¿Es la tarjeta de coordenadas o tarjeta matricial realmente segura?

Una de las nuevas tendencias de seguridad en lo referente a validación de transacciones en línea es el uso de lo que se denomina tarjeta matricial o tarjeta de coordenadas. Este sistema se basa en entregar al usuario una serie de números y/o letras ubicadas en una grilla o plano cartesiano que comúnmente tiene unas 50 a 80 casillas. A la hora de realizar la transacción el usuario deberá ubicar las coordenadas solicitadas por el sistema e introducir los valores solicitados por este para validar la transacción. 

Este sistema se ha creado para fortalecer las claves de los usuarios, pero está muy lejos de ser un sistema de “clave dinámica” como algunos le denominan, ya que si bien el usuario va a introducir claves relativamente diferentes según se le consulte por diferentes coordenadas, estas casillas contienen siempre la misma información.

Si a esto agregamos los problemas convencionales existentes del lado del usuario con los troyanos bancarios, HTTP sniffers y otros, además del hecho de que las interfaces se apoyan solamente en el SSL para cifrar los datos en la transmisión olvidando que cualquier intercepción en la capa de la aplicación no está aún cifrada por el SSL, entonces tenemos un sistema claramente vulnerable.

El punto no es que queramos desprestigiar este método de validación que funciona perfectamente si el usuario realiza menos de cuatro a cinco transacciones al mes. Sin embargo si el usuario realiza por ejemplo unas 15 a 20 transacciones al mes entonces teóricamente la matriz de posibilidades podría ser re-ensamblada por un atacante.

Para explicar lo anterior piensen en un álbum de cromos coleccionables, a medida que el usuario hace transacciones el atacante podría ir completando los cromos de dos en dos o tres en tres (el número de casillas solicitadas en cada transacción), pero a diferencia de los álbumes de cromos, el atacante no necesita completarlo y puede intentar una transacción cuando tenga un 60% de los datos ensamblados en la matriz.

El punto principal es que al haber realizado un estudio de tres entornos bancarios específicos hemos detectado que no existe protección alguna contra ataque de MIB (Man In the Browser) ya que si acaso raramente existe alguna defensa contra estos métodos de ataque cada vez más populares, esta defensa se encuentra en el procedimiento de acceso al sistema solamente.

No quiere decir lo anterior que el sistema de clave por coordenadas sea altamente y definitivamente  vulnerable, lo que significa es que se ha implementado sobre vulnerabilidades existentes no eliminadas eficientemente.