Contraseñas de un solo uso y cómo saber si el SMS que me envía mi banco es auténtico

Cuando realizamos compras a través de Internet, en ocasiones recibimos en nuestro teléfono móvil un mensaje SMS (Short Message Service o Servicio de Mensajes Cortos) de nuestro banco, con el que nos envía una clave o contraseña para poder continuar realizando la compra online. Según el Banco de España (@BancoDeEspana), lo que nuestra entidad bancaria nos está enviando en ese momento es una contraseña de un solo uso (en inglés One-Time Password), que consiste en una combinación numérica o alfanumérica que nos servirá para verificar la autenticidad de esa operación que estamos intentado realizar. Se trata de un mecanismo para acceder a una red o a un servicio usando una clave que solo puede ser utilizada una vez.

Para el supervisor bancario, “la principal ventaja que ofrece este sistema frente a las contraseñas estáticas o permanentes es su seguridad, ya que no puede volver a usarse. Además, el tiempo de validez de cada contraseña de un solo uso no suele superar los 60 segundos, suficientes para que el usuario pueda introducirla”. No obstante, debemos recordar que este tipo de contraseñas nos van a llegar en respuesta a una acción iniciada por nosotros –en este caso una compra online– y no como una iniciativa de la entidad financiera.

Los bancos, por norma general, no nos van a enviar mensajes SMS ni correos electrónicos que contengan enlaces para dirigirnos a sus páginas web o para solicitarnos ninguna información confidencial. Tampoco lo van a hacer a través de una llamada telefónica. Las entidades bancarias no van a usar nunca estos canales para pedirnos nuestras contraseñas y, por tanto, tampoco se debe dar información de este tipo por teléfono. Ante cualquier duda, una norma de seguridad es acceder a la página web de nuestro banco escribiendo directamente su dirección en la barra de nuestro navegador, y nunca a través de un enlace que nos haya llegado a través de un SMS o cualquier mensaje de texto.

Verificación en dos pasos

El Banco de España afirma que las contraseñas de un solo uso son un mecanismo de autenticación que está en consonancia con los recientes cambios normativos de la European Banking Authority (EBA @EBA_News) relativos a la autenticación reforzada del cliente que exige que el servicio de pago utilice al menos dos datos distintos, denominados factores de autenticación, que pueden ser:

• Conocimiento: algo que el cliente conoce, como una contraseña o PIN.
• Posesión: algo que el cliente posee, como una tarjeta de débito o un teléfono móvil.
• Inherencia: algo inherente al cliente, como su huella dactilar o su reconocimiento facial.