Lo que queda claro de la PSD2 es que la EBA exige una fuerte autenticación de los clientes. Además, se debe permitir a los agregadores y proveedores de pagos de terceros (TPP) acceder a las cuentas de los clientes. La EBA describe lo que debe hacerse para lograr el cumplimiento: autenticación basada en el uso de dos o más elementos categorizados como conocimiento, posesión e inherencia. Si bien la PSD2 no se refiere explícitamente a la autenticación multifactor o 2FA, esas prácticas se han convertido en sinónimo de los dos métodos de autenticación más frecuentes utilizados por las empresas: contraseñas de un solo uso (OTP) y servicios de mensajes cortos (SMS). Es imperativo que los proveedores de servicios de pago garanticen la confidencialidad e integridad de las credenciales de seguridad personalizadas y los códigos de autenticación utilizados por los usuarios de servicios de pago durante todas las fases de la autenticación. Sin embargo, los mensajes SMS entregados en texto claro tienen vulnerabilidades inherentes conocidas (por ejemplo, malware móvil diseñado para robar mensajes de texto de los dispositivos de los usuarios) . Además, los sofisticados kits de phishing como Kr3pto brindan a los actores de amenazas experimentados la capacidad de interceptar contraseñas de un solo uso en tiempo real. Con base en esta evidencia, las empresas que dependen únicamente de OTP y SMS están introduciendo efectivamente un riesgo de seguridad y exponiendo potencialmente las cuentas de sus clientes. Los servicios de nube distribuida aumentan el requisito de SCA con protección de aplicação en tiempo real aprovechando IA, aprendizaje automático y otras tecnologías. 

La plataforma F5 Distributed Cloud ofrece un análisis multifuncional riguroso en funciones de seguridad, fraude e identidad. El uso de los tres elementos de autenticación segura (conocimiento, posesión y herencia) permite una mayor fidelidad y más flexibilidad. La Autoridad Bancaria Europea reconoce el “elemento de inherencia” como el ámbito más interesante y progresista para la autenticación. Los servicios de nube distribuida ayudan a las organizaciones de servicios financieros a cumplir con los requisitos de PSD2 al brindar protección web, móvil y API integral que es fácil de operar. La plataforma de nube distribuida mitiga automáticamente los ataques en evolución al observar y aprender de cada interacción. Veamos a continuación un ejemplo de escenario:

La autenticación profunda de clientes de F5 en la práctica (verificación de 3 elementos)

• Paso 1: El usuario se acerca a la propiedad o aplicación en línea.
  
• Paso 2: El nombre de usuario se introduce o se rellena automáticamente (tenga en cuenta que el nombre de usuario no es un elemento de conocimiento en sí mismo).
  
• Paso 3: El usuario introduce una contraseña o un PIN (un elemento de conocimiento conforme)
  
• Paso 4: Distributed Cloud Bot Defense realiza la verificación de elementos de posesión en tiempo de ejecución a través de biometría pasiva, como la recopilación de telemetría de ID de dispositivo.
  
• Paso 5: Distributed Cloud Bot Defense realiza la verificación de elementos de herencia en tiempo de ejecución a través de biometría del comportamiento
  
• Paso 6: El usuario es verificado y completa la transferencia de dinero sin fricciones en ningún paso.

Los servicios de nube distribuida complementan OTP y SMS 2FA con un análisis conductual y multifuncional en tiempo real que autentica colectivamente a los usuarios en cumplimiento con los tres elementos de autenticación sólida de clientes de PSD2, logrando el cumplimiento, mejorando la seguridad y eliminando la fricción del usuario.

La PSD2 fomenta la innovación y la banca abierta al exigir a las instituciones financieras que concedan acceso a los datos de los clientes a proveedores externos (TPP). Las aplicações TPP se conectan a las instituciones financieras a través de API para agregar datos y ofrecer visibilidad en un solo panel. Por ejemplo, podrían consolidar el saldo bancario, las transacciones y los perfiles de un cliente en todas las cuentas. La seguridad de las aplicaciones y las API es fundamental para mitigar el riesgo a la información de los usuarios y prevenir el fraude, cumpliendo al mismo tiempo con las expectativas de los clientes. A continuación se muestran algunos ejemplos de las amenazas que introducen los agregadores de riesgos:

Ataques de suplantación de agregadores
A los agregadores que tienen una relación de trabajo con sus fuentes a menudo se les permite el acceso a los servicios de la institución. Los atacantes se aprovechan de esta relación validando cuentas mediante el credential stuffing contra el agregador en lugar de hacerlo directamente contra la institución.

Toma de control de cuentas
Los agregadores financieros almacenan credenciales bancarias de clientes (nombres de usuario y contraseñas) y hasta 90 días de datos de cuentas, lo que los convierte en un objetivo tentador para los atacantes. Los atacantes pueden aprovechar las aplicações fintech habilitadas por el usuario para robar saldos de cuentas y acceder a otros sistemas de pago en línea.

Picos impredecibles en la carga de tráfico
Los agregadores constituyen una parte importante de las consultas sobre cuentas de instituciones financieras y consultan a la institución financiera para obtener cuentas de consumidores actualizadas hasta decenas de miles de veces al día. Multiplique eso por miles de clientes y las instituciones financieras se quedan agregando capacidad solo para lidiar con el tráfico del agregador.

Extracción de pantalla
Los consumidores proporcionan voluntariamente sus credenciales a los agregadores de tecnología financiera quienes, a su vez, utilizan herramientas de automatización para rastrear y extraer los datos de los consumidores de las aplicações de las instituciones financieras. Si bien la agregación de estos datos puede proporcionar algunos beneficios percibidos de inmediato por los consumidores, la forma en que algunos agregadores acceden a estos datos puede violar las regulaciones de cumplimiento de datos y, en última instancia, puede exponer los datos de los consumidores al fraude.

F5 proporciona visibilidad y control para ayudar a las instituciones financieras a gestionar los agregadores y defenderse de los ataques. Los clientes disfrutan de acceso completo a sus datos cuando y donde quieran, a través de las aplicaciones que elijan, y al mismo tiempo están protegidos contra el credential stuffing y los riesgos de apropiación de cuentas (ATO).

Visibilidad de la autenticación
Distributed Cloud Bot Defense ve cada intento de inicio de sesión y etiqueta el tráfico como humano, automatizado o agregador. F5 bloquea ataques a las propiedades web y móviles de la institución financiera y también puede detectar cuando los atacantes están credential stuffing a través de un agregador para la validación de cuentas.

Asistencia para la incorporación
La gestión distribuida de agregadores en la nube alienta a los agregadores a dejar de almacenar las credenciales financieras de los usuarios y cambiar a API compatibles con las instituciones financieras de las que se abastecen. F5 trabaja con la institución financiera y el agregador para realizar esta transición.

Acceso con privilegios mínimos
Cuando se utilizan API, los servicios de nube distribuida solo pueden aplicar los privilegios requeridos por los agregadores, lo que reduce la superficie de amenaza. Por ejemplo, las transacciones pueden tener acceso de sólo lectura o sólo a información resumida.

Detección de anomalías
Los servicios de nube distribuida ayudan tanto a la institución financiera como al agregador con la detección de anomalías. F5 identifica cada marco de ataque, incluidos los navegadores sin cabeza y los fraudes de ataques manuales, y puede bloquear o alertar tanto al agregador como a la institución financiera.

Abordar las amenazas avanzadas de ciberseguridad con F5
Los servicios de nube distribuida de F5 ofrecen las mejores soluciones de seguridad de aplicação y prevención de fraude en una plataforma integrada. F5 aprovecha la precisión impulsada por IA para detectar con precisión el tráfico de ataques en tiempo real, así como detectar y eliminar el fraude.