autenticación fuerte

¿Qué es la autenticación fuerte?

La autenticación fuerte utiliza la autenticación multifactorial (MFA) para autenticar la identidad de un cliente durante el inicio de sesión y la autorización de transacciones. También utiliza la autenticación basada en el riesgo (RBA) para ayudar a prevenir el fraude, determinando el nivel de riesgo de cada transacción bancaria en línea o móvil y qué nivel de autenticación se requiere para cada transacción.

¿Cómo funciona la autenticación fuerte?

En primer lugar, la autenticación multifactor (MFA) utiliza tres factores comunes:

  • Algo que sabes: La autenticación más común es "algo que sabes". Puede ser una contraseña o un simple número de identificación personal (PIN). Sin embargo, también es el más fácil de vencer para los defraudadores.
  • Algo que tienes: El factor "algo que tienes" se refiere a elementos como un dispositivo móvil o tokens autentificadores de hardware, que generan códigos de acceso de un solo uso (OTP). La autenticación por hardware proporciona una autenticación de dos factores (2FA). Las opciones basadas en el teléfono móvil, como una notificación push y un código de acceso de un solo uso (OTP), también proporcionan 2FA.
  • Algo que usted es: la biometría es el factor "algo que usted es" y puede consistir en huellas dactilares o escaneos faciales y forma parte del cambio hacia los inicios de sesión sin contraseña, especialmente en la banca móvil. También hay varios ordenadores portátiles con sensores de huellas dactilares, y también están disponibles en unidades flash USB.

Para lograr la autenticación multifactor, se deben utilizar al menos dos tecnologías diferentes de al menos dos grupos tecnológicos diferentes para el proceso de autenticación. Un cliente que utilice un PIN con reconocimiento facial como segundo factor estaría utilizando MFA. Sin embargo, un cliente que utilice un PIN junto con una contraseña estaría utilizando la autenticación de dos factores (2FA) y no la autenticación multifactor.

Los clientes con poco tiempo quieren cada vez más una autenticación sin fricciones. En otras palabras, quieren ser verificados sin necesidad de realizar la verificación. La implantación de la AMF ayuda a prevenir el fraude porque las contraseñas y los nombres de usuario se consideran una seguridad débil. Las contraseñas y los nombres de usuario son fáciles de robar y explotar y están a la venta en la Dark Web a la espera de ser comprados por los delincuentes.

En segundo lugar, la autenticación basada en el riesgo (RBA) forma parte de la autenticación fuerte:

La autenticación basada en el riesgo ayuda a prevenir la toma de cuentas y otros ataques fraudulentos con el uso de aprendizaje automático y un motor de riesgo. El RBA analiza miles de puntos de datos, como el dispositivo del cliente, la dirección IP, la ubicación, la red, la hora del día y la propia transacción para elaborar una puntuación de riesgo en tiempo real. En función de la puntuación de riesgo, la autenticación basada en el riesgo puede desencadenar un desafío de autenticación inmediato, si es necesario. Una puntuación de riesgo también puede incluir el historial de incidentes de seguridad del usuario, el número de inicios de sesión y la sensibilidad de los datos a los que se accede. La razón por la que una puntuación de riesgo se basa en una combinación de muchos puntos de datos contextuales y de otro tipo es porque un punto de datos por sí solo puede y será vencido por un atacante. La autenticación basada en el riesgo también se conoce como autenticación adaptativa o autenticación escalonada y hace uso de la autenticación multifactorial cuando es necesario.

He aquí un ejemplo de autenticación basada en el riesgo que determina que una transacción es de bajo riesgo: un cliente legítimo se conecta a su portal bancario con un dispositivo conocido que se ha registrado en el banco y que utiliza el mismo navegador que suele utilizar. El cliente consulta su saldo o realiza un pequeño pago. En este caso, el sistema determina que el riesgo de fraude es tan bajo que el cliente no necesita volver a autenticarse después de haber iniciado la sesión.

Sin embargo, cuando el comportamiento del cliente se desvíe de su actividad normal, el sistema basado en el riesgo añadirá más mecanismos de autenticación, lo que supondrá más obstáculos de seguridad para las transacciones más arriesgadas, como una transferencia bancaria. En este caso, se pedirá al cliente que se autentique de una forma u otra, por ejemplo, con una huella dactilar acompañada de una clave de acceso de un solo uso, lo que constituiría una autenticación multifactor. Si tienen éxito, seguirán con su negocio. Si no es así, la transacción se anulará.

Como se ha señalado, las contraseñas y los nombres de usuario estáticos ya no proporcionan suficiente seguridad, dada la constante evolución de las amenazas del panorama y las periódicas violaciones de datos. La autenticación basada en el riesgo mediante la autenticación multifactor, permite a las instituciones financieras apoyar elementos de autenticación como las aplicaciones móviles y los tokens de hardware, que son algo que se tiene. También es compatible con la biometría, como las huellas dactilares y los escaneos faciales, que son algo que usted es, y admite el elemento de algo que usted sabe, como un PIN.

Diferentes tipos de tecnologías de autenticación multifactoriales

  • Tokens de hardware: dispositivos de hardware pequeños y fáciles de usar, como llaveros o tarjetas inteligentes, que el propietario lleva consigo para autorizar el acceso a un servicio de red. Admiten la autenticación fuerte con contraseñas de un solo uso (OTP). Los tokens de hardware proporcionan el factor de posesión para la autenticación multifactor. Son difíciles de forzar y manipular físicamente, ayudan a la protección de datos porque los datos de los clientes no se almacenan y son menos vulnerables a los ataques.
  • Tokens blandos: Los tokens basados en software o aplicaciones generan un PIN de inicio de sesión de un solo uso. Estos tokens se suelen utilizar para la autenticación multifactor en la que el smartphone proporciona el factor de "posesión", o sea, algo que se tiene. Los tokens blandos alivian la necesidad de recordar contraseñas, pueden mantenerse al día con las innovaciones tecnológicas y pueden reducir el tiempo de incorporación de días a minutos para el usuario final.
  • Notificaciones push: Las notificaciones push entregan el código de autenticación o la contraseña de un solo uso a través de una notificación push en el dispositivo móvil de la persona. En lugar de recibir un mensaje SMS, la notificación push aparece en la pantalla de bloqueo del dispositivo de la persona.
  • Criptograma visual: Un criptograma visual como Cronto® es una solución de autenticación multifactor que utiliza un desafío visual único que está contenido en un criptograma gráfico, que consiste en una matriz de puntos de colores. El cliente utiliza la cámara de su dispositivo móvil para escanear el criptograma y descifrar los detalles de la transacción que contiene.
  • Autenticación móvil: la autenticación móvil ofrece una forma de verificar a un cliente a través de su teléfono o de verificar el propio dispositivo, lo que permite al cliente iniciar sesión en lugares seguros y acceder a recursos desde cualquier lugar con mayor seguridad.
  • Autenticación biométrica: La autenticación biométrica incluye el uso de un escáner de huellas dactilares o el reconocimiento facial en el proceso de autenticación para autenticar de forma precisa y segura a los clientes normalmente en sus dispositivos móviles, así como la autenticación de comportamiento que proporciona seguridad entre bastidores que los autentifica continuamente por las formas únicas en que interactúan con sus dispositivos. Esto incluye la cadencia de sus pulsaciones, sus patrones de deslizamiento, y más.

Cómo la autenticación fuerte ayuda a prevenir el fraude

Los métodos de autenticación fuerte pueden ayudar a disminuir los ataques de fraude gracias a la autenticación multifactorial y a la autenticación basada en el riesgo.

La autenticación multifactorial dificulta a los defraudadores el acceso a la cuenta de un cliente debido a los tres factores de autenticación para la validación: algo que se sabe, algo que se tiene y algo que se es. La AMF añade seguridad adicional cuando el dispositivo del cliente no es reconocido, por ejemplo, o si el cliente está intentando hacer una transacción desde un lugar inusual. También ayuda a prevenir algunos de los ciberataques más comunes, como el phishing, el relleno de credenciales, los ataques man-in-the-middle y los keyloggers. Un ataque de phishing puede dar lugar al robo de las credenciales de una persona, pero no proporcionará al hacker una huella digital, por ejemplo. El uso de la autenticación multifactor no detiene todos los tipos de ataques, pero añade capas adicionales de autenticación fuerte que pueden dificultar los ciberataques. Si un factor se ve comprometido o se rompe, el atacante todavía tiene que romper al menos una barrera más antes de poder acceder a la cuenta de un cliente.

La autenticación basada en el riesgo también ayuda a prevenir el fraude, porque el sistema de prevención del fraude toma decisiones en tiempo real sobre el nivel preciso de seguridad de la autenticación que se necesita para cada transacción del cliente para evitar el acceso no autorizado. Es difícil que un estafador se haga pasar por un cliente legítimo porque la RBA se basa en la visión contextual del comportamiento de la persona, los datos de las transacciones y los datos del dispositivo, por ejemplo.

Con el tiempo, la puntuación de riesgo se convierte en un indicador más fiable del compromiso de la cuenta y de cualquier patrón de fraude emergente. Como herramienta de evaluación de riesgos, RBA también toma decisiones instantáneas sobre qué métodos de autenticación utilizar y en qué combinaciones para ayudar a prevenir el fraude. He aquí un ejemplo de autenticación basada en el riesgo en acción: si alguien intenta transferir el 90% de los fondos disponibles en una cuenta bancaria utilizando un dispositivo desconocido y no registrado en el banco y en un momento del día que no coincide con los patrones históricos del cliente, se le pediría que verificara aún más su identidad con una autenticación fuerte, como un código de acceso único acompañado de un escaneo de huellas dactilares o una biometría facial. Además, el uso de RBA puede identificar los intentos de inicio de sesión arriesgados y denegar el acceso o las transacciones por completo, si es necesario.

La autenticación robusta aleja a las instituciones financieras de la dependencia de las contraseñas, que son fáciles de piratear y una de las principales causas de las brechas de seguridad y el fraude de cuentas. Parte del problema con las contraseñas es que los métodos modernos de fraude son tan sofisticados que una contraseña no tiene prácticamente ninguna esperanza de evitarlos.

¿Beneficios de la autenticación fuerte?

La autenticación fuerte proporciona una mayor seguridad que la anticuada autenticación de usuario con un solo factor y una contraseña. A medida que los bancos añaden nuevos servicios en línea y nuevas formas de atender a sus clientes, cada vez más móviles, la autenticación robusta puede ayudar a mantener el ritmo de los retos de seguridad y proporcionar una experiencia lo menos intrusiva posible para los clientes.

También es una condición ganadora que puede ayudar a desbloquear la lealtad y, en última instancia, conducir al crecimiento, porque es una experiencia suave y segura para los clientes. Los clientes tienen poca paciencia para demasiadas capas de autenticación y simplemente no quieren perder mucho tiempo en acceder a sus cuentas. Como parte de la transformación digital de un banco, la autenticación fuerte también elimina los pasos innecesarios de verificación de identidad. Aplica la cantidad precisa de seguridad en el momento adecuado para cada transacción en función del nivel de riesgo, proporcionando una experiencia fluida si se requiere seguridad adicional. La experiencia del cliente tiene un impacto directo en la retención, y los estudios han demostrado que los clientes que pueden interactuar fácilmente con su institución financiera en cualquier lugar y en cualquier momento son menos propensos a cambiar a otra institución financiera. Como se ha mencionado, la autenticación fuerte también ayuda a las instituciones financieras a reducir las pérdidas por fraude.

Conformidad

La autenticación fuerte del cliente (SCA) es un nuevo requisito de la Directiva de Servicios de Pago revisada ( PSD2), que añade capas adicionales de seguridad a los pagos electrónicos. Por ejemplo, la AMF es necesaria para satisfacer su requisito de autenticación fuerte. La PSD2 también obliga a utilizar el análisis de riesgo de las transacciones para evitar los pagos fraudulentos.

Lo que dicen los analistas

La empresa de estudios de mercado Forrester señala que la autenticación basada en el riesgo, que forma parte de la autenticación fuerte, es más relevante que nunca para las instituciones financieras porque las transacciones en línea y por móvil son cada vez más populares. Según Forrester, la capacidad de reducir los inconvenientes y las molestias para los clientes sin sacrificar la seguridad es un diferenciador competitivo. La empresa de estudios de mercado también afirma que, para generar una puntuación de riesgo lo más precisa posible, un sistema antifraude debe ser capaz de analizar la mayor cantidad posible de datos de usuarios, dispositivos y transacciones en todos los canales digitales.

Póngase en contacto con nosotros

Póngase en contacto con uno de nuestros expertos en seguridad para saber más sobre cómo nuestras soluciones pueden ayudarle con sus necesidades de seguridad digital

Contáctenos