Una de las iniciativas estrella de la GSMA (Groupe Speciale Mobile Association) - organización que aúna a todas las telcos del mundo - es la de proveer un interfaz común y globalizado de autenticación a través del número de teléfono. La idea es que una persona no necesite generar un nuevo usuario y contraseña en cada nuevo sistema al que se quiere dar de alta y que por medio de un sistema universal basado en el móvil baste con decir cuál es su número de teléfono para autenticarse de forma robusta.
 |
| Figura 1: Mobile Connect |
Supongamos que soy cliente de una web, por ejemplo un banco y quiero acceder a mis cuentas. En esa parte del proceso, para que la autenticación sea robusta se puede utilizar un usuario y contraseña (autenticación débil) y un segundo factor de autenticación basado en SMS, Latch - como se puede hacer en Cajamar - o la "deprecated" tarjeta de coordenadas.
Figura 2: Latch como 2FAutenticación y 2FAuthorization en Cajamar
Para aumentar aún más la seguridad, al igual que se elimina la tarjeta de coordenadas por un 2FAutenticazión robusto, se puede suplantar la autenticación por un sistema de autenticación basado en la SIM del dispositivo utilizando Mobile Connect. En este escenario, el usuario introduce su número de teléfono en la web de por ejemplo un banco y éste envía una solicitud de autenticación a la operadora de telecomunicaciones. Cuando llega a la operadora, se produce un proceso de routing para que sea la operadora del número de teléfono (Telefónica, Etisalat, Orange o la que sea) la que se encargue de comprobar que la persona que acaba de solicitar ser autenticado es la que tiene el terminal.
 |
| Figura 3: Esquema a de autenticación con Mobile Connect de la GSMA |
En ese instante, la operadora tiene tres varias formas con varios niveles de seguridad para autenticar el número de teléfono. La más robusta consiste en enviarle un mensaje vía OTA a una aplicación de que corre en la parte segura de la SIM Card que le solicitará un PIN de aprobación para este proceso de autenticación. Cuando lo haga, se enviará al sitio web una respuesta de autenticación positiva, tal y como se ve en el vídeo.
Figura 4: Vídeo demostrativo de autenticación vía Mobile Connect con SIM + PIN
Existen muchas otras posibilidades, como enviar un mensaje a la SIM Card y no solicitar un PIN o enviar un TOKEN OTP vía SMS para que el receptor responda al desafío. Dependiendo del método de autenticación que se haya utilizado, el sitio web será consciente de qué forma se ha utilizado para autenticar al usuario y podrá establecer políticas de seguridad distintas.
Figura 5: Latch con 2FAuthorization en Nevele Bank
Ahora mismo el equipo de Mobile Connect en Telefónica es parte de Eleven Paths, así que nosotros estamos trabajando para que sea parte de nuestro sistema de autenticación robusta SmartID y que los empleados de una empresa puedan autenticarse en sus equipos de trabajo con la SIM, además de tener Latch como 2FAuthorization tal y como puedes probar en Nevele Bank, pero también se puede poner en las webs de Internet. Os iré contando muchos más detalles en el futuro.
Saludos Malignos!
