¿Una vida sin contraseñas? Los desafíos de las empresas de ciberseguridad

La importancia de romper la falsa dicotomía «Seguridad versus Usabilidad», y la concientización de los usuarios para que la tecnología no sea el único guardián de las estafas virtuales. Cómo reaccionar si sos víctima del phishing.

Pensar en un futuro sin contraseñas ya es una realidad mediante la implementación de plataformas de última generación que se basan en el concepto de “passwordless”. Sin embargo, desde Security Advisor, empresa que brinda servicios y soluciones en seguridad de la Información, aseguran que, el desafío de la ciberseguridad ya no es únicamente tecnológico, sino que debe ser abordado desde la concientización de usuarios y clientes; así como desde los procesos.

«Como impulsores de estos cambios nos focalizamos en entender estas soluciones y las mejores formas de poder implementarlas e integrarlas con los sistemas actuales de los clientes», señala Andrés Tomás, analista en infraestructura y desarrollador de Security Advisor. «Nos enfocamos en soluciones de tipo CIAM (Customer identification and access management) para el abordaje de este tipo de necesidades», explica el especialista en Identidad Digitales.

Security Advisor es partner de importantes marcas que se encuentran trabajando desde hace ya un buen tiempo en estos desafíos y cómo poder plasmarlo en los sistemas para que las empresas y organizaciones puedan tener disponible esta tecnología. Las limitaciones actuales surgen de los marcos regulatorios existentes en sectores regulados cuando deben alinear las perspectivas de riesgo, usabilidad y seguridad. Hoy la tecnología no es una limitación.

De qué hablamos cuando hablamos de seguridad de la información
Las soluciones propuestas por este tipo de empresas actúan en los distintos puntos donde se identifican los riesgos de fraude transaccional y validación de identidad. Se basan en el concepto de autenticación adaptativa y por lo tanto son capaces de evaluar el riesgo en el contexto de la interacción permitiendo orquestar diferentes comportamientos en función del resultado de la evaluación del riesgo.

«Para lograr este comportamiento adaptativo se procesan y se personalizan varias decenas de parámetros relacionados con el comportamiento del cliente y los dispositivos de confianza que utiliza para determinar lo que se denomina su “finger print”.», explica Tomas. De esta manera, a partir del desarrollo de la tecnología, se abre el universo de una vida sin contraseñas.

La alternativa a las contraseñas
El sistema “passwordless”, como lo indica su nombre, consiste en no utilizar contraseñas, reemplazando la clave de acceso generada manualmente por el usuario por una llave criptográfica automática. Además, esta llave es almacenada simultáneamente de forma segura en el dispositivo del usuario (llave privada) y en el sistema (llave pública).

Tomas detalla que, cuando el usuario ya tiene su “passwordless” y debe ingresar a un sistema o plataforma, automáticamente se le solicitará aprobar el acceso, mediante el uso de la seguridad utilizada en el dispositivo personal, ya sea biometría (huella y/o rostro) o bien, un PIN o patrón de seguridad.

Uno de los beneficios por tratarse de una solución multiplataforma y multidispositivo permite abordar la totalidad de los canales digitales de las organizaciones.Dada esta capacidad de orquestación y su personalización en modo «No Code» es posible realizar el despliegue de cambios en los flujos de autenticación sin necesidad de liberar nuevas versiones de las plataformas digitales de la organización (web o mobile)

«Desde Security Advisor entendemos que el desafío no es únicamente tecnológico, sino que debe ser abordado desde la perspectiva de la concientización en cuanto a la seguridad de la información de usuarios y clientes; así como desde los procesos», señala Tomás, quien destaca que pese a que la tecnología evoluciona cada vez más rápido, también se perfeccionan los modelos delictivos.

Cómo reaccionar ante el phishing
Es cada vez más común escuchar a personas que son víctimas de robo de datos e información personal a través de correos electrónicos o sitios engañosos. Si bien ninguna solución por sí sola puede garantizar el 100% de protección, el surgimiento de nuevas tecnologías combinadas con procesos efectivos, permite disminuir drásticamente los ratios de fraude asociados a este tipo de técnicas.

Para ello es fundamental proveer a empresas y organizaciones que se focalizan en usuarios finales la mejor experiencia de usabilidad, y que sus sistemas tiendan a adoptar este tipo de soluciones sin contraseñas. Esto puede implicar un arduo trabajo a través de toda la organización y por tanto introducirlo puede generar resistencia. «El punto de partida debe ser, a nuestro criterio, romper la falsa dicotomía “Seguridad versus Usabilidad”. Hoy se es posible atender razonablemente ambas perspectivas», plantea Tomas.

«Para esto es determinante como factor de éxito lograr los respaldos necesarios en la organización que logren balancear efectivamente los intereses de las distintas áreas que deben estar involucradas en los proyectos de este tipo: Negocio, Riesgo, Seguridad, Tecnología, Desarrollo, UX/UI. Este tipo de proyectos cruzan transversalmente toda la organización y hace al éxito o fracaso de los productos o servicios digitales que se ofrecen al cliente», señala el especialista.

El objetivo final es que la experiencia de los usuarios finales no tenga ningún tipo de obstáculos. En todo caso, plantean desde Security Advisor, es fundamental que los motores de estimación de riesgo se generen en una sola primera instancia (donde se produce la fricción), y que los posteriores usos utilicen estos datos para determinar que las personas cumplen con los patrones de uso que se conocen sobre ellas y eliminar métodos de autentificación.