Cómo incentivar a los usuarios a activar 2FA

May 26, 2020
Redactado por
Revisado por

Cómo incentivar a los usuarios a activar 2FA

Ofrecer la autenticación de dos factores (2FA) no ayuda a asegurar a sus clientes si no se suscriben a la función. 2FA ayuda a proteger a los usuarios si el primer factor, generalmente una contraseña, se ve afectado. Es frecuente que se vean afectadas las contraseñas fáciles de adivinar y la reutilización de contraseñas que se vulneran en otro sitio. Es posible que los usuarios más conscientes de la seguridad ya tengan contraseñas seguras y únicas, y es posible que no sea necesario convencerlos de que activen 2FA, pero ¿cómo convence a los usuarios más vulnerables de activar funciones de seguridad adicionales?

Un estudio del 2019 sobre el uso de 2FA reveló que solo el 29 % de las personas pensó que la inconveniencia de 2FA siempre valía la pena a cambio de seguridad. “No creo que tenga nada que alguien quiera de mí, así que creo que es por eso que no me ha preocupado mucho”, indicó un participante.

Esta intención refleja algo que el investigador de seguridad Cormac Herley escribió aproximadamente hace una década: “Es principalmente tiempo y no dinero, lo que los usuarios se arriesgan a perder cuando son atacados. También es tiempo lo que los asesores de seguridad les piden”. Incentivar a los usuarios para que tomen medidas de seguridad adicionales es una forma de compensar la inversión de tiempo y animar a los usuarios a dar valor a una mejor seguridad de la cuenta.

Cómo impulsar la adopción de 2FA

escala de opciones de habilitación

Los sitios web son cada vez más inteligentes a la hora de conseguir que las personas activen 2FA. A menos que seas una empresa como Coinbase, usted probablemente no exigirá 2FA, pero tiene otras opciones que solo la ocultación en la configuración del perfil. Las cosas como las solicitudes de inicio de sesión pueden ser efectivas, especialmente si es persistente con los recordatorios.

Cómo los emotes gratis popularizaron 2FA

 

Hijo: ¿sabes qué es la autenticación de dos factores?
Yo: Eh, ¿sí?
Hijo: Obtengo un baile gratuito en
@Fortniegame si habilito dos factores. ¿Podemos hacerlo?

Los incentivos importan.

 Dennis (@DennisF) 23 de agosto del 2018

La idea de ofrecer incentivos con productos para habilitar 2FA fue popularizado por Fortnite en el 2018. El incentivo recibió mucha atención en los medios y puede ver sus efectos sobre el interés público en las tendencias de búsqueda de Google para 2FA:

gráfico: Interés de las búsquedas de 2FA en Google a lo largo del tiempo
 

Ese primer aumento en el 2018 se puede atribuir a Fortnite, que publicitaron sus incentivos aproximadamente en ese momento. Las tendencias de Google para temas relacionados y consultas de 2FA aún se centran en Fortnite y su empresa matriz, Epic Games.

Los incentivos como estos pueden ser uno de los motivos por los que la conciencia pública de 2FA ha aumentado desde el 2017, según un estudio del 2019 realizado por Duo Security.

gráfico: crecimiento de la adopción de 2FA

De todas maneras, Fortnite no es la única empresa que ofrece incentivos y hay una variedad de formas en que las empresas alientan a sus usuarios a habilitar la característica de seguridad.

¿Quién ofrece incentivos para 2FA?

Cormac Herley, citado anteriormente, planteó la pregunta en Twitter el mes pasado:

¿Alguien puede pensar en ejemplos de empresas que ofrecen incentivos a los usuarios para utilizar 2FA? No pregunto sobre estímulo, aumento de conciencia, libre a bordo gratis, etc., estoy pensando en descuentos, servicio mejorado, etc. Gracias.

— Cormac Herley (@Cormacherley) 6 de abril del 2020

Las empresas de videojuegos parecen ser las que lo realizan con mayor frecuencia, lo cual tiene sentido, ya que la economía de los juegos es grande y los incentivos en los juegos son básicamente gratuitos. World of Warcraft y Rockstar Games ofrecen incentivos de 2FA como este. Twitch, también un cliente de Twilio Authy de 2FA, comenzó a ofrecer incentivos similares el mes pasado.

La plataforma y las empresas de servicio también ofrecen incentivos en forma de descuentos en la facturación. MailChimp ofrece un 10 % de descuentodurante 3 meses para cuentas que activan 2FA. El proveedor de alojamiento NIC.UA ofrecía un 15 % de descuento cuando lanzaron 2FA en el 2017.

Habilitación de funciones con 2FA

Otra forma de incentivar 2FA es solo desbloquear funciones para los usuarios que tienen la función 2FA activada. Esta es una forma de implementar 2FA en cuentas de mayor valor.

Por ejemplo, GitHub requiere 2FA para los usuarios que desean participar en su programa de patrocinio. Apple ya no permite desactivar 2FA alegando que “determinadas funciones” en versiones recientes requieren un nivel adicional de seguridad.

Epic Games ofrecía otro incentivo el mes pasado, el desbloqueo de la puerta para juegos gratuitos para usuarios que usaron 2FA.

Requisito de 2FA

No todas las empresas de consumo pueden lograr exigir 2FA, pero si sus usuarios comprenden el riesgo, entonces puede tener sentido. Es posible que las empresas financieras, incluidos los bancos y las empresas de criptomonedas, requieran 2FA para sus usuarios. También hemos visto que las empresas que enfrentaron mala prensa de seguridad exigir 2FA.

Consideraciones de privacidad para incentivar 2FA

Cada vez que surge esta conversación, veo alguna versión de esta pregunta: “¿las empresas solo están haciendo esto para recopilar PII?”

¿Permiten TOTP o es solo una estratagema para recopilar números de teléfono?

— Rich Feliker (@RichFeliker) 28 de abril del 2020

No sea esa empresa. Separe el marketing de la seguridad y sea claro acerca de cómo utiliza los datos de usuarios. Ofrezca incentivos para todos los canales, incluidosTOTP (no se requiere PII) o correo electrónico (que la empresa probablemente ya tiene). Facebook ya destruyó una gran cantidad de confianza de los usuarios cuando los capturaron utilizando números de teléfono 2FA para la focalización de anuncios (se detuvieron en el 2019) y no podemos correr el riesgo de alejar a los usuarios aún más. Luchar por proteger la privacidad de los usuarios y, al mismo tiempo, fomentar una mayor seguridad, no son objetivos mutuamente excluyentes.

2FA basado en SMS ofrece una mejor seguridad que no contar con 2FA, pero, si es posible, no obligue a sus usuarios a utilizar un canal que no desean utilizar.

Conclusión

Ofrecer 2FA ya no es suficiente, debe asegurarse de que sus usuarios lo activen. Es otra forma de decir que se los debe obligar; tiene varias opciones para impulsar la adopción de este. Analice qué incentivos de productos son más importantes para su negocio o para acceder a ciertas características de las cuentas que cuentan con la función 2FA. Como mínimo, recuérdeles a los usuarios que activar 2FA es una opción. ¿Cómo incentiva su empresa a los usuarios a activar 2FA? Hágamelo saber en Twitter o deje un mensaje en los comentarios.

Este artículo fue traducido del original "How to incentivize users to enable 2FA". Mientras estamos en nuestros procesos de traducción, nos encantaría recibir sus comentarios en help@twilio.com - las contribuciones valiosas pueden generar regalos de Twilio.