Para muchos usuarios de la banca en línea, las medidas de seguridad estrictas son un mal necesario del que con gusto prescindirían y tú probablemente seas uno de estos. Sin embargo, si no fuera por estas existirían muchos más robos dentro de las cuentas bancarias. Desde su introducción en 1976, ha sido sobre todo el número de autenticación de transacción (TAN) el que ha prevenido esto.
Pero claro, para esto tienes que aplicar correctamente el procedimiento correspondiente y no caer en las estafas de los ciberdelincuentes. Existen muchas maneras de proteger tus cuentas y OTP es una de ellas. En los métodos de autenticación basados en OTP, el usuario recibe una contraseña válida solo durante un determinado lapso de tiempo con la que puede llevar a cabo una transacción sensible.
Procedimiento
Dentro de OTP, existen varios procedimientos diferentes aunque eso sí, el principio básico es muy similar en todos ellos. En primer lugar, inicia sesión en el portal de Internet de tu banco utilizando una aplicación de banca en línea o un software bancario, edita tu transferencia y envíala. La información de la transferencia bancaria que has introducido, se te mostrará de nuevo.
Habiendo llegado a este punto, revísala cuidadosamente para asegurarte de que es realmente tu pedido y de que no ha sido manipulado de ninguna manera. Después, confirma la transferencia y entonces, tu banco te pedirá ahora un código en función del método que tu banco y tú hayáis definido. Al ingresar el número de transacción correcto, tu transferencia queda verificada y podrá ejecutarse.
Métodos de protección con OTP
Los bancos utilizan diferentes formas de verificación de identidad para acceder a la cuenta y de autorización para realizar transacciones. Los nuevos métodos de autenticación fuerte han reemplazado a los de menor exigencia y consisten en sistemas que combinan dos o más de elementos para ello. Estos son conocimiento, es decir, algo que el usuario sabe como la contraseña o el código PIN.
Otro sería el de posesión, algo que el usuario tiene consigo como la tarjeta de coordenadas, el generador de contraseñas dinámicas o el teléfono móvil. Y por último, la innherencia, que es algo que el usuario es. Esto es la huella digital, reconocimiento facial o el escaneo de iris.
OTP en España
Hace algunos años, el único método con OTP disponible en España era la tarjeta de coordenadas, en papel o en forma de tarjeta, que el banco enviaba al usuario por correo postal. Aún con su uso generalizado, para legitimar las transacciones con este modelo de verificación, tenías que introducir un determinado número de la lista en la página web de su banco y cuando se agota la lista, se solicita una nueva.
Sin embargo, los contras de este método son claros, si se pierde, el usuario no puede legitimar sus transacciones, mientras que un extraño tendría en sus manos todos los códigos válidos. A esto se añade que muchos usuarios la escanean o fotocopian para tenerla siempre disponible. Por ello, se han ido imponiendo otros métodos de autenticación con OTP aunque este sigue siendo el más utilizado aún en España.
Las tarjetas de coordinadas en declive
La tarjeta de coordenadas sigue siendo el método estándar basado en OTP en la banca online española para clientes particulares. Su particularidad es que la institución financiera especifica un número de posición muy específico que coincide con un código de transacción en la lista y que no puede predecirse de antemano.
Pero no es un método OTP completamente seguro por diferentes razones que facilitan los posibles robos. Sin embargo, la mayoría de entidades siguen ofreciendo las tarjetas de coordenadas como una protección mínima que incluso los proveedores desaconsejan, señalando procedimientos más modernos.
Con la aplicación en 2019 dentro de la Unión Europea de una normativa nueva, esto podría cambiar. Aprobada mediante real decreto-ley por el Consejo de Ministros a finales de 2018 y con diez meses de retraso, esta nueva directiva tiene como objetivo primordial igualar las condiciones de los proveedores de servicios de pago en la UE.
Autentificación con OTP por SMS
El concepto del envío de la OTP por SMS ya se está utilizando en algunas entidades y este, que tal vez lo tengas dentro de tu banco, se basa en el factor “lo que se tiene”. Esto es que, para verificar una transferencia, el banco te envía una contraseña de un solo uso recién generada al teléfono móvil o smartphone por SMS, que has de introducir en el lugar previsto para ello en la página de tu banco.
Debido al uso generalizado de teléfonos móviles, este método está bastante extendido, puesto que su implementación es muy sencilla para todos, y como ya no hace necesario tener la lista de coordenadas a mano para realizar transacciones, se considera más seguro.
El futuro
Uno de los métodos que es muy seguro es el generador de contraseñas dinámicas con smart card. Para este, se necesita un hardware adicional, lo que es un pequeño dispositivo inalámbrico que puede obtenerse en la misma entidad bancaria o en tiendas de electrónica. Se puede utilizar sin problemas para varias cuentas y personas al mismo tiempo. Si quieres activar el generador, necesitas una tarjeta chip o smart card que se solicita en el banco.
En este momento, creará entonces un código de barras gráfico a partir de los datos introducidos. Y si sostienes el generador con sus sensores ópticos contra la pantalla, el generador escanea el código y emite una OTP como resultado. Si por cualquier motivo no se escaneara bien, pueden introducirse los datos de transferencia manualmente. Teniendo en cuenta que el generador de contraseñas nunca está conectado a Internet, el procedimiento se considera especialmente seguro.