica y desafíos con la autenticación de dos factores, estos incidentes arrojan luz sobre la necesidad de fortalecer las medidas de seguridad en el sector bancario. En este contexto, exploraremos algunos de estos incidentes y las lecciones clave que ofrecen en términos de seguridad y autenticación bancaria.
- Incidentes de phishing: Los bancos han sido objeto de ataques de phishing en los que los delincuentes se hacen pasar por el banco y envían correos electrónicos falsos solicitando a los clientes que proporcionen información confidencial, como contraseñas o números de tarjeta de crédito. Los clientes que caen en esta trampa pueden sufrir pérdidas financieras.
- Ataques de suplantación de identidad: En varios casos, los delincuentes han logrado obtener información personal de los clientes y se han hecho pasar por ellos para acceder a sus cuentas bancarias. Esto destaca la necesidad de implementar medidas de autenticación más sólidas para verificar la identidad de los clientes, como la autenticación de dos factores.
- Fallas en la autenticación biométrica: Aunque la autenticación biométrica, como el reconocimiento facial o de huellas dactilares, se considera segura, ha habido casos en los que los sistemas biométricos de algunos bancos han sido vulnerados. Esto muestra que incluso las medidas de autenticación avanzadas pueden tener debilidades que deben abordarse.
- Problemas con la autenticación de dos factores: A veces, los clientes pueden tener dificultades para configurar o utilizar la autenticación de dos factores, lo que puede llevar a problemas de acceso a sus cuentas. Esto subraya la importancia de que los bancos ofrezcan una experiencia de usuario intuitiva y fácil de usar para estas medidas de seguridad adicionales.
- Olvido de contraseñas: Los clientes a menudo olvidan sus contraseñas y, en algunos casos, pueden tener dificultades para restablecerlas o recuperar el acceso a sus cuentas. Los bancos deben tener procedimientos claros y seguros para ayudar a los clientes en tales situaciones.
- Ataques de fuerza bruta: Aunque menos comunes debido a las medidas de seguridad avanzadas, algunos bancos han experimentado intentos de ataque de fuerza bruta en los que los atacantes intentan adivinar contraseñas mediante la prueba de múltiples combinaciones. Estos ataques pueden tener éxito si las contraseñas son débiles.
Problemas comunes de autenticación en banca en línea y sus soluciones
En ocasiones, pueden surgir problemas que dificultan o impiden la correcta identificación de los clientes por parte de los bancos. Estos problemas no solo son frustrantes para los usuarios, sino que también plantean riesgos de seguridad. Estos son algunos de problemas comunes de autenticación en la banca en línea y las soluciones para abordarlos de manera efectiva. Desde contraseñas olvidadas hasta métodos de autenticación inactivos:
- Fallo en la autenticación: Este mensaje aparece cuando el sistema de autenticación del banco no puede verificar la identidad del usuario de manera adecuada.
- Usuario no reconocido: Indica que el banco no reconoce al usuario y, por lo tanto, no puede permitir el acceso a la cuenta.
- Contraseña incorrecta: Aparece cuando la contraseña ingresada por el usuario no coincide con la almacenada en el sistema.
- Verificación biométrica fallida: Si la autenticación biométrica, como el reconocimiento facial o de huellas dactilares, no se realiza con éxito, el banco puede mostrar este mensaje.
- Cuenta bloqueada por múltiples intentos fallidos: Cuando un usuario intenta ingresar varias veces sin éxito, el banco puede bloquear temporalmente la cuenta por motivos de seguridad.
- Acceso denegado: Este mensaje indica que el usuario no tiene permiso para acceder a ciertas funciones o servicios dentro de la cuenta bancaria.
- Código de seguridad incorrecto: Se muestra si el usuario ingresa un código de seguridad erróneo, como un PIN o un código de autenticación de dos factores.
- Requiere verificación adicional: En situaciones en las que el banco sospecha actividades inusuales o necesita verificar la identidad del usuario, puede requerir una verificación adicional antes de permitir el acceso.
- Comuníquese con el servicio al cliente: Si se detecta un problema de autenticación, el banco puede solicitar al usuario que se comunique con el servicio al cliente para resolver el problema.
- Por motivos de seguridad, su sesión ha sido cerrada: Si se detecta actividad sospechosa o se sospecha de un acceso no autorizado, el banco puede cerrar la sesión del usuario por motivos de seguridad.
- No posees un método de autenticación activo: Este mensaje indica que el usuario no ha configurado o activado ningún método de autenticación adicional, como la autenticación de dos factores. Esto puede ser un problema de seguridad, ya que se recomienda tener medidas de autenticación adicionales para proteger la cuenta.
Normativas de seguridad en Colombia
En Colombia, la seguridad de las cuentas bancarias en línea está regulada por una serie de leyes y regulaciones destinadas a proteger los derechos y los intereses de los usuarios financieros. Algunas de las leyes y normativas clave que los bancos deben seguir en cuanto a la seguridad de las cuentas bancarias en línea incluyen:
- Ley 1266 de 2008: Esta ley establece las disposiciones para la protección de datos personales y la privacidad de los ciudadanos en Colombia. Los bancos deben cumplir con estrictas normas en el manejo de la información personal de los clientes, garantizando su seguridad y confidencialidad.
- Circular Externa 029 de 2014 de la Superintendencia Financiera de Colombia: Esta circular establece los lineamientos para la gestión de riesgos operativos en las entidades financieras, incluyendo medidas de seguridad informática. Los bancos deben implementar controles y sistemas que garanticen la integridad y confidencialidad de la información de los clientes.
- Resolución 2157 de 2017 de la Superintendencia Financiera de Colombia: Esta resolución regula la autenticación de usuarios en operaciones realizadas a través de canales electrónicos. Establece la necesidad de implementar mecanismos de autenticación robustos, como la autenticación de dos factores, para garantizar la seguridad en las transacciones en línea.
- Resolución 1344 de 2017 de la Superintendencia Financiera de Colombia: Esta resolución regula la gestión integral de riesgos tecnológicos en las entidades financieras, incluyendo la ciberseguridad. Los bancos deben llevar a cabo evaluaciones de riesgo y adoptar medidas para prevenir y responder a incidentes de seguridad informática.
- Resolución 20005 de 2019 de la Superintendencia Financiera de Colombia: Esta resolución establece los requisitos de seguridad de la información para las entidades financieras y describe los procedimientos que deben seguir en caso de incidentes de seguridad cibernética.
Estas leyes y regulaciones, entre otras, establecen un marco legal sólido para la seguridad de las cuentas bancarias en línea en Colombia. Los bancos están obligados a cumplir con estas normativas y a tomar medidas para proteger la información de sus clientes y garantizar la integridad de las transacciones en línea. El incumplimiento de estas regulaciones puede dar lugar a sanciones y multas por parte de las autoridades reguladoras.
Las tendencias futuras en la identificación de usuarios en el sector bancario
Estas se centran en la evolución hacia métodos más seguros y convenientes. La biometría avanzada, como el reconocimiento de voz y de venas de la palma de la mano, junto con la inteligencia artificial, permitirá una autenticación más precisa y la detección de patrones de fraude. Además, la eliminación gradual de las contraseñas tradicionales a favor de métodos sin contraseña y la implementación de tecnología blockchain prometen una mayor seguridad en las transacciones y la protección de datos biométricos. La colaboración con empresas fintech y la adaptación a regulaciones más estrictas de la identidad digital marcarán el rumbo hacia una autenticación bancaria más segura y confiable.