A la hora de autenticar nuestras identidades electrónicas, utilizamos distintos tipos de fichas, dispositivos, teléfonos móviles, firmas electrónicas, etc. Y aún así, según un nuevo estudio realizado por ENISA, la Agencia de ciberseguridad de la UE, algunas instituciones financieras continúan sin tener en cuenta el riesgo que suponen los mecanismos de autenticación inadecuados. Este informe analiza el actual fraude que afecta a las finanzas electrónicas y lo relaciona con los mecanismos de autenticación de los clientes de las instituciones financieras. El informe subraya la necesidad de actualizar los mecanismos de seguridad y recomienda 10 enfoques para aumentar la seguridad.
La Agencia ha analizado más de 100 respuestas a una encuesta distribuida entre comerciantes y profesionales de la seguridad en el campo de la banca electrónica sobre el método de autenticación e identidad electrónicas (eIDAS, por sus siglas en inglés) que emplean los ciudadanos, clientes y empresas en los sistemas de finanzas electrónicas y de pagos electrónicos. Asimismo, la Agencia ha identificado los riesgos y los patrones de los ataques concernientes a cada uno de los diferentes mecanismos de autenticación, incluyendo el phishing (ataques selectivos), el robo de identidad, el secuestro de sesiones eidentidad, etc. de las instituciones financieras, comerciantes y proveedores de servicios de pago.
Como resultado de ello, la Agencia ha elaborado unas directrices, unas mejores prácticas y unas recomendaciones para la banca electrónica y los pagos por Internet. Entre las recomendaciones clave figuran las siguientes:
1. Mejorar la seguridad en el entorno de las finanzas electrónicas, lo que significa que los actores financieros deberán:
- Elaborar análisis de riesgos basados en el perfil de los clientes y el tamaño de la institución.
- Mejorar la concienciación y las aptitudes de los clientes.
- Diseñar métodos de autenticación a la medida de los perfiles de comportamiento del cliente y los parámetros de sus transacciones (por ejemplo, país de destino, cantidad).
- Detectar con prontitud las debilidades de los dispositivos de los clientes a través del registro del dispositivo, las pruebas y la evaluación de su seguridad.("Asumamos que todos los dispositivos están infectados").
2. Mejorar la seguridad de las aplicaciones en las finanzas electrónicas y en sus canales de distribución a clientes: fomentar la tradicional "seguridad por diseño", teniendo en cuenta la propuesta de una nueva Directiva de protección de datos personales, y usar los canales de confianza para instalar aplicaciones en el dispositivo del cliente.
3. Promover la proporcionalidad entre la robustez del método(s) seleccionado (s) y los riesgos identificados (la idoneidad de eIDAS al contexto de transacción), poniendo el énfasis en el uso de "2 factores de autenticación" incluso en el caso de operaciones de bajo riesgo (por ejemplo, como en los cajeros automáticos: una tarjeta y un código PIN).
4. Mejorar los conocimientos y el comportamiento tanto de los clientes como de los profesionales: En resumen, las actuales prácticas eIDAS en el sector financiero no cubren muchos de los riesgos existentes. El Banco Central Europeo y la Comisión Europea están desarrollando recomendaciones y
reglamentos que están en línea con el informe de ENISA con el fin de identificar y crear herramientas que permitan reducir las pérdidas financieras causadas por el fraude.
ENISA (21-01-2014)
