Bancos de Singapur y Passkeys: Reemplazando las OTP por SMS

La Autoridad Monetaria de Singapur (MAS) ha anunciado que todos los principales bancos minoristas del país deben eliminar gradualmente las OTP y reemplazarlas por “tokens digitales” en los próximos tres meses. Esta medida, en colaboración con la Asociación de Bancos de Singapur (ABS), tiene como objetivo proteger a los consumidores del phishing y otras estafas que han costado más de 14 millones de dólares en 2023. En esta publicación de blog, queremos analizar:

• Eliminar las OTP: ¿Por qué la MAS prioriza la eliminación de las OTP?
• Tokens digitales: ¿Qué son los tokens digitales y por qué son más seguros?
• Passkeys: ¿Podrían las passkeys ayudar a cumplir los nuevos requisitos?

Comencemos por examinar más de cerca el anuncio de la Autoridad Monetaria de Singapur (MAS) “Los bancos de Singapur reforzarán la resiliencia contra las estafas de phishing”.

El 9 de julio de 2024, la Autoridad Monetaria de Singapur (MAS) y la Asociación de Bancos de Singapur (ABS) anunciaron un paso significativo para mejorar la seguridad de la banca digital al eliminar gradualmente el uso de contraseñas de un solo uso (OTP). Esta transición se llevará a cabo progresivamente durante los próximos tres meses y tiene como objetivo proteger mejor a los consumidores de las estafas de phishing, que se han convertido en la principal amenaza en la banca digital. Aunque el anuncio solo se refiere a “contraseñas de un solo uso” y OTP, se dirige específicamente a las OTP por SMS.

Los clientes que hayan activado sus tokens digitales en sus dispositivos móviles ahora deberán usar estos tokens para iniciar sesión en sus cuentas bancarias a través de navegadores o aplicaciones de banca móvil. El token digital autenticará los inicios de sesión de los clientes sin necesidad de OTP, que los estafadores pueden robar o engañar a los clientes para que las revelen. Proporcionaremos más detalles sobre qué son los tokens digitales en el próximo capítulo.

Los avances tecnológicos y las sofisticadas técnicas de phishing han superado la seguridad que las OTP por SMS ofrecían en su día. Los estafadores ahora crean sitios web bancarios falsos que se parecen mucho a los sitios genuinos, atrayendo a los clientes para que introduzcan sus OTP y otras credenciales. El cambio a factores de autenticación resistentes al phishing refuerza la seguridad, haciendo que sea significativamente más difícil para los estafadores obtener acceso no autorizado a la cuenta de un cliente.

Las estafas de phishing siguen siendo una preocupación persistente en Singapur. Los bancos continúan colaborando estrechamente con la MAS y la Fuerza de Policía de Singapur para desarrollar e introducir medidas que refuercen la resistencia colectiva contra el cambiante panorama de las estafas. La Sra. Ong-Ang Ai Boon, Directora de la ABS, enfatizó que, si bien la nueva medida puede introducir algunas molestias, es un paso necesario para prevenir estafas y proteger a los clientes.

La Sra. Loo Siew Yee, Subdirectora Gerente (Política, Pagos y Delitos Financieros) de la MAS, destacó que la MAS está comprometida a trabajar en estrecha colaboración con los bancos para proteger a los consumidores contra las estafas de la banca digital. Señaló que esta última medida complementará las buenas prácticas de higiene cibernética que los clientes deben seguir, como proteger sus credenciales bancarias.

Esta medida de la MAS y la ABS muestra su compromiso con la mejora de la seguridad de la banca digital al exigir el uso de tokens digitales. Lo que falta en el anuncio es un esquema claro sobre cuáles son los requisitos para los tokens digitales en el sentido de la autenticación. Echemos un vistazo más de cerca a eso en la siguiente sección.

Los tokens digitales representan un avance en la seguridad en línea, proporcionando una alternativa más sólida a las tradicionales contraseñas de un solo uso (OTP) por SMS. A diferencia de las OTP por SMS, que se transmiten por SMS (o correo electrónico) y pueden ser interceptadas o víctimas de phishing, los tokens digitales están vinculados a un dispositivo específico, generalmente un teléfono móvil, lo que garantiza que solo el propietario del dispositivo pueda generar los códigos de autenticación necesarios.

Los tokens digitales pueden funcionar de diferentes maneras:

• Token digital basado en tiempo (menos seguro): Estos tokens son códigos dinámicos basados en tiempo que se utilizan para autenticar la identidad de un usuario. Son producidos por una aplicación nativa en el dispositivo móvil del usuario, como la aplicación propia de un banco. En la mayoría de las implementaciones, el código real ya no se muestra, sino solo una notificación push que solicita al usuario su consentimiento con los detalles de la transacción y luego se transmite de vuelta al servidor bancario.
• Token digital criptográfico (más seguro): Un token digital criptográfico representa un método de autenticación aún más seguro en comparación con los tokens basados en tiempo. Utiliza un par de claves pública-privada almacenado en la aplicación o en el enclave seguro del teléfono móvil. Durante el proceso de autenticación, el servidor bancario envía un desafío al dispositivo del usuario. El dispositivo luego usa su clave privada para firmar este desafío, y la respuesta firmada se envía de vuelta al servidor. El servidor verifica la firma utilizando la clave pública correspondiente. Este método garantiza que, incluso si un atacante intercepta la comunicación, no puede replicar el proceso de autenticación sin acceso a la clave privada del usuario, que permanece almacenada de forma segura en el dispositivo.

La seguridad de los tokens digitales es más fuerte debido a varias características clave:

1. Vinculación al dispositivo: El token está ligado a un dispositivo específico, lo que significa que los códigos de autenticación solo pueden ser generados por ese dispositivo. Esta vinculación al dispositivo hace que sea extremadamente difícil para los atacantes replicar o transferir el token a otro dispositivo.
2. Configuración multifactorial: La configuración inicial del token digital a menudo implica el uso de OTP enviadas por SMS y correo electrónico para verificar la identidad del usuario, además del PIN bancario (algunos bancos también retiran los tokens físicos con este enfoque. En ese caso, se puede usar el token OTP físico). Una vez que el token está activado, se convierte en el método principal de autenticación, eliminando la necesidad de futuras OTP y sus vulnerabilidades asociadas. Por ejemplo, el DBS Bank utiliza una combinación de OTP por SMS y correo electrónico durante la configuración inicial del token digital, después de lo cual la autenticación continua se basa únicamente en el token.
3. Protección criptográfica o basada en tiempo: Los tokens digitales emplean algoritmos criptográficos fuertes o algoritmos basados en tiempo (TOTP) para generar los códigos de autenticación, asegurando que incluso si la comunicación entre el dispositivo y el servidor de autenticación es interceptada, los códigos no pueden ser fácilmente descifrados o falsificados.

DBS Bank, una importante institución financiera en Singapur, ha implementado con éxito tokens digitales para mejorar la seguridad de sus clientes. El banco solicita:

• Algo que el usuario sabe: PIN
• Algo que el usuario tiene: OTP por SMS (acceso al teléfono asignado al número de teléfono)
• Algo que el usuario tiene: OTP por correo electrónico (acceso al correo electrónico asignado a la cuenta)

para configurar el token digital en el dispositivo móvil de un cliente. Una vez configurado, el token digital se convierte en el único método para autenticar inicios de sesión y transacciones, mitigando eficazmente el riesgo de ataques de phishing dirigidos a las OTP.

En caso de que la dirección de correo electrónico conectada no esté actualizada y no haya un token físico disponible, el usuario puede configurar el token digital con opciones de respaldo:

Las opciones de respaldo incluyen la identidad digital con Singpass, el uso de un cajero de video (VTM) en una sucursal cercana al cliente o la solicitud de un código de registro que se enviará físicamente por correo en un plazo de 3 a 5 días.

El paso de las OTP a los tokens digitales aborda varias vulnerabilidades asociadas con los métodos de autenticación tradicionales:

• Resistencia parcial al phishing: Dado que los tokens digitales se generan y utilizan directamente en el dispositivo del usuario, no hay riesgo de intercepción a través del phishing. Incluso si un estafador engaña a un usuario para que proporcione sus datos de inicio de sesión, no puede generar el código de autenticación necesario sin acceso físico al dispositivo.
• Superficie de ataque reducida: Al eliminar la necesidad de SMS y correo electrónico como canales de transmisión para los códigos de autenticación, los tokens digitales reducen la superficie de ataque que los estafadores pueden explotar.
• Comodidad para el usuario: Aunque la configuración inicial puede requerir pasos adicionales, el uso continuo de los tokens digitales es fluido y conveniente para los usuarios. Ya no necesitan esperar a que llegue una OTP por SMS o correo electrónico, que a veces puede retrasarse o bloquearse.

Si bien el phishing se mejora parcialmente, el nuevo riesgo ahora es que los clientes sean víctimas de ataques de fatiga de MFA al estar continuamente acostumbrados a las solicitudes de autenticación de tokens digitales, un atacante podría aprovechar esto y enviar dicha solicitud desde una página de phishing.

Esa es la razón por la que las grandes empresas tecnológicas (por ejemplo, Google y Microsoft) que han experimentado muchas brechas de seguridad han comenzado a introducir desafíos en esas notificaciones push, por ejemplo, elegir el número correcto para proteger a los clientes.

Los tokens digitales ofrecen un método más seguro para la autenticación en el panorama de la banca digital, pero no eliminan por completo el riesgo de phishing. Un atacante aún podría engañar a la víctima para que autentique su acceso convenciéndola de confirmar las solicitudes de tokens digitales. Lo que la implementación del DBS Bank ha demostrado es que es posible inscribir fácilmente a los clientes en otra forma de autenticación utilizando una combinación de factores existentes. La pregunta en ese punto es, ¿por qué la MAS y el DBS Bank no introducen las passkeys? Veámoslo.

Como hemos visto, los tokens digitales representan un paso adelante en la seguridad de las transacciones de la banca digital en comparación con las tradicionales OTP por SMS. Sin embargo, aunque los tokens digitales proporcionan características de seguridad mejoradas, no son completamente resistentes al phishing. Un atacante aún podría engañar a una víctima para que autentique una solicitud fraudulenta convenciéndola de confirmar las indicaciones del token digital. Esta vulnerabilidad persistente sugiere que los tokens digitales, si bien son una mejora, no constituyen un paso lo suficientemente audaz hacia la seguridad de la banca en línea.

Las passkeys ofrecen un método de autenticación verdaderamente resistente al phishing. A diferencia de los tokens digitales, las passkeys son inherentemente resistentes a los ataques de phishing porque solo se pueden usar en el sitio web o la aplicación correctos. Esto garantiza que los usuarios no puedan ser engañados para que introduzcan sus credenciales en un sitio fraudulento. Las passkeys se basan en la criptografía de clave pública-privada, donde la clave privada se almacena de forma segura en el dispositivo del usuario y se cifra de forma segura en la nube del sistema operativo asociado. La clave pública se comparte con el servicio de autenticación.

Así es como las passkeys mejoran la seguridad:

1. Resistencia al phishing: Las passkeys eliminan el riesgo de introducir detalles de autenticación en sitios web falsos. Dado que el proceso de autenticación solo puede proceder en el sitio legítimo que emitió el desafío, los intentos de phishing se vuelven ineficaces. Es técnicamente imposible usar una passkey en la página incorrecta y también es imposible para un consumidor promedio exportar una passkey a un tercero.
2. Soporte multidispositivo: A diferencia de los tokens digitales, que a menudo están vinculados a un solo dispositivo, las passkeys se pueden sincronizar entre dispositivos autenticados dentro de la misma nube o gestor de contraseñas de forma segura. Esto proporciona flexibilidad y comodidad a los usuarios que acceden a sus servicios bancarios desde varios dispositivos.
3. Fuerte seguridad del dispositivo: Las passkeys requieren que la autenticación de dos factores (2FA) esté activada en los ecosistemas de los teléfonos móviles (como iOS o Android). Esta capa adicional de seguridad garantiza que, incluso si un dispositivo se ve comprometido, el atacante necesitaría eludir la 2FA del dispositivo para acceder a las passkeys. Ya hemos elaborado los detalles al explicar los detalles de SCA/PSD2 sobre las passkeys y explicado por qué las passkeys sincronizadas se pueden usar para la banca.

Australia ha reconocido la importancia de la autenticación resistente al phishing en su estándar Essential Eight, que describe las mejores prácticas para la ciberseguridad. El estándar menciona específicamente la necesidad de requisitos técnicos que mitiguen los riesgos de phishing, posicionando a Australia como líder en ciberseguridad dentro de la región de Asia-Pacífico. Singapur, con su avanzada infraestructura digital, debería seguir el ejemplo de Australia integrando las passkeys en su estándar y recomendaciones para empresas. Esto no solo fortalecería la seguridad, sino que también alinearía a Singapur con las mejores prácticas globales en seguridad digital.

La industria bancaria está a la espera de una guía regulatoria clara que permita explícitamente el uso de passkeys sincronizadas en la banca. Tal medida proporcionaría a los bancos la confianza para adoptar esta tecnología avanzada y ofrecer a sus clientes un método de autenticación verdaderamente seguro y conveniente. La Autoridad Monetaria de Singapur (MAS) tiene la oportunidad de establecer un nuevo estándar en seguridad de la banca digital al respaldar el uso de passkeys. Al hacerlo, la MAS señalaría su compromiso de ser pionera en medidas de seguridad de vanguardia, asegurando que Singapur permanezca a la vanguardia de la innovación en la banca digital.

Convertir a los usuarios a tokens digitales más seguros es un paso significativo para mejorar la seguridad de la banca en línea en Singapur. Sin embargo, de cara al futuro, es esencial que los bancos comiencen a adoptar las passkeys, que se convertirán en el estándar de facto para la autenticación web. Aquí hay algunas recomendaciones clave para que los bancos de Singapur preparen para el futuro (future-proof) su infraestructura de seguridad:

1. Comenzar a recopilar passkeys temprano: Mientras se realiza la transición a los tokens digitales, los bancos también deberían comenzar el proceso de recopilación de passkeys de los usuarios. Este enfoque proactivo preparará a los bancos para una transición fluida una vez que las passkeys sean ampliamente aceptadas y adoptadas. Al integrar la recopilación de passkeys en los procesos actuales de incorporación y autenticación, los bancos pueden construir gradualmente una base de datos segura de passkeys.
2. Reemplazar los PIN con passkeys: Un paso práctico e inmediato hacia la adopción de passkeys es reemplazar los PIN tradicionales con passkeys. Las passkeys ofrecen una alternativa más segura y conveniente a los PIN, aprovechando la criptografía de clave pública-privada. Al implementar las passkeys como el método principal de autenticación, los bancos pueden mejorar la seguridad al tiempo que proporcionan una experiencia de usuario más fluida.
3. Emplear passkeys como primer factor o medida de riesgo adicional: Las passkeys se pueden utilizar como un primer factor de autenticación o como una medida de riesgo adicional en configuraciones de autenticación multifactor (MFA). La incorporación de passkeys en el proceso de autenticación proporcionará una capa adicional de seguridad, lo que dificultará significativamente que los atacantes comprometan las cuentas de los usuarios. Los bancos pueden comenzar ofreciendo las passkeys como una característica de seguridad opcional y gradualmente convertirlas en una parte estándar del proceso de autenticación.
4. Educar a los clientes sobre las passkeys: La implementación exitosa de las passkeys requiere la conciencia y aceptación del cliente. Los bancos deben invertir en campañas educativas para informar a los clientes sobre los beneficios y las características de seguridad de las passkeys. Una comunicación clara sobre cómo funcionan las passkeys y su papel en la protección contra los ataques de phishing alentará a más clientes a adoptar esta tecnología.
5. Colaborar con reguladores y pares de la industria: Los bancos deben colaborar activamente con organismos reguladores como la Autoridad Monetaria de Singapur (MAS) y pares de la industria para establecer pautas estandarizadas para la implementación de passkeys. Los esfuerzos conjuntos garantizarán un enfoque consistente y seguro en todo el sector bancario, mejorando la seguridad general de la banca digital en Singapur.
6. Invertir en infraestructura y sistemas de soporte: La implementación de passkeys requiere una infraestructura y sistemas de soporte robustos. Los bancos deben invertir en la tecnología y los recursos necesarios para admitir la autenticación con passkeys, incluidos sistemas seguros de gestión de claves e integración con los marcos de autenticación existentes. Garantizar una experiencia de usuario fluida y segura será crucial para una adopción generalizada.
7. Monitorear y adaptarse a las amenazas emergentes: Monitorear regularmente el panorama de amenazas y actualizar las medidas de seguridad en consecuencia ayudará a los bancos a adelantarse a los riesgos potenciales. Las passkeys, combinadas con mejoras de seguridad continuas, proporcionarán una defensa resistente contra las tácticas emergentes de phishing y fraude.

Siguiendo estas recomendaciones, la seguridad de la autenticación en la industria bancaria de Singapur puede aumentar aún más y también encontrar su integración en marcos de cumplimiento y estándares como el Estándar de Aplicación Segura (Safe App Standard), que actualmente omite mencionar las passkeys como tecnología de autenticación.

En resumen, el anuncio de la Autoridad Monetaria de Singapur (MAS) de eliminar gradualmente las OTP por SMS y hacer la transición a los tokens digitales marca un paso crucial en el fortalecimiento de la seguridad de la banca digital. Esta medida aborda la creciente amenaza de las estafas de phishing, que han afectado significativamente a los consumidores y al sector bancario.

• Por qué eliminar las OTP: La MAS prioriza la eliminación de las OTP debido a su susceptibilidad al phishing y la intercepción. Los estafadores han explotado las vulnerabilidades de las OTP por SMS, lo que ha impulsado la necesidad de métodos de autenticación más seguros.
• Qué son los tokens digitales: Los tokens digitales proporcionan una seguridad mejorada al estar vinculados al dispositivo y emplear algoritmos criptográficos fuertes. Esto los hace más resistentes a los ataques de phishing en comparación con las OTP tradicionales. También ofrecen comodidad y reducen la superficie de ataque al eliminar la necesidad de códigos de autenticación basados en SMS o correo electrónico.
• Cómo pueden ayudar las passkeys a la banca de Singapur: Las passkeys surgen como una alternativa superior, ofreciendo una autenticación robusta y resistente al phishing. Al utilizar la criptografía de clave pública-privada, las passkeys garantizan que la autenticación solo pueda ocurrir en sitios legítimos, mitigando significativamente los riesgos de phishing. Su soporte multidispositivo y la fuerte seguridad del dispositivo aumentan aún más su atractivo.

Al explorar las ventajas de los tokens digitales, notamos sus limitaciones para eliminar por completo los riesgos de phishing. Las passkeys, por otro lado, proporcionan una solución integral, alineándose con las mejores prácticas internacionales en seguridad digital. Si bien la transición a los tokens digitales es un paso adelante, el objetivo final debería ser adoptar las passkeys como el futuro estándar para la autenticación en la banca digital.