LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 19:39:42

LegalToday

Por y para profesionales del Derecho

La Agencia de Ciberseguridad de la UE pide identidades electrónicas con credenciales de uso único

Legal Today

Conforme a una encuesta realizada por ENISA (Agencia Europea de Seguridad de la Información), algunas instituciones financieras continúan sin tener en cuenta el riesgo que suponen los mecanismos de autenticación inadecuados a la hora de hacer transacciones. El propósito principal de la encuesta ha sido recoger información acerca de la identidad electrónica y los sistemas de autenticación utilizados en la financiación electrónica y los sistemas de pago electrónico. Todo ello para analizar los riesgos asociados a cada mecanismo y elaborar un informe con las mejores prácticas recomendadas para los principales actores de este sector: instituciones financieras, comerciantes y prestadores de servicios de pago.

Tarjeta de crédito

ENISA (Agencia Europea de Seguridad de la Información) ha analizado más de 100 respuestas a una encuesta distribuida entre comerciantes y profesionales de la seguridad en el campo de la banca electrónica sobre el método de autenticación e identidad electrónicas (eIDAS, por sus siglas en inglés) que emplean los clientes y las empresas en los sistemas de finanzas electrónicas y de pagos electrónicos.

Asimismo, la Agencia ha identificado los riesgos y los patrones de los ataques concernientes a cada uno de los diferentes mecanismos de autenticación, incluyendo el phishing (ataques selectivos), el robo de identidad, el secuestro de sesiones e identidad, etc. de las instituciones financieras, comerciantes y proveedores de servicios de pago.

Desde que la usabilidad es uno de los criterios más populares para la selección de mecanismos de autenticación en la mayoría de las aplicaciones de banca electrónica cabe más el riego, según la Agencia, de un detrimento de la seguridad real. Un ejemplo que menciona el informe es el teclado virtual, percibido como fácil de utilizar por los profesionales (con 8 puntos sobre 10) y no-utilizable por los usuarios (con 5.4 sobre 10), probablemente porque nadie les ha explicado cómo usarlo y sus ventajas para protegerlo de la keyloggers.

Como resultado del estudio de las respuestas a la encuesta, ENISA ha elaborado unas directrices, unas mejores prácticas y unas recomendaciones para la banca electrónica y los pagos por Internet. Por su parte, el Banco Central Europeo y la Comisión Europea están desarrollando recomendaciones y reglamentos que están en línea con el informe al que nos estamos refiriendo con el fin de identificar y crear herramientas que permitan reducir las pérdidas financieras causadas por el fraude. Entre las recomendaciones clave de la Agencia Europea de Seguridad de la Información están:

1. Mejorar la seguridad en el entorno de las finanzas electrónicas, lo que significa que los actores financieros deberán:

  • Elaborar análisis de riesgos basados en el perfil de los clientes y el tamaño de la institución.
  • Mejorar la concienciación y las aptitudes de los clientes.
  • Diseñar métodos de autenticación a la medida de los perfiles de comportamiento del cliente y los parámetros de sus transacciones (por ejemplo, país de destino, cantidad).
  • Detectar con prontitud las debilidades de los dispositivos de los clientes a través del registro del dispositivo, las pruebas y la evaluación de su seguridad.

2. Mejorar la seguridad de las aplicaciones en las finanzas electrónicas y en sus canales de distribución a clientes: fomentar la tradicional "seguridad por diseño", teniendo en cuenta la propuesta de una nueva Directiva de protección de datos personales, y usar los canales de confianza para instalar aplicaciones en el dispositivo del cliente. ¿Quiere saber algo más acerca de la nueva Directiva de protección de datos? 

3. Promover la proporcionalidad entre la robustez de los métodos seleccionados y los riesgos identificados (la idoneidad de eIDAS al contexto de transacción), poniendo el énfasis en el uso de dos factores de autenticación incluso en el caso de operaciones de bajo riesgo (por ejemplo, como en los cajeros automáticos: una tarjeta y un código PIN).

4. Mejorar los conocimientos y el comportamiento tanto de los clientes como de los profesionales.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.