Los bancos alemanes se alejan de la autenticación y verificación de transacciones del cliente basadas en SMS (denominadas mTAN o SMS-TAN), ya que el método se considera muy inseguro.
Según informa el equipo alemán de noticias de negocios Handelsblatt, un número de bancos privados, cooperativos o públicos, han dejado de ofrecer la opción, o están planeando eliminarla para fin de año. Entre estos se encuentran Postbank, Berliner Sparkasse, Consorsbank y otros.
Las razones se deben principalmente a la seguridad y el cumplimiento de la normativa
Como muchas personas hacen sus operaciones bancarias en línea a través de sus teléfonos móviles / inteligentes, los delincuentes informáticos deben comprometer solo este dispositivo para obtener toda la información necesaria para realizar una transacción fraudulenta. Los usuarios también pueden ver comprometidas sus credenciales bancarias y ser blanco de mensajes de texto falsos supuestamente provenientes del banco.
También es cada vez más común que los atacantes realicen un intercambio de SIM para hacerse pasar por el teléfono de la víctima y validar la transacción fraudulenta. Y últimamente, han habido casos de delincuentes que explotan vulnerabilidades de seguridad de larga data en los protocolos SS7 para eludir la autenticación de dos factores de los bancos alemanes y vaciar las cuentas bancarias de sus clientes.
La Oficina Federal Alemana para la Seguridad de la Información (BSI) ha estado advirtiendo sobre los riesgos de seguridad del uso de SMS-TAN durante años, señaló Handelsblatt, y los casos de abuso del proceso de mTan se han vuelto más frecuentes.
Además, los bancos y otros proveedores de servicios de pago deben alinearse con la Directiva de Servicios de Pago de la UE 2 (PSD2), que obliga a que las transacciones electrónicas remotas realizadas por los consumidores de la UE se autoricen mediante la “autenticación de cliente fuerte” (SCA).
“’Autenticación de cliente fuerte’ significa una autenticación basada en el uso de dos o más elementos categorizados como conocimiento (algo que solo el usuario sabe), posesión (algo que solo el usuario posee) e inherencia (algo que el usuario es) que son independientes, y en la cual “La violación de uno no compromete la confiabilidad de los otros, y está diseñada de tal manera que protege la confidencialidad de los datos de autenticación”, establece la Directiva.
Además: “Cuando el proveedor de servicios de pago no requiera una autenticación sólida del cliente, el pagador no sufrirá pérdidas financieras a menos que el pagador haya actuado de manera fraudulenta”.
SMS-TAN se inscribe en el elemento de “conocimiento” y la Autoridad Bancaria Europea (EBA) no lo considera compatible con SCA.
Con la opción mTan desactivada, los usuarios deberán comenzar a usar:
- ChipTANs (dispositivos generadores TAN provistos por bancos)
- Photo-TANs (una aplicación móvil especial o dispositivo lector que fotografía un “código de barras” en la pantalla de la computadora y genera el número TAN)
- Push-TANs (a través de una aplicación Tan especializada) o
- Firmas digitales (a través de tarjetas inteligentes).