Número de autenticación de transacción
El Número de autenticación de transacción (o TAN, por sus siglas en inglés), conocido también como número de autorización de transacción o código de autentificación de transacción, constituye la segunda capa de seguridad en un sistema de autenticación de dos factores (a2f)[1][2] que se usa por los bancos modernos durante la utilización de sus servicios telemáticos —la banca en línea— para acceder a sus cuentas y realizar operaciones en ellas.[1] Los TAN sirven por tanto para ofrecer más seguridad a las operaciones bancarias y reducir el fraude.[3]
Dicho mecanismo de seguridad consiste actualmente en el envío de un número (o código) de autorización único a un aparato móvil del cliente, pudiendo ser un teléfono móvil, teléfono inteligente (smartphone), una tableta o un lector de tarjetas, a través de un SMS, una aplicación creada por el banco a este fin o cualquier otro método, que consiguientemente debe ser usado para proceder a la operación deseada.[2]
Los TAN, que suelen consistir en 6 cifras, sirven como un factor de autentificación en un sistema a2f, ya que el nombre de usuario del cliente y la contraseña por sí solos ya no son suficientes para acceder a una cuenta bancaria, ni el haber accedido a ella es suficiente para poder realizar la mayoría de transacciones y operaciones en línea.
Tipos de TAN y aparatos
editarMétodos principales
editarActualmente, los modelos de autenticación de transacción suelen requerir que el usuario esté en posesión de un dispositivo móvil con características físicas únicas, un requerimiento que se satisface bien a través del microchip integrado en las modernas tarjetas de crédito, débito y otras, conforme a la legislación vigente en la mayoría de países, bien a través de una tarjeta SIM o, a su vez, con el uso de un teléfono inteligente. Existen varios métodos, o esquemas, que requieren de diferentes tipos de sistemas:
- El conocido como lector de tarjetas Chip y TAN o generador de números TAN, es un dispositivo que sirve para acceder y comprobar los datos del microchip de la tarjeta bancaria que se introduce en él. Consiste en un teclado de números y una pantalla en la que se pueden leer los números de autentificación generados para cada operación (y otros datos, según el caso). Existe una variedad de lectores, algunos universales y otros facilitados por los propios bancos (en algunos países se reparten gratis o como regalo por la apertura de una nueva cuenta; también se pueden adquirir en línea). Este modelo de autenticación es conocido como ChipTAN, Sm@rt-TAN o CardTAN, según qué país, y se suele usar por clientes que no desean hacer uso de su teléfono móvil con estos fines.
- El TAN Móvil, o mTAN, hace uso de los mensajes de texto (SMS) para enviar al teléfono móvil del cliente el código de autentificación correspondiente a la operación deseada. Normalmente se incluyen en el mensaje algunos datos de la operación, como el importe que se transfiere en una transacción, a fin de facilitar su comprobación por el usuario. Sin embargo, debido a que el TAN se genera en los servidores del banco y posteriormente es enviado al cliente, este modelo se ha visto vulnerable a ciberataques que han logrado interceptar los números enviados y en caso de una transacción desviar los fondos trasferidos. Aun así, el mTAN sigue siendo muy popular en muchos países ya que muchos bancos aún no ofrecen una aplicación propia, y no todos los usuarios poseen smartphones. Al mismo tiempo, el uso del mTAN en smartphones ha explotado otra brecha de seguridad que intercepta el número con el uso de malware.
- Los nuevos lectores de tarjetas Chip y Tan se fabrican con una cámara monocromática que sirve para captar la imagen de un código QR que se genera con cada operación (siempre y cuando usuario elige el QR-TAN como método de autenticación),[4] y que tras ser escaneado por el usuario desde la pantalla de un ordenador, se genera el correspondiente TAN para completar la operación. El atractivo de este método es el hecho de ofrecer más seguridad por el requerimiento de escanear físicamente el código generado y, como en el caso de los demás ChipTAN, requiere la lectura del microchip de la tarjeta bancaria.
- Los métodos más recientes y más usados en la actualidad hacen uso de una aplicación instalada en el teléfono inteligente o tableta del cliente. En Europa se están convirtiendo en métodos casi imprescindibles desde la entrada en vigor de la normativa PSD2 en septiembre de 2019.[5] Muchos bancos ofrecen la posibilidad de agregar varios aparatos, cada uno con una identificación única, a una lista de dispositivos aprobados por el cliente en su cuenta en línea. Puesto que la agregación de cada dispositivo en sí requiere el uso de un TAN, el primer aparato que se registra suele requerir un número de activación o, a su vez, un código QR o una imagen encriptada, que se suelen enviar al cliente por correo postal. Estas aplicaciones son singulares para cada banco y se pueden descargar en las tiendas de aplicaciones de los distintos sistemas operativos. Con ello se sortea la brecha de seguridad de los SMS, ya que el envío de los datos se realiza a través de una conexión encriptada a internet. Adicionalmente, para reducir el riesgo de infección por malware, estas aplicaciones dejan de funcionar en casos de rooting (Android) o jailbreak (iOS).
- El pushTAN es el nombre que se da al método que consiste en la inclusión del TAN en una notificación Push. En algunos casos la notificación ya incluye el número TAN y, como en otros métodos, algún que otro detalle relevante de la operación a ser comprobado por el cliente. En otros casos, los únicos permitidos en algunos países, la notificación solo notifica que el usuario deba acceder a la aplicación, que a su vez requiere una contraseña o, cada vez más común, el escaneo de la huella dactilar, para posteriormente generar el TAN. Una de las ventajas de las aplicaciones se da en el caso de utilizar la banca en línea a través del mismo dispositivo móvil (en un navegador o usando una aplicación del banco que suele ser distinta a la del TAN). En estos casos, una vez generado el código, suele ser detectado y copiado directamente con el permiso del usuario.
- Las cámaras de los teléfonos inteligentes y su función como escáner han permitido la incorporación de un sistema novedoso, y el más seguro de todos,[4] llamado PhotoTAN o a veces CrontoSign, que consiste en el escaneo de una imagen encriptada compuesta de múltiples puntos de colores distintos. Como en el caso del QR-TAN, la imagen se genera en la pantalla en la que se realiza la operación, debiendo ser escaneada por el usuario usando uno de sus dispositivos registrados, para luego convertirse por la aplicación móvil en el TAN. En caso de acceder a la banca en línea a través del dispositivo móvil, dicho código suele ser captado por la aplicación TAN con el permiso del usuario, y el número generado transferido de vuelta a la banca en línea, lo cual hace que sea una operación sencilla a la vez que segura. Recientemente han salido al mercado lectores de tarjetas con cámaras de color capaces de escanear los PhotoTAN, haciendo uso de software especialmente diseñado a este fin.[6]
Métodos anteriores
editarLos primeros códigos de autenticación de transacción consistían en listas de múltiples números, normalmente de 6 cifras, facilitadas al cliente por el banco con la apertura de una nueva cuenta, y cada vez que caducaba la lista o se agotaban todos los números, ya que se podía hacer uso de cada TAN solo una vez, es decir un TAN único para cada operación. Dichas listas se solían imprimir en tarjetas de plástico o en papel especial. Los primeros TAN, los llamados «clásicos», solo requerían que el usuario autorizara la transacción en línea con la introducción de cualquiera de estos números, tachándolo posteriormente de su lista.
Al TAN clásico le siguió el TAN indexado, o iTAN, más conocido en España y otros países como tarjetas de coordenadas, que se utilizó durante bastantes años. Sin embargo, en algunas regiones, como la Unión Europea, ya no está permitido.[5] Estas tarjetas de coordenadas consisten en una matriz de números TAN. Durante la transacción, se requiere al usuario que introduzca un TAN concreto de la tarjeta, indicándole las dos coordenadas correspondientes. En algunos bancos este método ha servido también para operaciones telefónicas e identificación del cliente en una conversación con su banco.
Métodos alternativos
editarEn los últimos años, con el aumento de la seguridad de los teléfonos inteligentes y el avance de los métodos y sistemas de verificación, tanto digitales como biométricos, el TAN ya no es indispensable para todas las operaciones que requieren de una autenticación de dos factores. Aún es obligatorio para operaciones de una sola vez (transferencias únicas, definición del primer aparato en la aplicación bancaria, etc.), si bien para operaciones repetitivas, la segunda autenticación suele usar modelos más instintivos, como la aprobación de un mensaje recibido en la aplicación mediante un movimiento del dedo en la pantalla táctil o el uso de una huella dactilar, entre otros. El TAN se sigue usando, sin embargo, para operaciones más vulnerables (como el cambio de contraseña o de los datos personales, solicitud de ciertos servicios, etc.) y, en algunos sistemas, para transferencias de grandes sumas de dinero. En todo caso, las aplicaciones TAN siguen formando un importante método de verificación en los aparatos móviles de clientes de la banca en línea y poseedores de tarjetas de crédito y débito que realizan pagos online.
Véase también
editarReferencias
editar- ↑ a b «Número de autenticación de transacción (TAN) · jtc1sc36.org - Insight nítida. La inversión más inteligente.». jtc1sc36.org - Insight nítida. La inversión más inteligente. 12 de marzo de 2019. Consultado el 29 de noviembre de 2019.
- ↑ a b «Número de autenticación de transacción (TAN) Definición 2019». Top tip finance. Consultado el 29 de noviembre de 2019.
- ↑ «Cambios que te afectan: así es el nuevo sistema de autenticación de la banca online». Crónica Global. Consultado el 29 de noviembre de 2019.
- ↑ a b professional, com!. «Online-Banking mit Photo-TAN und QR-TAN». com! - Das Computer-Magazin (en alemán). Consultado el 29 de noviembre de 2019.
- ↑ a b Pérez, Enrique (11 de septiembre de 2019). «Adiós a las tarjetas de coordenadas: así afecta a nuestro banco la normativa PSD2 y qué cambios llegan al pagar por internet». Xataka. Consultado el 29 de noviembre de 2019.
- ↑ «tanJack® photo QR - Chipkartenleser-Shop REINER SCT». shop.reiner-sct.com (en alemán). Consultado el 29 de noviembre de 2019.