¿Qué es la autenticación multifactor y basada en el riesgo?

7-01-2022

A medida que más y más organizaciones se someten a la transformación digital, los empleados y clientes necesitan acceso continuo a sistemas críticos y datos en línea. Los empleados remotos, los usuarios en línea y los socios externos son solo algunos ejemplos. Si bien esta mayor conectividad hace que las cosas sean mucho más convenientes para los clientes y aumenta la productividad en su organización, también crea nuevas vías para los ataques cibernéticos y las brechas de seguridad. Por este motivo es fundamental una autenticación sólida en la verificación de identidad para proteger el acceso no autorizado a los datos confidenciales.

Las empresas tienen la responsabilidad de proteger los datos de sus clientes tanto como los de sus propios empleados y las operaciones. Para salvaguardar esto y cumplir con las regulaciones de seguridad, es importante aprovechar las tecnologías de autenticación adicionales adecuadas para la ciberseguridad. Una de las formas más importantes de hacerlo es mejorar sus sistemas de autenticación, desde la autenticación simple basada en contraseñas hasta la autenticación multifactor o basada en el riesgo. 

A continuación te explicamos cuáles son los dos tipos de soluciones de autenticación, las tecnologías relevantes, y analizamos cuáles podrían proporcionar los mejores beneficios para tu organización. 

¿Qué es la autenticación multifactor? 

La autenticación multifactor es un método que requiere que un cliente proporcione más de un factor de verificación para obtener acceso a una cuenta, VPN o aplicación. Por lo general, consiste en requisitos de inicio de sesión adicionales una vez solicitados un nombre de usuario y una contraseña. Los pasos adicionales podrían incluir códigos numéricos, biometría o preguntas de seguridad. Al utilizar varias capas de autenticación, los sistemas de control de acceso siguen siendo seguros incluso si uno de los factores de autenticación se ve comprometido.         

Hay varios tipos de factores de autenticación utilizados en la autenticación multifactor, que incluyen:  

  • Factores de conocimiento. Estos factores, también llamados autenticación basada en el conocimiento, incluyen generalmente una contraseña o una respuesta a una pregunta secreta. 
  • Factores de posesión. El cliente debe tener algo específico con él para iniciar sesión, generalmente un dispositivo de hardware como un token de seguridad o un teléfono móvil. 
  • Factores de inherencia. Estos son los factores utilizados en la verificación biométrica (es decir, los rasgos biológicos del usuario). Se conocen como factores biométricos e incluyen escaneos de retina e iris, huellas dactilares, geometría de la mano, reconocimiento facial, reconocimiento de voz y otros factores que se basan en el comportamiento del usuario, conocidos como biometría del comportamiento. 
  • Factores de localización. La geolocalización actual del usuario se utiliza como factor de autenticación. Normalmente, la ubicación se detecta mediante GPS.  
  • Factores de tiempo. La hora actual a veces se considera un factor para la autenticación. A menudo, se usa junto con la ubicación. Por ejemplo, si se usa una tarjeta de cajero automático en Estados Unidos y en Rusia media hora después, se marca como sospechosa porque es físicamente imposible. 
  • Factores de comportamiento. Esto incluye tendencias de comportamiento exclusivas del usuario, como la velocidad de escritura, la presión de los dedos en el teclado, la entonación de voz y los patrones de deslizamiento y ratón. Esto se conoce como biometría del comportamiento y se considera menos intrusiva y más segura que la biometría física. 

Los procesos de autenticación multifactor hacen que un sistema sea mucho más seguro que una autenticación de contraseña de un solo factor, lo que ayuda a proteger mejor los datos de los clientes. Sin embargo, si siempre requiere que sus clientes pasen por varias capas de autenticación antes de iniciar sesión (también conocida como fricción), esto puede obstaculizar significativamente la experiencia del cliente y provocar frustración o pérdida de los mismos. La autenticación adaptativa basada en el riesgo puede ofrecer una experiencia menos engorrosa, siendo una alternativa igualmente segura. 

¿Qué es la autenticación basada en riesgos? 

La autenticación basada en riesgos (RBA, o risk-based authentication), también conocida como autenticación adaptativa, es un proceso en el que se aplican diferentes niveles de rigurosidad al proceso de autenticación. Esto se basa en la probabilidad de que un sistema concreto pueda verse comprometido. La autenticación RBA implica el cálculo de una puntuación de riesgo para cualquier intento de acceso en tiempo real. Los usuarios reciben opciones de autenticación adecuadas a la puntuación. Por lo tanto, a medida que aumenta el nivel de riesgo, el proceso de autenticación se vuelve más estricto y restrictivo. 

Los sistemas de autenticación tradicionales son estáticos y no varían. En cambio, la autenticación basada en el riesgo es dinámica. Se puede clasificar como dependiente del usuario o dependiente de la transacción. En la RBA dependiente del usuario, se utiliza la misma autenticación para cada sesión que inicie dicho usuario. El RBA dependiente de la transacción depende de la situación y el nivel de autenticación depende del potencial de riesgo de la transacción. Por ejemplo, si un usuario accede a su cuenta desde otro país, es posible que se le pida que complete pasos adicionales para iniciar sesión en su sistema. 

Los criterios comunes para la evaluación de riesgos incluyen la ubicación y la dirección IP del usuario, el dispositivo de inicio de sesión, el número de intentos de inicio de sesión y los factores de comportamiento, como la rapidez con la que escriben y si están actuando fuera de lo común. La autenticación basada en el riesgo, que incluye la biometría del comportamiento como criterio para la evaluación de riesgos, es la mejor manera de que las organizaciones protejan los datos de los clientes. Permite la máxima seguridad con una interrupción mínima de la experiencia del usuario. 

Beneficios de la autenticación multifactor basada en el riesgo  

La autenticación basada en el riesgo tiene varios beneficios. Estos incluyen: 

  • Mejor experiencia de usuario con mayor seguridad
  • Defensa más robusta contra el fraude
  • Cumplimiento normativo

Mejor experiencia de usuario con mayor seguridad. El fraude está aumentando, por lo que existe una creciente necesidad de sistemas de seguridad y autenticación más fuertes. Pero los clientes esperan una experiencia perfecta y su paciencia frente a complicadas medidas de seguridad es baja. Si se agregan demasiadas capas de autenticación, los pasos adicionales disuadirán a los usuarios. 

Los sistemas de seguridad tienen que ser fuertes sin dejar de lado la facilidad de uso. En última instancia, una experiencia de usuario sin fricciones impulsará el crecimiento a través de una mejor lealtad y retención de clientes. La autenticación basada en riesgos es una gran solución porque puede proporcionar seguridad adicional al tiempo que ofrece un flujo continuo de interacciones. Utilizando el aprendizaje automático y las reglas personalizadas, solo las transacciones sospechosas tendrían que someterse a capas adicionales de autenticación, proporcionando así una experiencia menos intrusiva para los usuarios.

Defensa más robusta contra el fraude. Los métodos modernos de fraude son cada vez más sofisticados. Tanto es así que una contraseña, por muy fuerte que sea, no es suficiente para prevenir a los estafadores. Las contraseñas estáticas se piratean fácilmente y son una causa clave de violaciones de ciberseguridad. Pero múltiples capas de autenticación solo causan frustración a los usuarios.  

El uso de la autenticación basada en el riesgo proporciona un enfoque flexible y en capas. Los buenos sistemas RBA examinan las entradas a través de los canales y toman decisiones en tiempo real sobre qué nivel de autenticación es el más apropiado para cada transacción. Estos sistemas utilizan el aprendizaje automático para desarrollar una vista contextual general que incluye datos de comportamiento, transaccionales y específicos del dispositivo para decidir el nivel de riesgo.

Cumplimiento normativo. A medida que los métodos de fraude cambian y se vuelven más sofisticados, las regulaciones bancarias también están en constante cambio, volviéndose cada vez más complicadas y extensas. Ayudan a las organizaciones a mantenerse por delante de los hackers, pero, al mismo tiempo, son, con frecuencia, difíciles de seguir. Para cumplir con todas las regulaciones, a medida que evolucionan y se vuelven más integrales, una organización debe ser flexible y adaptarse, implementando constantemente nuevas técnicas de seguridad. 

Si tiene un sistema de autenticación basado en el riesgo que utiliza el aprendizaje automático para detectar y combatir mejor el fraude, combinado con conjuntos de reglas personalizados diseñados para abordar rápidamente los requisitos de cumplimiento, la empresa ahorrará una cantidad significativa de tiempo en las pruebas y la implementación. 

Por lo tanto, si bien la autenticación multifactor proporciona una alta seguridad, no ofrece una interfaz de usuario tan excelente y conduce a clientes frustrados que intentan atravesar todas esas capas. Una excelente solución a este problema es la autenticación basada en el riesgo, que garantiza una mayor seguridad y una experiencia perfecta para los clientes.

Tecnología de autenticación multifactor que es fácil de usar para empresas y clientes: Comunicación de campo cercano

La tecnología de comunicación de campo cercano, también conocida como NFC (Near-field communication), se está convirtiendo rápidamente en un estándar de la industria por la comodidad que proporciona a sus consumidores y su capacidad para combatir mejor el fraude. En los ejemplos más comunes, el NFC impulsa las interacciones de los consumidores con los sistemas de punto de venta que aceptan ApplePay o Samsung Pay, lo que hace que las transacciones diarias sean rápidas y seguras. Pero en los últimos meses, las empresas emprendedoras han comenzado a utilizar la tecnología NFC en soluciones de fraude vinculadas y en capas para descubrir si alguien «es quien dicen ser» en cuestión de segundos.  within seconds. 

¿Los beneficios de la NFC?

  • Los falsos positivos y negativos no se aplican a la NFC, ya que la tecnología depende y funciona con un certificado de datos que está incrustado en un dispositivo o documento.  
  • La extracción de datos NFC es 100 % precisa, lo que se suma a los aumentos en las conversiones. Independientemente del soporte de certificados para un país, hay una respuesta de autenticación clara, ya que la lógica se basa en estándares y datos, lo que significa que no hay un área gris en los resultados de autenticación de un posible usuario.  
  • Una UX rápida y sin contacto significa clientes más felices. Con un simple toque, la NFC conecta la información de los consumidores y las empresas para interacciones rápidas y sin contacto. Y con muchos consumidores afirmando en una encuesta reciente de PYMNTS que quieren «experiencias sin contacto con sus bancos», la NFC se posiciona para brindar a los clientes lo que quieren y, a la vez, es un método de autenticación seguro y multifactor para las contrapartes.

En resumen, un enfoque moderno para crear un flujo de trabajo de autenticación multifactor robusto y basado en el riesgo sería incluir la tecnología NFC. En general, la NFC es una solución única, gracias a una menor fricción para los clientes, para las personas que quieren, piensan y actúan primero con el móvil. Al introducir la NFC dentro de un flujo de trabajo orquestado de manera inteligente, hay más pasos de prevención de fraude y de autenticación multifactor que no resultan ser una fricción para un cliente.

Obtén más información sobre la tecnología de autenticación NFC aquí