Por Cláudio Sadeck
Nos últimos anos, tenho observado uma crescente migração de comunicações e negociações, antes conduzidas pessoalmente ou por telefone, para os canais digitais. Os clientes de hoje querem se comunicar com empresas e instituições financeiras pelo celular ou pelo tablet, e esperam delas uma presença digital que vá além do website. Desde a realização de compras pelos portais eBay e Amazon e transferências por meio do PayPal a pagamentos e transações financeiras por aplicativos e sites bancários, quanto mais possibilidades online forem oferecidas para os clientes, maior a necessidade de autenticação para protegê-los contra ciberataques.
Até pouco tempo atrás, uma estratégia prudente de proteção em resposta ao crescente número de incidentes de fraudes era reforçar o uso de senhas e nomes de usuário (que são inseguros por natureza), enviando um SMS para o usuário final contendo um código de uso único para verificação das transações realizadas online. Acontece que essa tática também acabou se tornando insegura: os códigos enviados em mensagens de texto nem sempre são criptografados e podem ser interceptados. O código adicional deve ser digitado na mesma página transacional em que o usuário digitou sua senha e nome, mas se o dispositivo ou a própria página estiverem infectados ou comprometidos por malware, os fraudadores podem capturar o OTP e os dados de acesso digitados, e a conta do usuário ficará a mercê dos cibercriminosos.
No começo do ano, nós descobrimos que uma versão atualizada do malware ‘Android.Bankosy’ estava presente em uma grande quantidade de telefones Android na região Ásia Pacífico. Uma vez instalado no dispositivo das vítimas, o malware abria uma backdoor, coletava uma série de informações específicas do sistema do telefone e as enviava para um servidor, que coletava os dados roubados e revelava os IDs dos dispositivos infectados. Todas as mensagens SMS enviadas para o dispositivo, incluindo as mensagens contendo códigos OTPs, poderiam, então, ser capturadas, permitindo que o malware transferisse dinheiro das contas das vítimas cujos dados de acesso também foram comprometidos.
Este não é um incidente isolado: códigos OTP têm sido comprometidos por cibercriminosos por meio de diversas técnicas. Por essa razão, esse tipo de segundo fator de autenticação tem sido cada vez mais criticado. Em agosto de 2016, o NIST (Instituto Nacional de Padrões Tecnológicos dos EUA) recomendou que o SMS não fosse mais utilizado para enviar códigos OTP por apresentar uma grande desvantagem na prevenção de fraude cibernética: o fato de não ser um canal criptografado. Mas, mesmo antes disso, já havia um movimento de afastamento dos métodos de autenticação de usuários baseados em SMS e uma aproximação a outros fatores considerados mais seguros e amigáveis para os usuários.
Além do mais, na minha opinião, os fatores de autenticação avançaram muito desde o apogeu do envio via SMS de senhas geradas aleatoriamente. Celulares e tablets agora têm muito mais tecnologia incorporada que laptops ou desktops, e estes dispositivos têm sido usados em opções mais seguras de verificação de transações. Esses métodos incluem notificações push, reconhecimento biométrico de rosto, impressão digital ou voz e aplicações de segurança que podem ser integradas ao aplicativo do banco.
Então, com o desenvolvimento de mecanismos mais seguros de autenticação e seu crescimento no mercado, fica a pergunta: estamos testemunhando o fim do código OTP via SMS como segundo fator de autenticação? A resposta depende do quão seguros os novos métodos de autenticação, mais avançados e mais fortes, realmente são, e, se em comparação com estes métodos, os códigos OTPs enviados via mensagens de texto ainda têm alguma utilidade. Vejamos alguns desses métodos de autenticação de próxima geração e suas utilidades:
Autenticação Push: Permite um envio rápido, seguro e em tempo real de mensagens, que podem ser respondidas para autenticar ou cancelar uma transação instantaneamente. A mensagem é enviada fora de canal e é criptografada. Não é preciso digitar códigos ou senhas em um website, mantendo esses dados de acesso fora do alcance de cibercriminosos. Sua segurança forte também é altamente conveniente, contribuindo para uma experiência de usuário sem fricção.
Reconhecimento biométrico: As tecnologias biométricas têm fama de serem altamente seguras, o que é importante, uma vez que tecnologias que não são percebidas como seguras pelos clientes não serão utilizadas por eles. Os leitores de impressão digital, rosto e voz têm melhorado, acompanhando o desenvolvimento da tecnologia dos smartphones – e muitos já vêm com leitores de impressões digitais. Assim como a autenticação via push, a autenticação biométrica é feita em segundos e é mais conveniente para o usuário final do que exigir que ele digite uma senha de uso único.
Código OTP por mensagem de voz – VoiceOTP: Os VoiceOTPs enviam para os usuários finais uma senha por telefone. Quando o usuário atende a chamada, uma mensagem de áudio é reproduzida com uma breve introdução e uma senha gerada aleatoriamente, impossibilitando a interceptação do código OTP.
Tokens para celular: Ao contrário dos códigos OTPs enviados por SMS, as senhas de uso único baseadas em software para verificação de login e transações são protegidas por criptografia e outros métodos, sendo inúteis para os cibercriminosos se acabarem sendo interceptadas. O código OTP é enviado para o celular ou tablet do usuário e aparece diretamente na tela, o que significa que o usuário não tem que alternar entre diferentes aplicações para digitar o código de acesso.
Como podemos observar, a autenticação multifatorial fora de canal e voltada para dispositivos móveis oferece um nível de segurança superior como segundo fator de autenticação em comparação com o envio de códigos OTP via SMS. Esse tipo de autenticação é, também, mais conveniente, proporcionando uma experiência de usuário quase sem fricção.
Porém, no meu ponto de vista, isso não significa que a senha enviada por SMS está completamente obsoleta. A recomendação do NIST faz mais sentido para mercados digitais completamente desenvolvidos, como a América do Norte ou a Europa. Este posicionamento sobre os OTPs enviados via SMS se refere diretamente aos Estados Unidos, onde smartphones e tablets são onipresentes. Em regiões onde os smartphones têm pouca penetração e os telefones antigos ainda são maioria, o envio de códigos por mensagens de texto ainda é bastante útil, uma vez que não existem muitas alternativas para segundos fatores de autenticação à disposição dos usuários.
Então, podemos mesmo declarar a morte do envio de códigos OTP por SMS? Ainda não. Ainda pode ser cedo para um funeral, mas, com o passar dos anos, ele está se tornando obsoleto e devemos começar a pensar na sua aposentadoria.
*Cláudio Sadeck é gerente de Desenvolvimento de Negócios da Easy Solutions no Brasil