person touching lock screen

¿Sin fricción o con menos fricción? Ciberseguridad y la experiencia de usuario sin contraseña

Como empleados y consumidores, vivimos en un mundo protegido por contraseñas. Sin embargo, las contraseñas son un problema y no siempre son seguras. ¿Cómo pueden las empresas aumentar su esfuerzos en ciberseguridad, en particular los sectores regulados, ofreciendo al mismo tiempo comodidad y garantizando la protección de los datos?

En el mundo de la gestión de acceso e identidad o IAM, la autenticación sin contraseña señala el camino a seguir.

Las contraseñas ya no funcionan

Entre los profesionales de seguridad es bien sabido que las contraseñas no son la mejor manera de proteger nuestros datos o activos, pero estos profesionales deben aceptar la difícil realidad de que sigue siendo el método de autenticación preferido por muchos consumidores. Las experiencias digitales son cada vez más habituales, tanto para compras en línea como físicas, en los servicios financieros y la banca, y en el entorno laboral. Esto hace que la ciberseguridad, y la protección de los datos personales y financieros, sea extremadamente importante.

Sabemos que las contraseñas generan fatiga, conformismo y pereza entre los compradores, incluso cuando tienden a seguir utilizándolas, algo que muy problemático. Esto significa, entre otras cosas, que las contraseñas elegidas tienden a ser demasiado cortas y demasiado sencillas, lo que las hace fáciles de descifrar. "Al menos 2/3 de los usuarios de smartphones (66%) afirma que su contraseña más corta tiene 10 caracteres o menos", según el informe State of Consumer Authentication  de Forrester del 1er. trimestre de 2022.

Cada son más necesarias unas contraseñas más seguras, más largas, que incluyan mayúsculas, números y caracteres especiales. Y esto ayuda. Pero esta complejidad adicional también significa que los consumidores escriben sus contraseñas en lugares donde se pueden ver. Además, las personas reutilizan contraseñas en dispositivos y aplicaciones, lo que facilita a los hackers adivinar, espiar y obtener acceso a la cuenta del usuario.

Image
Persona ingresando contraseña
Las contraseñas son una medida de seguridad común, pero pueden verse comprometidas fácilmente si no cumplen con la longitud y la complejidad adecuadas para ser seguras.

Se habla mucho de la experiencia de usuario "sin fricción" y con razón. Los consumidores esperan una experiencia de la misma calidad en cada interacción digital, ya sea personal o laboral. Para casi todas las empresas, es importante que la experiencia del usuario sea lo más sencilla y fluida posible para que los usuarios puedan realizar la acción o cumplir el objetivo que desean. Para muchos sectores esto significa tener una primera estrategia para móviles, el sector de la banca y los servicios financieros, por ejemplo, va en esa dirección.

Por otra parte, los usuarios son cada vez más conscientes y están más interesados en alternativas de autenticación sin contraseña, como las que permiten los datos biométricos. ¿Pero es la respuesta una experiencia sin fricción?

La ciberseguridad debería tener menos fricción, pero NO ser sin fricción

La mayoría de las empresas actuales se han visto afectadas por una violación de sus datos. IBM informa que el coste medio global de una violación de datos es de 4,35 millones de dólares USA, siendo la causa más común credenciales robadas o comprometidas. El tiempo para identificar la causa de la violación se demora 327 días.

Por un lado, las empresas desean optimizar y simplificar la experiencia de usuario mientras abordan la amenaza de que las contraseñas están desfasadas y ya no son seguras. 

Esto es especialmente cierto en el caso de los servicios bancarios y financieros. En una encuesta conjunta de HID y FS Tech se puso de manifiesto que para los clientes bancarios, la seguridad superaba a una experiencia sin fricción. Esto sugiere que, aunque la facilidad y la velocidad ocupan los primeros puestos en la lista de prioridades, los clientes se sienten de hecho cómodos con algo de fricción como parte del proceso de inicio de sesión y autenticación, si esto contribuye a la seguridad de sus datos.

Las soluciones de autenticación sin contraseña están transformando el panorama de la seguridad al ofrecer una mejor experiencia de usuario ayudando al mismo tiempo a gestionar el riesgo con la cantidad adecuada de fricción.

Image
Persona que usa reconocimiento facial en el teléfono
La investigación muestra que los clientes bancarios esperan seguridad y se sienten cómodos con cierta fricción durante la experiencia del usuario si eso significa un mayor nivel de seguridad.

¡Larga vida sin contraseña!

Nos llevan prometiendo, desde hace ya bastante tiempo, un mundo sin contraseñas. Desde Bill Gates pidiendo el fin de las contraseñas en 2004 hasta IBM anticipando el fin de las contraseñas en 2011 y Eric Grosse de Google declarando que las contraseñas ya no bastaban para mantener la seguridad de los usuarios en 2013, casi 10 años más tarde se está convirtiendo en una realidad.

Autenticación multifactor (MFA)
La autenticación multifactor o MFA está liderando el camino hacia una seguridad sólida a la vez que fácil de usar mediante la combinación de tres factores: algo que sabe, algo que tiene y algo que es. Es importante tener en cuenta que los métodos de autenticación no seguros, como la contraseña de un solo uso (OTP, por sus siglas en inglés) que se envía por SMS o correo electrónico, y el uso de preguntas y respuestas secretas, están aun muy extendidos.

El método de autenticación por notificación push es más seguro y fácil de usar, si al mismo tiempo se utiliza un dispositivo móvil como segundo factor de autenticación multifactor. Este utiliza técnicas criptográficas para vincular un dispositivo específico a la identidad de su propietario, lo que hace imposible que los atacantes les suplanten sin disponer de acceso físico al dispositivo.

La experiencia de usuario del método de autenticación por notificación push es fluida y sencilla, los usuarios validan la solicitud haciendo una elección binaria: "aprobar" o "rechazar", en lugar de consultar y volver a escribir una OTP recibida por SMS.  De hecho, las soluciones de autenticación por notificación push más flexibles, que aprovechan por igual tanto las empresas como las instituciones financieras, son las capacidades biométricas de los dispositivos móviles para no utilizar contraseñas.

Image
Persona que usa la banca en línea
El uso de capacidades biométricas de teléfonos inteligentes durante la autenticación multifactor ayuda a avanzar hacia una experiencia sin contraseña.

Los usuarios son receptivos a esta experiencia, reconociendo que ofrecen un mayor nivel de seguridad y mejorando al mismo tiempo la comodidad del proceso general de autenticación. Los datos adicionales de la encuesta realizada por HID y FS Tech demostraron que el 56% demostraba una actitud positiva hacia las medidas de seguridad actuales para la prevención de fraudes, incluso cuando se requería fricción.

El 44% restante demostró una actitud neutral frente a esto. Las soluciones de autenticación multifactor también están en auge a medida que cada vez más empresas eligen tecnologías de autenticación avanzadas, incluidos tokens de hardware o software.

Verificación de identidad (IDV)
Las empresas también están estudiando las soluciones de verificación de identidad (IDV, por sus siglas en inglés), especialmente como un medio para garantizar una incorporación digital fluida para sus usuarios y para mejorar la experiencia sin contraseñas a lo largo de todo el recorrido. La IDV combina la correspondencia facial biométrica con comprobaciones cruzadas con documentos de identificación con fotografía expedidos por el gobierno, verificación de documentos en segundo plano, verificación de direcciones y otras validaciones automatizadas.

La IDV facilita un recorrido de usuario fluido, reduciendo notablemente las tasas de abandono de clientes en una etapa temprana y realizando el recorrido completo. Las mejores soluciones IDV de su clase ofrecen una arquitectura prediseñada y una entrega basada en la nube que facilita y agiliza la implementación.

El futuro de la autenticación sin contraseña: biometría conductual 

Las empresas están sometidas a una intensa presión para adoptar soluciones de gestión de acceso e identidad fáciles de usar pero seguras. Mientras tanto, los consumidores tienen dificultades para gestionar sus propias credenciales en una esfera cada vez más amplia de actividades digitales, por lo que elegirán empresas que puedan ofrecer tanto seguridad como simplicidad. Con la estrategia y herramientas adecuadas, es posible respaldar identidades digitales seguras con menos fricción.

En adelante, el futuro de la autenticación sin contraseña también incluirá la biometría conductual. A diferencia de la biometría física, que identifica características como una huella dactilar o una cara, la biometría conductual identifica a las personas basándose en la identificación única de patrones mensurables en las actividades humanas. Piense en el movimiento de la mano a la hora firmar o en las pulsaciones de las teclas de un teclado, en el patrón de voz o la manera de caminar.

Junto con la biometría física, la biometría conductual ofrece la posibilidad de crear una experiencia de usuario más fluida que ofrece una verificación continua, abriendo el camino hacia un mundo digital más seguro y sin fraudes.

¿Desea recibir noticias sobre la gestión de acceso e identidad en su bandeja de entrada? Suscríbase al blog de IAM  También puede obtener la información más reciente que afecta al sector visitando el blog Tendencias de seguridad e identidad.

Ignacio Gil Bárez es el líder de ventas de HID Iberia en el área de negocio de Consumer IAM. Tiene una vasta experiencia trabajando con cumplimiento y UX con ejecutivos de alto nivel para brindar agilidad comercial y mitigar el riesgo. También es un experto y un gran recurso para comprender e identificar los principios y requisitos de satisfacción total del cliente.