Como funcionan los Tokens de los bancos

A partir del 3 de Marzo del 2007 por disposición oficial de la Comisión Nacional Bancaria y de Valores, los bancos que operan en México tuvieron que implementar medidas de seguridad actualizadas para proteger a los usuarios de banca electrónica que realizan transacciones monetarias por Internet. Aun cuando la implementación del esquema varía de acuerdo al banco, la mayor parte de ellos decidió utilizar el esquema de Token. Pero, ¿Sabes como funcionan estos aparatos?

Básicamente, un Token es un dispositivo con un reloj interno, el cual se sincroniza con un servidor a la hora de ser activado por primera vez (en la fabrica, usualmente), y sirve para generar una contraseña única en un período de tiempo (segundos es lo mas común) a través de un algoritmo secreto y privado. Esta contraseña, una vez generada,  es comparada con el servidor el cual tiene el mismo algoritmo para generar la contraseña, basándose en el número de serie de tu token, el cual está ligado a tu cuenta bancaria. Estos dispositivos generalmente duran de 3 a 5 años de uso normal, y están fabricados de tal manera que siempre estén sincronizados con el servidor. (Las compañías que los fabrican invirtieron millones de dólares asegurándose de que así sea).

Esto viene a colación porque en la mañana recibí el mismo correo que recibió Lula, donde supuestamente Banamex está pidiendo a sus usuarios que entren a su página de Bancanet con el objetivo "Sincronizar" el Netkey (nombre comercial del Token de Banamex) con sus servidores. Esto obviamente es un intento de Phishing, ya que el factor principal de estos tokens es precisamente que están desconectados de todo, y no necesitan sincronización con el servidor.

Se ve que quien quiera que trate de robar la información de los clientes de Banamex ha pensado muy bien como tratar de engañar a la gente, ya que el texto del correo tiene sentido si no conoces bien como funcionan estos aparatos. Por eso es que hay que estar siempre al pendiente de este tipo de fraudes, y nunca seguir ligas de correos, aun cuando creas que el correo sea legítimo. Si tienes duda sobre si realizar el proceso o no, abre una ventana (o tab) nuevo, y manualmente teclea la dirección de tu banco (banamex.com, bancomer.com, santander.com.mx, etc.). De esa manera estás mas protegido. Mucho ojo (y cuéntaselo a quien mas confianza le tengas… pensándolo bien, cuéntaselo a todos, mientras mas gente esté consciente de este tipo de fraudes, menos éxito tendrán).

6 thoughts on “Como funcionan los Tokens de los bancos

  1. otra forma de ver si es un fraude o no es verificando la direccion que te da al poner el cursor en el vinculo, regularmente si es de confiaza aparecera algo asi https://www.bancomer.com pero si no entonces aparecera algo asi http://cuentaficticia/bancomer.com
    esto por que se creo una pagina con el mismo nombre que el banco pero en un servidor totalmente diferente lo que hace que registres informacion en una direccion diferente y es asi como se envia por cuenta propia los numeros de seguridad que competen solo a ti y a tu banco.

  2. Guillermo:

    Buen dia y gracias por tu informacion, quiero preguntarte lo siguiente:

    Como me pueden hacer fraude por internet si el defraudador no tiene mi token?

    Es posible que cuando yo entro al portal de mi banco sin hacer alguna transacciòn, sòlo para checar mis numeros, es posible que en ese momento me defraude un hacker?, sin mi token?

    Muchas Gracias por tu informacion.

    Saludos.

    JC.

  3. Orale!! muchas gracias por ésta información, tanto nos sirve para evitar fraudes, los cuales están a la orden del día, como aprender el funcionamiento del token. Gracias y sigue publicando.

  4. El uso de tokens se ha extendido a otros sistemas que requieren autenticación fuerte (se le conoce autenticación de dos factores). El primer factor es “lo que sabes” es decir tu password, y el segundo factor es “lo que tienes” es decir tu token. Hay sistemas que incluyen un tercer factor que es “lo que eres” lo cual implementa algún sistema biométrico. La realidad es que los token se desincronizan debido a que el reloj interno de los mismos es sensible a los cambios de temperatura. La práctica más segura es que el mismo sistema que utiliza el token incluya algún mecanismo de sincronización, siempre utilizando comunicación encriptada mediante HTTPS (esto lo indica el browser mediante un candadito). Generalmente el sistema que utiliza el token presenta una pantalla con dos campos, en los cuales el usuario captura dos códigos consecutivos del token; con estos códigos el sistema sincroniza su reloj con el reloj del token. El problema que tiene un token no sincronizado es que no hay un acuerdo entre el sistema central y el token, por lo tanto el sistema central no otorgar.a el acceso en múltiples ocasiones. Ahora bien, NUNCA se realizará la sincronización solicitando códigos al usuario mediante correo electrónico. No obstante, aunque un atacante tenga dos códigos producidos por el token es prácticamente imposible que algún atacante obtenga la clave secreta del token, la cual es conocida por el sistema central y se encuentra grabada en una memoria segura dentro del token, Dicha clave secreta (también llamada “seed”) SI PERMITE generar todos los códigos del token utilizando un algoritmo público. El algortimo conocido como TOTP calcula los códigos del token utilizando la clave secreta (seed) y el tiempo actual (por ello la importancia de la sincronización de tiempos), éste cálculo se realiza utilizando una función hash SHA1. Por tanto, partir de dos códigos generados por el token es prácticamente imposible obtener la clave secreta debido a las propiedades matemáticas de la funcion SHA1. En conclusión, 1) el token es un método de autenticación muy seguro, 2) la clave secreta del token debe residir en el sistema central y no ser compartida (ni siquiera con el dueño del token), 3) el sistema central debe implementar mecanismos seguros para la administración del token (que el usuario pueda desactivar en forma segura un token extraviado, activar un nuevo token, etc).

Comments are closed.