Autenticación y detección de fraudes

Por abril 5, 2018

Como menciono en un post anterior, el uso de contraseñas no es la mejor ni más segura manera para autenticar a los usuarios. Sin embargo, al estar históricamente adoptada por los usuarios finales siempre ha sido aceptada por la gran mayoría y por esto la industria no hacía nada por mejorar.

Pero esto ha cambiado y cada día los usuarios están más conscientes del riesgo que significa el uso de una única contraseña para acceder o realizar actividades críticas.

De esta forma, la industria se ha preocupado por mejorar la seguridad, incorporando métodos como los token físicos, que aunque permiten tener un proceso de autenticación mucho más robusto pasaron a ser un problema para el usuario final ya que cada vez que quiere realizar una transacción debe tener el token consigo.

Otro problema con los token físicos es la reposición en caso de pérdida, falla, etc, y que muchas veces tiene su costo repasado al usuario final. Sin contar que se debe tener siempre un stock de dispositivos disponibles para su remplazo.

Estos y otros son costos ocultos que muchas veces no se consideran al momento de pensar un sistema adicional de autenticación y así, al elegir un tipo de token quedamos amarrados a seguir usándolo por varios años ya que reemplazarlos significa un esfuerzo enorme.

Alternativas

En respuesta a estos desafíos, hoy se percibe el uso del dispositivo móvil como método útil de autenticación y que se puede tomar como un token físico (basado en hardware) si consideramos que prácticamente todos los usuarios siempre andan con su dispositivo móvil.

El uso del móvil como sistema de autenticación trae consigo dos beneficios claros:

  • Es algo mucho más conveniente para los usuarios ya que prácticamente siempre lo tienen a la mano
  • Permite a las compañías aumentar la seguridad y abaratar costos.

El uso del móvil no reemplaza totalmente el uso de la contraseña, sino que pasa a ser parte del proceso de autenticación.

Usando el móvil para incorporar robustez al proceso ya no es necesario forzar a utilizar contraseñas complejas. Además, como organización estamos abaratando costos ya que estamos hablando de software y no hardware.

Más seguridad

El aumento en la seguridad durante el proceso de la transacción aumenta, pues nos permite incorporar métodos de autenticación mucho más robustos como, por ejemplo, los métodos de autenticación biométricos. Este método pese a ser robusto es de alto costo. Sin embargo, nuestros dispositivos móviles ya cuentan con la capacidad de autenticar por la huella, voz, iris, etc.

Los dispositivos móviles son sólo la punta del iceberg en lo que se refiere al proceso de autenticación y los pioneros en este tema son las identidades financieras, quienes requieren una mayor seguridad para minimizar el riesgo.

Por esto también se incorpora al proceso el análisis de riesgo en línea, donde es posible hacer una evaluación completa de lo que está haciendo el usuario, como su localización (geolocalización), si es un dispositivo conocido, análizar su comportamiento, etc. Todo esto es evaluado y finalmente se toma una decisión: permitir, rechazar la transacción o solicitar algo que el usuario sabe (una pregunta o algo que el usuario tiene –token-), o también es posible enviarle un contraseña temporal (OTP) a su dispositivo. Todo esto debe realizarse en línea y lo más transparente posible sin incomodar la buena experiencia del usuario.

Cómo CA puede apoyar a su organización en temas de autenticación y fraude.


Escrito por
 Farid Schuda
Consultor Principal de Seguridad, CA Technologies
LinkedIn: @faridschuda

Los comentarios están cerrados.