Métodos de autenticación disponibles para evitar fraudes

La verificación de identidad efectiva o positiva continúa siendo uno de los mayores desafíos que enfrentan las organizaciones, proveedores de pagos y emisores de tarjetas. Simplemente hay más riesgos en línea y los delincuentes han mejorado sus técnicas de ataque y los casos de fraude aumentan a un ritmo muy rápido.

Por un lado, debe haber más seguridad en las transacciones en línea. Por otro lado, estas medidas de seguridad no pueden dificultar demasiado la experiencia y la usabilidad del cliente. Incluso una pequeña alteración en la experiencia del cliente puede causar grandes pérdidas en las ventas.

Para enfrentar estos desafíos, estas son las tendencias más importantes.

3D Secure 2 (3DS2)

El "3D" representa los 3 dominios de pago en línea:

  • Dominio del emisor (banco que emite la tarjeta)
  • Dominio del adquirente (el banco del comerciante)
  • Dominio de interoperabilidad (el procesador de pagos)
Estos dominios son la columna vertebral del protocolo 3-Domains-Secure. El 3DS1 original fue una de las primeras medidas de verificación en línea. Utiliza métodos simples pero efectivos, como contraseñas estáticas para evitar fraudes. Fue lanzado en 2000 y ha gozado de una gran popularidad.

3DS2 es la segunda versión del protocolo seguro 3D. Viene con mayor seguridad al abordar las deficiencias de su predecesor. El protocolo 3DS2 aborda el problema del "abandono del carrito" y los inconvenientes con los móviles. Esto evita que los clientes renuncien a un pago debido a la frustración y a la mala experiencia de uso, un gran problema con 3DS1.

Además, 3D Secure es el único protocolo que ofrece un cambio de responsabilidad del comerciante al emisor en caso de devoluciones de cargo. Un contracargo ocurre cuando un titular de la tarjeta informa al banco emisor que su tarjeta de crédito ha sido utilizada de manera fraudulenta. El cambio de responsabilidad ya estaba disponible en 3DS1 y continuará protegiendo a los comerciantes contra las devoluciones de cargo en 3DS2.

Análisis de comportamiento

El análisis de comportamiento permite a los comerciantes aprender a detectar fraudes y ya es una herramienta popular para los comerciantes. Lo hace mediante el uso de una base de datos de perfiles de usuario de los clientes. Los comportamientos nuevos o anormales pueden evaluarse automáticamente en función de cuán errático es su comportamiento.

Por supuesto, es imposible que alguien se comporte en línea de la misma manera todo el tiempo. Hay muchas opciones sobre cómo se puede aplicar el análisis de comportamiento, y todavía es un trabajo en progreso. En el futuro, el análisis de comportamiento debería mejorar y hacerse más popular.

Autenticación basada en riesgo

La autenticación basada en riesgos se aplica con big data y machine learning. El proceso de autenticación basado en el riesgo comienza con la recopilación de grandes volúmenes de información y el aprendizaje automático ayuda a analizar estos datos y usarlos para asignar a cada transacción un "puntaje de riesgo".

Los factores que se utilizan para evaluar el riesgo varían. Por ejemplo, una dirección IP que cambia constantemente o una compra anormalmente grande.

Las soluciones de autenticación basadas en el riesgo han demostrado ser muy precisas. Algunas compañías informan una reducción del 90% en el fraude como resultado de acuerdo con Mastercard.

Contraseñas estáticas

Las contraseñas se encuentran entre el método de autenticación más antiguo en la historia. Siguen siendo muy populares, y por buenas razones. Son simples, aunque poco efectivas para disuadir el fraude.

El problema es que son bastante fáciles de robar. El 37% de los clientes informan que cambian las contraseñas menos de una vez al año.

Además de ser ineficaces para detener el fraude, las contraseñas estáticas también dificultan la experiencia del cliente. Añaden más fricción al proceso de pago, especialmente en el caso de que un cliente olvide su nombre de usuario o contraseña. Como método de seguridad y experiencia del cliente, las contraseñas estáticas continuarán siendo ineficaces.

Sistemas de verificación de direcciones (Address Verification Systems - AVS)

La verificación de dirección es más una medida de prevención de fraude que una herramienta de autenticación. Permite a los comerciantes comparar la dirección de facturación y la dirección de la tarjeta del cliente. El comerciante puede usar la información obtenida usando un AVS para decidir si completa la transacción.

Estos sistemas de verificación tienen algunos problemas. Primero, solo verifican la dirección del cliente. Si un estafador tiene acceso a la tarjeta de una víctima, es probable que también tenga acceso a su dirección de facturación.

Estos sistemas también son impopulares fuera de los EE.UU., por lo que son una mala opción para las transacciones internacionales.

Autenticación biométrica

La biometría, principalmente la autenticación de huellas digitales, se considera la medida de autenticación independiente más efectiva. Los métodos utilizados son rápidos y no requieren esfuerzo por parte del cliente, quien no necesita recordar nada.

La biometría, como los escaneos de huellas digitales y retina, es fácil de realizar desde muchos teléfonos inteligentes. Si bien no están disponibles universalmente para la mayoría de los clientes, la biometría es una excelente opción de autenticación.

También es difícil copiar las características biológicas de alguien y se espera que la industria biométrica aumente masivamente en los próximos años. Se espera que sea una industria de U$S30 mil millones para 2021 y el 93% de los clientes declaran una preferencia por la autenticación biométrica.

Autenticación multifactorial

La autenticación multifactor implica un proceso de varios pasos. Un ejemplo es una verificación de conocimiento (preguntas de seguridad). Otras opciones son contraseñas de un solo uso enviadas a su teléfono móvil o correo electrónico. La biometría es otra opción que a menudo se incluye.

Esta opción ofrece un nivel muy alto de seguridad a costa de molestar un poco al cliente. El 74% de las empresas que usan autenticación multifactor informan quejas de sus clientes.

Geolocalización

La autenticación de geolocalización implica el uso de la ubicación del dispositivo del usuario para autenticarlo. Si la tarjeta del usuario está registrada en un país pero se usa en otro, el emisor puede bloquear la transacción.

La creciente popularidad de los viajes internacionales y las VPN presentan un desafío para la geolocalización y tampoco verifica al usuario real durante la transacción.

A pesar de estos problemas, la geolocalización es una herramienta de prevención de fraude generalmente no intrusiva y bastante precisa.

Conclusión

Debido a la gran demanda, hay una gran oferta de métodos y herramientas de autenticación disponibles. Si bien todos tienen sus pros y sus contras, cada uno debe ser considerado por sus propios méritos. Hay una línea muy fina que se debe recorrer entre la seguridad y la experiencia del cliente.

Fuente: SeguInfo

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS