3-D Secure (Verified by Visa, MasterCard SecureCode). El principio del fin

Hola,

Hace algunos años se introdujo por parte de las marcas lo que hoy se conoce como 3-D Secure. La idea no era mala: ponerle coto al fraude con tarjeta no presente (card not present fraud), que es aquel que se consuma disponiendo de los datos de la tarjeta y no de la tarjeta en sí. Para reducir los eventos de fraude, 3-D Secure introdujo una contraseña que serviría para confirmar que somos los legítimos propietarios de la tarjeta que pretendemos emplear. En este escenario que muchos conoceréis, al introducir los datos de tarjeta se nos transporta a una pantalla en la que introducimos, como parte del proceso de compraventa, la contraseña que hayamos especificado en nuestro programa Verified by Visa o MasterCard SecureCode para la tarjeta que estemos usando. Sin introducir esta contraseña no es posible completar la operación, independientemente del hecho de conocer el PAN, la fecha de caducidad, el titular y el código de verificación.

Este protocolo se ideó con buenas intenciones, pero tiene un error de diseño mortal de necesidad consistente en la creencia de que las contraseñas serían eternamente suficientes para poder impedir el fraude. Durante años nadie ha hecho nada para mejorar lo que a todas luces era mejorable, algo que ha quedado patente con la banca a distancia y el fracaso de las estrategias de autenticación de personas basadas en contraseñas.

Tal y como ha evolucionado el crimen tecnológico, salir a la red a realizar operaciones financieras protegiendo nuestros activos sólo con contraseñas es una receta para el desastre. Los responsables son los de siempre, los amigos de lo ajeno, que en vez de dormirse en los laureles de la lucha contra el fraude innovan todos los días y no dejan títere con cabeza aprovechando cualquier resquicio de debilidad, evidenciando, tal y como hemos explicado, que los métodos tradicionales de autenticación están absolutamente muertos a todos los niveles. Ya lo descubrimos tiempo atrás con la banca a distancia y hoy confirmamos que con el comercio electrónico, como no podía ser de otro modo, pasa igual. Los ejemplares de Zeus atacando al protocolo 3-D Secure son una clara evidencia de ello.

El comercio electrónico del siglo XXI merece una seguridad acorde a los tiempos que corren. El camino es autenticar transacciones, no a las personas. Espero que la más que previsible proliferación de este tipo de ataques sirva para poder acercar a los titulares de las tarjetas medios verdaderamente seguros para operar en Internet, aunque mucho me temo que a tenor de lo ocurrido en la banca a distancia, pasará mucho tiempo antes de que veamos medios realmente seguros disponibles para todos. Espero equivocarme.

8 comentarios sobre “3-D Secure (Verified by Visa, MasterCard SecureCode). El principio del fin

  1. Cuánta razón tienes cuando dices que lo que hay que autenticar no son las personas, con una contraseña fácilmente asaltable, sino la transacción con ese código enviado por otra vía a otro dispositivo y que caduque, digamos, a los 10 minutos. (Tiempo más que suficiente para revisar el móvil y teclear el código que sea en el cajero, o en la ventana donde estemos realizando el pago.)

  2. Felipe,

    Hace casi dos años escribí sobre una posible solución, que lejos de ser perfecta, parece mejor que lo que hay.

    http://www.sahw.com/wp/archivos/2008/06/25/nuevas-tarjetas-visa-pin-para-combatir-el-fraude-cnp-card-not-present/

    Tengo la impresión de que, ya que hay que autenticar al cliente en el ambiente del emisor (es tu banco el que te presenta la pantalla y realiza las verificaciones de tu clave 3-D Secure), sería posible lanzar un reto que deba ser respondido con una OTP que se genere en función de la transacción. Por ejemplo, mTANs, que ya se están utilizando con éxito para confirmar transacciones en cuenta corriente. ¿Por qué no usarlas en el ámbito del comercio electrónico?

    Creo que tenemos tecnología más que suficiente para depender de una clave estática. Autenticar a las personas es algo del pasado.

    Un saludo,

    Versvs,

    Efectivamente es una manera de abordar el problema. Tampoco es perfecta, ya que añadir elementos al proceso de compra es algo que los negocios no quieren ver ni en pintura, ya que la máxima es simplificar y facilitar que la gente ejecute transacciones. Muchas entidades ni siquiera tienen una clientela con base tecnológica suficiente para poder recurrir a estos métodos, y otras lo que no tienen es ganas de gastar en algo que no les brinda beneficios directos e inmediatos.

    Sea como fuere, todo es mejorable :)

    Un saludo para los dos,

  3. Sergio,

    Buen post. Y van…

    Algo de crítica y una aportación.

    Primer error:

    Se trata de autenticar transacciones, pero para ello es también es preciso autenticar personas previamente, por ejemplo autenticar al usuario de la tarjeta de cargo y al mismo tiempo del número de teléfono móvil.

    La clave es que la autenticación o no se base en el medio (tarjeta de débito o crédito o teléfono móvil), o que se base en el medio y en la transacción. Pero indudablemente siempre será preciso autenticar con carácter previo al titular del medio de pago y/o teléfono móvil.

    Segundo error:

    Te equivocas cuando dices «durante años nadie ha hecho nada para mejorar lo que a todas luces era mejorable, algo que ha quedado patente con la banca a distancia y el fracaso de las estrategias de autenticación de personas basadas en contraseñas».

    Lo hicieron BBVA y Telefónica, Móvilpago. Pero luego el TDC, instado por Santander y Vodafone, obligó a abrir el negocio a nivel nacional a emisores y adquirentes de tarjetas, operadores móviles y procesadores de medios de pago, lo cual dio lugar a Mobipay. Pocas entidades financieras no le entraron al asunto y todos los operadores y procesadores estuvieron en el ajo. Tantos conflictos de intereses entre los diferentes accionistas y las marcas de medios de pago dieron al traste con el negocio.

    mTAN no es más que poner un gestor de referencias, cosa que hacía Mobipay tanto para las transacciones online como para transacciones en máquinas vending. Y que estaba también previsto por ejemplo para las transacciones de autenticación en la banca online.

    Aportación:

    Como dice Versvs, debe aplicarse filosofía OTP, tiempo breve para caducidad de la clave, o si no al menos establecer que la autenticación de transacciones se deba de hacer preferiblemente por otro canal de comunicación diferente a Internet, por ejemplo el propio teléfono móvil, leches, ESO SÍ, SIN COSTE PARA EL USUARIO. Mobipay así lo hacía: se empleaba el protocolo USSD de telefonía móvil, pero en el modelo de negocio los operadores facturaban por cada mensaje.

    Julián Inza fue uno de los padres de todo este embrollo.

    Gracias

    Un saludo

  4. Hola Álvaro,

    Gracias por tu aportación, siempre bienvenida :)

    Respecto al primer error no creo que sea tal, pero bueno, si sirve para clarificar efectivamente para autenticar una transacción lo normal es autenticar previamente a la persona. Yo siento discrepar contigo, para mí no es una cuestión del canal, es una cuestión de que la transacción, incluso violada la autenticación de la misma en el canal que sea, esté ligada a unos parámetros exclusivamente relacionados con nuestra operativa que impidan su utilización maliciosa por terceros.

    Respecto al segundo error comentarte que antes que Mobipay también estaba por ahí ePagado, de Bankinter. El problema que llevo a ambos a la situación en la que están es que amigo mío, nadie quiere pagar el coste de los mensajes SMS, y el cliente pues resulta que tampoco está por la labor :) Técnicamente la autenticación fuera de banda es magnífica, pero a nivel negocio no han terminado de cuajar. La gran diferencia de las mTANs respecto a estos métodos es que el cliente no tiene por qué confirmar nada mediante SMS, y por ende, no paga cada autenticación, y eso hace que funcione, y funcione bien.

    Un saludo cordial, y gracias por dejar tus comentarios.

  5. Buenas, Sergio

    Coincido en que no es una cuestión de canal, sino de autenticación. Si bien no obstante la autenticación mediante otro canal aporta un plus de seguridad, y hasta hace poco de coste, pero me temo que poco a poco este coste desaparecerá.

    Mobipay, lo mismo que epagado, tenían el problema del coste de la interactuación mediante SMS por los usuarios, pero a día de hoy, era de los dispositivos móviles con acceso a Internet y aplicaciones para los mismos mucho me temo que ese coste desaparece.

    Por ejemplo, en operaciones presenciales, máquinas vending,… podría aplicarse la autenticación de transacciones haciendo llegar un SMS al móvil del usuario con el mTANl para que a continuación la remitamos mediante la aplicación de banca en el móvil. Esto mejoraría la seguridad en los fraudes en los que se ha robado la tarjeta y se conoce el PIN, el fraude mediante la inclusión de cualquier PIN aprovechando la vulnerabilidad EMV divulgada en Inglaterra hace ya unos meses,…

    Ya en operaciones no presenciales se le haría llegar el mTAN al usuario mediante SMS, quien lo enviaría mediante la aplicación de banca móvil.

    Eso sí, aún nos quedarían pendientes los usuarios que no tienen contratado acceso a Internet en el móvil.

    Un saludo

Comentarios cerrados.