Autenticación como servicio (AaaS)

¿Qué es la autenticación como servicio (AaaS)?

La autenticación como servicio proporciona capacidades de autenticación en la nube para que las instituciones financieras puedan verificar de forma segura a sus clientes utilizando la autenticación multifactor (MFA). Las instituciones financieras se están pasando a la computación en nube, confiando menos en la necesidad de mantener, actualizar y sustituir sus equipos y tecnología de autenticación in situ. En la actualidad, la evolución digital en curso se ha visto acelerada por la pandemia del COVID-19 y los clientes esperan ahora más experiencias digitales con su banco. La autenticación como servicio permite a las instituciones financieras eliminar los costes de reparación y sustitución de la infraestructura de red y mitigar el fraude. También pueden ampliar o reducir la escala para satisfacer la demanda de los clientes. La autenticación como servicio refuerza y agiliza la autenticación en todas las aplicaciones y canales, admite una combinación de métodos de autenticación de hardware y software, y puede actualizarse para admitir soluciones de autenticación más completas, como la autenticación adaptativa o la autenticación basada en el riesgo.

Autenticación como servicio: métodos de autenticación multifactoriales

La autenticación como servicio utiliza la autenticación multifactorial (MFA) para la seguridad del inicio de sesión, donde se combinan dos o más factores de autenticación para la verificación de la identidad. Esto podría ser:

• Algo que sabe, como un código de acceso único (OTP) o la respuesta a una pregunta secreta
• Algo que tienes, como tu dispositivo móvil
• Algo que usted es, como una huella dactilar o un escáner facial

Para lograr la autenticación multifactorial, deben utilizarse al menos dos tecnologías diferentes de al menos dos grupos tecnológicos distintos en el proceso de autenticación. En consecuencia, el uso de un PIN junto con una contraseña no se consideraría AMF, mientras que el uso de un PIN con reconocimiento facial como segundo factor sí lo sería. También es aceptable utilizar más de dos formas de autenticación. Sin embargo, la mayoría de la gente quiere cada vez más una autenticación sin fricción (la posibilidad de ser verificado sin necesidad de realizar excesivos pasos de seguridad).

La autenticación como servicio también es compatible con las últimas tecnologías, como los estándares abiertos como FIDO, la biometría (incluido el reconocimiento facial y el escaneo de huellas dactilares), la autenticación fuera de banda, como Cronto, los códigos tipo QR y el hardware de próxima generación.

Ventajas de utilizar la autenticación como servicio

En la última década, se ha producido una creciente adopción de las implantaciones de la nube y la nube híbrida para los servicios y aplicaciones de TI. La pandemia de COVID-19 aceleró las iniciativas de transformación digital y modernización de los bancos. La pandemia también ha acelerado el comportamiento digital de los clientes. Los ciudadanos esperan ahora más interacciones digitales con sus instituciones financieras y esperan que sean fluidas. Estas iniciativas son difíciles de apoyar con la infraestructura local, especialmente durante la pandemia. Esta es una razón que contribuye al interés por las soluciones basadas en la nube.

Un informe de Aite Group, The Rise of Digital-First Banking (El auge de la banca digital), analiza cómo los consumidores pasarán a ser digitales, independientemente de la generación, y si las instituciones financieras están preparadas o no, ahora que la pandemia de coronación ha cambiado la forma en que los consumidores interactúan en todos los ámbitos de su vida. "La crisis de la COVID-19 está impulsando la trayectoria de adopción y uso digital a toda máquina", afirma Tiffani Montez, analista senior de Aite Group. "La banca con prioridad digital es la nueva norma, y ahora más que nunca, es importante que las IF construyan una nueva experiencia digital y optimicen los procesos digitales existentes para reducir la fricción."

Estas son las ventajas de la autenticación como servicio:

• Sin necesidad de albergar equipos en las instalaciones: con la autenticación como servicio, las instituciones financieras pueden reducir los gastos operativos de los departamentos de TI.
• No hay personal informático adicional: los equipos informáticos requieren mantenimiento y sustitución. Con la autenticación como servicio, un proveedor de servicios externo suele ser responsable del mantenimiento del equipo en el que se aloja una aplicación. Por ejemplo, el personal altamente cualificado, como los ingenieros de infraestructuras, puede ser reasignado a otros proyectos de TI en lugar de dedicar su tiempo a las tareas de mantenimiento. Dado que la autenticación como servicio no requiere de contraseña, elimina los reajustes de contraseña para los ocupados equipos de TI.
• Reduce los costes de funcionamiento, aumenta la eficiencia operativa: la autenticación como servicio permite a las instituciones financieras reducir los costes de sustitución continua de los equipos de servidor, la infraestructura de red, el mantenimiento de la red, el alojamiento y los procedimientos de seguridad. El resultado son unos costes operativos inferiores a los de las implantaciones locales y más consistentes, lo que aumenta la eficiencia operativa a la vez que proporciona un acceso seguro.
• Capacidad de ampliación: la autenticación como servicio ofrece a los bancos la posibilidad de ampliar o reducir la escala según sea necesario para satisfacer la demanda actual. Esto hace que la fijación de precios sea menos complicada y menos costosa para adquirir más capacidad de servicio en la nube de lo que sería desplegar nuevos equipos de servidor en las instalaciones.
• Despliegue rápido y sencillo: la autenticación como servicio puede desplegarse en cuestión de semanas sin necesidad de adquirir, aprovisionar y desplegar ninguna infraestructura de TI. Por el contrario, las implantaciones en las instalaciones pueden llevar meses o incluso un año, dependiendo del presupuesto y otros factores.
• Opciones de autenticación flexibles: la autenticación como servicio admite tecnologías de autenticación híbridas de software y hardware, supervisión continua, perfil de dispositivos y canales multiusuario. Puede actualizarse sin problemas a soluciones más completas, como la autenticación basada en el riesgo que utiliza el aprendizaje automático y un motor de riesgo para ayudar a reducir el fraude.

Tres casos prácticos de organizaciones que utilizan la autenticación como servicio

Caso práctico nº 1: Un banco japonés se pasa a la autenticación basada en la nube

El reto: Este banco japonés lanzó su aplicación de banca móvil en noviembre de 2019. Inicialmente, la funcionalidad de la aplicación era limitada y sólo permitía a los usuarios consultar su saldo. Además, el proceso de autenticación heredado utilizado en el canal online no proporcionaba una experiencia móvil satisfactoria. Los clientes recibirían una contraseña de un solo uso (OTP) por correo electrónico y la introducirían en el portal web. Esta experiencia no se trasladó bien a los móviles. El banco decidió implementar la autenticación basada en la nube y la firma de los datos de las transacciones para permitir de forma segura las transferencias de dinero a través de la aplicación. Los plazos de este proyecto eran muy ajustados, ya que el banco tenía que lanzar la versión actualizada de la aplicación tres meses después del inicio del proyecto. Normalmente, la integración de una nueva solución de autenticación en una aplicación existente y el despliegue de un servidor de autenticación en las instalaciones para soportarla puede llevar más de un año. En su lugar, el banco decidió pasar a un servidor de autenticación alojado en la nube.

El resultado: Ahora los clientes pueden autenticarse recibiendo su OTP en la aplicación, o utilizar la biometría de las huellas dactilares. El resultado es una experiencia fiable, segura y cómoda para el cliente, al tiempo que se amplían las funciones de la aplicación de banca móvil.

Estudio de caso nº 2: FinTech ofrece autenticación en la nube a todos los bancos noruegos

El reto: En este caso de uso, una organización fintech noruega ofrece a los bancos noruegos una solución de autenticación segura y rentable para la identificación y la firma electrónica. Para autenticarse, los usuarios debían utilizar autenticadores de hardware, que proporcionaban la seguridad necesaria para el usuario final. Sin embargo, los comentarios de los clientes mostraron su deseo de contar con una solución de autenticación por software que les permitiera utilizar sus dispositivos móviles. La organización decidió lanzar una nueva aplicación móvil para autenticar a los usuarios con el fin de mejorar la experiencia del cliente e implementar la biometría. La organización es parcialmente propiedad de todos los bancos de Noruega y todos ellos hacen uso de este servicio. Como resultado, la organización no podía considerar una solución de autenticación en las instalaciones porque esto requeriría que cada banco noruego desplegara un nuevo servidor de autenticación en las instalaciones.

El resultado: Al utilizar la autenticación basada en la nube, los bancos podrían adoptar fácilmente la aplicación de autenticación para la autenticación de los usuarios. Con la aplicación desplegada, los usuarios obtuvieron acceso a la autenticación multifactor (MFA) con biometría de huellas dactilares y notificaciones push. La nueva experiencia resultó ser mucho más cómoda para los clientes y los que descargaron la aplicación de autenticación pudieron retirar con seguridad sus autenticadores de hardware.

Caso práctico nº 3: Una organización sanitaria introduce la autenticación en la nube para reducir costes

El reto: Esta empresa de desarrollo de software sanitario ha modernizado recientemente su estrategia de seguridad pasando a la autenticación como servicio. La empresa vende una solución de prescripción electrónica de sustancias controladas (EPCS) que ayuda a los médicos y profesionales sanitarios a poner en contacto a sus pacientes con los medicamentos regulados que necesitan. Debido a los datos sensibles de que se trata, tanto por la preocupación por la privacidad de la información médica como por el posible mal uso de la medicación, la autenticación y la identidad del usuario son componentes extremadamente importantes de la solución.

El resultado: La empresa migró de una implementación local a un proveedor de servicios de autenticación basado en la nube para evitar los costes asociados a la compra, la asistencia y el mantenimiento de los servidores que permiten la autenticación. La empresa también quería integrar un proceso de autenticación en su producto actual con una solución que facilitara la implantación, evaluación y verificación del cumplimiento de todas las normativas.

 

Cómo la autenticación como servicio ayuda a mitigar el fraude

Las instituciones financieras pueden ayudar a proteger a sus clientes contra las amenazas de fraude con la AMF basada en la nube en una infraestructura de seguridad probada y fiable. En lo que va de 2020, se han producido destacadas violaciones de datos en Twitter, Zoom y Marriott, que sufrió su segunda violación en otros tantos años[JM2] . Con tanta gente que sigue utilizando las mismas contraseñas estáticas como único medio de autenticación en varias cuentas, cualquier filtración de datos de contraseñas y direcciones de correo electrónico puede tener graves consecuencias para los consumidores.

Como resultado de la pandemia del COVID-19, los ciberdelincuentes han incrementado sus esfuerzos, con un número de sitios web de phishing que ha aumentado en un 350% desde principios de año, y 16,6 millones de libras esterlinas (20,8 millones de dólares estadounidenses) perdidos en pérdidas por fraude en las compras desde el comienzo del bloqueo. El phishing sigue siendo el método preferido

método para los atacantes cuando se trata de robar credenciales, según el informe de Verizon sobre investigaciones de violaciones de datos de 2020. Además, con más de 15.000 millones de credenciales circulando por la Dark Web, los ciberdelincuentes tienen todo lo que necesitan para cometer ataques de toma de posesión de cuentas y otras formas de fraude.

La evolución digital en curso también ha provocado el auge del móvil, la ampliación de los canales digitales y el aumento del número de aplicaciones y productos. A menudo, esto ha dado lugar a un enfoque aislado de la seguridad de la autenticación, lo que hace que el personal de TI tenga que gestionar diferentes soluciones. La autenticación como servicio proporciona una seguridad centralizada y garantiza que los bancos puedan mantener a los clientes protegidos contra los ataques de fraude, especialmente los de ingeniería social y phishing.

Cómo la autenticación como servicio mejora la experiencia del cliente

Teniendo en cuenta el amenazante panorama de las amenazas, la autenticación como servicio (AaaS) ayuda a los bancos a mantener la seguridad de la autenticación de los usuarios, aumentando la confianza de sus clientes de banca digital. Los clientes pueden autenticarse con opciones de autenticación móvil fáciles de usar, como la biometría y las notificaciones push dentro de la aplicación para una experiencia de usuario sin fricciones. A medida que los clientes adoptan un comportamiento cada vez más digital, obtienen una autenticación segura a través de la nube.

Cómo cumple la normativa

La autenticación como servicio está diseñada para cumplir los requisitos de autenticación fuerte de clientes (SCA) de la PSD2 para los pagos seguros en línea. Lo hace a través de la autenticación multifactor, la vinculación dinámica (para contrarrestar los ataques Man-in-the-Middle), la seguridad móvil y la tecnología biométrica. Los requisitos de la SCA ayudan a limitar el fraude y a mejorar la seguridad de los pagos en línea, ya que se exige a los clientes dos de los tres elementos de autenticación:

• Algo que el cliente conoce (por ejemplo, el PIN, la contraseña, la pregunta de seguridad)
• Algo que el cliente tiene (por ejemplo, un dispositivo)
• Algo que el cliente es (por ejemplo, datos biométricos como huellas dactilares o reconocimiento facial)

La vinculación dinámica también ayuda a las instituciones financieras a cumplir con la normativa, ya que en el momento de la transacción debe aparecer el valor de la misma y la identidad del destinatario, y debe haber al menos dos elementos de posesión utilizados. Estos elementos de posesión deben vincular dinámicamente la transacción con un importe y un beneficiario especificados por el pagador, al iniciar y verificar la transacción.

Importancia estratégica

La autenticación como servicio utiliza la autenticación multifactorial basada en la nube para proporcionar seguridad, un estricto cumplimiento de la normativa y una experiencia de cliente fluida que ayuda a impulsar el crecimiento. La autenticación como servicio es una forma moderna de enfocar la gestión de la identidad y el acceso que aprovecha los recursos de la computación en la nube y también proporciona una mejor experiencia y gestión de los usuarios. Ofrece a los bancos una eficiencia inmediata con una solución que puede implantarse rápidamente. La autenticación como servicio también permite un despliegue rápido, ya que la mayoría de los proveedores de AaaS disponen de plugins y API (servicios RESTful, etc.) que permiten una fácil integración en las aplicaciones empresariales.

AaaS añade capas adicionales de seguridad al proporcionar no sólo una autenticación fuerte, sino también políticas de control de acceso. La confidencialidad en la nube se consigue aplicando diferentes algoritmos junto con procedimientos de cifrado y descifrado, hashing, firmas digitales, certificados y gestión de intercambio de claves. La AMF basada en la nube también apoya el comportamiento cada vez más digital de los clientes. Al pasar de la infraestructura local a un proveedor de servicios en la nube, las instituciones financieras y otras organizaciones sientan las bases para la personalización y soluciones de autenticación más completas, como la autenticación basada en el riesgo o la autenticación adaptativa.