Para nuestra sorpresa, vimos recientemente un comunicado masivo en el que Banco General anuncia la posibilidad de integrar tu Token Digital a su aplicación de Banca Móvil. Esto es magnífico, desde el punto de vista de «conveniencia» y «rapidez», mas no desde el punto de vista de seguridad.
Para los que no están familiarizados con el Token Digital de Banco General, es un código numérico de seis (6) dígitos, generado a través de una aplicación tercera llamada Entrust, el cual es requerido al momento de realizar transferencias bancarias a terceros.
Nuestra voz de alarma surge debido a que el escenario de integrar este Token Digital a la aplicación de Banca Móvil, puede presentar un riesgo de seguridad innecesario para el usuario final.
Generalmente, el acceso a Banca Móvil está controlado por un usuario y contraseña o, en muchos casos, con el uso de la huella digital. Esto le da acceso al usuario a sus datos de cuentas y a realizar transacciones entre cuentas propias sin necesidad del código numérico. El uso de un Token (de cualquier tipo) tiene como propósito principal ser un factor de validación separado del ambiente en el que se va a utilizar. Integrar el token dentro de la aplicación de Banca Móvil, le facilita el trabajo a una persona malintencionada que logre tener acceso a sus credenciales de Banca en Línea y/o a su aplicación de Banca Móvil.
Tener el Token Digital en una aplicación separada, como el caso de Entrust, le permite añadir controles de acceso al código numérico en sí, cosa que no es posible realizar si se integra a la aplicación de Banca Móvil. Si el acceso a Banca Móvil es comprometido, también quedarán comprometidos sus Tokens Digitales.
Recomendamos mantener sus Tokens Digitales en la aplicación separada de Entrust ya que en este escenario, si el acceso a su Banca Móvil fuese comprometido, sus Tokens Digitales no se verían afectados. Esto puede ser un poco menos conveniente, pero es, en nuestra opinión, la mejor alternativa.