'Soft token', qué es y cómo mejora la seguridad en la autenticación digital
El 'soft token', también conocido como 'token' de 'software', es un mecanismo de verificación en dos pasos que ofrece ventajas significativas de seguridad sobre los tradicionales códigos enviados por SMS. A diferencia de estos, no está vinculado a una tarjeta SIM, lo que reduce la dependencia de las redes de telefonía móvil y elimina los costes asociados al envío de mensajes.
Introducir las credenciales en una página web, recibir un código por SMS e ingresarlo para validar la identidad. Este es uno de los métodos de verificación en dos pasos más comunes, pero presenta ciertas limitaciones, como la vulnerabilidad a ataques de ingeniería social ('smishing' o 'phishing') o la dependencia de la red telefónica. Sin embargo, a medida que han evolucionado las amenazas cibernéticas, también se han desarrollado soluciones más seguras. Una de ellas es el 'soft token', también conocido como token de software.
"Es una tecnología que sirve para autenticar la identidad del usuario de un sistema de información mediante la demostración de que posee un dispositivo previamente registrado para él", explica Nacho Fuentes, del equipo de Arquitectura de Seguridad en BBVA. El 'soft token' se puede utilizar para diferentes operaciones, ya sea para acceder a una red de trabajo o para entrar en una cuenta bancaria en línea. Su funcionamiento es bastante sencillo y puede resumirse en cuatro pasos:
- El usuario instala una aplicación de 'soft token', generalmente proporcionada por un banco o una empresa, en un dispositivo de confianza. Son soluciones como Google Authenticator, Microsoft Authenticator o la 'app' de BBVA, que permite activar un 'token' digital para hacer pagos, compras o transacciones.
- La aplicación de 'soft token' genera un código criptográfico de acceso único que tiene una duración limitada.
- Una vez que el usuario ha ingresado correctamente sus credenciales, deberá introducir el código que aparece en la aplicación. En determinadas aplicaciones este paso ni siquiera es necesario, ya que el código de seguridad está integrado en el funcionamiento de la propia 'app'.
- Si tanto el 'soft token' como las credenciales son correctas y coinciden con los datos almacenados en el servidor, este permitirá al usuario el acceso al sistema o llevar a cabo la operación.
'Soft token', un código para asegurarlos a todos
La clave de este sistema radica en un código único basado en el protocolo conocido como TOTP ('Time-based One Time Password', por sus siglas en inglés), que genera una contraseña de acceso de un solo uso y con una validez temporal. Se trata, por tanto, de una autenticación de doble factor (2FA) que sirve como medida de seguridad adicional a la contraseña. "El uso de estos dos factores hace que sea mucho más difícil para los atacantes acceder a una cuenta, incluso si obtienen o adivinan la contraseña. La idea es que, si un factor de autenticación queda comprometido (generalmente el primero), el otro factor sigue siendo necesario para acceder a la cuenta", explica en un artículo el Instituto Nacional de Ciberseguridad (INCIBE).
Contar con ese segundo factor, además de la contraseña, es fundamental para aumentar la seguridad de cuentas y dispositivos, ya que las contraseñas tradicionales a menudo no son suficientes. De hecho, un informe de Verizon indica que el 68% de las brechas de seguridad están provocadas por el factor humano, como el uso de contraseñas fáciles de adivinar o hacer clic en enlaces maliciosos
Además, el 'soft token' ofrece varias ventajas en comparación con métodos tradicionales de verificación, como el código por SMS. Así lo señala un artículo de GitHub, la principal plataforma en línea para desarrolladores. Ayuda a prevenir las técnicas de ingeniería social asociadas a los SMS, disminuye la dependencia de las redes de telefonía móvil y elimina los posibles costes derivados del envío de mensajes. Por ejemplo, si un usuario se encuentra en un país extranjero sin servicio de red móvil, pero con acceso a Internet, el 'soft token' le permitirá validar su operación sin problemas. Además, como apunta Nacho Fuentes, de BBVA, "los 'soft token' no son sensibles a ataques de 'SIM swapping', dado que la SIM no se utiliza en el proceso de autenticación".
"Estamos evolucionando nuestras capacidades a medida que cambia el 'modus operandi' de los últimos ataques sufridos en la industria, además de adoptar las mejores prácticas existentes en el mercado y cubriendo las necesidades particulares que se han detectado en cada geografía", señala en una tribuna de opinión Raquel Martín, Head of Corporate Functions Engineering en BBVA.
El desarrollo de soluciones cada vez más robustas es una constante en el ámbito digital. Según Nacho Fuentes, "actualmente existen otras tecnologías que pueden ser más convenientes en función del caso de uso". Una de las más recientes es el uso de 'passkeys', un estándar para la autenticación a través de Internet basado en el desbloqueo del dispositivo móvil del usuario. Quizá es posible que en el futuro las contraseñas alfanuméricas ni siquiera existan. Mientras tanto, soluciones como el 'soft token' marcan el camino hacia un mundo más seguro y avanzado.