Identidad y autenticación del usuario en un mundo físico a digital: elegir un proceso de verificación adecuado para tu negocio

Elegir un proceso de verificación adecuado para tu negocio

MGM Resorts.

Walgreens.

J. Crew.

Zoom.

¿Qué tienen en común todas estas empresas?

Todas han tenido que lidiar con una filtración de datos en los últimos nueve meses, que expuso la información de los clientes y puso en riesgo los registros comerciales.

Si bien las filtraciones de datos de las empresas son bastante comunes (solo en 2019 se vieron 1473 filtraciones individuales, en las que se expusieron casi 165 millones de registros confidenciales), también representan un riesgo evitable si se realizan actualizaciones periódicas de la seguridad de las cuentas de la empresa, como usar la autenticación de dos factores y hacer que los clientes actualicen sus contraseñas con regularidad.

Sigue leyendo para conocer los tres tipos principales de fraude en línea, las diferentes opciones de seguridad de plataformas para combatir estos riesgos y los beneficios y las desventajas de cada canal.

Desglose de los tipos de fraude en línea

Los tres tipos diferentes de fraude se pueden asociar a cuatro etapas del trayecto de seguridad de la cuenta del cliente: registro, inicio de sesión, transacciones y restablecimiento de contraseña. En cada uno de esos puntos de contacto, hay oportunidades para protegerse contra el fraude en línea, incluidos el fraude de cuenta nueva, las tomas de control de cuentas y el fraude de pago.

Durante una filtración de datos, estos son los tres tipos de fraude que normalmente vemos:

1. Fraude en el registro/cuenta nueva: las empresas que ofrecen incentivos para el registro/usuarios nuevos (a veces, con una estructura freemium) son susceptibles a bots de phishing que crean miles de estas cuentas a fin de aprovechar los nuevos descuentos/beneficios para miembros.
2. Fraude de robo de cuenta: los estafadores obtienen acceso a las credenciales de un usuario para iniciar sesión en una cuenta de usuario y, luego, cambian la contraseña para bloquear al usuario original.
3. Fraude de pago: los hackers utilizan la información de tarjetas de crédito de clientes, obtenida de manera ilegal de lugares como terminales de estaciones de gasolina, tiendas de comestibles y filtraciones de datos de rutina, para intentar realizar compras. Si bien los clientes a menudo cuentan con cobertura para estos casos, las empresas no tienen garantizada la misma seguridad.

Evaluación de los métodos de seguridad digital

A la hora de considerar qué características de seguridad digital utilizar para tu propia empresa, es importante evaluar las fortalezas y debilidades de cada una para mantener seguros los datos de la empresa y de los clientes.

Verificación de correo electrónico

Durante las últimas décadas, los correos electrónicos se han vuelto casi tan universales para la identidad de una persona como sus huellas digitales. Debido a esto, no es de extrañar que la gran mayoría de las cuentas en línea se identifiquen mediante la dirección de correo electrónico del usuario.

Los beneficios aquí son evidentes. Los correos electrónicos están ampliamente disponibles, las personas rara vez los olvidan y, a menudo, son la mejor manera de comunicarse con el titular de la cuenta. Sin embargo, es casi imposible determinar si un correo electrónico es fraudulento o no.

Además, verificar la validez es aún más difícil con solo un paso de seguridad de la cuenta. Por ejemplo, si envías un correo electrónico con un enlace para restablecer una contraseña a una dirección de correo electrónico comprometida, enviar esta comunicación a esta cuenta se vuelve irrelevante y potencialmente riesgoso.

• Ventajas: de uso universal, fácil de recordar y de bajo costo.
• Desventajas: imposible de verificar y fácil de hackear.

Verificación de número de teléfono y SMS

Al igual que los correos electrónicos, los números de teléfono son una opción atractiva para verificar la identidad de forma rápida y fácil. También se utilizan universalmente y son fáciles de recordar y una forma sencilla de comunicarse directamente con el usuario.

A diferencia del correo electrónico, en el que es relativamente fácil crear miles de cuentas falsas, es muy difícil, lento y costoso falsificar el número de teléfono de una persona.

Los números de teléfono también pueden ayudar a las empresas a confirmar una gran cantidad de información personal sobre un usuario para verificar su identidad, por ejemplo, si el número es una línea fija o móvil, el país de origen y a qué compañía de telecomunicaciones está vinculado.

Muchas empresas utilizan una técnica de verificación conocida como autenticación de dos factores (2FA) o verificación de número de teléfono. Los clientes se registran, ingresan un número de teléfono y, a continuación, la empresa les envía un código de un solo uso a ese número, que deben ingresar en la aplicación. Actualmente, este proceso es el medio más popular para agregar seguridad adicional significativa al proceso de verificación de un usuario.

Si bien los números de teléfono son una excelente función de verificación dada la popularidad de la mensajería de texto, los consumidores están cada vez más reacios a compartir su número debido al aumento de las llamadas automáticas y el telemarketing. Además, al igual que con el correo electrónico, existe un riesgo de números y mensajes SMS fraudulentos.

Las prácticas recomendadas sugieren que se debe confirmar que un número operativo pertenece al titular de la cuenta enviando un código único a través de SMS y pidiendo al destinatario que ingrese ese código en la aplicación móvil. Sin embargo, debido a que los SMS son tan sencillos y directos, en muchos países, las normas de seguridad de SMS han cambiado para proteger las transacciones en línea.

En Europa, por ejemplo, los códigos SMS no se consideran seguros, porque pueden ser interceptados o filtrarse, y los usuarios reciben un código y no saben lo que están autorizando, pero proceden de todas maneras. Por lo tanto, estos nuevos requisitos ahora exigen que los vendedores compartan los detalles de la transacción a través de texto para confirmar que el código de seguridad que se envía está, de hecho, relacionado con la compra que está realizando el usuario autenticado.

Este método protege tanto al cliente como a la empresa, ya que utiliza los detalles de las notificaciones push para garantizar que el pago sea legítimo. Si bien este no es un requisito en los Estados Unidos, es una buena medida de seguridad para protegerte a ti y a tus clientes contra el fraude de pago.

Otras desventajas de la autenticación vía mensaje de texto incluyen el costo (los mensajes de texto internacionales pueden ser exponencialmente más costosos que el envío de mensajes de manera local) y que, si bien la mayoría de los usuarios tienen acceso a un teléfono habilitado para texto, algunos solo pueden tener números de teléfono de solo voz, como líneas fijas, u otras restricciones que impiden el uso de SMS.

• Ventajas: de uso universal, conveniente, fácil de implementar y sin necesidad de una aplicación. 
• Desventajas: intercambio de SIM/acceso ilegal a la SIM, dispositivos perdidos o robados, comunicación de línea fija frente a móvil y el costo.

Verificación con aplicación

Si bien el SMS es una de las formas más rápidas de utilizar 2FA, la mejor solución para la experiencia del usuario es la 2FA basada en aplicaciones con autenticación push.

La implementación de una aplicación de autenticación (como Authy) que utiliza estándares de seguridad aceptados para generar un código de acceso único o una notificación push en el dispositivo mismo también es una de las opciones más seguras disponibles.

También puedes utilizar una solución para agregar servicios de verificación a una aplicación existente, como Verify Push, que incorpora un proceso de verificación integral en todo el trayecto del usuario sin los riesgos, las complicaciones ni los costos de enviar códigos únicos por otros canales. Esta solución permite a los clientes agregar un factor de “verificación push” de baja fricción, seguro y rentable a una aplicación existente.

Uno de los mejores métodos para verificar de forma segura a los usuarios es utilizar un enfoque basado en software que no depende solo de SMS. Con una base de clientes potencialmente global, debes asegurarte de que cualquier plataforma en la que inicien sesión (teléfono, computadora, tableta, etc.) se sincronice. De este modo, las empresas tienen un mayor grado de visibilidad, seguridad y una experiencia de usuario mucho mejor mediante el uso de una solución basada en software.

Estas soluciones basadas en aplicaciones no se utilizan tan ampliamente y pueden ser más costosas que la autenticación de seguridad básica, pero la ventaja es saber que los datos de los clientes y los registros de la empresa están seguros con la última tecnología de seguridad.

• Ventajas: la mejor experiencia de usuario y la más segura, y no está vinculada a un proveedor de telefonía.
• Desventajas: el precio y no es muy utilizado.

Elegir con cuidado

Las empresas, tanto las grandes (similares a las mencionadas al inicio) como las pequeñas, no solo deben implementar, sino también actualizar constantemente su seguridad en línea para anticiparse al fraude a medida que continuamos migrando de un mundo físico a un mundo más digital. Y, cuando se producen filtraciones de datos, reconocer cómo tu empresa está lidiando con la filtración, así como las medidas que deben tomar los clientes, ayuda a recuperar esa pérdida de confianza del consumidor.

Para decidir qué tipo de verificación utilizar, considera al cliente, su ubicación y cuánto tiempo/esfuerzo se requerirá para que realice una compra o inicie sesión en tu plataforma. Si bien deseas que tu plataforma sea segura para evitar el abuso relacionado con registros falsos o actividades fraudulentas, debes hacer que el proceso sea lo suficientemente sencillo como para que los clientes reales vuelvan.