Modelos de uso de las Soluciones de Autenticación para Banca a Distancia basadas en procedimientos registrados por 3OTP en patentes internacionales el procedimiento principal registrado en las patentes fue galardonado con una medalla de plata en el Salon International des Inventions de Geneve Madrid, 2015
Propuesta 3OTP para Banca a Distancia Nuestra visión Un único sistema de autenticación aplicable a toda la operativa financiera multicanal Un único medio de autenticación usando el teléfono móvil A continuación presentamos las siguiente soluciones para Banca a Distancia: 1. Oficina Internet: solución de autenticación y confirmación de operaciones 2. Banca Telefónica: solución de autenticación 3. Cajero Automático: solución de autenticación para operativa con Tarjeta 2
Acceso en el móvil a la aplicación de autenticación multicanal de 3OTP 1- Instalación de la App 2- Acceso a la App 3- Landing page de la app a) Para abrir la app de autenticación escanee su código QR Opciones operativas Entrada al portal Confirmar operación b) Para abrir la aplicación teclee su PIN XXXX Acceder a la VPN Acceso Banca Móvil SALIR El propio usuario descarga la aplicación desde el portal del banco y la instala Dos opciones: a)escanear el código QR proporcionado al usuario b) teclear el PIN que el usuario ha elegido durante la instalación 3
1.1- Autenticación en Acceso a (1/2) PASO 1 - SOLICITUD DE ENTRADA Opciones operativas Entrada al portal Confirmar operación Acceder a la VPN Operar en datáfono SALIR La clave inicial para su entrada al portal es: 7421 Teclee código de usuario y clave USUARIO: XXXXXXXXXX CLAVE INICIAL: 7421 El usuario no tiene que memorizar la clave para entrar en su evitando todos los problemas derivados de su olvido. La clave es de un único uso de forma que para la próxima ocasión será otra clave distinta la que deberá teclear. Así, si un delincuente se hace con la clave tecleada, esta no le servirá para nada. 4
1.1- Autenticación en Acceso a (2/2) PASO 2 ENTRADA A LA OPERATIVA Para terminar la operación de acceso al portal del banco deberá confirmar en la aplicación de su móvil que la imagen que aparece más abajo coincide con la que aparecerá en su móvil Confirma su petición de entrada a banca identificada por Bienvenido a su banca por internet. Seleccione su operativa CONSULTAS Cuentas Tarjetas.. OPERACIONES Transferencias Compra/Venta demo demo SI NO La identificación de la petición de entrada será una imagen con un código aleatorio tipo CAPTCHA. Aunque un delincuente haya conseguido hacer un phishing online y haya entrado usando los datos del cliente no le servirá de nada pues el cliente va a recibir en su móvil una petición de confirmación identificada por un número que a él no le habrá llegado a su PC y por lo tanto rechazará la conexión. Se evita tanto el phishing offline, que reutiliza claves obtenidas previamente, como el phishing que pueda llevarse a cabo en tiempo real. 5
1.1- Comparativa con solución de doble factor OTP por SMS (1/2) PASO 1 - SOLICITUD DE ENTRADA Teclee código de usuario y clave USUARIO: XXXXXXXXXX CLAVE INICIAL: 7421 El usuario tiene que recordar esta y muchas otras contraseñas y eso generalmente lleva a contraseñas débiles, que se repiten, u olvidos 6
1.1- Comparativa con solución de doble factor OTP por SMS (2/2) Recepción de SMS enviado por el banco PASO 2 ENTRADA A LA OPERATIVA Confirme su petición de acceso a banca online tecleando el código: 9532 Teclee código de confirmación: 9532 Bienvenido a su banca por internet. Seleccione su operativa CONSULTAS Cuentas Tarjetas.. OPERACIONES Transferencias Compra/Venta demo demo Con esta solución el usuario tiene que teclear en el PC dos claves mientras que con la solución de 3OTP sólo teclea una clave. Se mejora la usabilidad y se disminuye el número de rechazos por errores de tecleo. Actualmente la interceptación de los SMS es algo muy conocido y sencillo para cualquier delincuente. Para cometer el delito de suplantación de personalidad al delincuente le bastará con hacerse con la clave fija que se teclea inicialmente, algo muy sencillo, y luego interceptar el sms que el banco envía al móvil del usuario. En la solución 3OTP la clave es distinta en cada sesión, no trabaja con SMS y las comunicaciones viajan cifradas. 7
1.2- Autenticación en confirmación de Operaciones Online (1/2) Caso de realización de transferencia PASO 1 INICIO DE CONFIRMACIÓN Opciones operativas Entrada al portal Confirmar operación Acceder a la VPN Operar en datáfono La clave inicial para confirmar su operación es: 7421 DATOS DE LA TRANSFERENCIA SOLICITADA CUENTA DE CARGO 12345678 CUENTA DE ABONO 90123456 IMPORTE 2345 TECLEE CLAVE INICIAL DE CONFIRMACION: 7421 SALIR 8
1.2- Autenticación en confirmación de Operaciones Online (2/2) Caso de realización de transferencia PASO 2 AUTORIZACIÓN FINAL Transferencia a confirmar: Cuenta cargo 12345678 Cuenta abono 90123456 Importe: 2345 AUTORIZA? DATOS DE LA TRANSFERENCIA SOLICITADA CUENTA DE CARGO 12345678 CUENTA DE ABONO 90123456 IMPORTE 2345 OPERACIÓN FINALIZADA CORRECTAMENTE OPERACIÓN FINALIZADA CORRECTAMENTE SI NO Comparando con una solución OTP por SMS con los datos de la operación y una nueva clave a teclear: Aplican los mismos comentarios que en el caso anterior de acceso a Mientras que con la solución de 3OTP el usuario puede estar seguro de lo que está autorizando, ya que es el banco el que le está indicando en su móvil los datos que a él le han llegado, sin posibilidad de modificación por parte del delincuente, en la solución más usada actualmente el usuario no puede tener la certeza de qué es lo que está autorizando pues lo que está viendo puede haber sido manipulado por el delincuente. 9
2- Autenticación en Banca Telefónica Opciones de obtención de claves para Entrada al portal Confirmar operación Acceder a la VPN PARA LA OPERATIVA EN SU BANCA TELEFÓNICA DEBERÁ USAR EL CÓDIGO 12345678 Banca Telefónica SALIR (1) Dicho código tiene un tiempo de validez limitado 10
3- Operación con tarjeta en Cajero Automático Opciones de obtención de claves para Entrada al portal Confirmar operación Acceder a la VPN PARA LA OPERATIVA CON SU CAJERO AUTOMÁTICO DEBERÁ USAR EL CÓDIGO 7425 Teclee su clave 7425 Cajero Automático SALIR (1) Dicho código tiene un tiempo de validez limitado 11
Resumen de las características principales de las soluciones propuestas (1/2) Soluciones basadas en procedimientos registrados por 3OTP en patentes internacionales. Se utiliza un único sistema para soportar las diferentes soluciones de autenticación de la operativa en banca. Un único dispositivo de autenticación, el teléfono móvil del usuario. No hace uso de la SIM del móvil por lo que es independiente del operador de telefonía móvil. La aplicación se la descarga e instala de forma autónoma el propio usuario desde el portal de su banco. Permite una sustitución escalonada de los distintos sistemas de autenticación en uso, normalmente ligados a una única aplicación informática, por un único sistema válido para la variada operativa bancaria. Los servicios de autenticación soportados para un cliente concreto se adaptan a su perfil y necesidades, ya que no es obligatorio tener activadas todas las soluciones soportadas por el sistema. Posible integración y coexistencia con los sistemas de autenticación y confirmación de operaciones existentes, como DNI electrónico, lectores de huellas digitales o vocales, etc. Autenticación multifactor, de hasta nivel 3, en la que se necesita saber algo (PIN), disponer de algo (Aplicación en el móvil) y, opcionalmente, hacer algo (consultar una tarjeta de claves o token). 12
Resumen de las características principales de las soluciones propuestas (2/2) Autenticación mutua entre usuario y banco basada en el intercambio de tres claves OTP, en la que el usuario no termina la operación de autenticación hasta que se asegura de estar hablando con el banco, además de evitar una suplantación de personalidad del emisor con consecuencias no deseadas. Los mensajes que viajan hacia o desde los dispositivos van cifrados por una clave OTP. Así, aunque un delincuente intercepte el mensaje enviado al móvil no podrá cometer los fraudes que se basan en su conocimiento y modificación en modo online, por ejemplo, la interceptación y uso fraudulento de los SMS. El riesgo del robo del móvil, o de la aplicación del móvil junto con su tabla de claves, está protegido por, además del identificador del usuario que normalmente es requerido para poder operar, el PIN o código QR de inicio de la aplicación y la personalización de la aplicación cuando se descarga e instala en el móvil. Opcionalmente, se puede hacer uso de una clave almacenada en un elemento / dispositivo externo sin la cual no es posible terminar la autenticación con lo que también necesitarían de este nuevo elemento / dispositivo externo al móvil para poder operar. Se combina la encriptación de mensajes y la utilización de un segundo canal de comunicación de forma que el riesgo de sufrir un ataque tipo Man In The Middle (MITM) sea mínimo. En el caso de confirmación de operaciones, el usuario debe confirmar que son correctos los datos de la solicitud de operación económica que le ha llegado al banco y que el banco reenvía a la aplicación de su móvil en un mensaje encriptado por una clave OTP que hace imposible su manipulación online. Así, si algún delincuente hubiera cambiado la información enviada al banco (fraude MITM) el usuario se daría cuenta y rechazaría la operación. 13