Número de autenticación de transacción

Algunos servicios bancarios en línea utilizan un número de autenticación de transacción ( TAN ) como una forma de contraseña de un solo uso (OTP) para autorizar transacciones financieras . Los TAN son una segunda capa de seguridad que va más allá de la autenticación tradicional con contraseña única .

Los TAN proporcionan una seguridad adicional porque actúan como una forma de autenticación de dos factores (2FA). Si el documento físico o el token que contiene los TAN es robado, no servirá sin la contraseña. Por el contrario, si se obtienen los datos de inicio de sesión, no se podrán realizar transacciones sin un TAN válido.

TAN clásico

Los TAN suelen funcionar de la siguiente manera:

1. El banco crea un conjunto de TAN únicos para el usuario. ^[1] Normalmente, hay 50 TAN impresos en una lista, suficientes para durar medio año para un usuario normal; cada TAN tiene seis u ocho caracteres de longitud.
2. El usuario recoge la lista en la sucursal bancaria más cercana (presentando el pasaporte , DNI o documento similar) o recibe la lista TAN por correo.
3. La contraseña (PIN) se envía por correo separado.
4. Para iniciar sesión en su cuenta, el usuario debe introducir su nombre de usuario (a menudo el número de cuenta) y su contraseña ( PIN ). Esto puede dar acceso a la información de la cuenta, pero la capacidad de procesar transacciones está deshabilitada.
5. Para realizar una transacción, el usuario ingresa la solicitud y autoriza la transacción ingresando un TAN no utilizado. El banco verifica el TAN enviado con la lista de TAN que emitió al usuario. Si coincide, se procesa la transacción. Si no coincide, se rechaza la transacción.
6. El TAN ya se ha utilizado y no será reconocido para ninguna otra transacción futura.
7. Si la lista TAN se ve comprometida, el usuario podrá cancelarla notificándolo al banco.

Sin embargo, como cualquier TAN puede utilizarse para cualquier transacción, los TAN siguen siendo propensos a ataques de phishing en los que se engaña a la víctima para que proporcione tanto la contraseña/PIN como uno o varios TAN. Además, no ofrecen protección contra ataques de intermediarios , en los que un atacante intercepta la transmisión del TAN y lo utiliza para una transacción falsificada, como cuando el sistema del cliente se ve comprometido por algún tipo de malware que habilita a un usuario malintencionado . Aunque los TAN restantes no están comprometidos y se pueden utilizar de forma segura, generalmente se recomienda a los usuarios que tomen medidas adicionales lo antes posible.

TAN indexado (iTAN)

Los TAN indexados reducen el riesgo de phishing. Para autorizar una transacción, no se le pide al usuario que utilice un TAN arbitrario de la lista, sino que ingrese un TAN específico identificado por un número de secuencia (índice). Como el índice lo elige aleatoriamente el banco, un TAN arbitrario obtenido por un atacante generalmente no tiene valor.

Sin embargo, los iTAN aún son susceptibles a ataques de tipo "man-in-the-middle" , incluidos ataques de phishing en los que el atacante engaña al usuario para que inicie sesión en una copia falsificada del sitio web del banco y ataques de tipo "man-in-the-browser" ^[2] que permiten al atacante intercambiar en secreto los detalles de la transacción en el fondo de la PC, así como ocultar las transacciones reales realizadas por el atacante en la descripción general de la cuenta en línea. ^[3]

Por ello, en 2012 la Agencia de la Unión Europea para la Seguridad de las Redes y de la Información recomendó a todos los bancos que consideraran que los sistemas informáticos de sus usuarios no están infectados por malware de forma predeterminada y que utilizaran procesos de seguridad donde el usuario pueda cotejar los datos de la transacción contra manipulaciones como por ejemplo (siempre que la seguridad del teléfono móvil se mantenga) mTAN o lectores de tarjetas inteligentes con su propia pantalla que incluyan los datos de la transacción en el proceso de generación de TAN mientras los muestran de antemano al usuario (chipTAN). ^[4]

TAN indexado con CAPTCHA (iTANplus)

Antes de ingresar al iTAN, se le presenta al usuario un CAPTCHA , que en segundo plano también muestra los datos de la transacción y datos que se consideran desconocidos para un posible atacante, como la fecha de nacimiento del usuario. Esto tiene como objetivo dificultar (pero no imposibilitar) que un atacante falsifique el CAPTCHA.

Esta variante del iTAN es un método utilizado por algunos bancos alemanes que añade un CAPTCHA para reducir el riesgo de ataques de intermediarios. ^[5] Algunos bancos chinos también han implementado un método TAN similar a iTANplus. Un estudio reciente muestra que estos esquemas TAN basados ​​en CAPTCHA no son seguros contra ataques automatizados más avanzados. ^[6]

TAN móvil (mTAN)

Los bancos de Austria, Bulgaria, República Checa, Alemania, Hungría, Malasia, Países Bajos, Polonia, Rusia, Singapur, Sudáfrica, España, Suiza y algunos de Nueva Zelanda, Australia, Reino Unido y Ucrania utilizan mTAN. Cuando el usuario inicia una transacción, el banco genera un TAN y lo envía al teléfono móvil del usuario por SMS . El SMS también puede incluir datos de la transacción, lo que permite al usuario verificar que la transacción no se haya modificado durante la transmisión al banco.

Sin embargo, la seguridad de este esquema depende de la seguridad del sistema de telefonía móvil. En Sudáfrica, donde los códigos TAN entregados por SMS son comunes, ha aparecido un nuevo ataque: el fraude de intercambio de SIM. Un vector de ataque común es que el atacante se haga pasar por la víctima y obtenga una tarjeta SIM de reemplazo para el teléfono de la víctima del operador de red móvil . El nombre de usuario y la contraseña de la víctima se obtienen por otros medios (como el registro de teclas o el phishing ). Entre la obtención de la SIM clonada/de reemplazo y la víctima notando que su teléfono ya no funciona, el atacante puede transferir/extraer los fondos de la víctima de sus cuentas. ^{[7] En 2016, un} ingeniero social realizó un estudio sobre el fraude de intercambio de SIM , que reveló debilidades en la emisión de números de portabilidad.

En 2014 se publicó una vulnerabilidad en el sistema de señalización nº 7 utilizado para la transmisión de SMS que permite la interceptación de mensajes. Fue demostrada por Tobias Engel durante el 31º Congreso de Comunicación del Caos . ^[8] A principios de 2017, esta vulnerabilidad se utilizó con éxito en Alemania para interceptar SMS y redirigir fraudulentamente transferencias de fondos. ^[9]

Además, el auge de los teléfonos inteligentes provocó ataques de malware que intentaban infectar simultáneamente la PC y el teléfono móvil para romper el esquema mTAN. ^[10]

empujarTAN

PushTAN es un sistema de TAN basado en una aplicación del grupo bancario alemán Sparkassen que reduce algunas de las deficiencias del sistema mTAN. Elimina el coste de los mensajes SMS y no es susceptible al fraude con tarjetas SIM, ya que los mensajes se envían a través de una aplicación especial de mensajería de texto al teléfono inteligente del usuario mediante una conexión a Internet cifrada. Al igual que mTAN, el sistema permite al usuario comprobar los detalles de la transacción frente a manipulaciones ocultas realizadas por troyanos en el PC del usuario incluyendo los detalles reales de la transacción que el banco recibió en el mensaje pushTAN. Aunque es análogo al uso de mTAN con un teléfono inteligente, existe el riesgo de una infección de malware paralela del PC y el teléfono inteligente. Para reducir este riesgo, la aplicación pushTAN deja de funcionar si el dispositivo móvil está rooteado o jailbreakeado. ^[11] A finales de 2014, el Deutsche Kreditbank (DKB) también adoptó el sistema pushTAN. ^[12]

Generadores TAN

Generadores TAN simples

El riesgo de comprometer toda la lista TAN se puede reducir utilizando tokens de seguridad que generan TAN sobre la marcha, basándose en un secreto conocido por el banco y almacenado en el token o en una tarjeta inteligente insertada en el token.

Sin embargo, el TAN generado no está vinculado a los detalles de una transacción específica. Debido a que el TAN es válido para cualquier transacción enviada con él, no protege contra ataques de phishing en los que el atacante utiliza directamente el TAN, ni contra ataques de intermediarios .

ChipTAN / Sm@rt-TAN / TarjetaTAN

Generador ChipTAN (versión óptica) con tarjeta bancaria acoplada. Las dos flechas blancas marcan los límites del código de barras en la pantalla del ordenador.

ChipTAN es un sistema TAN utilizado por muchos bancos alemanes y austriacos. ^{[13] [14] [15]} Se lo conoce como ChipTAN o Sm@rt-TAN ^[16] en Alemania y como CardTAN en Austria, mientras que cardTAN es un estándar técnicamente independiente. ^[17]

El generador de ChipTAN no está vinculado a una cuenta en particular, sino que el usuario debe introducir su tarjeta bancaria durante el uso. El TAN generado es específico para la tarjeta bancaria, así como para los datos de la transacción actual. Existen dos variantes: en la variante más antigua, los datos de la transacción (al menos el importe y el número de cuenta) deben introducirse manualmente.En la variante moderna, el usuario ingresa la transacción en línea y luego el generador de TAN lee los detalles de la transacción a través de un código de barras parpadeante en la pantalla de la computadora (usando fotodetectores ). Luego muestra los detalles de la transacción en su propia pantalla al usuario para que los confirme antes de generar el TAN.

Al tratarse de un hardware independiente, acoplado únicamente por un canal de comunicación simple, el generador de TAN no es susceptible de ser atacado desde el ordenador del usuario. Incluso si el ordenador es atacado por un troyano , o si se produce un ataque de tipo man-in-the-middle , el TAN generado sólo es válido para la transacción confirmada por el usuario en la pantalla del generador de TAN, por lo que modificar una transacción de forma retroactiva haría que el TAN no fuera válido.

Una ventaja adicional de este esquema es que debido a que el generador TAN es genérico y requiere la inserción de una tarjeta, se puede utilizar con múltiples cuentas en diferentes bancos y perder el generador no es un riesgo de seguridad porque los datos críticos para la seguridad se almacenan en la tarjeta bancaria.

Si bien ofrece protección contra la manipulación técnica, el esquema ChipTAN sigue siendo vulnerable a la ingeniería social . Los atacantes han intentado persuadir a los propios usuarios para que autoricen una transferencia con un pretexto, por ejemplo, afirmando que el banco exigía una "transferencia de prueba" o que una empresa había transferido dinero falsamente a la cuenta del usuario y que debían "devolverlo". ^{[2] [18]} Por lo tanto, los usuarios nunca deben confirmar transferencias bancarias que no hayan iniciado ellos mismos.

ChipTAN también se utiliza para proteger las transferencias por lotes ( Sammelüberweisungen ). Sin embargo, este método ofrece significativamente menos seguridad que el de las transferencias individuales. En el caso de una transferencia por lotes, el generador de TAN solo mostrará el número y el monto total de todas las transferencias combinadas, por lo que para las transferencias por lotes hay poca protección contra la manipulación por parte de un troyano. ^[19] Esta vulnerabilidad fue reportada por RedTeam Pentesting en noviembre de 2009. ^[20] En respuesta, como mitigación, algunos bancos cambiaron su manejo de transferencias por lotes para que las transferencias por lotes que contengan solo un solo registro se traten como transferencias individuales.

Véase también

• Contraseña de un solo uso
• Token de seguridad

Referencias

1. "Número de autenticación de transacción (TAN)". Fraud.net . Consultado el 14 de diciembre de 2023 .
2. Candid Wüest, Equipo de respuesta de seguridad global de Symantec ¿Avances actuales en los troyanos bancarios? Archivado el 25 de abril de 2014 en Wayback Machine iriss.ie, Irish Reporting and Information Security Service, 2 de diciembre de 2012 (PDF; 1,9 MB)
3. Katusha: LKA zerschlägt Ring von Online-Betrügern WinFuture.de, 29 de octubre de 2010
4. Los robos a bancos online de “grandes apostadores” revelan lagunas de seguridad Agencia de la Unión Europea para la Seguridad de las Redes y de la Información, 5 de julio de 2012
5. heise en línea (26 de octubre de 2007). "Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen" (en alemán).
6. Li, Shujun; Syed Amier Haider Shah; Muhammad Asad Usman Khan; Syed Ali Khayam; Ahmad-Reza Sadeghi; Roland Schmitz (2010). "Breaking e-Banking CAPTCHAs". Actas de la 26.ª Conferencia Anual sobre Aplicaciones de Seguridad Informática (ACSAC 2010) . Nueva York, NY, EE. UU.: ACM. págs. 171–180. doi :10.1145/1920261.1920288.
7. La pesadilla de una víctima de fraude con intercambio de tarjetas SIM iol.co.za, Independent Online, 12 de enero de 2008
8. "31C3: Mobilfunk-Protokoll SS7 offen wie ein Scheunentor" (en alemán). 2014-12-28.
9. Fabián A. Scherschel (3 de mayo de 2017). "Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt" (en alemán).
10. El troyano SMS Eurograbber roba 36 millones de euros a bancos online techworld.com, 5 de diciembre de 2012
11. Online-Banking mit pushTAN - Preguntas frecuentes berliner-sparkasse.de, Berliner Sparkasse (AöR), obtenido el 27 de agosto de 2014.
12. Informationen zu pushTAN dkb.de, Deutsche Kreditbank AG, obtenido el 12 de marzo de 2015.
13. Página oficial del Postbank chipTAN, consultado el 10 de abril de 2014.
14. chipTAN: Escuche werden überflüssig página oficial de Sparkasse, obtenido el 10 de abril de 2014.
15. Die cardTAN página oficial de Raiffeisen Bankengruppe Österreich, obtenido el 10 de abril de 2014.
16. "Sm@rt-TAN". www.vr-banking-app.de (en alemán) . Consultado el 10 de octubre de 2018 .
17. La nueva tarjetaTAN ebankingsicherheit.at, Gemalto NV, consultado el 22 de octubre de 2014.
18. El ataque Tatanga expone las debilidades de chipTAN trusteer.com, 4 de septiembre de 2012
19. "chipTAN-Verfahren / ¿Se angezeigt im TAN-Generator?" (PDF) . Sparkasse Neckartal-Odenwald. Junio ​​de 2013 . Consultado el 1 de diciembre de 2014 . SEPA-Sammelüberweisung, Inhalt: mehr como 1 Posten. Anzeige 1: Summe, Anzeige 2: Anzahl Posten
20. "Ataques Man-in-the-Middle contra el sistema de banca online chipTAN Comfort". RedTeam Pentesting GmbH . Consultado el 1 de diciembre de 2014 .