Número de autenticación de transacción

El Número de autenticación de transacción (o TAN, por sus siglas en inglés), conocido también como número de autorización de transacción o código de autentificación de transacción, constituye la segunda capa de seguridad en un sistema de autenticación de dos factores (a2f) [1][2]​ que se usa por los bancos modernos durante la utilización de sus servicios telemáticos, es decir la banca en línea, para acceder a sus cuentas y realizar operaciones en ellas [1]​. Los TAN sirven por tanto para ofrecer más seguridad a las operaciones bancarias y reducir el fraude [3]​.

Dicho mecanismo de seguridad consiste actualmente en el envío de un número, o código, de autorización único a un aparato móvil del cliente, pudiendo ser un teléfono móvil, teléfono inteligente (smartphone), una tableta o un lector de tarjetas especial, a través de un SMS, una aplicación creada por el banco a este fin o cualquier otro método, que deberá ser usado para proceder a la operación deseada [2]​.

Los TAN, que suelen consistir en 6 cifras, sirven como un factor de autentificación en un sistema a2f, ya que el nombre de usuario del cliente y la contraseña por sí solos no son suficientes para acceder a una cuenta bancaria, ni el haber accedido a ella es suficiente para realizar la mayoría de transacciones y operaciones en línea.

Tipos de TAN y aparatosEditar

Métodos principalesEditar

Actualmente, los modelos de autenticación de transacción suelen requerir que el usuario esté en posesión de un dispositivo móvil con características físicas únicas, un requerimiento que se satisface bien a través del microchip integrado en las modernas tarjetas de crédito, débito y otras, conforme la legislación vigente en la mayoría de países, bien a través de una tarjeta SIM, o a su vez con el uso de un teléfono inteligente. Existen varios métodos, o esquemas, que requieren de diferentes tipos de sistemas:

 
Generador de números del tipo ChipTAN con sensores ópticos
  • El conocido como lector de tarjetas Chip y TAN o generador de números TAN, es un dispositivo que sirve para acceder y comprobar los datos del microchip de la tarjeta bancaria que se introduce en él. Consiste en un teclado de números y una pantalla en la que se pueden leer los números de autentificación generados para cada operación (y otros datos, según el caso). Existe una variedad de lectores, algunos universales y otros facilitados por los propios bancos (en algunos países se reparten gratis o como regalo por la apertura de una nueva cuenta; también se pueden adquirir en línea). Este modelo de autenticación es conocido como ChipTAN, Sm@rt-TAN o CardTAN, según qué país, y se suele usar por clientes que no desean hacer uso de su teléfono móvil con estos fines.
  • El TAN Móvil, o mTAN, hace uso de los mensajes de texto (SMS) para enviar al teléfono móvil del cliente el código de autentificación correspondiente a la operación deseada. Normalmente se incluyen en el mensaje algunos datos de la operación, como el importe que se transfiere en una transacción, a fin de ser comprobados por el usuario. Sin embargo, debido a que el TAN se genera de facto en los servidores del banco y posteriormente se envía al cliente, este modelo se ha visto vulnerable a ciberataques que han logrado interceptar los números enviados y en caso de una transacción desviar los fondos trasferidos. Aun así, el mTAN sigue siendo muy popular en muchos países ya que muchos bancos aún no ofrecen una aplicación propia, y no todos los usuarios poseen smartphones. Al mismo tiempo, el uso del mTAN en smartphones ha explotado otra brecha de seguridad que intercepta el número con el uso de malware.
  • Los nuevos lectores de tarjetas Chip y Tan se fabrican con una cámara monocromática que sirve para captar la imagen de un código QR que se genera con cada operación (en caso que el usuario eligiera el QR-TAN como su método de autenticación) [4]​, y que tras ser escaneado por el usuario desde la pantalla de su ordenador, se genera el correspondiente TAN para completar la operación. El atractivo de este método es el hecho de ofrecer más seguridad por lo de tener que escanear físicamente el código generado y, como en el caso de los demás ChipTAN, requiere la lectura del microchip de la tarjeta bancaria.
  • Los métodos más recientes y más usados en la actualidad hacen uso de una aplicación instalada en el teléfono inteligente o tableta del cliente. En Europa se están convirtiendo en métodos casi imprescindibles desde la entrada en vigor de la normativa PSD2 en septiembre de 2019 [5]​. Muchos bancos ofrecen la posibilidad de agregar varios aparatos, cada uno con una identificación única, a una lista de dispositivos aprobados por el cliente en su cuenta en línea. Puesto que la agregación de cada dispositivo en sí requiere el uso de un TAN, el primer aparato que se registra suele requerir un número de activación, o a su vez un código QR o una imagen encriptada, que se suelen enviar al cliente por correo al domicilio. Estas aplicaciones son singulares para cada banco y se pueden descargar en las tiendas de aplicaciones de los distintos sistemas operativos. Con ello se sortea la brecha de seguridad de los SMS, ya que el envío de los datos se realiza a través de una conexión encriptada a internet. Adicionalmente, para reducir el riesgo de infección por malware, estas aplicaciones dejan de funcionar en casos de rooting (Android) o jailbreak (iOS).
    •  
      Ejemplo de PhotoTAN
      El pushTAN es el nombre que se da al método que consiste en la inclusión del TAN en una notificación Push. En algunos casos la notificación ya incluye el número TAN y, como en otros métodos, algún que otro detalle relevante de la operación a ser comprobado por el cliente. En otros casos, los únicos permitidos en algunos países, la notificación solo notifica que el usuario deba acceder a la aplicación, que a su vez requiere una contraseña o, cada vez más común, el escaneo de la huella dactilar, para posteriormente generar el TAN. Una de las ventajas de las aplicaciones se da en el caso de utilizar la banca en línea a través del mismo dispositivo móvil (en un navegador o usando una aplicación del banco que suele ser distinta a la del TAN). En estos casos, una vez generado el código, suele ser detectado y copiado directamente con el permiso del usuario.
    • Las cámaras de los teléfonos inteligentes y su función como escáner han permitido la incorporación de un sistema novedoso, y el más seguro de todos [4]​, llamado PhotoTAN o a veces CrontoSign, que consiste en el escaneo de una imagen encriptada compuesta de múltiples puntos de colores distintos. Como en el caso del QR-TAN, la imagen se genera en la pantalla en la que se realiza la operación, debiendo ser escaneada por el usuario usando uno de sus dispositivos registrados, para luego convertirse por la aplicación móvil en el TAN. En caso de acceder a la banca en línea a través del dispositivo móvil, dicho código suele ser captado por la aplicación TAN con el permiso del usuario, y el número generado transferido de vuelta a la banca en línea, lo cual hace que sea una operación sencilla a la vez que segura. Recientemente han salido al mercado lectores de tarjetas con cámaras de color capaces de escanear los PhotoTAN, haciendo uso de software especialmente diseñado a este fin [6]​.

Métodos anterioresEditar

Los primeros códigos de autenticación de transacción consistían en listas de múltiples números, normalmente de 6 cifras, facilitadas al cliente por el banco con la apertura de una nueva cuenta, y cada vez que caducaba la lista o se agotaban todos los números, ya que se podía hacer uso de cada TAN solo una vez, es decir - un TAN único para cada operación. Dichas listas se solían imprimir en tarjetas de plástico o en papel especial. Los primeros TAN, los llamados "clásicos", solo requerían que el usuario autorizara la transacción en línea con la introducción de uno de estos números, tachándolo posteriormente de su lista.

Al TAN clásico le seguía el TAN indexado, o iTAN, más conocido en España y otros países como tarjetas de coordinadas [7]​, que es el método más conocido y que más tiempo ha estado en uso por los bancos. Hoy en día hay todavía países y entidades financieras que lo usan, aunque en algunas regiones, como la Unión Europea, ya no está permitido. El iTAN o tarjeta de coordinadas consiste en las mismas listas de números, de entre 4 y 6 cifras, aunque esta vez vienen emparejados con un número índice (a cada índice le corresponde un TAN). Durante la transacción, se le requiere al usuario que introduzca un TAN de su lista, pero esta vez no de forma aleatoria sino el correspondiente al índice que aparece en pantalla. En algunos bancos este método sirve, o servía en el pasado, también para operaciones telefónicas e identificación del cliente en una conversación con su banco.

Véase tambiénEditar

ReferenciasEditar

  1. a b «Número de autenticación de transacción (TAN) · jtc1sc36.org - Insight nítida. La inversión más inteligente.». jtc1sc36.org - Insight nítida. La inversión más inteligente. 12 de marzo de 2019. Consultado el 29 de noviembre de 2019. 
  2. a b «Número de autenticación de transacción (TAN) Definición 2019». Top tip finance. Consultado el 29 de noviembre de 2019. 
  3. «Cambios que te afectan: así es el nuevo sistema de autenticación de la banca online». Crónica Global. Consultado el 29 de noviembre de 2019. 
  4. a b professional, com!. «Online-Banking mit Photo-TAN und QR-TAN». com! - Das Computer-Magazin (en alemán). Consultado el 29 de noviembre de 2019. 
  5. Pérez, Enrique (11 de septiembre de 2019). «Adiós a las tarjetas de coordenadas: así afecta a nuestro banco la normativa PSD2 y qué cambios llegan al pagar por internet». Xataka. Consultado el 29 de noviembre de 2019. 
  6. «tanJack® photo QR - Chipkartenleser-Shop REINER SCT». shop.reiner-sct.com (en alemán). Consultado el 29 de noviembre de 2019. 
  7. Pérez, Enrique (11 de septiembre de 2019). «Adiós a las tarjetas de coordenadas: así afecta a nuestro banco la normativa PSD2 y qué cambios llegan al pagar por internet». Xataka. Consultado el 29 de noviembre de 2019.