Cómo verificar y autenticar la identidad del cliente

Las transacciones online ya forman parte de nuestro día a día; desde abrir una cuenta bancaria, comprar ropa o incluso obtener un título online. Todas estas interacciones virtuales nos simplifican la vida, pero también es cierto que requieren de una gran adaptación por parte de las organizaciones, y es que las personas no únicamente buscan completar transacciones, sino obtener experiencias online simples, atractivas, sin fricciones y que resuelvan sus problemas.

Al mismo tiempo, estamos experimentando un aumento global de los delitos cibernéticos, especialmente del phishing, la apropiación de cuentas (ATO) y el fraude producto del intercambio de tarjetas SIM. Según diversos informes el coste de estos fraudes crece un 15% cada año y se espera que alcance los 10.000 millones de dólares para 2025.

Por lo tanto, a la hora de expandir las interacciones digitales con los clientes, las empresas deberán pensar en soluciones de verificación y autenticación centradas en el usuario que garanticen buenas experiencias del cliente (CX).

Diferencias entre verificación y autenticación de identidad
Al crear una estrategia de seguridad sólida, hay que pensar tanto en la verificación como en las soluciones de autenticación de la identidad y, para ello, es clave entender las diferencias.

La identificación de identidad es la etapa donde se proporciona la información que posteriormente será utilizada en los consiguientes pasos de verificación y autenticación. Sucede cuando un usuario proporciona su nombre, dirección, correo electrónico, teléfono o accede a la recopilación de datos biométricos. Por su parte, la verificación, es cuando una empresa analiza y constata si la información facilitada por el usuario es veraz. Normalmente esto se hace comprobando los datos con otros bancos o documentos. Este paso es muy común cuando se registran nuevas cuentas y también cuando un usuario asocia un nuevo dispositivo o navegador con sus cuentas existentes. Por último, la autenticación tiene lugar cuando se emplea cierta información para ratificar que, en efecto, quien está intentando acceder a determinada cuenta o servicio es quien dice ser. Este paso generalmente se usa cuando una persona quiere acceder a un sistema, cuenta o plataforma, en pagos de alto valor o durante una solicitud para cambiar la configuración de una cuenta.

Muchas empresas emplean múltiples factores de autenticación para crear más capas de seguridad para sus clientes y sistemas y para prevenir el fraude. Por ejemplo, una combinación de contraseña + OTP enviada vía SMS o una contraseña + Silent Mobile Scan.

La estrategia de seguridad ideal para el negocio
En primer lugar, es importante huir de la idea errada de que solo existe una única solución de seguridad. La elección de las herramientas y tecnologías que compondrán el arsenal de seguridad dependerá de los objetivos y del nivel de riesgo vinculado a cada acción de los usuarios. Por ejemplo, en el paso de registrar una nueva cuenta, la simple verificación de un correo electrónico puede ser el nivel de seguridad necesario que además permita no interferir con la experiencia de usuario. Si por el contrario es importante autorizar la concesión de un préstamo, es posible que se deban asociar más pasos de verificación y autenticación para minimizar el riesgo de fraude.

En otras palabras, siempre es importante buscar un equilibrio entre el nivel de seguridad requerido para una operación y la experiencia ofrecida al usuario. Así, solicitar siete métodos de autenticación solo para iniciar sesión en la cuenta hará que el usuario se moleste y se dé por vencido. Pero solicitar tres pasos (contraseña, PIN y SIM-Swap) para la compra de un producto de muy alto valor, puede hacer que el usuario se sienta aún más seguro y confiado en la empresa.

Por ello, lo más probable es que la solución de seguridad ideal sea una combinación de varias herramientas y tecnologías que se activarán de diferentes formas según la etapa del recorrido del cliente y del objetivo a cumplir dentro de ella.

Principales soluciones de verificación y autenticación

-Know Your Customer (KYC)
Este procedimiento es más común en las instituciones financieras, que suelen adoptar el KYC como requisito previo para registrar nuevos clientes en sus bases de datos. De hecho, muchas entidades financieras de gran tamaño están obligadas a recurrir a este método partiendo de sus normativas locales. Sin embargo, otras empresas medianas y pequeñas -o pertenecientes a otras industrias- también pueden beneficiarse del KYC.

La política de Know Your Customer no es más que un proceso de análisis de riesgo del usuario. Consiste en evaluar su perfil del usuario, analizar sus fuentes de ingresos, detectar perfiles fraudulentos, verificar personas políticamente expuestas, etc. Se realiza mediante la recopilación de datos del cliente y la verificación de esta información utilizando los datos recopilados por otros bancos, entidades y fuentes independientes y confiables, como por ejemplo los Tribunales de Justicia, entre muchos otros.

Autenticación vía OPT o Token     
Este tipo de autenticación es uno de los más utilizados por las empresas porque es sencillo, además de ser muy adaptable a las necesidades del cliente.

La idea es que, al intentar acceder a una cuenta, agregar un nuevo dispositivo o realizar una transacción, el usuario reciba un código de un solo uso (OTP) a través de un canal de comunicación previamente elegido (generalmente SMS o correo electrónico). Después, el usuario ingresa este código en el lugar solicitado por la empresa, la cual autoriza su inicio de sesión u operación.

En el caso del token, esta nueva capa de autenticación se realiza a través de un pequeño dispositivo o una aplicación que genera contraseñas aleatorias o “claves dinámicas” que están vigentes por un corto período de tiempo para validar la identidad de los usuarios.

-Biometría
La biometría se puede utilizar tanto para reemplazar la autenticación OTP como para hacer de ella una nueva capa de seguridad en la operación.

Esta solución permite a la empresa utilizar las características intransferibles de una persona (como el iris de su ojo, su huella digital, el reconocimiento facial, el reconocimiento de voz o de la retina) para asegurarse de que realmente es quien dice ser y garantizar la autorización para acceder a un determinado sistema o cuenta. El hecho de que muchos dispositivos móviles ya vengan con lectores de huella o de reconocimiento facial incorporados hace que muchas más empresas también hayan apostado por este formato de autenticación recientemente.

-Verificación móvil silenciosa (SMV)
La solución de Silent Mobile Verification verifica la identidad de los usuarios sin interrumpir su experiencia debido a que ejecuta todo el proceso mediante una conexión directa con los operadores y, lo que es más importante, en segundo plano o en el background.

Cuando un usuario intenta acceder a una cuenta o sistema a través de su teléfono móvil, el SMV utiliza datos en poder de los operadores móviles para verificar la identidad del usuario y lo hace de forma silenciosa y en cuestión de segundos, acelerando el proceso y reduciendo el riesgo de fraude y abandono del carrito.

-Comprobación del intercambio de la SIM (SIM Swap)
Este es otro proceso que ocurre en segundo plano y que, por lo mismo, no causa ninguna fricción en la experiencia del cliente. En él, la tecnología busca el número IMSI (International Mobile Subscriber Identity) conectado a la tarjeta SIM y verifica si esta se ha cambiado recientemente.  Las empresas pueden optar por bloquear transacciones, enviar OTP e intervenir cuando al detectar un intercambio de la SIM en un período corto de tiempo (menos de 12 o 24 horas antes de intentar realizar una transacción). De esta forma, se evita que las personas a las que les robaron el móvil sean víctimas de más y más fraude.

Mejores prácticas para diseñar una estrategia de seguridad

• Permitir que los clientes elijan qué canales de autenticación desean usar. Especialmente para métodos como el envío de PIN de autenticación, es bueno brindar opciones a los usuarios. Comprender sus preferencias de canales y ofréceles, cuando sea posible, algunas opciones como SMS, WhatsApp, push, voz y correo electrónico.
• Confirmar el número de teléfono o el correo electrónico con el usuario antes de enviar una OTP.
• Encontrar el equilibrio entre experiencia y seguridad. Hay que tener en cuenta la experiencia del cliente, incluso a la hora de diseñar una estrategia de seguridad.
• Combinar tecnologías dependientes del usuario que se ejecuten en segundo plano. Una forma de mejorar la experiencia del cliente sin sacrificar la seguridad es superponer soluciones de seguridad que requieren la acción del usuario (ej. ingresar una contraseña o PIN) con opciones que se realizarán en segundo plano (SIM-Swap, exploración silenciosa). De esta manera, se crean capas adicionales de seguridad, pero sin causar fricción.
• Implementar soluciones de bloqueo para solicitudes sucesivas. ¿Después de cuántos intentos fallidos se debe bloquear temporalmente el acceso a una cuenta? El número mágico para muchas empresas oscila entre 3 y 5. Esta es una estrategia que reduce la posibilidad de ataques automáticos y personas no autorizadas que intentan acceder a la cuenta de otra persona.
• Esperar hasta que se verifiquen los datos antes de almacenarlos en las bases de datos. Ante cada nuevo cambio o adición de información en el registro de un cliente, es clave realiza una verificación previa. O bien, se puede agregar una etiqueta “en revisión” a los datos aún no verificados para asegurarse de que no haya problemas de autenticación en el futuro.

Para llevar a cabo una correcta estrategia de seguridad sin afectar a la experiencia de usuario existen amplias alternativas en el mercado. Este es el caso de Infobip, empresa de comunicaciones omnicanal en la nube, que cuenta con las herramientas necesarias para crear una estrategia integral de verificación y autenticación para los usuarios.