Seguridad

Autenticación por Doble Factor

Un sistema informático que recibe conexiones de clientes o usuarios para realizar operaciones, presenta tres problemas de seguridad:
- El servidor debe asegurarse que el usuario es quien dice ser y no se está suplantando su identidad.
- El usuario debe asegurarse que el servidor es el auténtico y no está siendo engañado por un atacante
- Que la comunicación, en caso de ser intervenida, no sea legible para el atacante.

Los sistemas basados en DF se presentan para asegurar el primer punto, es decir, evitar la suplantación de identidad del usuario. Se utilizan normalmente, bien al ingresar en el sistema o bien para confirmar operaciones especiales o de alto riesgo. 

Conceptualmente hay dos formas de suplantar la identidad de alguien:
- El atacante conoce su mecanismo de autenticación, generalmente usuario y contraseña.
- El atacante se mete en medio de la comunicación, echa al usuario y se hace pasar por él.De todos es sabido que existen troyanos especializados en capturar pulsaciones de teclado y enviarlas al atacante para suplantar la identidad de la víctima. Los sistemas antivirus son una buena medida, pero por desgracia no son infalibles. 

Además, lo “malos” comparte constantemente información actualizada de cómo evitar que los troyanos sean detectados e incluso de cómo detener el antivirus sin que el usuario pueda darse cuenta.

Este tipo de troyanos atacan los sistemas de autenticación basados en “lo que el usuario sabe”, es decir, usuario y contraseña, y opcionalmente, clave de operaciones. En algunos casos se solicitan algunas posiciones de la clave de operaciones y en otros se pide la clave entera. Simplemente es cuestión de tiempo el hacerse con el valor de todas las posiciones y por tanto de toda la clave.

Los sistemas de Doble Factor van más allá de “lo que el usuarios sabe” e incluyen el concepto de “lo que el usuario tiene” (y el atacante no puede tener). Por lo general, ese dispositivo que el usuario tiene, genera una contraseña de un solo uso (OTP, One Time Password) que para nuestra desgracias puede ser capturada por el atacante una vez generada. Realmente, el objetivo es utilizar un sistema de autenticación ajeno al canal que estamos usando, de esta forma no dependeremos de las debilidades asociadas al medio.

No olvidemos algo básico y es que en el el proceso de autenticación hay un cliente con un ordenador usando un navegador en el que es relativamente sencillo inyectar código. Este es el quid de la cuestión. La inyección de código y el secuestro de sesión son nuestros puntos débiles.

No debemos caer en el error de pensar en la fortaleza de los actuales sistemas de teclados virtuales, donde las teclas se colocan de forma aleatoria y el usuario hace clics de ratón para marcar los número. Evidentemente, es más que nada, pero existen troyanos especializados en capturar pulsaciones de este tipo de teclados. 

En realidad los sistemas de Doble Factor ponen las cosas más difíciles, que no es poco, pero no son la panacea universal. Si un atacante captura un usuario-contraseña, podrá suplantar la identidad de la víctima siempre que quiera hasta que sea descubierto. Mediante un Doble Factor solo podrá suplantar la identidad de la víctima en el momento que esta usa el mecanismo de Doble Factor y además se ha interceptado la sesión, ya que el atacante no puede generar una OTP válida para esa sesión.

Mecanismos de Doble Factor
 - Tarjeta de coordenadas: dispositivo tipo tarjeta de crédito que contiene una serie de valores a lo largo de unas filas y columnas. Una vez que se han pedido todas las posiciones, la tarjeta puede anularse y emitir otra o bien se puede volver a reutilizar.  Aún reutilizándose, el sistema garantiza una importante reducción en el fraude en aquellas entidades que lo usan.
El sistema tiene dos debilidades. Una sería un troyano que pacientemente capturara todas las posiciones del la tarjeta y ésta fuera reutilizable. La otra sería un phising o secuestro de DNS que terminara pidiendo al usuario todas las posiciones de la tarjeta y éste las comunicara. Esto, por increíble descabellado que pueda parecer, ha ocurrido alguna vez.
En algunas entidades, en lugar de pedir el valor de una posición, piden de forma aleatoria el valor de algunos caracteres dentro de esa posición. Esto realmente no refuerza la seguridad, simplemente alarga el proceso del troyano que captura los valores.
Ya existen troyanos específicos para interceptar sesiones en sistemas que usan tarjeta de coordenadas como elemento de Doble Factor. Por lo general son troyanos diseñados específicamente para un banc

TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper