Crear una experiencia de banca online segura y sin fricciones


Comprobar que un usuario es quien dice ser mientras está conectado es el fundamento esencial de la ciberseguridad. Todos estamos acostumbrados a ser autenticados en algún momento de nuestros viajes por la red, ya sea a través de una contraseña de acceso o una OTP enviada a nuestros teléfonos cuando tratamos de realizar una transacción.

¿Por qué necesitamos la autenticación continua?

Cuantos más controles de autenticación existan durante una sesión en internet, más segura será contra fraudes, tanto para el banco como para sus clientes.

Por ello, la Directiva europea sobre servicios de pago PSD2 exige una autenticación reforzada de clientes (SCA), según la cual los usuarios deben presentar al menos dos factores de autenticación distintos.

Dichos factores deben pertenecer, al menos, a dos de las siguientes categorías: algo que el usuario sea (inherencia), algo que tenga (posesión) y algo que sepa (conocimiento).

No obstante, también se deduce que cuantas más comprobaciones se exijan al usuario, más frustrado e insatisfecho se sentirá en el proceso y será más probable que incluso se de por vencido. 

what-is-continuous-authentication-06

Según informó McKinsey, más de uno de cada cinco clientes bancarios en España y Gran Bretaña probaron la banca en línea por primera vez durante la pandemia global. Ocurre lo mismo con los clientes de banca comercial de todo el mundo.

Por tanto, con una fuerte competencia entre los muchos actores de este mercado y un panorama pospandémico que experimenta un importante giro hacia la banca online y los pagos contactless, los bancos no pueden permitirse salir perdiendo ahora por culpa de una mala experiencia de cliente online.

 

Los controles de identificación actuales no son lo suficientemente estrictos

Además de la deficiente experiencia de usuario que podría generar la autenticación de múltiples factores (AMF), es posible que los métodos tradicionales de autenticación, como los que se han examinado anteriormente, ya no sean lo suficientemente rigurosos como para proteger ampliamente a los usuarios contra los fraudes.

Los métodos de autenticación de usuarios, como el tradicional acceso mediante contraseña, se están quedando obsoletos con rapidez. 

what-is-continuous-authentication-03

Esto es debido a dos motivos:

  • Los ataques de phishing, el tipo de fraude de ingeniería social más habitual y el truco más antiguo del libro, consiguen estafar sistemáticamente a los usuarios con sus datos de acceso.

    Además, cualquier filtración de datos corporativos puede hacer que los nombres de usuario y contraseñas legítimas de miles de clientes terminen vendiéndose en el internet oscuro. (Podrá encontrar más información sobre autenticación sin contraseña en nuestro blog).

  • Los timadores idean constantemente métodos nuevos y más avanzados para eludir los métodos de autenticación en línea diseñados para detenerlos, como los troyanos de acceso remoto (RAT, por sus siglas en inglés), que utilizan los ciberdelincuentes para hacerse con el control operativo del dispositivo de un usuario después de que haya iniciado sesión o las inyecciones de malware a mitad de la sesión.

    Si la identidad de un usuario sólo se verifica una vez durante su sesión online (en el momento de iniciarla o realizar la transacción), no estará protegido frente al robo de cuentas (ATO, por sus siglas en inglés) en el que un fraudster secuestra la cuenta de un usuario durante su sesión utilizando estas técnicas para evitar los momentos de autenticación.

what-is-continuous-authentication-01


¿Qué es la autenticación continua?

Mediante el análisis de la biometría del comportamiento de los usuarios, como la forma en que el usuario mueve el ratón, la velocidad y cadencia con la que teclea y el ángulo con el que suele sostener su teléfono, es posible crear un perfil único para cada usuario en base a miles de parámetros que rodean sus interacciones y comportamientos en línea.

Esto significa que una solución antifraude basada en la biometría del comportamiento puede comparar el comportamiento de un usuario con todo su historial online para comprobar que es quien dice ser.

Este análisis permite producir una calificación de riesgo en tiempo real relacionada con el nivel de amenaza para el usuario o la seguridad de su cuenta.

Al comparar el comportamiento del usuario con su propio perfil, en lugar de con grupos de usuarios o comportamientos «buenos» o «malos», este tipo de solución puede resultar extremadamente precisa en relación a cada usuario y evitar generar falsos positivos o negativos.

De nuevo, lo importante es que esto se produce de manera continuada, durante toda la sesión de banca online de un usuario, desde que la inicia hasta que la cierra, por lo que estará protegido, tanto frente a la apropiación fraudulenta de cuentas como de los estafadores que intenten utilizar credenciales legítimas y robadas para acceder a su cuenta. 

what-is-continuous-authentication-07

Una experiencia de usuario sin fricciones

La principal ventaja que tiene la autenticación continua para los bancos es que facilita una experiencia de usuario sin fricciones La tecnología ofrece protección pasiva al trabajar en segundo plano tpara analizar el comportamiento del usuario durante toda la sesión online.

No existe ningún requisito activo para que los usuarios introduzcan información excepto sus datos de acceso. 

Además, uno de los dos factores de autenticación exigidos por la PSD2 y la SCA (en el caso de la biometría del comportamiento, el factor de la inherencia) se realiza de manera imperceptible para el usuario, lo que implica una mejora sustancial de la experiencia de usuario con la introducción de la autenticación continua.


Además, las calificaciones de riesgo que se generan en tiempo real permiten que el banco evalúe el grado de amenaza para la seguridad antes de que se alteren el nivel de seguridad y el número de comprobaciones de autenticación para reflejar el nivel de amenaza.



La seguridad se puede intensificar entonces para garantizar que el usuario sea quien dice ser o (sobre todo para promover una experiencia de usuario sin fricciones) reducirse para eliminar los obstáculos que pueda encontrar un usuario legítimo o incluso para evitar que un usuario legítimo sea totalmente bloqueado en su propia cuenta. Y todo ello puede darse durante la misma sesión online.

what-is-continuous-authentication-05

Autenticación continua: una prevención dinámica contra el fraude sin interrupciones para el usuario

La autenticación continua facilita el cumplimiento de la normativa financiera por parte de los bancos, es más segura en su protección contra los estafadores y extremadamente precisa, ya que la tecnología deep learning implica que una solución basada en la biometría del comportamiento puede hacerse más precisa cada vez que un usuario se conecta.

Con las contraseñas a punto de desaparecer, la búsqueda de la experiencia de usuario más libre de fricciones en marcha y el plazo establecido por la PSD para implementar la SCA a punto de expirar, es seguro decir que la capacidad de verificar a la perfección la identidad de los usuarios en segundo plano mientras están conectados va a ser de vital importancia en un futuro no muy lejano.

 

Publicado por Juan David Castañeda

Over 10 years, Juan David has gained experience in the information security field, both in service provision roles, working for firms such as PwC, and with overall responsibility for the security model in organisations of the likes of Liberty Seguros Colombia and the Sanitas International Organisation. In 2018, he joined buguroo in the region of Latin America and the Caribbean to lead presales tasks that leverage business closures and company growth.


¿Te ha gustado? Comparte en tus comunidades sociales

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo