Comprar a través de internet, realizar transacciones bancarias, enviar dinero a un amigo instantáneamente, pagar en un restaurante, adquirir billetes de avión o de tren… Todas estas acciones requieren el uso de contraseñas personales. Y muchas veces, por comodidad, tendemos a usar una sola clave para todas nuestras operaciones, bien por no tener que recordar varias contraseñas diferentes a la vez o por no olvidarlas. Esto supone un riesgo muy importante a la hora de operar electrónicamente y nos deja a merced de los ciberdelicuentes.
Los fraudes online se han disparado en los últimos años y cada vez son más necesarias medidas para garantizar la seguridad. El código OTP (siglas en inglés de One Time Password) es uno de los métodos utilizados como cortafuegos para evitar los ataques en la red. Se trata de una contraseña dinámica de un único uso y se utiliza como segundo factor de autenticación, además del nombre de usuario y la clave comúnmente utilizados. Solo es válida una vez, de forma que, aunque un atacante consiguiera hacerse con ella, no podría reutilizarla.
El código OTP se utiliza en entornos que requieren un alto nivel de seguridad que las contraseñas estáticas por sí solas no consiguen. Un ejemplo es la banca electrónica. Su nivel de seguridad tiene que ser muy elevado, ya que, de lo contrario, las cuentas de los clientes de cualquier entidad financiera quedarían expuestas a los ciberdelincuentes.
Este código funciona con los tokens, que son la implementación más extendida de este tipo de segundo factor de autenticación. Una vez que el usuario intenta realizar una operación cubierta por OTP, el token o mecanismo genera un password dinámico para poder autenticar al usuario. El token consiste en un dispositivo de alta tecnología que genera una clave de 6 dígitos de forma aleatoria e irreemplazable; dicha clave se actualiza generalmente cada 60 segundos aproximadamente. En un principio, el token fue una estrategia de seguridad dirigida a empresas, pero hoy en día está habilitado también para particulares. Es decir, al adquirir un token de seguridad, las posibilidades de fraudes disminuyen significativamente, ya que además de tener una clave que identifica al titular de cierto servicio financiero, añade otra adicional por transacción.
Los tokens se implementan principalmente de tres maneras distintas: un pequeño dispositivo físico con pantalla muestra la contraseña de un único uso; una aplicación en el teléfono del usuario; y, por último, mediante el envío de un SMS o un email. Banco Santander utiliza este tipo de autenticación de manera habitual en banca electrónica. Además, se emplea en aplicaciones como Office 365/Outlook, Gmail, Linkedin, aunque en la mayoría de ellas su uso es opcional y configurable.
La entidad que preside Ana Botín insiste además en la importancia de abandonar el mal hábito de tener la misma contraseña, o parecidas, en todas tus cuentas online yaconseja la utilización de passphases, que son contraseñas de 3 o más palabras. Por ejemplo, gallinaperroconejo. Esto es importante ya que lo que hace fuerte una contraseña es la longitud, no su complejidad.
También aconseja, además de tener una contraseña robusta, aplicar la autenticación multifactor (MFA). Este método requiere formas de identificación adicionales que solo tiene la persona que lo utiliza, como por ejemplo un código que llega al móvil, la huella digital o el reconocimiento facial.
El banco recomienda asimismo el uso de gestores de contraseñas. No se debe apuntar las claves en un papel, ni notas del móvil. Lo ideal es utilizar gestores de contraseñas, que son aplicaciones que permiten guardar las contraseñas y simplemente hay que recordar una clave maestra para acceder a ellas. Además, aconseja no repetir contraseñas ni utilizar claves por defecto. Lo más seguro es no utilizar la misma contraseña dos o más veces, ya que en caso de una de las cuentas se viera amenazada habría que cambiar todas las claves.
Del mismo modo, es conveniente cambiar aquellas claves que se generan por defecto o vienen predefinidas, como en el caso de los routers del WIFI; es mejor personalizarlas para aumentar su seguridad.
Todas estas precauciones con las contraseñas son consecuencia de que cada vez hay más casos de suplantación de identidad. En este sentido, Banco Santander alerta sobre los ataques más conocidos hasta ahora: phishing, vishing y smishing. El primero se producea través del correo electrónico. Abrimos un correo electrónico que dice ser de una compañía de la que somos cliente y en el que se nos pide hacer clic en un enlace para acceder a nuestra área personal, donde hay que confirmar los datos bancarios. Normalmente, el tono es de urgencia porque, al parecer, hay un problema de seguridad. Ante la menor duda de que podría tratarse de un intento de phishing se debe contactar con la compañía a través de sus canales oficiales o reportarlo reenviándoles el email.
En el caso del vishing, los delincuentes utilizan las llamadas de voz; y en el smishing, el SMS. También ha irrumpido con fuerza el pharming, que es una combinación entre técnicas de phishing (suplantación de identidad a través de correo electrónico o mensajes de texto, principalmente) y la utilización de una granja (farm, en inglés) de servidores para redireccionar a los usuarios a webs fraudulentas.
Las cifras corroboran que el fraude online es ya más que una amenaza. Según el Sistema Estadístico de Criminalidad (SEC), entre 2017 y 2021 hubo un fuerte aumento de los delitos informáticos. Sólo el año pasado se registraron en España más de 305.000 delitos informáticos, lo que supone un 6,1% más respecto a los datos del ejercicio anterior.
