Un token de seguridad (también token de autenticación o token criptográfico) es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación. Existen gran variedad de tipos de token. entre otros podemos encontrar:

> Token electrónicos

Tienen un tamaño pequeño que permiten ser llevados cómodamente en el bolsillo o la cartera y su diseño permite llevarlos en un llavero. Los tokens electrónicos se usan para almacenar claves criptográficas como firmas digitales o datos biométricos, como las huellas digitales. Algunos diseños se hacen a prueba de alteraciones, otros pueden incluir teclados para la entrada de un PIN.

RSA-SecurID-Tokens

> OTP (One Time Password)

La autenticación con contraseña de un solo uso o OTP (One-Time Password) es una variación de la autenticación con usuario/contraseña. En este método de autenticación se dificulta el acceso no autorizado haciendo que cada contraseña sea válida para una única sesión. Se tiene que usar una contraseña nueva para cada sesión. De esta forma se imposibilita que un atacante que capture el usuario y la contraseña usado, la pueda reutilizar (ataques de REPLAY). También hace al sistema más resistente frente ataques de fuerza bruta ya que cada vez que cambia la contraseña los intentos realizados anteriormente para romper la anterior contraseña no sirven para nada y hay que empezar desde cero (desde el punto de vista de complejidad algorítmica).

Métodos de implementación:

  • Utilizar algoritmos matemáticos para generar la contraseña. Algunos de estos algoritmos usan la contraseña anterior para hallar la siguiente. Por ejemplo, el esquema de Lamport se basa en el uso de una función hash OWHF h reiteradamente partiendo de la clave inicial w teniendo la siguiente secuencia: w, h(w),h((h(w)) etc.
  • Mediante una sincronización de tiempo entre el servidor autenticador y el cliente. En este sistema las claves son válidas durante un periodo de tiempo corto.
  • Mediante el pre-establecimiento entre el usuario y el verificador de una secuencia de contraseñas de un solo uso.
  • Una modificación del modelo anterior usa una tabla desafío-respuesta compartida por el usuario y el verificador de tal forma que el verificador hace una pregunta que permite seleccionar una determinada contraseña de dicha tabla. El usuario para ser autenticado debe responder con la contraseña ‘seleccionada’ por el servidor. Idealmente cada contraseña debe ser usada una sola vez. Este tipo de tablas son muy usadas para la autenticación en la web de algunos bancos (tarjetas de coordenadas)
  • Utilizar métodos criptográficos para intercambiarse la nueva clave: En estos sistemas inicialmente sólo hay una clave secreta compartida. Durante la autenticación con esa clave el usuario crea y transmite al verificador la nueva clave cifrada bajo una clave derivada de la clave anterior.

> Tarjeta de coordenadas

La tarjeta de coordenadas es una herramienta de seguridad adicional al PIN o clave de seguridad bancaria requerida para realizar operaciones que impliquen movimiento de fondos o contratación de productos y servicios a través de servicios a distancia (banca electrónica o banca telefónica).

Conforma un segundo factor de autenticación de la cuenta bancaria, pero a diferencia del PIN, que es fijo, es dinámica. Cuando una clave es dinámica es más difícil para los estafadores electrónicos (Phishing o correos fraudulentos) robar claves para hacer transferencias por Internet. Cada vez que lo intenten necesitarán una coordenada distinta, que es aleatoria y vence con cada sesión.

Actualmente existen sistemas mucho más seguros que las tarjetas de coordenadas, como el token de seguridad, pero su coste y muchas veces el impacto social impiden su introducción inmediata en el mercado.

Descripción:

La Tarjeta de Coordenadas es una tarjeta de plástico, del tamaño de una tarjeta de crédito, que contiene una matriz o serie de números (generalmente pares de datos) impresos, es decir, ordenados en filas y columnas. Las filas están tituladas con números ascendentes a partir del 1 y las columnas con letras ascendentes alfabéticamente comenzando desde la A. En algunas entidades, el orden es inverso: en las filas se encuentran las letras por orden alfabético, y en las columnas los números. Para una tarjeta de 100 coordenadas se necesitan 10 filas (del 1 al 10) y 10 columnas (de la A a la J). La primer celda se llamará A1 y la última J10.

tarjeta_coordenadas

– Tarjeta de coordenadas de ejemplo –

Funcionamiento:

Al solicitar una transacción protegida por Tarjeta de Coordenadas (generalmente una transferencia bancaria electrónica, ya sea pago de impuestos y servicios, pago de compras, pago de sueldos, cambio de domicilio, etc) el sistema requerirá el número que se encuentra impreso en alguna celda. Por ejemplo, si tenemos la Tarjeta de Coordenadas del ejemplo, si solicita A8 se debe introducir el número 05, si solicita G3 se debe introducir el número 64, etc. Este procedimiento se repetirá y si las respuestas son correctas, podrá realizar la operación requerida. En caso contrario, se le denegará.

Activación:

En algunos casos tras recibir una nueva Tarjeta de Coordenadas debe activarla. Para ello hay que acudir a un cajero automático, introducir su tarjeta de débito y su PIN, y seleccionar la opción de Asociación de Tarjeta Coordenadas, siguiendo los pasos que se le indique. Una vez finalizada esta operación, su Tarjeta de Coordenadas estará lista para ser utilizada y siempre le será solicitado el ingreso de coordenadas para realizar operaciones seguras.

Recomendaciones de seguridad:

  • La tarjeta de Coordenadas es única para cada usuario.
  • Su banco nunca le solicitará todas las claves juntas de su Tarjeta de Coordenadas o que complete los valores vía e-mail o a través de llamados telefónicos. Y en general no se solicitan más de 1 o 2 valores por operación.
  • No preste su tarjeta ni divulgue su contenido a terceros.
  • Manténgala en un lugar seguro.
  • Ante cualquier duda, consultas, pérdida o sustracción de su Tarjeta de Coordenadas comuníquelo a su banco urgentemente.
  • Cancelar la tarjeta si se entrega en un sobre abierto.