Índice
El mejor contenido en tu bandeja de entrada
La autenticación de usuarios para que estos puedan acceder a las plataformas que ponen a disposición los negocios, organizaciones o instituciones ha cambiado mucho desde los primeros pasos de lo digital. El uso de usuario y contraseña ha empezado a quedar desfasado desde hace unos años con el auge del robo de identidad y el surgimiento de nuevas técnicas de verificación.
De esta forma, la autenticación se ha convertido en un pilar fundamental en la seguridad de cualquier empresa para poder acreditar la identidad de sus usuarios y ofrecerles métodos de acceso seguros bien para disfrutar de los productos y servicios contratados, gestionarlos o adquirir nuevos.
Por un lado, el marco regulatorio de muchos mercados y regiones marca estándares muy concretos a los que las compañías deben adaptarse en materia de autenticación de usuarios. Por otra parte, vemos cómo los usuarios demandan sencillez y agilidad, no aceptando métodos complejos y que les lleve tiempo. Vamos a analizar qué están haciendo los líderes para resolver estos dos retos.
Pasos previos a la autenticación
Antes de ahondar en el proceso de autenticación, vamos a hacer un breve repaso por los pasos previos a esta: El onboarding de usuario y el Know Your Customer. Registrar la información del cliente en la base de datos de la compañía debe realizarse conforme a unos estándares técnicos y legales muy concretos.
En muchas industrias, no sólo basta con realizar un tratamiento de la información conforme a las normas de privacidad, sino que deben establecerse controles de verificación de identidad exhaustivos para corroborar que el usuario es quien dice ser. Esta es la base para que cualquier interacción posterior se realice bajo un entorno de garantías, confianza y con total respaldo legal.
En el onboarding digital vemos cómo los pasos previos a la primera autenticación se hacen de una forma ágil y automatizada, con la menor inversión posible del usuario y adquiriendo los datos a través de OCR, por ejemplo. Aquí entra en juego la verificación de la documentación de identidad de los usuarios, controles anti-fraude que evitan cualquier intento de suplantación o la firma de documentación y aceptación de condiciones de uso.
Durante este registro se procede a crear las credenciales con las que el usuario posteriormente accederá a sus productos y servicios o a la zona de cliente. Y es donde posteriormente entra en juego la autenticación:
¿Qué es la autenticación?
La autenticación o autentificación es un proceso de verificación de identidad por el cual una organización confirma que un usuario acreditado está accediendo a datos, información o materiales que son de exclusiva propiedad o uso de una persona concreta. Una vez confirmada la identidad del solicitante de acceso (probador), el verificador acepta la solicitud y ofrece una plataforma de gestión en la que poder operar con los recursos que se le han asignado.
En este proceso la comparación juega un papel fundamental, siendo el validador el responsable de almacenar las credenciales de todos los usuarios de la plataforma y comparando la información otorgada por el probador en la autenticación con todas las muestras de las bases de datos.
También podemos hablar para referirnos al mismo acto de acreditación o autorización. En la jerga de la tecnología, se diferencian los tipos de autenticación por identidad y de origen de datos: el primero referido a los pasos previos que comentábamos - KYC y Onboarding - y el segundo tipo es lo que conocemos como autenticación propiamente dicha, confirmando información que sólo una persona puede saber.
Sin embargo, es mucho más seguro autenticar a través de aquello que una persona es, ya que la información o los datos pueden ser robados o indebidamente compartidos.
Métodos de autenticación más destacados
¿Cómo funciona la autenticación que los negocios utilizan para conceder acceso a sus clientes, empleados o proveedores? Pues, antes de entrar en este tema en profundidad, vamos a analizar las formas en las que el proceso de autenticación puede darse:
- De forma directa: Se da directamente entre el probador y la empresa que posee los recursos a los que quiere acceder.
- De forma indirecta: Incluye a un tercero que actúa como intermediario entre probador y proveedor de productos y servicios. Puede avalar la identidad de ambos de forma mutua o sólo la del probador de forma unilateral.
El segundo mecanismo de autenticación suele estar liderado por proveedores de servicios de confianza - también denominados terceros de confianza - especializados en procesos de verificación de identidad con altos niveles de seguridad y cumplimiento regulatorio.
Hay un término decisivo que destaca en los mecanismos de autenticación: los factores. Si bien hay sistemas que están basados en un único tipo de factor de autenticación, en la actualidad se debe apostar por una estrategia de seguridad que incluya al menos dos (2FA). Vamos a exponer los más relevantes:
- De conocimiento: una contraseña o un PIN.
- De pertenencia o posesión: Una tarjeta NFC, un token USB, smartcards de distintos tipos, dispositivos con contenido criptográfico…
- De características o inherencia: Rostro, voz, huella dactilar…
- De ubicación o conductuales: Dirección IP, dispositivo, GPS, forma de escribir, cadencia al hablar…
Si bien la apuesta por una estrategia de múltiples factores está más extendida en sectores delicados como la banca, las finanzas o los seguros, son cada vez más las industrias que empiezan a utilizarla para hacer frente a los retos actuales.
De entre los factores que hemos comentado anteriormente, la biometría facial es el preferido por la mayoría de usuarios, seguido de las contraseñas y los códigos OTP (One Time Password por SMS o email). La selección de los factores a solicitar de cara a un acceso debe realizarse en función del tipo de usuario, de la industria a la que pertenece el negocio y teniendo muy en cuenta la operación que se va a llevar a cabo.
Autentificación, autorización, acreditación, verificación, identificación… Diferencias y similitudes
Como ya adelantábamos, la autenticación es un paso posterior al registro del usuario. No deben confundirse los términos aunque sean similares. Mientras que en el KYC se realizan controles exhaustivos de cara a esa primera interacción y para corroborar que los datos que está facilitando el cliente en el proceso son legítimos y veraces, en el acceso posterior se confirma únicamente que la persona que está solicitando el uso o gestión de los recursos es quien dice ser - alguien que ya validó su información.
Sin embargo, muchos negocios optan por generar credenciales que no han sido verificadas por los sistemas KYC. Es decir, que la información que utiliza el usuario para un acceso posterior es una contraseña que, sí, fue elegida durante el mismo proceso, pero no cuenta con naturaleza intrínseca al usuario.
Esto entraña una serie de riesgos relacionados tanto con la pérdida y el olvido como con la sustracción o los intentos de engaño. Sabemos que las mejores plataformas de onboarding digital son capaces de reducir el riesgo a prácticamente el cero absoluto, produciéndose por tanto la práctica totalidad de los problemas y ataques fraudulentos en el proceso de autenticación.
Autenticación de usuarios: ¿Cómo se está haciendo?
A día de hoy, el 72% de los negocios autentican a sus clientes mediante el uso de credenciales usuario-contraseña y otros, como mucho si la regulación lo exige, adicionalmente solicitan códigos OTP. Esto no sólo genera fricciones en el usuario sino que entraña graves riesgos como los producidos por el sim swapping o el phishing.
Es de sobra conocido que, pese a las advertencias de las instituciones y la campañas de concienciación en ciberseguridad, los usuarios terminan utilizando la misma contraseña para todas sus plataformas o utilizan frases o códigos fáciles de recordar como fechas de nacimiento, nombres de mascotas o cualquier otra información que puede ser obtenida sin excesiva complejidad por potenciales delincuentes.
Como negocio u organización, establecer técnicas de seguridad no sólo es obligatorio en determinados mercados e industrias sino que creará más confianza en los clientes potenciales de cara a la adquisición. Uno de los motivos reseñados por los usuarios en encuestas realizadas a la hora de abandonar un proceso de registro o acceso es la desconfianza.
Podría parecer que este insight es únicamente aplicable a aquellos usuarios menos familiarizados con la tecnología y con un perfil de edad superior a los 45 años. Sin embargo, esto aplica más al nuevo perfil de consumidor por debajo de esta franja de edad ya que, conocedores de las plataformas web, detectan fácilmente cuando están operando bajo un sistema con pocos controles de seguridad.
Know Your Customer, Firma Electrónica y Onboarding Digital
Por lo tanto, ¿cuál es la respuesta a todos estos retos? En general, en negocios y experiencia de usuario no suele haber una única respuesta pero respecto al tema que hoy nos ocupa - la autenticación - parece haber un gran consenso: generar credenciales basadas en el proceso KYC.
Esto es algo que compañías del área BFSI (Banca, Finanzas, Seguros e Inversiones) ya están implementando. Crear una estrategia unificada de verificación de identidad en el onboarding junto con el sistema de autenticación. El KYC requiere de la verificación de identidad a través de biometría facial y la validación del documento de identidad. Con esto, se puede crear un patrón biométrico facial de alto nivel de seguridad que sirva para autenticar al usuario posteriormente.
Este método otorga una mayor validez legal al proceso de autenticación, cumpliendo con normas como PSD2 y sus estándares de Autenticación Reforzada de Cliente. Es bastante ilustrativa la pregunta: ¿Por qué generar credenciales aisladas pudiendo utilizar el mismo proceso para crear un factor de autenticación de inherencia? Así, exigimos menos esfuerzo al usuario durante el proceso de registro - algo que maximiza la conversión -, aportamos mayor seguridad en cualquier interacción que vaya a realizar el usuario en su plataforma de cliente y damos un mayor respaldo legal a cada acceso.
Autenticación Segura de Cliente (SCA) y otros estándares
Lo mismo ocurre cuando hablamos del proceso de contratación. La firma electrónica debe integrarse de forma absoluta con el proceso de incorporación del usuario, adjuntando la documentación AML y KYC junto con el contrato. Esto es especialmente importante en operaciones delicadas como las del sector seguros, el real estate o cualquier plataforma FinTech - por ejemplo las de trading.
En estrategias de autenticación de múltiples factores, podemos optar ahora por la biometría facial acompañada de un PIN, algo que está dando grandes resultados y que permite realizar operaciones de alto nivel de riesgo gracias a que uno de los factores tiene base en un proceso KYC certificado por un Tercero de Confianza.
Por otro lado, confiar el proceso de autenticación a sistemas basados en los estándares FIDO es un seguro de cara al futuro y una apuesta por la innovación y el liderazgo en la actualidad.