Passkeys y la PSD2: MFA resistente al phishing y compatible con la directiva

En la banca digital, la seguridad y la experiencia de usuario ya no tienen por qué estar reñidas. Las passkeys fusionan ambos factores, introduciendo una MFA resistente al phishing que se alinea con los requisitos de la PSD2 y la SCA. Las passkeys son la forma de autenticación más segura y fácil de usar que se puede implementar en los servicios financieros. Este salto adelante llega en un momento crucial, mientras el sector bancario se enfrenta a la implementación de la Directiva de Servicios de Pago Revisada (PSD2), un marco regulatorio diseñado para mejorar la seguridad y la competitividad del sector bancario europeo.

En este contexto, las passkeys surgen no solo como una solución de cumplimiento, sino también como una gran forma de innovación, que promete cumplir con los estrictos requisitos de la PSD2 sin comprometer la experiencia de usuario (UX). En este artículo, analizamos los matices de la PSD2 y su mandato de Autenticación Reforzada de Cliente (SCA): queda claro que las passkeys representan el futuro de la MFA resistente al phishing en la banca.

La PSD2 es una legislación introducida por la Unión Europea para revolucionar los servicios de pago y el panorama bancario en Europa. Sus objetivos principales son aumentar la competencia, mejorar la protección del consumidor y fomentar la innovación en el espacio de los pagos digitales. Al exigir el acceso abierto a la información financiera de los clientes por parte de terceros autorizados (con el consentimiento del cliente), la PSD2 allana el camino hacia un ecosistema financiero más integrado, eficiente y fácil de usar. Sin embargo, un gran poder conlleva una gran responsabilidad, y la PSD2 aborda esto a través de su enfoque en la seguridad, particularmente a través de los protocolos de autenticación.

En el núcleo de las medidas de seguridad de la PSD2 se encuentra el requisito de la Autenticación Reforzada de Cliente (SCA, por sus siglas en inglés), un protocolo diseñado para reducir drásticamente el fraude y mejorar la seguridad de los pagos electrónicos. La SCA se basa en el principio de que los pagos electrónicos no solo deben ser fluidos, sino también lo suficientemente seguros como para resistir diversas amenazas. Este marco de autenticación es obligatorio para los proveedores de servicios de pago, bancos y pasarelas de pago electrónico que operan bajo el ámbito de la PSD2.

La implementación de la SCA bajo la PSD2 se define por varios requisitos críticos:

La autenticación debe involucrar al menos dos elementos de las siguientes categorías:

• Conocimiento: Algo que solo el usuario sabe, como una contraseña o un PIN.
• Posesión: Algo que solo el usuario posee, como un dispositivo móvil, una tarjeta inteligente o un token de hardware.
• Inherencia: Algo inherente al usuario, como identificadores biométricos (huellas dactilares, reconocimiento facial o patrones de voz).

Para cada transacción, se debe generar un código de autenticación único que vincule dinámicamente los detalles específicos de la transacción, como el importe y el número de cuenta del destinatario.

Los usuarios deben reautenticarse a intervalos, generalmente cada 90 días, para mantener el acceso a los servicios de banca online. Sin embargo, este requisito se ha revisado para optimizar el equilibrio entre seguridad y comodidad.

La SCA debe aplicarse a todas las transacciones electrónicas, asegurando que la autenticación sea específica para el importe y el beneficiario, creando una firma única para cada transacción.

Los proveedores de servicios de pago deben utilizar un enfoque basado en riesgos para aplicar la SCA, donde las transacciones de menor riesgo pueden quedar exentas de la SCA para agilizar el proceso de pago sin comprometer la seguridad (¿ya vemos la conexión con las passkeys?).

Todo el proceso de autenticación debe ser rastreable y auditable, manteniendo registros para demostrar el cumplimiento de los requisitos de la SCA.

Al introducir la SCA, la PSD2 ha elevado significativamente el estándar de seguridad de las transacciones en el sector bancario. A continuación, nos centraremos en los diferentes factores implicados en la Autenticación Multifactor (MFA). Estos factores también tienen un impacto en el requisito de autenticación específica de la transacción (más información a continuación).

A continuación, presentaremos las diferentes etapas de la evolución de la autenticación en el sector bancario.

La trayectoria de la autenticación en el sector bancario comenzó con el uso de Números de Identificación Personal (PIN) y Números de Autenticación de Transacciones (TAN). Los clientes recibían una lista de TAN, cada uno para ser utilizado una sola vez para la verificación de transacciones. Este método, aunque revolucionario en su momento, tenía sus inconvenientes, como el riesgo de que las listas de TAN fueran robadas o utilizadas indebidamente.

A medida que la tecnología avanzaba, los bancos introdujeron los TAN electrónicos (eTAN) y los TAN móviles (mTAN), donde los TAN se generaban y enviaban al dispositivo móvil del cliente por SMS. Este método mejoró la seguridad al vincular el TAN al dispositivo, pero también introdujo nuevas vulnerabilidades, como el riesgo de interceptación de SMS y la incomodidad de tener que esperar y gestionar estos mensajes. Hasta la introducción de las passkeys, los OTP por SMS todavía se consideran la opción de 2FA más cómoda disponible para la banca desde el punto de vista de la experiencia de usuario.

Para mejorar aún más la seguridad, los bancos adoptaron tarjetas inteligentes y dispositivos token que generaban códigos únicos para la autenticación. Estas soluciones basadas en hardware ofrecían un mayor nivel de seguridad, pero también añadían complejidad e inconvenientes para los clientes, que ahora tenían que llevar un dispositivo adicional.

La última evolución en la autenticación bancaria incluye la biometría (huella dactilar o reconocimiento facial) y las aplicaciones de banca móvil con funciones de seguridad integradas. Estos métodos buscaban equilibrar la seguridad con la comodidad aprovechando los rasgos biológicos únicos del usuario y la omnipresencia de los smartphones. Sin embargo, también requieren que los clientes pasen por el proceso de descargar y configurar una aplicación por separado para cada banco que utilizan.

A pesar de estos avances, los clientes todavía se enfrentan a importantes inconvenientes y frustraciones con los métodos de autenticación bancaria actuales y corren el riesgo de ser objetivo de los estafadores:

• Complejidad e inconvenientes: La superposición de múltiples pasos de autenticación, aunque supone un impulso para la seguridad, a menudo se traduce en un proceso engorroso para los usuarios. Esta complejidad no es solo un inconveniente menor; puede disuadir a los clientes de utilizar los servicios de banca digital, socavando el propósito mismo de la transformación digital.
• Dependencia de dispositivos y plataformas: El cambio hacia la autenticación móvil y biométrica vincula estrechamente a los usuarios con sus dispositivos. Esta dependencia crea un eslabón frágil en caso de robo. Además, los fallos técnicos pueden hacer que los servicios bancarios sean inaccesibles, dejando a los clientes desamparados.
• Vulnerabilidades al phishing: A pesar de los avances, la susceptibilidad de los factores de autenticación al phishing sigue siendo una vulnerabilidad que la SCA no aborda. Los factores tradicionales como el PIN, la contraseña, los OTP por SMS y los OTP por correo electrónico pueden ser comprometidos a través de sofisticados esquemas de phishing, poniendo en riesgo los datos y las finanzas de los clientes.

Hasta el día de hoy, los bancos, especialmente los tradicionales, continúan advirtiendo a los clientes sobre el riesgo significativo del phishing.

En la siguiente sección, explicaremos cómo funciona esto con un ejemplo real.

Los ataques de phishing han sido durante mucho tiempo una amenaza significativa para la seguridad del sector bancario, explotando la psicología humana (ingeniería social) y las vulnerabilidades tecnológicas para obtener acceso no autorizado a información financiera sensible. A medida que los bancos han evolucionado su autenticación, los estafadores se han adaptado, ideando esquemas sofisticados para eludir las medidas de seguridad. Comprender cómo funciona el phishing, especialmente en el contexto de estos métodos de autenticación de uso común, es crucial para reconocer la urgencia de soluciones de autenticación no susceptibles al phishing como las passkeys.

En esencia, el phishing consiste en engañar a las personas para que revelen información sensible, como credenciales de inicio de sesión o información financiera, bajo la apariencia de una comunicación legítima de su banco. Esto se logra típicamente a través de los siguientes pasos:

1. El inicio: Los estafadores envían mensajes (a menudo por correo electrónico o SMS) que imitan las comunicaciones oficiales del banco, con logotipos y un lenguaje que parecen fiables. Estos mensajes suelen crear una sensación de urgencia, afirmando que se requiere una acción inmediata para resolver un problema o evitar el cierre de la cuenta.
2. El engaño: El mensaje contiene un enlace a un sitio web fraudulento que se parece mucho al portal de banca online oficial del banco. Sin ser consciente del engaño, la víctima es llevada a creer que está accediendo al sitio web legítimo de su banco.
3. La captura: Una vez en el sitio de phishing, se le pide a la víctima que introduzca sus datos de autenticación, como su PIN, o que confirme una transacción con un OTP enviado por SMS. Creyendo que está interactuando con su banco, la víctima cumple, entregando sin saberlo sus credenciales a los atacantes.
4. La explotación: Armados con estos detalles, los estafadores pueden acceder a la cuenta bancaria de la víctima, realizar transacciones no autorizadas o cometer robo de identidad.

Consideremos un escenario en el que un cliente del Deutsche Bank recibe un SMS alertándole de que su cuenta será desactivada. El mensaje incluye un enlace a un sitio web para verificar la identidad del cliente que tiene "deutschebank" como parte de la URL, incluyendo un certificado SSL coincidente. Este sitio, una réplica precisa de la página de inicio de sesión del Deutsche Bank (como se puede ver en las capturas de pantalla a continuación), solicita al cliente su PIN de banca online y, posteriormente, un OTP por SMS en tiempo real (no visible en las capturas por razones de seguridad). Sin que el cliente lo sepa, introducir esta información en el sitio de phishing permite a los atacantes obtener acceso completo a su cuenta del Deutsche Bank y transferir potencialmente grandes sumas de dinero a otras cuentas.

Este es el SMS de phishing con la indicación para recuperar el acceso a la cuenta bancaria (capturas de pantalla solo disponibles en alemán):

Este es el sitio web de phishing de los atacantes (https://deutschebank-hilfe.info):

Este es el sitio web original como referencia (https://meine.deutsche-bank.de) que los atacantes copiaron casi a la perfección (solo omitieron la advertencia de phishing en la parte inferior):

Los clientes que están acostumbrados a iniciar sesión a través de esta interfaz idéntica y a usar OTP por SMS como factor de autenticación pueden caer fácilmente víctimas de tales ataques. Existe un ecosistema sustancial de suites de código abierto diseñadas para centrarse en ataques de phishing dirigidos a sistemas OAuth o bancarios (p. ej., https://github.com/gophish/gophish) con fines de investigación de seguridad. Sin embargo, estos sistemas pueden adaptarse fácilmente para fines maliciosos.

El phishing en el sector bancario se vuelve cada vez más preciso con cada filtración de datos en la dark web. Normalmente, la información de pago, como los IBAN, también forma parte de estas filtraciones. Aunque esta información no se puede utilizar para robar dinero directamente, se puede emplear en enfoques de spear-phishing donde el atacante sabe que el objetivo es realmente un cliente del banco.

El fallo crítico en el escenario anterior reside en la susceptibilidad al phishing de los factores de autenticación: tanto el PIN como el OTP por SMS pueden ser solicitados fácilmente al cliente bajo falsos pretextos. Esta vulnerabilidad subraya la necesidad de métodos de autenticación que no puedan ser comprometidos a través de ingeniería social o ataques de phishing.

Los factores de autenticación no susceptibles al phishing, como los que habilitan las passkeys, ofrecen una defensa robusta contra tales esquemas. Dado que las passkeys no se basan en secretos compartidos que puedan ser revelados, sonsacados a un usuario o interceptados, cambian fundamentalmente el panorama de la seguridad. Con las passkeys, el proceso de autenticación implica una prueba criptográfica de identidad que no puede ser replicada por los estafadores, eliminando el vector de ataque más común en el phishing.

Para contrarrestar eficazmente las amenazas de phishing, el sector bancario debe adoptar un enfoque multifacético que incluya:

1. Educar a los clientes: Los bancos deben informar continuamente a sus clientes sobre los riesgos del phishing y cómo reconocer las comunicaciones fraudulentas.
2. Implementar autenticación no susceptible al phishing: Transitar hacia métodos de autenticación que no dependan de información que pueda ser solicitada o interceptada, cerrando así la puerta a muchos intentos de phishing.
3. Mejorar los sistemas de detección de fraude: Utilizar análisis avanzados y machine learning para detectar y prevenir transacciones no autorizadas, incluso si los phishers obtienen algún tipo de dato de autenticación.

Aunque el phishing sigue siendo una amenaza significativa para el sector bancario, la adopción de métodos de autenticación no susceptibles al phishing como las passkeys representa un paso adelante fundamental para proteger la banca online contra los estafadores. Al eliminar el eslabón más débil —la susceptibilidad al phishing de los factores de autenticación—, los bancos pueden mejorar significativamente la seguridad de los activos y la información personal de sus clientes.

Hasta la fecha, el Banco Central Europeo y las autoridades de supervisión bancaria locales (p. ej., la BaFin) no se han pronunciado sobre si las passkeys, en su conjunto, se clasificarían como 2FA o cómo deberían usarlas los bancos.

En la siguiente sección, nuestro objetivo es explicar por qué creemos que las passkeys son compatibles con la PSD2.

En conversaciones con partes interesadas de los sectores de pagos, fintech y banca, surge una pregunta recurrente: ¿Son las passkeys compatibles con la PSD2 y pueden servir como la única forma de autenticación en escenarios bancarios? La relación entre las passkeys y la Directiva de Servicios de Pago Revisada (PSD2) en la Unión Europea es compleja y exige una exploración detallada. Para aclararlo, las passkeys suelen clasificarse en dos tipos: Passkeys sincronizadas (multidispositivo) y Passkeys no sincronizadas (monodispositivo), cada una con características distintas en cuanto a la compatibilidad con la PSD2:

Cumplir con la normativa es muy importante para entidades reguladas como bancos y compañías de seguros. Sin embargo, las políticas de cumplimiento pueden tardar mucho en cambiar. En el caso de las passkeys, la principal ventaja de seguridad es que no son susceptibles al phishing, ya que los clientes no pueden revelar esta información a los atacantes sin darse cuenta.

Aunque las passkeys mejoran significativamente la seguridad al no ser susceptibles al phishing, sí que trasladan parte del riesgo a la cuenta en la nube del cliente, como el Llavero de iCloud de Apple. Esto convierte a la cuenta en la nube en un objetivo más atractivo para los atacantes. Sin embargo, servicios como iCloud de Apple cuentan con medidas de seguridad robustas, especialmente para las funciones que admiten passkeys.

En primer lugar, las passkeys de iCloud dependen de que la autenticación de dos factores (2FA) esté habilitada en la cuenta, lo que añade una capa extra de seguridad. Esto significa que, incluso si un atacante conoce la contraseña de iCloud del cliente, todavía necesitaría acceso a un dispositivo de confianza o a un número de teléfono para recibir el código de 2FA.

Apple, y de forma similar Google para sus cuentas, invierten recursos sustanciales en la seguridad de estos servicios en la nube. Los protocolos de seguridad para las cuentas que admiten passkeys en la nube son rigurosos, lo que hace que sea casi imposible que usuarios no autorizados puedan acceder. Este alto estándar de seguridad se mantiene mediante actualizaciones constantes y parches de seguridad (y también han introducido passkeys para sus propias cuentas, como se explica en este artículo).

Además, el robo de dispositivos o de cuentas en la nube, aunque es un riesgo potencial, no es el vector de ataque más común para las aplicaciones bancarias. En caso de necesidades de seguridad elevadas, como para transacciones sospechosas, los bancos podrían seguir utilizando OTP por SMS como factor adicional. Al reemplazar el PIN/contraseña con passkeys, el primer factor de autenticación se vuelve inmune al phishing, reduciendo significativamente el riesgo de ataques de phishing exitosos. Se podría introducir un tercer factor para las transacciones que se marquen como sospechosas, garantizando una postura de seguridad robusta.

Contrariamente a las opiniones tradicionales (reacias al riesgo) sobre el cumplimiento de la PSD2, Finom y Revolut han decidido que proteger los datos de los clientes es más importante y, por lo tanto, están utilizando passkeys, a pesar de la falta de una decisión pública europea sobre cómo la supervisión bancaria debe tratar las passkeys con respecto al cumplimiento de la PSD2. Neobancos y fintechs como Finom y Revolut están desafiando el statu quo y, al hacerlo, están influyendo en el panorama regulatorio con respecto a las medidas de autenticación prescritas por la PSD2.

Al priorizar la seguridad e integridad de los datos de los clientes, estos pioneros de la tecnología financiera están adoptando passkeys incluso en ausencia de una guía regulatoria explícita de las autoridades europeas. Esta postura proactiva pone la responsabilidad en los reguladores para que reevalúen sus marcos de cumplimiento a la luz de los avances tecnológicos que ofrecen soluciones de seguridad superiores.

La audaz medida de Finom y Revolut de implementar passkeys resalta un aspecto crítico del cumplimiento normativo: no debería tratarse de adherirse rígidamente a los estándares, sino de alcanzar los objetivos subyacentes de esos estándares, que, en este caso, es la máxima seguridad de los datos y transacciones de los clientes. Al elegir priorizar la protección de datos sobre una estricta adhesión a los modelos de cumplimiento tradicionales, estos neobancos están estableciendo nuevos puntos de referencia para la industria.

Desde una perspectiva regulatoria, existe una necesidad apremiante de claridad y adaptación para dar cabida a avances como las passkeys dentro del marco de cumplimiento de la PSD2. Instamos a la UE a que adopte una postura definitiva sobre las passkeys, reconociéndolas como una forma superior de autenticación multifactor (MFA) que se alinea con los objetivos centrales de la PSD2 para fortalecer la seguridad y reducir el fraude en el ecosistema de pagos digitales.

Las passkeys, por diseño, ofrecen un factor de autenticación robusto y resistente al phishing que supera las capacidades de seguridad de la mayoría de los métodos de MFA tradicionales. Esto no solo mejora la seguridad, sino que también simplifica la experiencia del usuario, abordando dos aspectos críticos del cumplimiento de la PSD2.

La postura de la UE debería evolucionar para reflejar los avances tecnológicos que redefinen lo que constituye una autenticación eficaz y segura. Al adoptar innovaciones como las passkeys e incorporarlas en el tejido regulatorio, la UE puede demostrar su compromiso tanto con la protección de los consumidores como con el fomento de un entorno de finanzas digitales con visión de futuro.

A medida que la industria financiera continúa innovando, corresponde a los reguladores proporcionar una orientación clara y progresista que no solo siga el ritmo del cambio tecnológico, sino que también anticipe desarrollos futuros. Los neobancos están liderando actualmente la carga, pero en última instancia, es responsabilidad de los organismos reguladores garantizar que el sector financiero en su conjunto pueda avanzar de manera segura y con confianza hacia el futuro de la banca digital.

La adopción de passkeys en el área de la banca y las fintech destaca como un excelente ejemplo de innovación que mejora significativamente tanto la seguridad como la experiencia del usuario. A lo largo de nuestro artículo, hemos establecido el potencial de las passkeys como una solución de autenticación con visión de futuro que se alinea con las estrictas demandas de seguridad de la PSD2, al tiempo que mitiga amenazas prevalentes como el phishing. Neobancos y fintechs como Finom y Revolut han sentado un precedente al integrar passkeys en sus marcos de seguridad, demostrando su eficacia y su enfoque centrado en el cliente.

Un plan de acción de tres pasos para los bancos tradicionales podría ser el siguiente:

1. Colaboración con los reguladores locales: Los bancos tradicionales deben colaborar proactivamente con sus organismos reguladores locales y autoridades de supervisión bancaria para discutir la implementación de passkeys. Este diálogo debe tener como objetivo aclarar las posturas regulatorias y allanar el camino para integrar las passkeys dentro de la estructura de cumplimiento existente. Al tomar la iniciativa, los bancos pueden contribuir a dar forma a un entorno regulatorio que apoye los métodos de autenticación innovadores.
2. Aprender de las mejores prácticas de los neobancos: Es imperativo que los bancos tradicionales observen y aprendan de los neobancos que han implementado passkeys con éxito. Estudiar estas mejores prácticas proporcionará información valiosa sobre los aspectos operativos, técnicos y de servicio al cliente del despliegue de passkeys. Esta transferencia de conocimiento puede ayudar a los bancos tradicionales a elaborar sus estrategias para adoptar passkeys.
3. Transición estratégica a las passkeys: Con claridad regulatoria y una comprensión de las mejores prácticas, los bancos tradicionales pueden desarrollar un plan integral para la transición de los clientes a la autenticación basada en passkeys. Este plan debe incluir campañas de educación para explicar los beneficios y el uso de las passkeys, lanzamientos por fases para garantizar una transición fluida y una evaluación continua para abordar cualquier desafío con prontitud.

El futuro de la autenticación bancaria reside en tecnologías que priorizan tanto la seguridad como la usabilidad. Las passkeys representan un paso en esta dirección, proporcionando un método de autenticación no susceptible al phishing y fácil de usar que cumple con los estándares establecidos por la PSD2 y otros marcos regulatorios.

Para los bancos tradicionales, ha llegado el momento de abrazar el cambio y comenzar la transición hacia las passkeys. Esta transición, sin embargo, no debe ser abrupta, sino un movimiento bien meditado, que tenga en cuenta las necesidades únicas de su base de clientes, el entorno regulatorio específico y la preparación tecnológica de la institución.

El objetivo final es garantizar que cada cliente se beneficie de una mayor seguridad sin sacrificar la comodidad. Al adoptar passkeys, los bancos no solo protegerán a sus clientes con tecnología de vanguardia, sino que también señalarán un compromiso con la innovación y la centralidad en el cliente en una era de finanzas digitales.