La Autoridad Monetaria de Singapur (MAS) ha anunciado un nuevo requisito para que todos los principales bancos minoristas del país eliminen gradualmente el uso de contraseñas de un solo uso (OTP) durante los próximos tres meses.
Esta iniciativa fue acordada entre el gobierno y la Asociación de Bancos de Singapur (abdominales) para proteger a los consumidores contra el phishing y otras estafas.
“El uso de OTP se introdujo en la década de 2000 como una opción de autenticación multifactor para mejorar la seguridad en línea”. lee el comunicado del MAS.
“Sin embargo, los avances tecnológicos y las tácticas de ingeniería social más sofisticadas han facilitado desde entonces que los estafadores recopilen OTP de los clientes, por ejemplo, creando sitios web bancarios falsos que se parecen mucho a sitios web genuinos. »
Además de los sitios de phishing, las OTP han sido objetivo del malware de Android durante muchos años, ayudando a sus operadores a eludir las protecciones de autenticación de dos factores en las cuentas objetivo.
Esto llevó a Google a tomar medidas más agresivas contra el abuso de los permisos “RECEIVE_SMS”, “READ_SMS” y “BIND_Notifications” este año, siendo Singapur uno de los primeros países en recibir las nuevas protecciones.
Además, las OTP pueden ser interceptadas por ataques de intermediario y, si están basadas en SMS, pueden ser interceptadas por actores maliciosos que realicen ataques de intercambio de tarjetas SIM.
Los clientes de los bancos de Singapur ahora utilizarán tokens digitales en lugar de OTP, que deberán activar en sus dispositivos móviles.
Según la ABS, los tokens digitales son ya activado al 60% al 90% clientes de los tres principales bancos del país: DBS, OCBC y UOB.
“El token digital autenticará el inicio de sesión del cliente sin la necesidad de una OTP que los estafadores puedan robar o engañar a los clientes para que revelen”, explica MAS.
Se recomienda encarecidamente a quienes no hayan activado sus tokens digitales que lo hagan pronto para beneficiarse de una mayor seguridad contra phishers y estafadores.
Los clientes que no activen tokens digitales seguirán recibiendo OTP como antes, pero se espera que sean una minoría cada vez menor.
