Las transacciones online ya forman parte de nuestro diario de vivir -desde abrir una cuenta bancaria, comprar ropa o incluso obtener un título en línea-. Es cierto que estas interacciones virtuales nos simplifican la vida, pero también es cierto que requieren de una gran adaptación por parte de las organizaciones que las brindan. Después de todo, las personas no únicamente buscan “completar transacciones”, sino que además quieren obtener experiencias en línea simples, atractivas, sin fricciones y que resuelvan sus problemas.
Paralelamente, estamos experimentando un aumento global de los delitos cibernéticos, especialmente del phishing, la apropiación de cuentas (ATO) y el fraude producto del intercambio de tarjetas SIM. Según estimaciones, el costo de estos fraudes crece un 15% cada año y se espera que alcance los 10 billones de dólares para 2025.
Por lo tanto, si tu empresa está buscando expandir las interacciones digitales con sus clientes, deberás pensar en soluciones de verificación y autenticación centradas en el usuario que garanticen buenas experiencias del cliente (CX).
Diferencias entre la verificación y la autenticación de la identidad
Al crear una estrategia de seguridad sólida, deberás pensar tanto en la verificación de identidad como en las soluciones de autenticación de la identidad.
Sin embargo, para que puedas comparar las soluciones disponibles, es importante entender las diferencias entre cada una y lo que cada una propone hacer.
- IDENTIFICACIÓN: esta es la etapa en donde se proporciona la información que posteriormente será utilizada en los consiguientes pasos de verificación y autenticación. Sucede cuando como usuario proporcionas tu nombre, dirección, correo electrónico, teléfono o accedes a la recopilación de datos biométricos.
- VERIFICACIÓN: es cuando una empresa analiza y constata si la información facilitada por el usuario es veraz. Normalmente esto se hace comprobando los datos con otros bancos o documentos. Este paso es muy común cuando se registran nuevas cuentas y también cuando un usuario asocia un nuevo dispositivo o navegador con sus cuentas existentes.
- AUTENTICACIÓN: tiene lugar cuando se emplea cierta información para ratificar que, en efecto, quien está intentando acceder a determinada cuenta o servicio es quien dice ser. Este paso generalmente se usa cuando una persona quiere acceder a un sistema/cuenta/plataforma, en pagos de alto valor o durante una solicitud para cambiar la configuración de una cuenta. Existen tres tipos principales de autenticación y estos parten de: 1. Conocimiento (una contraseña o la respuesta a una pregunta de seguridad); 2. Posesión (un código o token enviado a un teléfono celular o correo electrónico de tu propiedad); 3. Funcionalidades (biometría, reconocimiento facial, voz).
Muchas empresas emplean múltiples factores de autenticación para crear más capas de seguridad para sus clientes y sistemas y para prevenir el fraude -por ejemplo: una combinación de contraseña + OTP enviada vía SMS o una contraseña + Silent Mobile Scan-.
La verificación es la confirmación de la veracidad de la información y de la identidad del usuario. La autenticación, por su parte, es la confirmación de que quien solicita acceso a una cuenta/sistema en particular es realmente la persona autorizada para hacerlo.
Creando la estrategia de seguridad ideal para las necesidades de tu negocio
En primer lugar, olvídate de la idea errada de que tan solo existe una única solución de seguridad. La elección de las herramientas y tecnologías que compondrán tu arsenal de seguridad dependerá de tus objetivos y del nivel de riesgo vinculado a cada acción de tus usuarios.
Por ejemplo, en el paso de registrar una nueva cuenta, la simple verificación de un correo electrónico puede ser el nivel de seguridad necesario que además te permita no interferir con la experiencia de tu usuario. Si por el contrario deseas autorizar la concesión de un préstamo, es posible que debas asociar más pasos de verificación y autenticación para minimizar el riesgo de fraude.
En otras palabras, siempre es importante buscar un equilibrio entre el nivel de seguridad requerido para una operación y la experiencia que estás ofreciendo a tu usuario. Solicitar 7 métodos de autenticación solo para iniciar sesión en la cuenta hará que tu usuario se moleste y se dé por vencido. Pero solicitar 3 pasos (contraseña, PIN y SIM-Swap) para la compra de un producto de un muy alto valor, puede hacer que tu usuario se sienta aún más seguro y confiado en tu empresa.
Por lo tanto, lo más probable es que tu solución de seguridad sea una combinación de varias herramientas y tecnologías que se activarán de diferentes formas según la etapa del recorrido del cliente y el objetivo a cumplir dentro de ella.
Descubre las principales soluciones de verificación y autenticación
Know Your Customer (KYC)
Este procedimiento es más común en las instituciones financieras, las cuales suelen adoptar el KYC como requisito previo para registrar nuevos clientes en sus bases de datos. De hecho, muchas entidades financieras de gran tamaño están obligadas a recurrir a este método partiendo de sus normativas locales. Sin embargo, otras empresas medianas y pequeñas -o pertenecientes a otras industrias- también pueden beneficiarse del KYC.
La política de Know Your Customer no es más que un proceso de análisis de riesgo del usuario. Consiste en evaluar el perfil del usuario, analizar sus fuentes de ingresos, detectar perfiles fraudulentos, verificar personas políticamente expuestas, etc. Se realiza mediante la recopilación de datos del cliente y la verificación de esta información utilizando la data recopilada por otros bancos, entidades y fuentes independientes y confiables, como por ejemplo los Tribunales de Justicia, entre muchos otros.
Autenticación vía OPT o Token
Este tipo de autenticación es uno de los más utilizados por las empresas porque es sencillo, además de ser muy adaptable a las necesidades del cliente.
La idea es que, al intentar acceder a una cuenta, agregar un nuevo dispositivo o realizar una transacción, el usuario reciba un código de un solo uso (OTP) a través de un canal de comunicación previamente elegido (generalmente SMS o correo electrónico). Luego, el usuario ingresa este código en el lugar solicitado por la empresa, la cual autoriza su inicio de sesión u operación.
En el caso del token, esta nueva capa de autenticación se realiza a través de un pequeño dispositivo o una aplicación que genera contraseñas aleatorias o “claves dinámicas” que están vigentes por un corto período de tiempo para validar la identidad de los usuarios.
Biometría
La biometría se puede utilizar tanto para reemplazar la autenticación OTP como para hacer de ella una nueva capa de seguridad en la operación.
Esta solución permite a la empresa utilizar las características intransferibles de una persona (como el iris de su ojo, su huella digital, el reconocimiento facial, el reconocimiento de voz o de la retina) para asegurarse de que realmente es quien dice ser y garantizar la autorización para acceder a un determinado sistema o cuenta.
Luego de una recolección en la fase de “identificación” del usuario, un algoritmo especializado realiza un análisis y comparación con la biometría presentada en ese momento por el cliente.
El hecho de que muchos dispositivos móviles ya vengan con lectores de huella o de reconocimiento facial incorporados hace que muchas más empresas también hayan apostado por este formato de autenticación recientemente.
Verificación móvil silenciosa (SMV)
La solución de Silent Mobile Verification verifica la identidad de los usuarios sin interrumpir su experiencia debido a que ejecuta todo el proceso mediante una conexión directa con los operadores y -lo que es más importante- en segundo plano o en el background.
Cuando un usuario intenta acceder a una cuenta o sistema a través de su teléfono móvil, el SMV utiliza datos en poder de los operadores móviles para verificar la identidad del usuario y lo hace de forma silenciosa y en cuestión de segundos -acelerando el proceso y reduciendo el riesgo de fraude y abandono del carrito-.
Comprobación del intercambio de la SIM (SIM Swap)
Este es otro proceso que ocurre en segundo plano y que, por lo mismo, no causa ninguna fricción en la experiencia del cliente. En él, la tecnología busca el número IMSI (International Mobile Subscriber Identity) conectado a tu tarjeta SIM y verifica si esta se ha cambiado recientemente -por ejemplo, si has cambiado tu dispositivo-.
Las empresas pueden optar por bloquear transacciones, enviar OTP e intervenir cuando al detectar un intercambio de la SIM en un período corto de tiempo (menos de 12 o 24 horas antes de intentar realizar una transacción). De esta forma, evitas que las personas a las que les robaron el celular sean víctimas de más y más fraude.
Mejores prácticas para diseñar tu estrategia de seguridad
- Permite que tus clientes elijan qué canales de autenticación desean usar: especialmente para métodos como el envío de PIN de autenticación, es bueno brindar opciones a tus usuarios. Comprende sus preferencias de canales y ofréceles, cuando sea posible, algunas opciones como SMS, WhatsApp, push, voz y correo electrónico.
- Confirma el número de teléfono o el correo electrónico con el usuario antes de enviar una OTP.
- Encuentra el equilibrio entre experiencia y seguridad: como lo mencionamos antes, hay que tener en cuenta la experiencia del cliente, incluso a la hora de diseñar una estrategia de seguridad. Por lo tanto, ten presente el grado de riesgo de fraude de cada operación y agrega capas de autenticación a partir de ahí.
- Combina tecnologías dependientes del usuario que se ejecuten en segundo plano: una forma de mejorar la experiencia del cliente sin sacrificar la seguridad es superponer soluciones de seguridad que requieren la acción del usuario (ej. ingresar una contraseña o PIN) con opciones que se realizarán en segundo plano (SIM-Swap, exploración silenciosa). De esta manera, creas capas adicionales de seguridad, pero sin causar fricción.
- Implementa soluciones de bloqueo para solicitudes sucesivas: ¿después de cuántos intentos fallidos debes bloquear temporalmente el acceso a una cuenta? El número mágico para muchas empresas oscila entre 3 y 5. Esta es una estrategia que reduce la posibilidad de ataques automáticos y personas no autorizadas que intentan acceder a la cuenta de otra persona.
- Espera hasta que se verifiquen los datos antes de almacenarlos en tus bases de datos: ante cada nuevo cambio o adición de información en el registro de tu cliente, realiza una verificación previa. O bien, puedes agregar una etiqueta “en revisión” a los datos aún no verificados para asegurarte de que no haya problemas de autenticación en el futuro.
Mantén seguros a tus clientes con la ayuda de Infobip
Al combinar capas efectivas de verificación y autenticación, puedes asegurarte de que tus clientes sean quienes dicen ser y no un estafador esperando para atacar. Con ello, habilitarás experiencias mucho más atractivas y resolutivas para tus consumidores.
Infobip tiene las herramientas que necesitas para crear una estrategia integral de verificación y autenticación para tus usuarios. ¡Ponte en contacto con uno de nuestros expertos y descubre cómo podemos ayudarte!
Otros contenidos relacionados que podrían interesarte:
- Nuevas tecnologías de verificación de usuarios y lo que estas significan para los operadores
- Aprende cómo optimizar el registro de tus usuarios y su experiencia de compra a través de identidad móvil
- Seguridad, usuarios verificados y aplicaciones de citas: ¡no permitas que el amor se convierta en un fraude!
- ¿Qué es un SMS verificado y cómo funciona?
