¿Qué es la autenticación basada en riesgos?
La autenticación basada en riesgos (RBA) ayuda a prevenir el fraude al determinar el nivel de riesgo para cada transacción financiera y qué nivel de autenticación del cliente se requiere para cada transacción. RBA ayuda a prevenir el fraude por adquisición de cuentas y otros tipos de ataques fraudulentos en línea y móviles al hacer coincidir la autenticación con el nivel de riesgo involucrado. Las tecnologías tradicionales de gestión de identidad y acceso ya no son suficientes debido a la amenaza del paisaje en constante evolución y las violaciones de datos regulares. La autenticación basada en riesgos también se conoce como autenticación adaptativa o autenticación incremental.
En el pasado, muchas organizaciones confiaban en un tipo de autenticación para todos los clientes y transacciones: contraseñas estáticas y nombres de usuario. Esto se conoce como autenticación binaria. Las contraseñas y los nombres de usuario se consideran de seguridad débil porque son muy fáciles de robar y explotar por parte de los estafadores. Por otro lado, la autenticación basada en riesgos es una forma de autenticación fuerte porque brinda contexto al usuario y su transacción para determinar el nivel de riesgo y la susceptibilidad al fraude. En los casos de una transacción de alto riesgo, se solicita al usuario una autenticación adicional para confirmar su identidad.
Los 3 factores de autenticación
Hay tres factores comunes que se utilizan para la autenticación:
- Algo que tu sabes
- Algo que tienes
- Algo que eres
La autenticación más común es algo que conoce y puede ser una contraseña o un simple número de identificación personal (PIN). Sin embargo, también es el más fácil de vencer por los estafadores.
El factor algo que tiene se refiere a elementos como un dispositivo móvil o tokens de autenticación de hardware, que generan un código de acceso de un solo uso. La autenticación de hardware proporciona autenticación de dos factores (2FA). Las opciones basadas en teléfonos inteligentes, como una notificación automática y una contraseña de un solo uso (OTP), también ofrecen una verificación de múltiples factores.
La biometría es el factor "algo que usted es" y puede ser huellas dactilares, escaneos faciales o análisis de voz y son parte de un movimiento hacia inicios de sesión sin contraseña. Hay varias computadoras portátiles y teléfonos disponibles con sensores de huellas dactilares, y también están disponibles en unidades flash USB.
Los tres factores de autenticación a menudo se combinan para brindar mayor seguridad para frustrar a los estafadores. La combinación de un escaneo de huellas dactilares con un código de acceso de un solo uso refuerza la seguridad y es un ejemplo de autenticación multifactor (MFA).
La importancia de la autenticación basada en riesgos
La autenticación basada en riesgos puede ayudar a prevenir el acceso no autorizado a la cuenta y el robo de fondos o datos de información de identificación personal. Es un elemento clave para mejorar la experiencia y la retención del usuario final porque hace que la experiencia de la banca digital sea más fácil y más segura para los clientes legítimos y más difícil para los estafadores. El acceso no autorizado a los datos de los clientes es una amenaza para la marca, la reputación y la postura competitiva de una institución financiera.
Cómo la autenticación basada en riesgos reduce la fricción para los clientes
La autenticación adaptable reduce la fricción para los clientes al tiempo que ayuda a prevenir la apropiación de cuentas y otros tipos de ataques de fraude. Aprovecha las medidas de seguridad que ocurren en segundo plano, en tiempo real, mientras el cliente se ocupa de sus asuntos. RBA aplica el nivel preciso de seguridad para cada interacción única del cliente y evita pasos de seguridad innecesarios para transacciones de bajo riesgo, que pueden agregar fricción para el usuario. Un buen ejemplo es un cliente legítimo que inicia sesión en el portal bancario con un dispositivo conocido que se ha registrado en el banco, utilizando el mismo navegador que normalmente usa. Están realizando una acción de bajo riesgo, como verificar su saldo o realizar un pequeño pago. En este caso, el sistema determina que el riesgo de fraude es tan bajo que no necesitan volver a autenticarse después de iniciar sesión. Solo cuando el comportamiento del usuario se desvía de la actividad normal, se agregan desafíos de autenticación adicionales, lo que resulta en mayores obstáculos de seguridad para transacciones más riesgosas, como una transferencia bancaria. Se le pedirá al cliente que se autentique de una forma u otra y, si tiene éxito, continuará con su negocio.
Cómo la autenticación basada en riesgos puede impulsar el crecimiento y la lealtad
La autenticación basada en riesgos es clave para desbloquear el crecimiento y la lealtad del cliente para los bancos porque reduce en gran medida la fricción para brindar una mejor experiencia al cliente. Como parte de la transformación digital de un banco, reduce los pasos de verificación de identidad innecesarios y aplica la cantidad precisa de seguridad en el momento adecuado para cada transacción en función del nivel de riesgo. La experiencia del usuario tiene un impacto directo en la retención de clientes. Los estudios han demostrado que los clientes que tienen la capacidad de interactuar fácilmente con su institución financiera en cualquier lugar y en cualquier momento tienen menos probabilidades de cambiar. Al mismo tiempo, el uso de la autenticación basada en riesgos puede ayudar a los bancos y otras instituciones financieras a reducir las pérdidas por fraude.
Por qué la autenticación basada en riesgos es una herramienta de seguridad esencial
La autenticación basada en riesgos es una herramienta de seguridad esencial porque funciona en tiempo real para ayudar a prevenir el fraude cibernético, sin molestar a los clientes legítimos.
Mientras que el sistema de prevención de fraude genera la puntuación de riesgo de la transacción, la autenticación basada en el riesgo brinda la capacidad de ajustar los métodos de autenticación sobre la marcha, de acuerdo con el nivel de riesgo. Como herramienta de evaluación de riesgos, RBA también toma decisiones instantáneas sobre qué métodos de autenticación utilizar y en qué combinaciones.
Como se mencionó anteriormente, las instituciones financieras a menudo se han basado en una autenticación débil, como una contraseña o un código de un solo uso enviado por mensaje de texto SMS. Sin embargo, los avances en estrategias de fraude, malware y ataques requieren una seguridad más vigilante. Como resultado, los bancos están recurriendo a la autenticación basada en riesgos, en la que se le puede pedir a un cliente que realice un desafío de autenticación, según el nivel de riesgo de lo que están tratando de hacer. Por ejemplo, si alguien intenta transferir el 90% de los fondos disponibles en una cuenta bancaria usando un dispositivo que el sistema desconoce y en un momento del día que no coincide con los patrones históricos del cliente, se le pedirá que verifique más su identidad con autenticación adicional, como un código de acceso de un solo uso acompañado de un escaneo de huellas dactilares o biométrico facial. El uso de RBA puede identificar intentos de inicio de sesión riesgosos y denegar el acceso o las transacciones por completo, si es necesario.
Papel blanco
Autenticación adaptable | Crecimiento a través de la seguridad inteligente
Descargue este documento técnico para ayudar a mejorar la experiencia de sus clientes, reducir el fraude y avanzar su crecimiento.
Acceder al informe técnico
Cómo se determinan las puntuaciones de riesgo en RBA
Las puntuaciones de riesgo son clave para la autenticación basada en riesgos. Una puntuación de riesgo se crea a partir de una serie de factores relacionados con un intento de acceso o un intento de realizar una transacción.
Por ejemplo, RBA analiza cientos e incluso miles de puntos de datos, como el dispositivo del cliente, la dirección IP, la ubicación geográfica, la red, la hora del día y la transacción en sí. Estos datos se utilizan para producir una puntuación de transacción de riesgo en tiempo real. Dependiendo de la puntuación de riesgo, RBA puede activar un desafío de autenticación inmediato, si es necesario. Una puntuación de riesgo también puede incluir el historial de incidentes de seguridad del usuario, el número de inicios de sesión y la confidencialidad de los datos a los que se accede. La razón por la que una puntuación de riesgo se basa en una combinación de muchos puntos de datos contextuales y de otro tipo es porque un punto de datos por sí solo puede ser superado por un atacante. Sin embargo, muchas solicitudes de acceso caen por debajo de los umbrales de riesgo definidos y no requieren autenticación adicional.
El papel de la biometría en RBA
La autenticación biométrica se utiliza cada vez más en aplicaciones de banca móvil por motivos de seguridad y para proporcionar una experiencia de usuario cómoda. Los clientes digitales dan por sentado que sus transacciones serán seguras y sin problemas. Muchas contraseñas y nombres de usuario robados se venden en línea y muchas personas reutilizan las contraseñas, lo que las convierte en una opción de autenticación menos segura. Sin embargo, enviar una contraseña junto con una huella digital es mucho más seguro como técnicas de autenticación. El uso de la biometría fue popularizado por TouchID de Apple y el soporte para la biometría se está moviendo más allá de los escaneos de huellas dactilares a los escaneos faciales y del iris o la retina. Los usuarios tienen la capacidad de elegir el método de autenticación que les resulte más fácil en una situación particular o el método que los haga sentir más seguros.
Para ayudar a autenticar una base de clientes cada vez más móvil, se puede aplicar la biometría del comportamiento para aprender cómo un cliente escribe, sostiene el teléfono o desliza el dedo, qué mano se está utilizando y el ritmo de las teclas. La biometría del comportamiento proporciona una señal continua sobre la autenticidad del usuario y, como resultado, puede ser difícil para los estafadores vencerla en este momento.
Recomendaciones de los analistas para una solución de autenticación basada en riesgos
La empresa de investigación de mercado Forrester señala que la autenticación basada en riesgos es más relevante que nunca para las instituciones financieras porque las transacciones en línea y móviles son cada vez más populares. Forrester dice que la capacidad de reducir los inconvenientes y las molestias para los clientes sin sacrificar la seguridad es un diferenciador competitivo. La compañía de investigación de mercado también dice que para generar la puntuación de riesgo más precisa posible, un sistema antifraude debe poder analizar la mayor cantidad posible de datos de usuarios, dispositivos y transacciones en los canales digitales.
Al evaluar las soluciones de RBA, Forrester también sugiere buscar proveedores que ofrezcan plantillas de reglas de fraude que aumenten la precisión de sus puntuaciones de riesgo. Un sistema antifraude debe proporcionar transparencia sobre cómo y por qué estas reglas de fraude se activan a través de los canales digitales. Además, es necesario que el sistema muestre cómo el aprendizaje automático complementará las reglas de fraude para detectar patrones de comportamiento que se desvían del comportamiento normal de un cliente y pueden ser indicativos de métodos de fraude emergentes.
Además, asegúrese de que la solución haga más que solo análisis de riesgo de fraude. Asegúrese de que no solo pueda recopilar y analizar datos, sino pedirle al usuario que complete un desafío de autenticación más alto, si es necesario.