EagleBank comparte las mejores prácticas de su implementación de autenticación de software

David Gaudio, 25 de Noviembre de 2019
EagleBank Shares Best Practices from their Software Authentication Deployment

Las contraseñas de un solo uso (OTP) son un medio seguro y confiable para autenticar usuarios y transacciones. Los bancos y otras instituciones financieras (IF) de todo el mundo confían en autenticadores de hardware para generar OTP para el inicio de sesión del cliente y la firma de transacciones. Pero a medida que cambian las expectativas de los clientes, los proveedores de servicios financieros están adaptando sus métodos de autenticación para usuarios móviles. Una de las formas en que lo hacen es mediante la introducción de la autenticación de software.

La autenticación de software se refiere a un generador de OTP basado en aplicaciones, ofrecido como una aplicación independiente o integrado en la aplicación móvil nativa de un banco. Esta es una forma de autenticación de dos factores (2FA) que utiliza un factor de conocimiento (algo que sabes: el código de acceso) y un factor de posesión (algo que tienes: tu teléfono).

En este artículo, compartiremos las mejores prácticas de EagleBank, un EE. UU. Mediano banco comercial, así como otras instituciones financieras que recientemente introdujeron una aplicación de autenticación de software para sus clientes.

EagleBank: Autenticación de hardware y software  

Por 10 años, EagleBank ha confiado en los tokens de autenticación de hardware de OneSpan para asegurar las transacciones de los clientes y protegerse contra el fraude de adquisición de cuentas. Antes de introducir la autenticación de software, cuando un cliente comercial realizaba una transacción, como una transferencia bancaria o un inicio de ACH, debía enviar una contraseña de un solo uso (OTP) generada en su token de autenticador de hardware Digipass®.

Sin embargo, a medida que los clientes comerciales comenzaron a realizar transacciones cada vez más a través de dispositivos móviles, el banco vio un aumento en las consultas sobre autenticación de software y decidió hacer la transición. En abril de 2018, EagleBank lanzó su solución de autenticación de software. Decidieron presentarlo primero a los nuevos clientes y planean hacer una transición de su base de clientes existente con el tiempo.

De hecho, los clientes existentes que aún confían en los autenticadores de hardware pueden una vez que su hardware llega al final de su vida útil. El banco planea establecer un mensaje recordatorio trimestral para su base de clientes existente. El mensaje se utilizará para crear conciencia sobre la aplicación de autenticación de software y ayudar a los clientes interesados a realizar el cambio. Siguiendo este enfoque, EagleBank continúa haciendo la transición del hardware a la autenticación de software lo más simple posible.

La solución de autenticación de software

EagleBank decidió usar OneSpan Mobile Authenticator Studio como su aplicación de autenticación de software independiente. Bajo la marca de EagleBank, la aplicación se denominó "Eagle Token Soft Token App" y presentaba el logotipo del banco y los colores de la marca. La capacidad de personalizar la marca fue importante porque ayudó a los usuarios a ubicar la aplicación en la tienda de aplicaciones. Además, el banco descubrió que sus usuarios tienden a tener un mayor nivel de confianza cuando reconocen una aplicación como un producto oficial de marca.

Al ofrecer la solución de software, EagleBank puede inscribir a nuevos clientes en minutos y pueden comenzar a realizar transacciones de inmediato en lugar de esperar cuatro días para que llegue un token de hardware por correo. En los primeros nueve meses, el 95 por ciento de los nuevos clientes se inscribieron para usar la solución de autenticación de software. [No todos los usuarios pueden adoptar la autenticación móvil, por varias razones. Considere un contralor financiero que trabaja en una instalación segura donde no se permiten teléfonos con cámara. Tal cliente puede ser requerido para usar autenticadores de hardware.]

Para garantizar un proceso de activación fácil para todos, EagleBank tomó dos pasos prácticos importantes.

  1. EagleBank creó un documento PDF que proporcionaba un recorrido pantalla por pantalla del proceso de activación para ayudar a mostrar a los usuarios exactamente qué esperar. Este documento está disponible para el cliente en varios lugares. Está vinculado en la pantalla del escritorio donde el usuario comienza su activación, y también se envía en un correo electrónico de bienvenida que proporciona algunas instrucciones sobre cómo comenzar. Este proceso tuvo una respuesta positiva. Como señaló Barb McCann, vicepresidente de Electronic Delivery Channel Manager en EagleBank:

    “Los clientes han sido muy receptivos. Les gusta el hecho de que pueden acceder y activar su ficha suave de inmediato ".
     
  2. El banco también reunió un grupo temporal centralizado de atención al cliente para facilitar el despliegue. Su responsabilidad era atender las llamadas de servicio al cliente en vivo sobre temas de soporte técnico y ser un experto en la materia.

Mejores prácticas para instituciones financieras

En toda la industria, las instituciones financieras han hecho grandes avances en la entrega de autenticación segura a sus clientes. Aquí están algunas mejores prácticas que se han compartido con OneSpan:

  • Use soluciones de autenticación apropiadas para cada caso de uso
    Actualmente, menos bancos confían en el nombre de usuario y la contraseña para el acceso del usuario final. Un número mayor ha evolucionado hacia una tecnología de seguridad relativamente más fuerte, como la autenticación de dos factores basada en SMS (2FA) e incluso métodos más fuertes como la autenticación de dos factores basada en aplicaciones. Los bancos deben analizar constantemente su panorama de fraude específico y los requisitos de experiencia del usuario para aplicar la solución de seguridad adecuada para cumplir con sus objetivos comerciales. Entonces, aunque la autenticación basada en SMS no se considera ideal porque los atacantes pueden robar números de teléfonos móviles a través de estafas de transferencia e incluso interceptar mensajes SMS, el nivel de esfuerzo para los estafadores es más alto que simplemente piratear un nombre de usuario y contraseña. Por lo tanto, algunos bancos concluyen que la autenticación por SMS funciona para la banca minorista, pero se debe usar una seguridad más fuerte como la autenticación push basada en aplicaciones para la banca corporativa de mayor valor.
  • Posicionar los autenticadores de software como alternativas atractivas
    Un banco optó por presentar su autenticador de software a clientes comerciales como una alternativa atractiva a los tokens de hardware. Al centrarse en los beneficios de la solución, alentaron a sus clientes a adoptar el autenticador de software por su cuenta. A partir de ahí, el banco se centró en hacer que el proceso de cambio o adopción sea lo más fácil posible.
  • Apoye la transición con las comunicaciones con el cliente
    Otro banco confió en su equipo de comunicación bien engrasado para facilitar el despliegue. Se proporcionaron preguntas frecuentes al servicio de asistencia y se produjeron fragmentos breves de video para los clientes. Una vez implementado, el banco tenía más de 100 clientes que usaban la autenticación móvil integrada en el primer mes y recibió una gran cantidad de comentarios positivos. Esperaban un proceso de adopción lento que aumentaría con el tiempo, pero resultó que sus clientes habían estado esperando tal solución. Tan pronto como se lanzó en vivo, la solución despegó con sus usuarios.
  • Identificar y priorizar a los clientes correctos
    Durante años, este banco minorista había proporcionado a los clientes tokens de hardware. Sin embargo, la innovación en el mundo de la seguridad móvil les dio nuevas opciones, a saber, la autenticación de software para transacciones en línea. Después de encuestar a su base de clientes, este banco priorizó la implementación a dos grupos de clientes: aquellos cuyos tokens de hardware estaban a punto de caducar y los usuarios de aplicaciones móviles. En lugar de adoptar un enfoque de big bang, el banco eligió desplegarse gradualmente. El banco comunicó el cambio a los clientes a través de notificaciones por correo electrónico, el sitio web (una página dedicada con información, videos y preguntas frecuentes) y el servicio de asistencia.

El enfoque híbrido

Al igual que con la mayoría de nuestros clientes de FI, EagleBank determinó que una estrategia híbrida era el enfoque correcto. Uno de los beneficios de confiar en OneSpan es la capacidad de aprovechar un único proveedor para sus necesidades de autenticación de hardware y software. Esto permite que el banco cumpla con las preferencias de todos sus clientes, para los más altos niveles de satisfacción del cliente.

“Ya habíamos estado usando tokens de hardware OneSpan durante 10 años. Quería que nuestra autenticación de software fuera una solución OneSpan, ya que OneSpan era la solución con la que nuestros clientes ya estaban familiarizados, y nosotros como banco estábamos familiarizados ”, dice Glenn Johnson, SVP, Gerente de Producto de Canal Digital en EagleBank.

Para obtener más información sobre la aplicación de autenticación independiente de EagleBank y los beneficios para sus usuarios, lea el estudio de caso completo .

Eaglebank lanza autenticación de software para nuevos clientes
CASO DE ESTUDIO

Eaglebank lanza autenticación de software para nuevos clientes

EagleBank enfrentó dos desafíos clave en su implementación de autenticación de software: determinar la estrategia de lanzamiento correcta y formar una política para sus clientes existentes. Aprende cómo los vencieron en este estudio de caso.

Lee mas

David Gaudio es el escritor de contenido para todas las cosas de seguridad y firma electrónica en OneSpan con casi diez años de experiencia en marketing digital y creación de contenido. Antes de OneSpan, David obtuvo su licenciatura en Publicación y Escritura Creativa y ha usado casi todos los