Las credenciales robadas siguen siendo uno de los dos principales vectores de acceso inicial en todos los sectores, según el Informe de 2026 sobre investigaciones de fugas de datos de Verizon—y en el caso de los bancos, donde las cuentas digitales ofrecen acceso directo a los servicios financieros, siguen propiciando el fraude por apropiación de cuentas, el «credential stuffing» y las campañas de phishing en tiempo real a gran escala.
La respuesta normativa ha sido inequívoca: la PSD3 y la PSR1 se están aplicando de forma activa en todos los Estados miembros de la UE, la DORA está en vigor y los organismos reguladores de la UE, Estados Unidos y la región de Asia-Pacífico están convergiendo en un único requisito: la autenticación resistente al phishing.
Las claves de acceso FIDO2 son ahora la vía más clara para alcanzar ese nivel. Pero el debate no se limita a las claves de acceso. La aparición de la computación cuántica supone que los fundamentos criptográficos de la arquitectura de autenticación actual se enfrentan a una amenaza a largo plazo para la que las instituciones con visión de futuro deben prepararse desde ahora. Este artículo explica cómo funciona la autenticación sin contraseña FIDO2 en el sector bancario, qué exigen la PSD3 y la PSR1, y por qué la criptografía poscuántica debe formar parte de su hoja de ruta, junto con ocho preguntas para evaluar en qué punto se encuentra su entidad.
El fraude bancario moderno rara vez se centra únicamente en las contraseñas. Los atacantes se aprovechan de los sistemas que las rodean: los proxies de phishing en tiempo real interceptan los códigos de un solo uso enviados por SMS antes de que los usuarios terminen de introducirlos; los ataques de sustitución de la tarjeta SIM redirigen los mensajes de verificación a dispositivos controlados por los atacantes; y la ingeniería social en los puntos de acceso al servicio de asistencia técnica elude por completo la autenticación primaria. La autenticación basada en secretos compartidos crea superficies de ataque que los controles de políticas por sí solos no pueden cerrar.
¿Por qué el sector bancario es un objetivo tan atractivo para los ataques dirigidos a las credenciales?
El fraude por apropiación de cuentas sigue siendo el principal vector de ataque en la banca digital. Las herramientas de «credential stuffing» comprueban miles de millones de combinaciones de nombre de usuario y contraseña que se han filtrado anteriormente en portales bancarios mediante campañas automatizadas. La autenticación multifactorial (MFA) ha elevado el listón, pero no todos los sistemas de MFA son iguales. Las contraseñas de un solo uso (OTP) por SMS y las notificaciones push siguen siendo vulnerables al phishing: un atacante que engañe a un usuario para que apruebe una notificación push en tiempo real obtiene acceso independientemente del segundo factor del proceso.
Las claves de acceso FIDO2 abordan este problema a nivel de arquitectura, no a nivel de políticas. Al eliminar los secretos compartidos y vincular las credenciales a dominios específicos de las partes de confianza (RP), eliminan el mecanismo que hace que el phishing sea económicamente viable: no hay nada que interceptar, retransmitir o reproducir.
FIDO2 es un estándar de autenticación abierto desarrollado por la Alianza FIDO en colaboración con el W3C. Su especificación WebAuthn permite a los navegadores y a las aplicaciones autenticar a los usuarios mediante credenciales criptográficas —claves de acceso— en lugar de contraseñas.
Cuando un usuario registra una clave de acceso, el dispositivo genera un par de claves pública y privada. La clave privada nunca sale del dispositivo; el banco solo almacena la clave pública. Durante la autenticación, el banco envía un desafío; el dispositivo lo firma con la clave privada; el banco verifica la firma. No se transmite ningún secreto. Además, cada credencial está vinculada criptográficamente a un dominio específico, por lo que no puede utilizarse en una página de phishing, ni siquiera en una que sea una réplica visual perfecta, píxel a píxel, del portal bancario legítimo.
Códigos de acceso frente a llaves de seguridad físicas: ¿cuál es la opción más adecuada para tu banco?
Las claves de acceso pueden ser de dos tipos principales. Las claves de acceso sincronizadas se replican en todos los dispositivos de un usuario a través de ecosistemas de plataformas como el Llavero de iCloud de Apple o el Gestor de contraseñas de Google. Simplifican la recuperación y son muy adecuadas para los clientes minoristas. Las claves de acceso vinculadas a un dispositivo están asociadas a un único dispositivo y nunca se exportan, lo que proporciona una mayor seguridad para el acceso privilegiado, los usuarios de banca corporativa o los flujos de transacciones de alto valor.
Para las instituciones que requieren el máximo nivel de seguridad —banca corporativa, administradores con privilegios o contextos que exigen la separación del dispositivo principal del usuario—, las claves de seguridad de hardware ofrecen un autenticador específico sin exposición a Internet y con verificación obligatoria de la presencia del usuario en cada uso. La RSA Serie iShield Key 2 ofrece autenticación por hardware con certificación FIDO2 que se integra con RSA ID Plus en entornos en la nube, híbridos y locales, lo que permite a los bancos implementar el método de autenticación adecuado para cada grupo de usuarios desde una única plataforma.
RSA implementó la autenticación sin contraseña FIDO2 entre toda su plantilla global, logrando una adopción casi total en los terminales gestionados en un plazo de doce meses. El relato completo —incluido cómo gestionar las dependencias heredadas y la gestión del cambio a escala empresarial— se recoge en el Dentro de RSA: Implantación de FIDO y soluciones sin contraseña a gran escala estudio de caso, elaborado en colaboración con la Alianza FIDO.
FIDO2 puede cumplir los requisitos de Autenticación Fuerte del Cliente (SCA) de la PSD2 cuando se implementa correctamente. El dispositivo de autenticación proporciona el factor de ’posesión»; un dato biométrico o un PIN proporcionan el factor de «inherencia» o «conocimiento». La vinculación dinámica —que vincula la autenticación a un importe de transacción y un beneficiario específicos— puede incorporarse a los flujos de FIDO2, lo que la convierte en una solución completa de SCA tanto para la autenticación de la identidad como para la aprobación del pago.
¿Qué cambios introduce la Directiva PSD3/PSR1 en la autenticación bancaria?
La PSD3 y su reglamento complementario, la PSR1, alcanzaron un acuerdo político en 2025 y se encuentran en fase de aplicación activa, con plazos de transición que se extienden hasta 2027 y 2028. Hay tres cambios que resultan especialmente significativos para los equipos de autenticación. En primer lugar, la PSD3 y la PSR1 introducen requisitos más estrictos para la autenticación de fuerte carácter (SCA) resistente al phishing, yendo más allá del modelo básico de dos factores de la PSD2 hacia métodos que no puedan ser interceptados ni retransmitidos. En segundo lugar, los bancos se enfrentan a una mayor responsabilidad en casos de fraude en los que se disponía de autenticación resistente al phishing, pero no se había implementado. En tercer lugar, las entidades deben proporcionar métodos de autenticación alternativos obligatorios para los usuarios que no puedan utilizar el método principal, lo que requiere una arquitectura con múltiples autenticadores en lugar de una implementación basada en un único método.
El modelo FIDO2, con claves de acceso vinculadas al dispositivo o claves de seguridad de hardware, se ajusta plenamente a las directrices de la PSD3/PSR1. Las entidades que ya hayan implantado el modelo FIDO2 estarán en mejores condiciones para demostrar su cumplimiento, así como para presentar los registros de revisión de accesos y la documentación de auditoría que soliciten los organismos reguladores. Gobernanza y ciclo de vida de RSA automatiza los registros de revisión de accesos y los informes de cumplimiento, lo que reduce el tiempo de preparación de las auditorías de semanas a horas.
La computación cuántica capaz de romper el cifrado asimétrico actual aún no está disponible en el mercado. Sin embargo, el problema de planificación ya está presente. La estrategia de ataque conocida como “recoger ahora, descifrar más tarde” —recoger hoy el tráfico de red cifrado con la intención de descifrarlo una vez que las capacidades cuánticas hayan madurado— ya está siendo llevada a cabo por actores maliciosos sofisticados que tienen como objetivo instituciones de gran valor. Para los bancos, donde el tráfico de autenticación y los datos de clientes a largo plazo representan objetivos de interés constante, esto supone un riesgo real que exige tomar medidas antes de que la amenaza cuántica se materialice.
¿En qué consiste la amenaza de “cosechar ahora, descifrar después”?
La criptografía de clave pública estándar actual —en la que se basan el protocolo TLS, las firmas digitales y las operaciones con credenciales FIDO2— se basa en problemas matemáticos que los ordenadores clásicos no pueden resolver a gran escala. Un ordenador cuántico lo suficientemente potente que ejecute el algoritmo de Shor podría resolver estos problemas de manera eficiente, dejando al descubierto de forma retroactiva cualquier dato cifrado según los estándares actuales. Las instituciones que almacenan o transmiten datos relacionados con la autenticación deben partir de la base de que adversarios sofisticados podrían estar archivándolos ya para su futuro descifrado.
Las normas poscuánticas del NIST y el camino a seguir para los bancos
En agosto de 2024, El NIST ha ultimado sus tres primeras normas de criptografía poscuántica: ML-KEM (encapsulación de claves basada en retículas), ML-DSA (firmas digitales basadas en retículas) y SLH-DSA (firmas basadas en hash), todas ellas diseñadas para ofrecer seguridad frente a ataques tanto clásicos como cuánticos. La Alianza FIDO está trabajando activamente para incorporar algoritmos de PQC en el estándar FIDO2, lo que permitirá que las claves de acceso y las claves de seguridad de hardware mantengan sus propiedades de resistencia al phishing a medida que avance la computación cuántica.
La compatibilidad de RSA ID Plus con implementaciones híbridas y locales ofrece a las entidades financieras flexibilidad arquitectónica a medida que se incorporan los estándares de PQC a la infraestructura de identidad. En lugar de tener que llevar a cabo una única migración a gran escala, los bancos pueden reforzar los métodos de autenticación desde ahora mismo e ir incorporando algoritmos resistentes a la computación cuántica a medida que maduren las especificaciones de PQC de la Alianza FIDO. Descubre más Las funciones completas de autenticación sin contraseña de RSA.
Estas preguntas se basan en la experiencia de RSA en la implantación en empresas y en las directrices normativas vigentes para las entidades financieras. Úsalas para identificar las deficiencias antes de que se conviertan en observaciones de auditoría.
- ¿Ha identificado todas las dependencias relacionadas con las contraseñas en sus flujos de registro, recuperación y políticas, y no solo en la ruta de inicio de sesión principal?
Los procesos de registro y recuperación de cuentas son las dependencias relacionadas con las contraseñas que más se suelen pasar por alto. Eliminarlas antes de implementar las claves de acceso es esencial para lograr una arquitectura verdaderamente sin contraseñas.
- ¿Cumplen sus métodos de autenticación actuales los requisitos de la SCA de la PSD3/PSR1 en materia de resistencia al phishing, incluida la vinculación dinámica para la autorización de pagos?
FIDO2 cumple con los requisitos de la SCA, pero son los detalles de implementación los que determinan el cumplimiento. Asegúrate de que tu configuración cubra tanto la autenticación de identidad al iniciar sesión como la firma de la transacción al autorizar el pago.
- ¿Es capaz tu arquitectura de autenticación de admitir varios tipos de autenticadores para distintos grupos de usuarios —clientes particulares, empresas, personal de sucursales y administradores con privilegios—?
Es poco habitual que un único tipo de autenticador satisfaga las necesidades de todos los grupos de usuarios. La arquitectura con múltiples autenticadores es un requisito de planificación, no una actualización futura.
- ¿Son tus procesos de recuperación de cuenta tan seguros como tu método de autenticación principal?
Los flujos de recuperación suelen ser el eslabón más débil en arquitecturas que, por lo demás, son resistentes al phishing. La ingeniería social en la vía de recuperación del servicio de asistencia técnica es un vector de ataque ampliamente documentado.
- ¿Cumplen tus contratos con terceros en materia de TIC para servicios de autenticación los requisitos del artículo 30 de la DORA, incluidas las garantías de disponibilidad, los plazos de notificación de incidentes y los derechos de auditoría?
Los servicios de autenticación se consideran servicios críticos de TIC prestados por terceros según la DORA. Es posible que los contratos anteriores a enero de 2025 deban modificarse antes de su próxima revisión supervisora.
- ¿Ha evaluado la vulnerabilidad poscuántica de su pila de autenticación actual, concretamente qué algoritmos criptográficos se están utilizando y cuáles deberán sustituirse?
Se trata de un ejercicio de planificación que debería comenzar ahora, mientras los plazos son lo suficientemente amplios como para actuar de forma metódica en lugar de reactiva.
- ¿Admite su plataforma de identidad una implementación híbrida o local para garantizar la resiliencia operativa y el cumplimiento de la normativa sobre residencia de datos?
Es posible que la autenticación exclusivamente en la nube, sin conmutación por error híbrida, no cumpla los requisitos de continuidad operativa de la DORA. La implementación híbrida se está convirtiendo cada vez más en una exigencia normativa.
- ¿Puede su plataforma generar automáticamente los registros de revisión de accesos, los registros de incidentes y los informes de cumplimiento necesarios para DORA, PSD3/PSR1 y las auditorías de los organismos reguladores nacionales?
La elaboración manual de informes de cumplimiento a gran escala no es sostenible. La automatización debería ser un criterio de selección explícito a la hora de evaluar las plataformas de autenticación.
RSA ID Plus está diseñado para que la respuesta a las ocho preguntas sea «sí». Descubre las soluciones de autenticación sin contraseña de RSA o solicitar una consulta junto con el equipo de seguridad de identidades de RSA.
La banca sin contraseñas no es una simple decisión sobre un producto, sino un cambio arquitectónico que afecta a los métodos de autenticación, los procesos de recuperación de cuentas, la documentación normativa, los contratos con terceros y la planificación criptográfica a largo plazo. Las claves de acceso FIDO2 sientan las bases: resistencia al phishing, criptografía sólida vinculada al dominio y cumplimiento normativo directo de la PSD3/PSR1 y la DORA. Para que su implantación tenga éxito, es necesaria una planificación coordinada en todas estas dimensiones.
RSA ha implantado el sistema de autenticación sin contraseña FIDO2 entre toda su plantilla a nivel mundial, documentando cada reto de integración, cada dependencia de sistemas heredados y cada obstáculo en la gestión del cambio que ha surgido a lo largo del proceso. Descubre las funciones sin contraseña de RSA, lee el Caso práctico sobre la implantación de RSA en empresas, o solicitar una consulta para evaluar el grado de preparación de su institución.
La autenticación sin contraseña en la banca sustituye las contraseñas y los secretos compartidos por credenciales criptográficas que autentican a los usuarios sin transmitir datos confidenciales. Las claves de acceso FIDO2 utilizan criptografía de clave pública-privada: la clave privada nunca sale del dispositivo del usuario; el banco verifica una firma criptográfica. Las credenciales están vinculadas al dominio, lo que elimina el phishing y la repetición de credenciales como vectores de ataque.
Cuando un usuario registra una clave de acceso, el dispositivo genera un par de claves pública y privada. La clave privada se almacena de forma segura en el dispositivo y nunca se exporta. Durante la autenticación, el banco envía un desafío; el dispositivo lo firma con la clave privada; el banco verifica la firma comparándola con la clave pública almacenada. Cada credencial está vinculada criptográficamente al dominio del banco, por lo que no puede utilizarse en sitios de phishing.
FIDO2 puede cumplir los requisitos de autenticación fuerte del cliente establecidos en la PSD3 y la PSR1 cuando se implementa correctamente. Las claves de acceso vinculadas a un dispositivo o las claves de seguridad de hardware cumplen el factor de posesión; un dato biométrico o un PIN cumplen el factor de inherencia o de conocimiento. La vinculación dinámica para la autorización de pagos puede incorporarse a los flujos de FIDO2. Los bancos deben confirmar que su implementación específica cubre tanto la autenticación de identidad como la firma de transacciones.
Las claves de acceso sincronizadas se replican en todos los dispositivos a través de ecosistemas de plataformas como iCloud Keychain o Google Password Manager, lo que mejora la facilidad de uso y permite la recuperación por cuenta propia. Las claves de acceso vinculadas a un dispositivo están asociadas a un único autenticador y nunca se exportan, lo que ofrece una mayor seguridad para el acceso privilegiado, la banca corporativa o las transacciones de alto valor.
La autenticación poscuántica utiliza algoritmos criptográficos resistentes a los ataques de ordenadores cuánticos. El actual FIDO2 se basa en la criptografía de curvas elípticas, que un ordenador cuántico lo suficientemente potente podría descifrar. La amenaza de ”recoger ahora, descifrar más tarde» significa que los adversarios podrían estar archivando ya el tráfico de autenticación cifrado para descifrarlo en el futuro. El NIST ultimó tres normas de criptografía poscuántica en agosto de 2024. Los bancos deberían incluir ya en sus planes de autenticación la planificación de la migración a la criptografía poscuántica (PQC).
La DORA exige a las entidades financieras de la UE que mantengan la continuidad operativa de los sistemas de TIC —incluidos los servicios de autenticación— durante los incidentes cibernéticos. Las plataformas de autenticación deben cumplir los requisitos del artículo 30 de la DORA relativos a los proveedores externos de TIC, que abarcan las garantías de disponibilidad, los plazos de notificación de incidentes y los derechos de auditoría. La DORA también exige registros de auditoría exhaustivos y planes de continuidad del negocio probados que garanticen la disponibilidad de los sistemas de autenticación.
Las directivas PSD3 y PSR1 refuerzan los requisitos de la SCA de la PSD2 con expectativas explícitas en materia de autenticación resistente al phishing, una mayor responsabilidad de las entidades bancarias en casos de fraude en los que existieran métodos resistentes al phishing pero no se hubieran implantado, y métodos de autenticación alternativos obligatorios. Los plazos de transición se extienden hasta 2027 y 2028.
La autenticación basada en la nube puede cumplir los requisitos de la DORA si la plataforma y los contratos se ajustan a lo dispuesto en el artículo 30. Las instituciones que dependan exclusivamente de la autenticación en la nube sin una solución híbrida de conmutación por error podrían tener dificultades para demostrar la continuidad operativa que exige la DORA. RSA ID Plus admite la autenticación en la nube, híbrida y local desde una única plataforma, y la conmutación por error híbrida garantiza que los servicios de autenticación sigan estando disponibles si se interrumpe la conectividad a la nube.