3-D Secure (Verified by Visa, MasterCard SecureCode). El principio del fin

Hola,

Hace algunos años se introdujo por parte de las marcas lo que hoy se conoce como 3-D Secure. La idea no era mala: ponerle coto al fraude con tarjeta no presente (card not present fraud), que es aquel que se consuma disponiendo de los datos de la tarjeta y no de la tarjeta en sí. Para reducir los eventos de fraude, 3-D Secure introdujo una contraseña que serviría para confirmar que somos los legítimos propietarios de la tarjeta que pretendemos emplear. En este escenario que muchos conoceréis, al introducir los datos de tarjeta se nos transporta a una pantalla en la que introducimos, como parte del proceso de compraventa, la contraseña que hayamos especificado en nuestro programa Verified by Visa o MasterCard SecureCode para la tarjeta que estemos usando. Sin introducir esta contraseña no es posible completar la operación, independientemente del hecho de conocer el PAN, la fecha de caducidad, el titular y el código de verificación.

Este protocolo se ideó con buenas intenciones, pero tiene un error de diseño mortal de necesidad consistente en la creencia de que las contraseñas serían eternamente suficientes para poder impedir el fraude. Durante años nadie ha hecho nada para mejorar lo que a todas luces era mejorable, algo que ha quedado patente con la banca a distancia y el fracaso de las estrategias de autenticación de personas basadas en contraseñas.

Tal y como ha evolucionado el crimen tecnológico, salir a la red a realizar operaciones financieras protegiendo nuestros activos sólo con contraseñas es una receta para el desastre. Los responsables son los de siempre, los amigos de lo ajeno, que en vez de dormirse en los laureles de la lucha contra el fraude innovan todos los días y no dejan títere con cabeza aprovechando cualquier resquicio de debilidad, evidenciando, tal y como hemos explicado, que los métodos tradicionales de autenticación están absolutamente muertos a todos los niveles. Ya lo descubrimos tiempo atrás con la banca a distancia y hoy confirmamos que con el comercio electrónico, como no podía ser de otro modo, pasa igual. Los ejemplares de Zeus atacando al protocolo 3-D Secure son una clara evidencia de ello.

El comercio electrónico del siglo XXI merece una seguridad acorde a los tiempos que corren. El camino es autenticar transacciones, no a las personas. Espero que la más que previsible proliferación de este tipo de ataques sirva para poder acercar a los titulares de las tarjetas medios verdaderamente seguros para operar en Internet, aunque mucho me temo que a tenor de lo ocurrido en la banca a distancia, pasará mucho tiempo antes de que veamos medios realmente seguros disponibles para todos. Espero equivocarme.

Verified by Visa y MasterCard Securecode: cuando se diseñan mal los mecanismos de autenticación

Hola,

Me gustaría enlazar un paper en el que se pone, de una manera ordenada y por escrito, lo que muchos piensan desde hace mucho tiempo: no siempre las implementaciones del protocolo 3-D Secure para tarjetas financieras están bien hechas.

Este protocolo, utilizado en los programas Verified by Visa y MasterCard Securecode, tiene como objetivo principal reducir el fraude con medio de pago no presente. La idea es generar, para cada plástico, un código que será requerido para autenticar una transacción de comercio electrónico. Este código ha de introducirse en una ventana generalmente independiente con el objetivo de que el legítimo titular de la tarjeta demuestre que es él y no otra persona el que está ejecutando la transacción. Este protocolo, tal y como hemos comentado, surgió con la idea de proteger a los usuarios de los fraudes con medio de pago no presente, es decir, de aquellas compras realizadas por los atacantes sin estar en posesión de la tarjeta, pero en las que se utilizan datos previamente adquiridos (generalmente por skimming o troyanización de estaciones), como el titular, el PAN o número de tarjeta, la fecha de caducidad y el código de verificación.

verified by visa

El documento se titula Veri fied by Visa and MasterCard SecureCode: or, How Not to Design Authentication y es una crítica a cómo algunas implementaciones de estos formularios de autenticación de transacciones obvian que al usuario se le lleva años educando para, entre otras cosas, tratar de discernir si el dominio donde introduce datos casa con el dominio habitual de un negocio o empresa, o para advertir la presencia de certificados HTTPS, entre otras cosas. Por otro lado, los navegadores han empujado en este sentido bastante, introduciendo mejoras como la coloración de la barra de herramientas, el resalte del nombre de dominio, la gestión de certificados, los controles antiphishing … todo con una única finalidad: intentar que los usuarios detecten por sí mismos sitios fraudulentos o sospechosos.

Y claro, si implementas 3-D Secure y te cepillas esas medidas, flaco favor le haces a la seguridad de tus clientes y en general, al esfuerzo que durante años muchísimas personas han invertido en tratar de que las cifras de fraude, en vez de aumentar constantemente, se estabilicen o reduzcan.

Un saludo,