Juan Sebastián Gómez, gerente de Tecnología de Soluciones Móviles de Easy Solutions, afirma: ‘Los algoritmos HOTP y TOTP son la columna vertebral de una gran variedad de tokens empleados como segundo factor de autenticación, siendo realmente efectivos a la hora de crear impredecibles contraseñas de un solo uso. La versatilidad de estos algoritmos ha permitido que los tokens físicos sean paulatinamente reemplazados por los tokens digitales, reduciendo los costos de manufactura y distribución en el proceso. La masiva adopción de dispositivos móviles ha generalizado el uso de tokens digitales, tales como Google Authenticator’.
Los tokens originalmente fueron concebidos como un mecanismo externo utilizado en el momento en que una transacción tuviera lugar. En vista de que inicialmente eran basados en hardware, su semilla y algoritmo eran ‘quemados’ en los componentes físicos del dispositivo.
Hoy en día, debido a la gran popularidad de la tecnología móvil, las semillas y los algoritmos son almacenados programáticamente en la memoria del dispositivo. ‘Esto significa que potencialmente pueden ser vulnerables ante los hackers’, indica Gómez.
Por ejemplo, existe una conocida vulnerabilidad, la cual ya ha sido explotada por los criminales: los tokens móviles dependen de la configuración de hora y fecha del dispositivo para poder generar las contraseñas de un solo uso. Así, los criminales solo necesitan adelantar la hora del dispositivo con el fin de obtener contraseñas futuras, las cuales luego emplearán en ataques de fraude.
Comprometiendo el token digital, el atacante está en capacidad de predecir tokens futuros y utilizarlos en ataques posteriores. Y para empeorar las cosas aún más, el usuario no tendría la más mínima idea sobre lo que está ocurriendo. Esto quiere decir que el criminal puede incluso programar ataques a futuro con los tokens robados.
Easy Solutions recomienda dos métodos de autenticación seguros. Uno es las Notificaciones Push, que garantiza que sólo el dispositivo del usuario final pueda ser utilizado para autenticar operaciones bancarias, y todo con un simple toque en la pantalla. Las notificaciones push son un método más ágil, más conveniente y ciertamente más seguro, ya que la integridad de las comunicaciones está protegida mediante mecanismos de cifrado y de doble identificador, los cuales permiten identificar usuarios más allá de cualquier duda.
El segundo método es la Autenticación con códigos QR, que emplea la cámara del dispositivo para escanear códigos QR generados por la institución financiera.