¿Cuáles son los riesgos y vulnerabilidades más importantes relacionados con el uso de OTP como segundo factor de autenticación en los procesos de compra en línea y cómo se relacionan con la técnica de SIM SWAPPING?

La sigla OTP proviene del término en inglés «One-Time Password», que en español se traduce como «Contraseña de un solo uso». Este concepto hace referencia a un código generado automáticamente por un sistema y que solo puede ser utilizado una vez para autenticar una transacción o el acceso a una cuenta en línea. Un ejemplo de su uso sería en un proceso de pago en un sitio web de comercio electrónico. El código generado por OTP es temporal y se genera específicamente para esa transacción en particular. 

La operativa para proporcionar un segundo factor de autenticación se ha centrado fundamentalmente en estrategias basadas en el teléfono móvil de la persona usuaria, bien mediante OTP o mediante el uso de apps. Esta aproximación pretendía aprovechar la facilidad de despliegue, ya que el dispositivo lo proporcionaba la propia persona usuaria, además de permitir a la entidad financiera, en el caso de la App, desplegar productos y servicios adicionales. 

En el caso de las OTP, viene siendo habitual que al realizar la operación financiera se envíe al número de teléfono móvil, que previamente se ha dado de alta en la cuenta, un mensaje SMS con un código (OTP) que se debe introducir en la web o app donde se esté realizando la compra o en el servicio bancario en el que se esté efectuando una transacción. De esta manera, el doble factor se consigue al conocer los datos bancarios y disponer del número de teléfono móvil donde recibir la contraseña de un solo uso. 

El protocolo que se utiliza para enviar los SMS denominado SS7 fue desarrollado hace más de 40 años sin tener la seguridad como uno de sus objetivos y que recientemente ha sido noticia por brechas de seguridad relacionadas con sus vulnerabilidades. Por otro lado, las diferentes debilidades de esta forma de identificarse pueden verse reflejadas en noticias en las que se alerta de operaciones bancarias realizadas por un tercero que ha tenido acceso a cuentas bancarias de forma online. El proceso es el siguiente: 

• En primer lugar consiguen nuestro usuario y contraseña, ya sea por una brecha de seguridad sufrida en otro proveedor en el que estamos reutilizando esas credenciales o al haber sufrido un phishing en el que nos han robado esta información al haber intentado acceder a una web falsa del banco.

• Una vez que tienen nuestro usuario y contraseña, se dirigen a la operadora telefónica suplantando nuestra identidad. Para ello pueden utilizar datos que tengamos publicados abiertamente en redes sociales o datos afectados por brechas de seguridad, por ejemplo, una imagen de un documento oficial que hayamos enviado a otro servicio web.

• Superados los mecanismos de verificación del operador, nuestra identidad ha sido suplantada, pudiendo solicitar un duplicado de nuestra tarjeta SIM para rápidamente realizar las operaciones fraudulentas en nuestra cuenta bancaria. Esta técnica se denomina SIM Swapping y si nos quedamos sin cobertura en un sitio en el que no debería suceder esto, puede que estemos sufriendo este fraude.

Para intentar combatir este tipo de fraudes, entidades bancarias y grandes compañías de internet han empezado a aplicar alternativas al envío de OTPs vía SMS mediante la opción de enviar dichos códigos a través de notificaciones en Apps propias instaladas en dispositivos móviles verificados. En caso de duplicado de la tarjeta SIM el mensaje con el código seguiría llegando a la App instalada en el dispositivo original vía Internet, en lugar de un SMS al dispositivo del atacante. Sin embargo, la amenaza puede persistir mientras esta migración no se complete o si los procedimientos para cambios en el dispositivo de confianza son débiles por estar basados en contraseñas, preguntas de seguridad o SMS. 

Fuente de información: https://www.aepd.es/es/prensa-y-comunicacion/blog/identificacion-servicios-pago-online