Aspect advierte sobre posibles fraudes ante la nueva regulación europea de seguridad para Apps de banca

Aspect Software ha detectado vulnerabilidades en alguno de los métodos de doble autentificación de los usuarios que la Autoridad Bancaria Europea va a implementar de forma inminente

El experto en soluciones de contacto con el cliente Aspect Software advierte a bancos y plataformas de pagos sobre el uso de SMS como única forma de autentificación de contraseñas a la hora de efectuar transacciones online o móviles, ya que los usuarios pueden sufrir robos de identidad.

A partir del próximo 1 de agosto de 2015, la Autoridad Bancaria Europea (ABE) establecerá unas directrices para mejorar la seguridad en pagos, tanto móviles como online, con proveedores que requieren autentificación múltiple para realizar transacciones. La norma establece que los dos o más métodos utilizados para la autentificación tienen que ser independientes, para que la verificación no se vea comprometida.

Keiron Dalton, experto en seguridad móvil y Director de Servicios en la Nube de Aspect, expone que aunque esta nueva regulación alentará a bancos y plataformas de pago a mejorar la seguridad en entornos de banca online y móvil, puede comprometer la experiencia de cliente y puede ser la puerta de nuevos tipos de fraude más sofisticados como el intercambio de tarjetas SIM. Dalton comenta también que: “esta regulación va a suponer grandes cambios en la banca digital. Los bancos no podrán ofrecer simplemente soluciones rápidas de verificación a los clientes, también tendrán que proporcionarles un sistema seguro para proteger sus intereses”.

El nuevo proceso de verificación en dos pasos que propone la ABE obligará a que muchas plataformas de pagos se replanteen sus actuales modelos. Actualmente estas plataformas están recurriendo cada vez más a contraseñas de un sólo uso u OTP (del inglés One-Time Password), una contraseña válida sólo para una autenticación. Desafortunadamente, aunque sea lo más utilizado, el SMS tiene agujeros de seguridad.

Dalton afirma que: “únicamente tenemos que mirar las cifras para comprobar que la banca digital ha dejado a muchos clientes en una situación de vulnerabilidad. Un informe del FICO de 2013 revela que los pagos en los que no está involucrada una tarjeta, fue la primera causa de fraude y ha supuesto un agujero de más de 400 millones de euros, ya que los bancos se han centrado más en la experiencia de cliente que en la seguridad”.

“Los estafadores tienen la capacidad de acceder a información personal de usuarios y se han aprovechado al máximo de esta situación. En las transacciones de banca móvil, por ejemplo, el intercambio de tarjetas SIM es la técnica de fraude más utilizada, porque es rápida; esto ocurre cuando el estafador obtiene un duplicado de la tarjeta SIM de un número de teléfono móvil, redirigiendo a hackers todas las comunicaciones (incluidos los SMS). Las víctimas normalmente no se dan cuenta hasta que es demasiado tarde, dejando sus cuentas bancarias en una situación vulnerable ante defraudadores”, explica Dalton.

Dalton considera que los bancos tienen que actuar de inmediato y estar preparados para la implementación de la nueva regulación en agosto de 2015 y prestar atención a los riesgos crecientes que surgen en torno a la elección del canal para la verificación de las transacciones. “Bancos y plataformas de pago tienen que plantearse si una App de banca sencilla y rápida es mejor que una plataforma segura. El uso de tokens (secuencia de caracteres que sustituyen a otra secuencia que se quiere mantener confidencial) podría ser una solución a este problema, pero hace que la transacción sea más compleja y no hay que olvidar que los consumidores son personas muy ocupadas. La tecnología va a jugar un papel muy importante en la verificación indetectable que permita una experiencia de cliente óptima pero segura”.

“Comprobación y detección de duplicados SIM, o detección local son algunas de las soluciones que se pueden implementar sin comprometer la experiencia de cliente, a la par que ofrecen un mayor grado de autentificación de los dispositivos móviles utilizados para realizar transacciones. Gracias al uso de los datos de dispositivos inteligentes (Smartphones, tablets, etc.), como por ejemplo la geolocalización, se puede tener un control de transacciones sospechosas e implementar así controles imperceptibles por el usuario para determinar si un pago es fraudulento o no. El usuario está protegido sin ver comprometida su experiencia de cliente,” explica Dalton.

Concluye: “la nueva regulación que propone la Autoridad Bancaria Europea debería animar a bancos y plataformas de pago a trabajar para seguir ofreciendo al usuario entornos y Apps de pago fáciles de usar (algo que define la banca moderna), pero siempre garantizando la mejor protección para sus clientes. Si los proveedores no pueden lograr esto, sus clientes terminarán buscando otras empresas que les aporten esa seguridad y sencillez”.