¿Cómo garantizar la seguridad sin afectar la experiencia del usuario?

Por octubre 1, 2018

Uno de los objetivos principales de los ciber atacantes hoy día es comprometer dos aspectos vulnerables: uno, la identidad de los usuarios en la web; el otro, la seguridad de las aplicaciones móviles.

Al respecto, los gobiernos han comenzado a aplicar medidas para proteger tanto la seguridad, como la privacidad en la web. No obstante, muchas veces estas impactan directamente en la experiencia del usuario, siempre que se complica para los desarrolladores brindar la máxima eficiencia de la app, sin saber desde dónde se conecta la persona, entre otros aspectos básicos.

Afortunadamente, existen métodos, o mecanismos para garantizar la seguridad, sin afectar la experiencia y evitar tres fraudes muy comunes:

  1. Fraude Sim Swap:Robo de datos mediante técnicas de phishing, en donde el cibercriminal accede a información personal, como el número telefónico. En este caso, el estafador pasa a recibir toda la comunicación entre la institución y el cliente, como por ejemplo SMS OTP, códigos de transacción para pagos, entre otros.
  2. Fake Geolocation: Ataque que consiste en falsificar la geolocalización del dispositivo, con el objetivo de evitar una elevación de nivel de autenticación, o lograr permisos de autenticación y autorización de transacción. Un ejemplo muy común de ello fue el mal uso que ciertos usuarios dieron a Uber al manipular las tarifas por medio de una app.
  3. App Emulator:Ataque que consiste en ejecutar una aplicación en un emulador, con el fin de capturar información referente a la comunicación con los servidores, volcado de memoria, breakpoint analysis, comunicación por túnel de autenticación, permiso de autenticación y autorización de transacción.

Construyendo patrones de comportamiento

Con el objetivo de enfrentar tales fraudes cibernéticos, CA Technologies desarrolló lo que llamaron CA Rapid App Security. Este software captura información, datos y variables sobre usuarios, aplicaciones y dispositivos, con el objetivo de crear ciertos patrones de comportamiento y garantizar la identidad.

“CA Rapid App Security captura más de 200 variables, aplica diversos atributos y utiliza un algoritmo patentado por CA Technologies”, explica Juan Huaman, consultor de la mencionada empresa, en el webinar Estrategias Móviles.

CA Rapid App Security tiene en cuenta ¿Dónde está el usuario? ¿Qué dispositivo está utilizando? ¿Qué está intentando hacer el usuario? Y finalmente, si la acción es consistente con el historial del usuario.

Con esta herramienta, es posible identificar si el usuario intenta ingresar desde un dispositivo totalmente distinto al usual; si se usa un “anoninimizador”; si está activado el modo desarrollador; entre otras variables.

De esta manera, CA Technologies apuesta por crear una “sospecha” en torno al comportamiento sospechoso del usuario y “desafiarlo” a comprobar su identidad mediante tareas como enviar una clave desde un correo alterno, entre otros.

Ventajas para desarrolladores

Para los desarrolladores de aplicaciones, este software presenta dos ventajas concretas adicionales. Una que ayuda a capturar mucha información del cliente de manera totalmente imperceptible para el usuario, de tal modo que no se compromete su experiencia. La otra es que permite acelerar el tiempo de desarrollo, siempre que le brinda librerías y componentes preconstruidos como chats, almacenamiento cifrado, entre otros.

Finalmente, resalta que es posible proporcionar una experiencia conveniente, sin fricción y que agregue de una forma rápida seguridad a sus aplicaciones. El secreto es conocer las herramientas adecuadas para lograrlo.

En Widefense, como expertos en ciberseguridad, contamos con las certificaciones y la expertise necesaria para asesorarlo y ayudarle a implementar las mejores soluciones de CA Technologies en su empresa.

Escrito por Kenneth Daniels
Gerente General at Widefense S.A.
LinkedIn: @kennethdaniels