3 requisitos clave para las mejores soluciones de autenticación sin contraseña

David Vergara, 18 de Mayo de 2022

Las instituciones financieras están evaluando y utilizando cada vez más soluciones de autenticación sin contraseñas para abordar algunos problemas asociados con las contraseñas, como ciertos tipos de fraude, las malas experiencias de usuario y los altos costos operativos.

Los bancos están expuestos a una cantidad sorprendente de fraudes. Las contraseñas perdidas y robadas a menudo son la base de la apropiación de cuentas, las filtraciones de datos y otros tipos de fraude. Hasta hoy, la Dark Web ha comprometido más de 15 mil millones de contraseñas robadas. Además, en muchos casos, los clientes bancarios reutilizan estas contraseñas en múltiples sitios y ecosistemas digitales. Esto conduce a grandes aumentos en el fraude, lo que, según algunas estimaciones del FBI. le puede llegar a costar a los bancos y empresas alrededor de $ 6,9 mil millones. Las soluciones sin contraseña son mejores para prevenir el fraude, ya que los piratas informáticos simplemente no tienen nada que descifrar o robar a través de malware móvil, ataques troyanos o ingeniería social.

Si bien la gestión del fraude es importante, el crecimiento de los ingresos lo es aún más. Según una encuesta reciente de Forrester, el 39% de los bancos dijeron que el crecimiento es una prioridad para ellos y la base del crecimiento de los canales digitales es ofrecer experiencias fáciles de usar. Cuanto más fácil sea para un cliente bancario acceder de forma segura a su aplicación bancaria, más servicios tiende a utilizar, lo que a su vez aumenta los ingresos. Las soluciones sin contraseña ofrecen precisamente esa experiencia de usuario deseada, sin complicaciones innecesarias.

Y, por último, las plataformas basadas en contraseñas son mucho más costosas de mantener que las que no están basadas en este tipo de autenticación. Según una encuesta del Ponemon Institute el año pasado, la autenticación sin contraseñas le ahorró a las empresas un promedio de alrededor de $1,9 millones en costos. Una parte significativa de estos ahorros está relacionada con costos de asistencia relacionados con los restablecimientos de contraseña.

Está claro que la autenticación sin contraseñas puede abordar los tres desafíos anteriores, pero ¿qué capacidades son clave para que un banco pueda implementar servicios sin contraseñas con éxito? Las siguientes tres capacidades son las que tienen un mayor impacto:

  • Una amplia gama de métodos de autenticación sin contraseñas
  • La capacidad para abordar casos de fraude sofisticado al iniciar sesión y después del inicio de sesión
  • Velocidad y flexibilidad en la implementación de nuevas tecnologías de autenticación sin contraseñas

A continuación, veremos en más detalle cada uno de estos tres requisitos.

Una amplia gama de métodos de autenticación

La estrategia e implementación de una autenticación sin contraseñas efectiva sin duda requiere una amplia gama de tecnologías de autenticación multifactor (MFA) que la respalden. Esto puede incluir una combinación de hardware (por ejemplo, una tarjeta inteligente) y software (por ejemplo, una clave de seguridad) como parte de una implementación híbrida. Esto es muy importante, porque el paso a la tecnología sin contraseñas es un proceso que debe tener en cuenta las expectativas de todos los segmentos de clientes de su banco, así como el nivel adecuado de seguridad para minimizar el fraude.

Por ejemplo, un grupo de clientes de un banco puede estar completamente de acuerdo con iniciar sesión en su aplicación bancaria a través de un escaneo biométrico de rostro o un escaneo de huellas dactilares en sus dispositivos móviles, pero puede que otros grupos de clientes prefieran una notificación «push» para obtener acceso. Las expectativas de estos diversos grupos de usuarios finales también serán diferentes según el caso de uso. Por ejemplo, una verificación de saldo simple podría realizarse solo con un método biométrico. Pero una transferencia de fondos de alto valor puede requerir un código tipo QR de colores cifrado para autenticar al usuario y su transacción. Este código puede simplemente escanearse a través de un dispositivo móvil o token de hardware y proporciona los más altos niveles de protección contra la ingeniería social y los llamados ataques de «persona en el medio» (que en inglés se conocen como «man in the middle» o «MitM»).

Sin la capacidad de combinar e implementar fácilmente una variedad de métodos de autenticación de software y hardware sin contraseñas, los bancos corren el riesgo de no cumplir con las expectativas de algunos segmentos clave de sus usuarios. En resumen, cualquier propuesta para el paso a la autenticación sin contraseñas debe enfocarse en las expectativas del cliente en cuanto a la experiencia de inicio de sesión, así como permitir la combinación de opciones de autenticación, incluidas opciones de hardware y software, para adaptarse mejor a las expectativas de cada grupo de clientes en los canales bancarios.

Mitigación sofisticada del fraude

La autenticación sin contraseñas es fantástica para conseguir una gran experiencia de usuario, pero no es realmente útil a menos que pueda evitar la amplia gama de tipos de fraude que existen actualmente. Los ataques de fraude más exitosos no son ataques de fuerza bruta o código malicioso que se infiltra en la gestión de acceso e identidad local o en el sistema de directorio activo. En lugar de eso, en la actualidad, los ataques más exitosos están dirigidos al cliente del banco (por ejemplo, ingeniería social) y a la aplicación de banca móvil (por ejemplo, malware y código troyano).

Según un informe de Statista, los bancos son una de las tres organizaciones más atacadas por ataques de phishing; otro informe mostró un aumento del 300 % en el phishing dirigido a los clientes bancarios. Además, los kits de phishing, que se pueden comprar fácilmente en la Dark Web, hacen que sea rápido, fácil y económico alojar sitios de phishing que permiten ataques contra clientes bancarios.

También es importante considerar el fraude en el canal de la banca móvil. Según una encuesta de Aite-Novarica, el 65 % de los consumidores de Estados Unidos, el Reino Unido y Alemania acceden a su cuenta a través de un dispositivo móvil al menos una vez a la semana. Cuando se considera esta creciente dependencia del canal móvil junto con una encuesta de DevSecOps que mostró que el 47% de los desarrolladores consideran que la seguridad es importante, pero que no tienen tiempo para abordarla, surge una tendencia alarmante: un aumento del uso del canal móvil con menos seguridad en las aplicaciones móviles para la banca. Por lo tanto, es fundamental proteger el flujo de trabajo de autenticación sin contraseñas y así asegurar una autenticación sólida en las aplicaciones bancarias.

Una solución integral de autenticación sin contraseñas que aborde estos riesgos de fraude debe combinar factores de autenticación sin contraseñas con tecnología de seguridad adicional. La solución óptima debe incluir un método sin contraseñas a prueba de ataques de phishing, como la tecnología Cronto de OneSpan, junto con protección de aplicaciones, un canal seguro y un monitoreo continuo de las sesiones.

  • Cronto es una tecnología sólida que no utiliza contraseñas y, al ser iniciada por el banco, minimiza los ataques de phishing de forma eficaz.
  • El blindaje de aplicaciones protege la aplicación de banca móvil contra la manipulación, la ingeniería inversa y el malware, todos los cuales pueden comprometer la seguridad de las credenciales y permitir el fraude de apropiación de cuentas.
  • El canal seguro proporciona una comunicación cliente-servidor cifrada que previene los ataques de interferencia o «man in the middle».
  • El monitoreo continuo de la sesión observa la actividad más allá del inicio de sesión inicial y aumenta la seguridad de otras actividades de la "misma sesión", como un cambio de beneficiario.

Si bien está claro que los piratas informáticos tienen a su disposición amplias herramientas para impulsar la apropiación de cuentas y el fraude relacionado, la autenticación sin contraseñas, combinada con estas tecnologías de seguridad complementarias, puede prevenir incluso los ataques más sofisticados y, al mismo tiempo, ofrecer la mejor experiencia de usuario sin complicaciones innecesarias.

Una plataforma de autenticación ampliable

Junto con una base de diversos tipos de tecnologías de autenticación sin contraseñas y la capacidad de detectar y prevenir el fraude, se necesita una plataforma flexible que permita cambios simples en cualquier momento si es necesario.

Este puede no ser el mejor ejemplo, pero veamos algo. Ya en el año 2017 NIST declaró oficialmente que los SMS eran es una solución obsoleta para la autenticación de 2 factores. ¿Por qué? Las vulnerabilidades están bien documentadas. Por ejemplo, las fallas de seguridad de la red SS7 que se pueden usar para interceptar o redirigir un mensaje SMS que contiene una contraseña de un solo uso (CSU). O el cambio de tarjetas SIM, que implica engañar a un proveedor de telefonía móvil para que proporcione una nueva tarjeta SIM con el número de cliente bancario, lo que le permite al estafador recibir todas las contraseñas CSU y acceder a las cuentas.

Si usted es el Gerente de TI/Seguridad del banco y está utilizando una CSU por SMS, ¿qué puede hacer? ¿Qué tan fácil es implementar un nuevo método de autenticación? ¿Cuál es el impacto para el cliente?

Para muchos bancos, el método de autenticación de usuario y el flujo de trabajo están incorporados de forma rígida en el código informático. Esto significa que cualquier cambio en el método de autenticación requeriría reescribir completamente el código de la aplicación bancaria y los flujos de trabajo de autenticación asociados. Obviamente, esto supone un gasto significativo para el banco y aumenta el riesgo de que se produzcan interrupciones de servicio para los clientes del banco.

Una plataforma de autenticación sin contraseñas verdaderamente flexible basada en la nube permite que se realicen cambios dinámicos en los métodos de autenticación en cualquier momento y el proceso puede llevarse a cabo en tan solo unos minutos. Y hay muchas opciones más seguras que las contraseñas de un solo uso por SMS para la autenticación multifactor sin contraseñas, incluidas notificaciones automáticas, Cronto y autenticación biométrica (por ejemplo, biometría del dispositivo, biometría comprobada por terceros, biometría del comportamiento, estándar abierto FIDO y versiones de próxima generación de todos ellos).

En última instancia, si algún método de autenticación comienza a ser vulnerable, los bancos sin duda necesitan una plataforma que pueda ofrecer cambios rápidos y fáciles sin afectar la experiencia para los clientes. Sin esta capacidad, la exposición al fraude aumenta exponencialmente.

Preguntas sobre la autenticación sin contraseñas

Los proyectos de seguridad, como la autenticación sin contraseñas, siempre dan lugar a preguntas relacionadas con las prioridades comerciales del banco. A menudo surgen preguntas similares a las siguientes: "¿Cómo se alinea este proyecto con nuestros objetivos de crecimiento?" o "¿Qué impacto tendrá este proyecto en los costos operativos?"

En el caso de la autenticación sin contraseñas, ha habido un impulso considerable en los últimos años. En gran parte, esto se debe a las iniciativas de transformación digital que priorizan la experiencia del cliente, lo que a su vez impulsa el crecimiento. De hecho, una reciente encuesta de Forrester muestra que el 66% de los tomadores de decisiones en los bancos planean implementar, o están ya implementando o expandiendo proyectos de transformación digital. El enfoque de estos proyectos es expandir las capacidades y las experiencias digitales en canales en crecimiento, como el canal móvil, algo que la autenticación sin contraseñas sin duda respalda. También en términos de la experiencia del usuario, según investigaciones de Aite-Novarica, el 97% de los consumidores dicen que una experiencia fácil y sin complicaciones es un factor importante a la hora de seleccionar un proveedor.

El enfoque de OneSpan en cuanto a las contraseñas

El enfoque de OneSpan para la autenticación sin contraseñas está basado en más de 30 años de experiencia como socio estratégico de algunos de los bancos más importantes del mundo.

Los bancos confían en OneSpan para las soluciones sin contraseñas, ya que entendemos que la autenticación sin contraseñas es un proceso y la clave es nuestra capacidad para enfocarnos en el punto de partida adecuado, teniendo en cuenta los objetivos a corto plazo de cada banco.

Precisamente por eso, nuestras soluciones siguen un sistema modular, para poder abordar requisitos específicos cuando sea necesario. Esto podría ser, por ejemplo, una migración de hardware a software con una implementación híbrida a medio plazo. También puede ser algo como dar el siguiente paso en seguridad, pasando de CSU de SMS a autenticación biométrica, notificaciones automáticas, aplicaciones de autenticación o códigos Cronto cifrados. O puede tratarse de un enfoque aún más integral para la autenticación sin contraseñas, utilizando tecnologías de seguridad complementarias para proteger la aplicación de banca móvil (y los datos bancarios de los clientes). Esto puede realizarse a través de la protección de aplicaciones y el monitoreo continuo de sesiones, con la capacidad de detectar actividades anómalas después del inicio de sesión y así prevenir el fraude.

En cuanto a la autenticación sin contraseñas, OneSpan adopta un enfoque integral que considera la experiencia del usuario, la gestión del fraude y los costos operativos. De esta manera, se facilita el acceso seguro, lo que en última instancia permite a los bancos alcanzar sus objetivos en el tiempo asignado y sin salirse de su presupuesto.

Conclusión

En resumen, una solución integral sin contraseñas es perfecta para abordar los tres desafíos principales que enfrentan las instituciones financieras: el fraude sofisticado, las malas experiencias de clientes y los altos costos operativos.

Tenga en cuenta, sin embargo, que no todas las soluciones sin contraseñas son iguales, al igual que no todas las soluciones de seguridad son iguales. Las empresas que pueden ofrecer una amplia variedad de métodos de autenticación (hardware y software), evitar los ataques de phishing y malware más modernos, y están basadas en una plataforma flexible y de rápida implementación, son la mejor opción para asegurar el éxito en los objetivos comerciales de los bancos.

¿Por qué olvidar la contraseña es más seguro que tener una? Consejos para una verdadera autenticación passwordless (sin contraseña)
Seminario web

Por qué olvidar las contraseñas es más seguro que usarlas

En este seminario web, escuche cómo banqueros y expertos en tecnología de seguridad bancaria explican cómo la autenticación sin contraseñas puede mejorar dramáticamente la experiencia del usuario y reducir el fraude y los costos operativos. 

Mire este seminario web

David Vergara es Director Senior de Marketing de Productos de Seguridad en OneSpan y cuenta con más de 15 años de experiencia en plataformas en la nube/SaaS, analítica de predicción y tecnologías avanzadas de Autenticación Multifactor. Su posición actual está enfocada en estrategia de lanzamiento al mercado y ejecución en todas las líneas de productos de autenticación y análisis de riesgo. Antes de Onespan, lideraba la estrategía de lanzamiento al mercado para compañías tecnológicas, incluído un