Los procesos de identificación y autentificación se basan, en parte, en identificar comportamientos 'anómalos' de los usuarios para bloquear ataques cibercriminales y maliciosos. Sin embargo, para muchas organizaciones la idea un comportamiento 'normal' es bastante inflexible. Además, los defraudadores conocen muy bien estos límites y pueden sortearlos.
En cambio, los clientes reales, sin querer, los violan cada vez más (por ejemplo, haciendo uso de múltiples teléfonos inteligentes, tablets, portátiles, VPN, etc.). El resultado es que los clientes legítimos acaban siendo víctimas de la fricción que suponen las pruebas de identificación cada vez más difíciles e ineficaces.
Es hora de cambiar este paradigma y asumir la intención positiva de nuestros usuarios, manteniendo al mismo tiempo la seguridad. Es posible establecer un nivel de satisfacción sobre quién es el cliente si transformamos la manera de enfocar la validación de su identidad. Mediante nuevas tecnologías y estrategias, se puede habilitar una autentificación fácil, lo que resulta en una experiencia online agradable para el 98% de los usuarios-clientes reales con interacción humana y auténtica.
Con este fin, es importante ampliar nuestra compresión del comportamiento 'normal'. Para ello, existen herramientas que permiten evaluar la intención del usuario a través de señales continuas de riesgo en lugar de reglas binarias. Así, pasamos a determinar el riesgo en cada interacción, valorándolo de forma más detallada y con el contexto adecuado.
El uso incorrecto de contraseñas por parte de muchos consumidores y las técnicas cada vez más sofisticadas de los cibercriminales, hacen que la autenticación de un cliente existente a través de un usuario y contraseña sean insuficientes e inseguros. Pero los intentos de corroborar la identidad del cliente con herramientas antiguas, como la verificación basada en el conocimiento o las contraseñas de un solo uso (OTP por sus siglas en inglés), a menudo frustran el cliente, lo que conduce al abandono de la inscripción, el inicio de sesión o la compra.
Para determinar el impacto que estos procesos tienen para los clientes, en el mundo anglosajón se utiliza el término insult rate (tasa de insultos), definido como el porcentaje de interacciones canceladas por clientes por haberse ofendido o frustrado durante el proceso de identificación, compra o transacción. Si nos fijamos en las tasas de fracaso y/o abandono, resulta más fácil identificar la necesidad de invertir en nuevas tecnologías y estrategias que permitan generar una base de confianza con los clientes legítimos. Estas nuevas inversiones pueden atraer y retener clientes y a la vez reducir los casos de fraude.
¿Cómo hacerlo?
Los responsables de seguridad y gestión de riesgos podrían y deberían implementar una serie de tecnologías y enfoques alternativos que permitan garantizar la seguridad y al mismo tiempo ofrecer una buena experiencia del cliente.
Planteamos tres ejemplos a continuación:
- Implementar tecnologías de detección y mitigación de bots para identificar y poner en cuarentena los ataques basados en máquinas, con el menor impacto posible para los clientes y un ratio aceptable de falsos positivos.
- Entender mejor el comportamiento de los clientes auténticos, tanto a nivel individual como grupal, aplicando la biometría conductual pasiva y tecnologías de análisis de comportamiento.
- Implementar un enfoque adaptable hacia la autentificación, que permita aplicar el nivel de exigencia adecuada, de forma selectiva e inteligente, en función de la acción que el usuario está intentando. Las acciones de alta fricción se pueden reservar para actividades de alto riesgo, proporcionando una experiencia fácil y sin complicaciones para la mayoría.
Comportamiento biométrico
Según numerosos informes, entre el 60% y el 70% de los usuarios usan el mismo nombre de usuario y contraseña para acceder a múltiples cuentas online. Lógicamente, esto implica que un usuario autentificado solo con su contraseña ofrece pocas garantías de legitimidad. Por ello, muchas organizaciones añaden una capa de protección más, aprovechando el ID del dispositivo o la dirección IP del usuario. Sin embargo, aunque no se obtienen de forma tan sencilla como las credenciales de usuario robadas, los terceros que intenten acceder a la cuenta son capaces de falsificar estos datos con bastante facilidad.
La búsqueda de nuevas formas de autenticación ha llevado al descubrimiento de la tecnología biométrica del comportamiento (biometría conductual), que permite observar y analizar la actividad de un usuario en un entorno digital. Unos ejemplos incluyen estudiar la forma en la que los usuarios teclean la información a escribir en una página, u observar el movimiento del ratón, el modo de desplazamiento del mismo o la velocidad de pinchar con él. También analizar el tiempo que pasa el usuario viendo una página antes de realizar la siguiente acción.
Las empresas cuyos usuarios mantienen interacciones frecuentes con sus páginas, como bancos, sitios de juegos populares y webs de ecommerce de gran volumen, podrían utilizar esta información para establecer un perfil de comportamiento para cada usuario específico. En consecuencia, las variaciones significativas de los patrones normales pueden alertarles de una apropiación de la cuenta o un uso no autorizado.
Para las empresas con interacciones menos frecuentes, esta tecnología también ser valiosa si se enfoca en el análisis del comportamiento, en lugar de la comprobación del usuario.
Las tecnologías disponibles para el análisis del comportamiento del consumidor, combinadas con las más tradicionales, como las de perfilado de dispositivos, permiten a muchas empresas aumentar la confianza en sus usuarios y, a su vez, proporcionar una mejor experiencia de usuario gracias a controles pasivos y una reducción de los pasos de autenticación, como la autenticación multifactor o SMS/OTP.
Lo que está claro es que el principal riesgo para una empresa ya no es la actividad fraudulenta, sino la obsolescencia digital y la consiguiente pérdida de clientes a los competidores. Continuar insistiendo en que los clientes pasen por múltiples aros para demostrar que son dignos de una relación con una empresa, es ignorar la realidad: los clientes hoy en día tienen a su disposición muchas opciones y la comodidad, la facilidad y la experiencia son factores importante a la hora de elegir en quien depositar su confianza. Por este motivo, las empresas digitales necesitan proporcionar procesos fluidos y fáciles para sus usuarios (en la mayoría de los casos).
*** Thomas Peacock es consultor de fraude e inteligencia de amenazas para BioCatch.