Autenticación avanzada: Un plan de ataque para su pila de autenticación

Samuel Bakken, 27 de Agosto de 2021

El año pasado presenciamos una increíble expansión en la banca digital y esto está creando la necesidad de tener métodos de autenticación modernos y avanzados. De hecho, durante marzo y abril de 2020, algunos bancos reportaron incrementos de hasta un 200% en la cantidad de clientes que accedieron a los canales de autoservicio de banca digital a través de un dispositivo móvil o navegador web por primera vez. Al menos cuatro de cada cinco de estos nuevos usuarios finales continuarán realizando parte de sus operaciones bancarias en línea. Los usuarios de la banca digital son el objeto de muchos fraudes, y esto hace que sea aún más urgente que los bancos refuercen su manejo de accesos y hagan la transición a una pila de autenticación moderna para proteger las transacciones de los clientes y su información confidencial.  

Recientemente, OneSpan organizó un seminario web sobre cómo las instituciones financieras pueden crear un plan para modernizar su autenticación, superar la resistencia a invertir en autenticación y obtener el apoyo de los directivos. El webinar fue presentado por David Mattei, Analista sénior de fraude y AML del Grupo Aite-Novarica, y OneSpan.

Si no tuvo la oportunidad de verlo, aquí le presentamos las principales conclusiones. También puede ver el seminario web completo en cualquier momento.

Puntos débiles en las defensas contra el fraude y la autenticación básica

Las investigaciones del Grupo Aite-Novarica muestran que entre 2005 y 2012, los bancos sobresalieron como líderes en la protección de cuentas en línea.

Sin embargo, a día de hoy, las contraseñas se han convertido en un problema persistente. El robo de contraseñas, junto con la distribución de contraseñas robadas en la llamada «dark web», sigue siendo el método más comúnmente utilizado por los estafadores para obtener acceso a las cuentas de usuario. Los consumidores corren un riesgo cuando usan contraseñas débiles o recicladas, y también pueden poner en peligro la seguridad de sus propios datos a través de comportamientos inseguros, como compartir contraseñas. Además, algunos proveedores de servicios financieros confían en protocolos reactivos, por ejemplo, tomando medidas solo después de que se haya cometido un fraude en lugar de evitar que el fraude tenga lugar.  

Un problema subyacente es que los sistemas de seguridad y la autenticación heredada que los bancos utilizan tienden a abordar los llamados «front-end» y «back-end» en las transacciones digitales. Desafortunadamente, realmente no hay mucho en el medio. 

«En el front-end, los bancos utilizan nombres de usuario y contraseñas, así como códigos de acceso de un solo uso (OTP, por sus siglas en inglés). En el back-end, utilizan sistemas de detección de fraude que analizan la transacción para determinar si deberían aprobarla o rechazarla», dice Mattei.

La pieza intermedia que falta es la evaluación continua de riesgos durante toda la sesión bancaria, desde el inicio hasta el cierre de sesión. El hecho de que un usuario haya iniciado sesión con éxito no significa necesariamente que sea el usuario legítimo de la cuenta. Confiar en el evento que sucede en ese momento determinado no es suficiente en el mundo de hoy. Los bancos y otras instituciones financieras deben realizar un seguimiento continuo.   

Otra vulnerabilidad que los bancos deben abordar es la autenticación basada en conocimientos (KBA, por sus siglas en inglés). Esta estrategia de autenticación básica utiliza preguntas de seguridad como: «¿Quién fue su maestro de primer grado? ¿Quién es su estrella de cine favorita? ¿Cuál era su número de teléfono anterior?» Las publicaciones en las redes sociales a menudo piden que los usuarios revelen voluntariamente este tipo de información, y muchas personas lo hacen sin darse cuenta de que hay estafadores detrás de las publicaciones y de que están tomando nota de las respuestas para utilizarlas para la toma de control de cuentas.
Mattei anima a los bancos a pensar en lo que pueden hacer ahora para asegurar que sus sistemas de prevención de fraude puedan hacer frente a las amenazas del futuro. Esto incluye mirar más allá del sector bancario para ver qué están haciendo otras compañías en línea. Las compañías de tecnología financiera, las plataformas de cifrado, el comercio electrónico y otros comerciantes digitales están liderando la innovación en esta área. Muchas empresas están recurriendo a protocolos de autenticación modernos, como la autenticación multifactor y los llamados «orchestration hubs» (centros de organización), dada la avalancha de violaciones de datos, robos de identidad, estafas de phishing, malware, e incidentes de toma de control de cuentas.   

Los «orchestration hubs» son el futuro

Recientemente, los expertos en seguridad han visto el gran potencial de los «orchestration hubs» de autenticación y prevención de fraudes. Estos hubs monitorean el perfil de riesgo de toda la transacción desde el inicio de la sesión bancaria hasta el final. Este monitoreo continuo generalmente se lleva a cabo de forma interna, por lo que no resulta una molestia para el cliente. Por ejemplo, un «orchestration hub» que tiene un sistema avanzado de prevención de fraude como punto básico, puede usar inteligencia artificial y aprendizaje automático para evaluar si el comportamiento de un usuario coincide con lo que se espera de una persona real al realizar una transacción legítima. Si la transacción parece sospechosa, la identidad digital del cliente se puede confirmar con un nuevo desafío de autenticación y un segundo factor, lo que asegura un acceso seguro a la aplicación. 

Este proceso, junto con una autenticación sólida y la supervisión del fraude en tiempo real son ideales para mejorar la seguridad de la banca digital sin causar fricción en la experiencia del cliente. Los hubs que reúnen estas capacidades permiten a los bancos compartir información internamente entre equipos, sin necesidad del mismo nivel de seguimiento e intervención manuales. Imagine cómo las herramientas automatizadas pueden ser utilizadas en los diferentes departamentos, de manera que todos se estén comunicando entre sí para identificar el fraude, sin importar en qué lugar de la organización se haya detectado por primera vez.

Las diversas herramientas utilizadas en esta área incluyen tecnologías pasivas y activas. Algunos ejemplos de herramientas pasivas, a las que Mattei se refiere como herramientas «sin fricción», son la huella del dispositivo, biometría del comportamiento, rastreo de IP/geolocalización, detección de bots y detección de relleno de credenciales. 

En la categoría de herramientas activas, a las cuales Mattei llama «de fricción apropiada», se encuentran:

Superar la resistencia a invertir en métodos de autenticación avanzados

Las instituciones financieras tienden a ser reacias al riesgo y asumen que sus clientes también lo son. Por lo tanto, les preocupa que, al cambiar de métodos de autenticación heredados, como contraseñas, a soluciones de autenticación modernas, como autenticación multifactor (MFA, por sus siglas en inglés), o incluso a autenticación de dos factores, esto pueda fomentar que los clientes abandonen el banco. Pero la historia muestra que los clientes no son se resisten tanto al cambio como los bancos piensan. Por ejemplo, cuando las restricciones de COVID obligaron a las personas a utilizar la banca en línea, la aceptación fue rápida y generalizada. Ahora que están acostumbrados a ello, muchos consumidores continuarán haciéndolo. 

La clave es conseguir que sea fácil y seguro para los usuarios llevar a cabo sus operaciones bancarias digitales de una manera en la que se sientan cómodos. La autenticación biométrica es una oportunidad que ofrece ambas cosas, ya que puede mejorar tanto la seguridad como la experiencia del cliente. Específicamente, el escaneo de huellas dactilares y el reconocimiento facial en muchos teléfonos inteligentes (incluidos TouchID y FaceID en Apple iOS) permiten a las personas acceder a aplicaciones de banca en línea sin la necesidad de utilizar contraseñas. Además, los consumidores que utilizan la biometría para acceder a sus aplicaciones bancarias tienden a percibir esas aplicaciones bancarias como más seguras.

Sin embargo, a pesar de la urgente necesidad de intensificar las medidas de seguridad cibernética frente al aumento de fraudes que ha sucedido al mismo tiempo que el aumento de operaciones de banca en línea, esto no siempre es una prioridad a nivel empresarial. Las razones para ello incluyen un presupuesto insuficiente y falta de recursos. Lo importante es encontrar el equilibrio adecuado en cuanto a lo que supone un nivel aceptable de riesgo de fraude o pérdidas debidas al fraude. Siempre que las pérdidas no superen el costo de implementar mejores métodos de autenticación, no hay un incentivo para hacer la transición.  

La buena noticia es que hay investigaciones que muestran que cuando la modernización de la autenticación está ligada a la experiencia del cliente, estos proyectos tienen muchas más posibilidades de obtener financiación.

«Si se aportan nuevas herramientas que mejoran la experiencia para sus clientes, es probable que el área de negocio se asocie con usted para promover estas iniciativas», explica Mattei. 

Mejorando la experiencia del cliente

El caso de uso de autenticación avanzada: El balance final

La amenaza de que haya estafadores que puedan acceder a cuentas bancarias ajenas es una realidad. Los bancos y otras instituciones financieras deben empezar a pensar en la modernización de sus prácticas de autenticación apuntando a la autenticación sin contraseña ofrecida por los «orchestration hubs». Esto permitirá a los usuarios autenticarse sin fricciones innecesarias y, en situaciones de alto riesgo, permitirá aplicar una autenticación con un nivel de fricción adecuado para la transacción.  

Algunas herramientas de seguridad pueden combatir el fraude mejor que otras. Las compañías que finalmente tienen más éxito son las que hacen una inversión a largo plazo, no solo para implementar herramientas de seguridad, sino para continuar mejorando su funcionalidad a medida que las estafas se hacen cada vez más complejas. Las herramientas deben evolucionar al ritmo de un entorno de seguridad cambiante, al igual que deberían hacerlo los proveedores que ofrecen herramientas y servicios de seguridad. No hay una única herramienta que resuelva todas las necesidades de seguridad digital de un banco, por lo que, en lugar de un micro-enfoque en la prevención, se trata de comprender las necesidades del cliente y la experiencia del usuario que prefieren.  

OneSpan puede ayudarlo a lograr todo esto. Nuestra solución de Autenticación Adaptativa Inteligente permite la eliminación total de las contraseñas, sustituyéndolas por una Autenticación de Cliente Sólida (SCA, por sus siglas en inglés). Para obtener más información sobre cómo mejorar sus procesos de autenticación, le recomendamos estos recursos:

Análisis de riesgos para la prevención del fraude: casos de uso principales en la banca
Whitepaper

Análisis de riesgos para la prevención del fraude: casos de uso principales en la banca

Para ayudar a los ejecutivos bancarios a comprender mejor el valor de un sistema de análisis de riesgos impulsado por el aprendizaje automático, este documento técnico explica el monitoreo continuo del fraude y la evaluación dinámica de riesgos en el contexto de los principales casos de uso en la banca.

Descargar ahora

Sam es Director de Marketing de Producto responsable de la cartera de seguridad de aplicaciones móviles de OneSpan y tiene casi 10 años de experiencia en seguridad de la información.