La autenticación en dos pasos (2FA) evita el 100 % de los ataques de apropiación de cuenta (ATO) de bots automáticos. Entonces, ¿por qué no hay más bancos y proveedores de servicios de pago (PSP) que implementen o incrementen el uso de la 2FA?
2FA y la fricción para los clientes
La 2FA no existe sin controversia, principalmente porque puede ser una experiencia llena de fricción para los clientes. El motivo es que la 2FA necesita que los clientes lleven a cabo más pasos para examinar el dispositivo desde el cual están intentando ingresar a sus cuentas antes de iniciar sesión. Además, se puede aplicar en partes del viaje del cliente que parecen arbitrarias o descontextualizadas. Sin embargo, la 2FA puede ser silenciosa, p. ej., biometría conductual o inicio de sesión basado en aplicaciones desde un dispositivo fuerte, por lo que es posible no tener fricción con un dispositivo o patrón de confianza.
Generar confianza es igual de fundamental que confirmar sospechas
En Cómo los PSP pueden adelantarse al fraude en el mundo posterior al covid-19, abordé acciones específicas para identificar patrones de fraude. La otra cara de eso, y no menos importante, es que tenemos que identificar patrones de transacciones auténticas.
La autenticación en dos pasos incorpora la confianza en la caja de herramientas para la prevención del fraude. Gran parte de la prevención del fraude se construye alrededor de la sospecha, alrededor de descubrir quiénes son los malos y qué están haciendo; pero es igual de importante conocer quiénes son los buenos y cómo son las transacciones auténticas para establecer un punto de referencia para las transacciones de confianza. Centrarnos en el tipo de dispositivo y en su ubicación nos ayuda a establecer parámetro para las transacciones buenas en el mundo posterior al covid-19.
Por qué este es el momento de implementar la 2FA
El covid-19 presenta una verdadera oportunidad para establecer confianza digital con los clientes e incorporar algunos núcleos buenos de comportamiento. Creo que nunca ha habido un mejor momento para aumentar la utilización de la 2FA debido a que el covid-19 crea la tormenta perfecta para implementar o incrementar el uso de la 2FA por un montón de motivos diferentes.
- Clientes inmóviles. Con el mundo en diversos estados de cuarentena y aislamiento, la gente se esta movilizando muchísimo menos.
- Dispositivos conocidos. Han disminuido las oportunidades y la tendencia a comprar nuevos dispositivos. En su mayoría, debería haber acceso a dispositivos fuertes.
- Consistencia de canal. El 95 % van a ser clientes digitales, a pesar de que hace dos meses lo eran el 50 %. Si bien su comportamiento de compras puede parecer extraño en comparación a las épocas anteriores al coronavirus, probablemente se ha vuelto más limitado. De muchas maneras, su huella digital real se volvió más consistente.
- Aceptación de la fricción. Con todas las estafas que están sucediendo y toda la cobertura mediática se les está dando a dichas estafas, las personas quieren sentirse seguras. Hoy en día, los clientes ven acciones que antes consideraban una molestia como una forma de protección. Seguramente estarán agradecidos por sentir que su banco los cuida.
- Facilitación del crecimiento en la etapa de recuperación. Si una organización detecta un mismo dispositivo diez veces durante el aislamiento y todas las veces a menos de 6 km una de la otra en vez de a aprox. 100 km, podrá confiar en dicho dispositivo a medida que avanzamos a la etapa de recuperación; puede declarar que es confiable más rápido. Así es como el comportamiento de hoy nos brinda datos valiosos para el futuro. A medida que avanzamos hacia la recuperación y la gente empieza a modificar la forma en la que opera, los datos se pueden interpretar hacia adelante. Usar los datos de hoy para mirar hacia el futuro nos puede ayudar a reducir los falsos positivos, pero solo si se ha establecido que ese dispositivo es confiable.
Asimismo, establecer la 2FA ahora implica que los bancos y los proveedores de servicios de pago estarán preparados para el requisito de la autenticación reforzada de clientes (SCA, por sus siglas en inglés). La fecha límite de la SCA es el 31 de diciembre de 2020 y aunque tal vez vuelvan a postergar la fecha límite, algo es seguro: la SCA va a ser requerida. Aproveche este tiempo para prepararse para lo inevitable.
Aprendizajes clave
Si bien es fundamental descubrir patrones de fraude, también es esencial comprender el comportamiento de clientes reales. Dado que el mundo se encuentra en algún estado de cuarentena o aislamiento, ahora es el momento para incrementar el uso de la 2FA. Los clientes son conscientes de que los estafadores están al acecho, por eso son más tolerantes en cuanto a la fricción, en especial al realizar operaciones o usar canales o dispositivos que son nuevos para ellos. Aquí es donde se puede aplicar la 2FA basada en riesgo. Sin embargo, implementar la 2FA en este momento en particular evita la cantidad normal de fricción que se generaría porque es más probable que los clientes estén realizando operaciones desde la misma ubicación y puedan acceder con facilidad a sus puntos de contacto.