(dpa) – Quien compra de forma frecuente en Internet o hace reservas en línea es probable que lo haya notado: los números de las tarjetas de crédito, la fecha de vencimiento y el código de seguridad ya no alcanzan a la hora de hacer el pago.
Cada vez más bancos demandan una autentificación a través de un código que genera una aplicación o de un SMS que llega al teléfono celular (mTAN), generalmente denominado 3D Secure por las tarjetas de crédito. Esto permitirá a los bancos cumplir los requisitos de la nueva directiva de pagos de la Unión Europea (PSD 2), que entrará en vigor el 14 de septiembre.
La normativa rige tanto para las compras en línea como también para los sistemas bancarios en Internet, en las que los clientes necesitan una identificación adicional por cuestiones de seguridad para pagar u operar, por ello el nombre de autentificación de dos factores (2FA).
«Es importante que los factores provengan de diferentes categorías, en la que se utilice una combinación de conocimientos personales como una contraseña o un PIN, cosas en posesión personal como una tarjeta de chip o un generador de clave, o datos biométricos como la huella dactilar de uno mismo», explica Matthias Gärtner, portavoz de la Oficina Federal de Seguridad en la Tecnología de la Información alemana (BSI, por sus siglas en alemán).
¿Qué representa esto para los clientes que no utilizan un teléfono celular pero no quieren renunciar a las compras en línea ni al uso del sistema de operación bancaria en Internet? Ningún problema, asegura Tanja Beller, de la Asociación Federal de Bancos Alemanes (BDB).
«Existen diferentes hardware para la generación de claves, por ejemplo generadores a través de chip o foto», explica. Pero el sistema denominado mTAN, que utiliza un código enviado por SMS al teléfono móvil deseado, continúa vigente en muchos bancos.
Qué sistemas se ofrecen o se suprimen, sin embargo, se deja exclusivamente en manos de la entidad de crédito correspondiente.
«Nosotros recomendamos a todos los institutos de crédito que sigan ofreciendo el envío de claves vía SMS como apoyo para los clientes que no poseen teléfono celular», declara la portavoz de Mastercard, Juliane Schmitz-Engels.
Sin embargo, la situación es confusa, porque incluso dentro de los grupos no siempre es uniforme. Dos prestadores de servicio operan para las cajas de ahorro, uno de ellos prescindirá en el futuro de los denominados mTAN, el otro los mantendrá.
La BSI aconseja el uso de mTAN bajo ciertos aspectos de seguridad. Los generadores de clave que, según las autoridades, ofrecen la más alta seguridad son utilizados mayoritariamente para las operación bancarias en línea, pero no para el pago de compras en Internet. Además, los pequeños aparatos deben ser pagados en general por los clientes de los bancos.
La exclusividad que tienen hoy los bancos en el uso de generadores de claves podría tener un fin pronto. A petición de la filial alemana de Visa, es de esperar que «las entidades de crédito que ya utilizan estos procedimientos para la autenticación de transferencias bancarias hoy en día tengan grandes posibilidades de utilizarlos también para la autenticación de pagos 3D Secure».
Un ejemplo es el Commerzbank alemán. Su generador de clave a través de fotos, que cuesta 30 euros, a partir del 14 de septiembre no sólo será utilizado para las operaciones bancarias sino también para las compras en línea.
Los usuarios con teléfono celular podrán seguir utilizando una aplicación para la generación de claves de autenticación.
Las autoridades sin embargo desaconsejan que la autenticación de dos factores y las transacciones bancarias en línea se obtengan en un mismo dispositivo, al menos mientras el smartphone utilizado no tenga un elemento seguro en el que la identificación pueda circular encapsulada de forma segura.
«Siempre es más arriesgado si los delincuentes sólo tienen que controlar un dispositivo», explica el portavoz de la BSI alemana. Sin embargo, algunas entidades de crédito están trabajando en contra de esta recomendación.
Hay consumidores que estarían dispuestos a instalar una aplicación bancaria o de doble factor de autenticación, pero que no están autorizados a hacerlo: en los télefonos móviles cuyos sistemas puedan ser intervenidos (rooteados), la industria crediticia no permite la instalación y el uso de dichas aplicaciones por razones de seguridad. Lo mismo rige para teléfonos con antiguas versiones de Android.
Por Clemens Schöll (dpa)