Doble autenticación

enero 10, 2008 - Publicaciones

Compartir

No es cierto que las transacciones financieras en Internet sean inherentemente inseguras, estas pueden ser tan seguras como la institución bancaria quiera hacerlas. Depender exclusivamente de una palabra clave ( password ) para autenticar al usuario (demostrar que es quien dice ser) tiene cierto grado de inseguridad, ya que la palabra clave puede ser adivinada o robada.

Para mitigar el riesgo de que la palabra clave sea adivinada o robada, algunas instituciones recurren a prácticas poco amigables con el usuario, como obligar a utilizar palabras claves difíciles de recordar (y, por lo tanto, difíciles de adivinar) y estar cambiándolas constantemente.

La mejor manera de aumentar considerablemente el nivel de seguridad, sin agraviar al usuario, es la doble autenticación, como la que anunció el Banco de Costa Rica (BCR). La doble autenticación se basa en el principio de que el usuario se debe autenticar dos veces, primero con algo que sabe (la palabra clave) y seguidamente con algo que tiene, como un dispositivo físico ( token ) o una matriz de códigos. Tengo entendido que, en Estado Unidos, el regulador de bancos ha obligado a todos los bancos a ofrecer doble autenticación en una fecha próxima de este año.

Desagravio al usuario. Es reconfortante ver que en Costa Rica, sin que haya obligatoriedad de por medio, ya hay varios bancos ofreciendo doble autenticación. Que un banco estatal esté entre los primeros es especialmente reconfortante, ya que, dado su mayor alcance, contribuye más a consolidar la confianza en el medio digital. Es importante que esta práctica se generalice, lo antes posible, para disipar el mito de la inseguridad de la banca por Internet. La doble autenticación ofrece, además, la oportunidad de desagraviar al usuario, eliminando la necesidad de cambiar la clave periódicamente o escoger claves imposibles de recordar.

El próximo paso, casi obvio, es la triple autenticación. Un tercer nivel de autenticación está siendo utilizado por algunas instituciones para elevar todavía más el grado de seguridad, por ejemplo, en transferencias de alto valor.

Un alto grado de certeza de que el usuario es quien dice ser lleva enseguida a las instituciones a asumir el riesgo remanente. Instituciones que utilizan doble autenticación, con frecuencia indican a sus clientes que el riesgo es, en su totalidad, asumido por la institución.

Eliminación de fraude. Lo mismo sucede con las transacciones de tarjetas de crédito y débito. En Costa Rica la autenticación se hace únicamente con algo que el usuario tiene (la tarjeta), por lo que el riesgo de robo y uso indebido es bastante alto (para beneficio de los ladrones y las compañías de seguros). En Europa, las tarjetas de crédito y débito funcionan con un número de identificación personal (PIN), o sea, que no basta tener la tarjeta, además se debe saber el PIN. Esta doble autenticación en el uso de las tarjetas ha eliminado casi por completo el fraude en Europa. La inversión en tiempo, dinero y esfuerzo para lograr esto fue considerable. Es probable que esto haya sido estimulado por regulaciones que obligan a los emisores de tarjetas a asumir el riesgo.

La doble autenticación tiene un costo. Las soluciones basadas en dispositivos físicos son un poquito más seguras, pero más caras (por lo general, el usuario debe adquirir el dispositivo), mientras que la matriz de códigos (como la anunciada por el BCR) suele ser gratis para los usuarios.

La doble autenticación básica debería ser gratis y obligatoria para todos los usuarios de banca por Internet. También me parece que deben ofrecerse opciones al usuario de adquirir niveles extra de seguridad. La principal labor de las autoridades debería ser promover el uso de tecnologías que mejoren la seguridad, nunca asustar con sugerencias de agravio a los usuarios en pro de la seguridad.

Artículo publicado en el periódico La Nación