Buscar este blog

02 noviembre 2009

Transaction Authentication Number (TAN)

Desde que Internet se ha convertido, de facto, un servicio universal en muchos países, se han incrementado sustancialmente las amanazas. Éstas son cada vez más sofisticadas y más complejas de detectar.
Por ello, se ha hecho totalmente imprescincible, no sólo autenticar a la persona, que esté realizando la acción sino que también se debería de autenticar dicha acción (Transacción).

El Concepto de autenticación describe el proceso de verificación de la identidad de una persona, transacción o entidad. Por tanto, es el proceso de determinar si alguién o algo es quién dice que es.
Al final, la autenticación busca principalmente:
  • Garatizar de quien dice ser, es en realidad.
  • No haya suplantaciones.
Uno de los sectores, en los que más se innova en la autenticación, es el bancario. Una de las técnicas que más se está usando es la autenticación de transacciones, que persigue reducir las pérdidas financieras producidas por phising.
"La solución no es mejorar la autenticación de la persona, sino autenticar la Transacción", Bruce Schneier (Blog de Schneier 2006)

Como indica el título de mi entrada en este blog me voy a centrar en la autenticación de transacciones por números. (TAN).

Tenemos diferentes tipos de autenticación de transacciones por números, desde ahora con el acrónimo "TAN":
  • Lista TAN (Clásico), ha sido una de los primeros métodos de autenticación de dos factores, es una lista con una serie aleatoria de 50 números, aproximadamente, impresos en un papel o tarjeta. Este sistema está teniendo problemas con el Phising, ya que en algunos casos a las víctimas les suelen pedir que metan toda la lista en la Web, provocando que los atacantes conozcan los dos factores de autenticación y por ende consiguiendo seguramente un robo y una pérdida económica para el usuario o el banco.
  • Indexed TAN (iTAN), Es un sistema parecido al clásico y con los mismos problemas. Aunque si bien, suele complicar algo más el ataque. Éste método es también una lista de números, pero esta vez está indexada, por medio de otros números, por lo que el banco pide el número que indique el índice que muestra por pantalla. Sería conveniente que dicho índice no siga una serie previsible, ya que sería sencillo un ataque con el método Man-in-the-Middle.
  • Indexed TAN con Captcha (ITANplus), es usado por algunos Bancos Alemanes, mejora la categoría anterior ya que reduce los riesgos del ataque man-in-the-middle, al utilizar el sistema "Captcha". Este sistema antes de introducir el iTAN, le muestra con un fondo diverso, datos de la trasancción e información personal que sólo debería saber el Banco y el Usuario.
  • Mobile TAN (mTAN), es un sistema utilizado por diversos países. El Proceso que sigue es el siguiente:
Cuando el usuario se ha autenticado, por ejemplo en un Banco, y va a realizar a continución una transacción. Para ello, el Banco genera una clave aleatoria asociada a esa única transacción, y con un tiempo reducido de validez. Dicho código es enviada por SMS al móvil asociado del usuario. A continuación éste introducirá la clave recibida y, si ésta es la misma que la generada por el Banco entonces se dará como buena la transacción.
    La fiabilidad de este sistema depende de la seguridad de la infraestructura de telefonía móvil de la compañía.
    Por último, quiero hacer hincapié que este modo de autenticación de transacciones, puede verse afectado. Si un atacante, tiene un móvil fácilmente reprogramable (Nokia 1100), podría programar su SIM como si fuera la de la víctima, pudiendo recibir el mensaje con la clave de la transacción.

    Esto es todo por ahora,
    Hasta la próxima.
    Un Saludo,
    www.itsecurity.es

    Bibliografía Digital: Sans, enisa, Wikipedia, Blog Derecho Informático, www.gpayments.com

    No hay comentarios: