Todo en materia de autenticación de dos factores (2FA)

Senior Content Marketing Specialist

Natalia Rojas

Senior Content Marketing Specialist

No siempre somos conscientes de ello, pero a diario utilizamos autenticación de dos factores. Puede ser algo tan simple como tener que escribir una contraseña al deslizar tu tarjeta, proporcionar un código o PIN adicional a tu banco o usar tu huella para acceder a una aplicación.

Todos estos ejemplos son formas de 2FA y todos ellos están destinados a permitir el acceso a cuentas y plataformas, al tiempo que brindan una capa adicional de seguridad para la empresa y los clientes.

En este artículo, vamos a hablar sobre todo lo que necesitas saber acerca del 2FA para que así pueda convertirse en una parte integral de tus procesos de seguridad y para que tus clientes estén realmente protegidos.

¿Qué es el 2FA (autenticación de dos factores)?

La autenticación de dos factores (o 2FA) es una capa adicional de protección en la que el usuario debe ingresar una segunda confirmación de identificación. Esto puede suceder, por ejemplo, al ingresar una clave dinámica con caducidad, un PIN de un solo uso o algún tipo de código adicional al intentar iniciar sesión para acceder a una cuenta, sistema, plataforma o aplicación. Su objetivo es garantizar mayor confianza y proteger tanto al usuario que intenta acceder a una cuenta como a la empresa o plataforma asegurando que el usuario sí es en efecto quien dice ser.

¿Qué puede utilizarse como un factor de autenticación?

Los factores de autenticación son aquella información que necesitas para obtener acceso a una cuenta. El primer factor de autenticación requerido es bastante estándar: tu nombre de usuario y tu contraseña. Sin embargo, el 2FA solicita un segundo factor de identificación para validar la identidad del usuario.

Existen tres principales tipos de autenticación que se basan en:

  • Lo que sabes: una contraseña, un PIN o una respuesta a una pregunta de seguridad.
  • Lo que tienes: un teléfono, una tarjeta de crédito o un mando a distancia.
  • Lo que eres: un biométrico como una huella digital, retina, rostro o voz.

Ten presente que todos se pueden mezclar y combinar entre sí para usarlos de la manera que mejor se adapte al propósito de tu empresa.

Tipos de PIN

En general, existen dos principales tipos de PIN y se diferencian entre sí en la manera en la que pueden ser enviados a los usuarios:

  • A través de un canal como SMS, email o push. El código enviado a este canal se ingresará en la pantalla de autenticación para la validación y acceso del usuario.
  • A través de una aplicación de autenticación (TOTP). Este tipo de software genera códigos aleatorios para todas las cuentas que tienes asociadas. Cabe mencionar que dichas contraseñas se renuevan cada 30 segundos. Google, por ejemplo, tiene una versión de este generador de PIN: el Google Authenticator. Otros ejemplos son el Duo Mobile y el Last Pass, entre otros.

Puedes desarrollar tu estrategia de 2FA en más de un canal, integrando así de mejor manera tus procesos de seguridad en la estrategia de comunicaciones actual de tu empresa. Los canales 2FA más comunes son entonces los siguientes:

Recuerde que, especialmente en los momentos críticos dentro del recorrido del cliente, es esencial contar con un proceso de failover o de conmutación por error. Es decir, si el usuario, por el motivo que sea, no puede recibir el PIN por el canal indicado inicialmente, este se enviará automáticamente por otro canal de contingencia como plan B. De esta forma, se garantiza que tiene acceso a una nueva capa de protección sí o sí.

Por ejemplo, la aplicación financiera PicPay tiene su estrategia 2FA basada principalmente en el envío de SMS. Sin embargo, implementaron WhatsApp como una conmutación por error para garantizar que en los casos en los que sus usuarios no estén conectados a la red telefónica, aún tendrán acceso a su PIN a través de una conexión a Internet.

¿Cómo funciona el 2FA?

El uso más común del 2FA es cuando un cliente inicia sesión con una contraseña y luego se le envía un código de un único pin/contraseña (OTP) para confirmar su identidad.

A continuación, los clientes pueden seleccionar cómo les gustaría confirmar su identidad.

Luego, se envía un código de verificación a través del método elegido por el cliente.

El segundo factor en la autenticación agrega una capa adicional de seguridad (por ejemplo, un pirata informático necesitaría saber tu contraseña y tener acceso a tu teléfono para así poder ingresar a tu cuenta).

El segundo factor funciona liberando un OTP, el cual no se puede replicar una vez que se ha utilizado.

Otra opción, y también la más antigua, es utilizar un token USB. En este caso, cuando el USB está conectado a la computadora, actúa como una segunda autenticación de identidad y otorga acceso al usuario.

Para leer más sobre la tecnología detrás de la autenticación de dos factores, consulta nuestra descripción general del proceso 2FA aquí.

¿En qué etapas del recorrido del cliente debe habilitar la autenticación de dos factores?

Cualquiera que piense que la autenticación de la identidad solo debe ocurrir en el momento del inicio de sesión del usuario está equivocado. Hoy en día, la experiencia de uso de plataformas y aplicaciones presenta varios momentos en los que esta tecnología no únicamente resulta atractiva sino necesaria para asegurar que quien intenta realizar una acción es en realidad quien dice ser.

Los principales pasos a considerar como críticos para las autenticaciones adicionales son:

  • Creación y registro de una nueva cuenta;
  • Iniciar sesión;
  • Inicios de sesión efectuados desde un nuevo dispositivo;
  • Transacciones (realizar una compra, transferir dinero, solicitar un préstamo, cambiar el paquete de servicios contratado, etc.);
  • Cambios en la configuración de la cuenta (cambio de contraseña, agregar/cambiar datos, cancelación de la cuenta, etc.)

Es importante tener en cuenta que tu proceso de autenticación de dos factores debe estar en línea con la acción que requerirás del usuario. Si el usuario únicamente está accediendo a su cuenta, un PIN adicional podría ser suficiente. En cuanto a la autorización de un préstamo de gran valor, puedes solicitar los datos biométricos del usuario para así garantizar la seguridad de la transacción.

¿Por qué las contraseñas ya no son suficientes?

No es ningún secreto que tener que memorizar varias contraseñas resulta frustrante. Según Verizon, en 2021, el 81% de las filtraciones de datos se debieron a contraseñas inseguras. Después de todo, a la gente le gusta usar contraseñas simples y reutilizarlas en varias cuentas, ¿no es así? De hecho, el 76% de los Millennials admite reutilizar sus contraseñas, lo que facilita que los piratas informáticos adivinen y accedan a sus datos e información y aumenta la necesidad del 2FA.

Estos son algunos errores comunes que cometen las personas al crear una contraseña:

  • Usar información personal (nombre de mascota, cumpleaños, ciudad de nacimiento, etc.);
  • Cambiar solo un dígito o carácter de una contraseña anterior;
  • Reutilizar contraseñas antiguas;
  • Reemplazar una letra con un número similar (por ejemplo, ‘@’ por ‘a’);
  • Usar únicamente 8 caracteres.

¿Te sentiste identificado? Muchos de nosotros cometemos uno o varios de estos errores y, por ello, es fundamental tomar otras medidas que garanticen nuestra seguridad y la de nuestros datos.

¿Cuál es la importancia de la autenticación de dos factores?

La seguridad de tus clientes debe ser una de tus principales prioridades. Ten presente que, si tus plataformas tienen vacíos de seguridad y privacidad, esto podría cambiarle la vida a uno o a varios de tus consumidores. ¡Por esto, es importante asumir la responsabilidad que cada marca y negocio tienen con quienes les compran!

El 2FA proporciona una capa adicional de seguridad y dificulta que los atacantes accedan a las cuentas de tus clientes. Con tan solo agregar una capa adicional de 2FA en cada proceso, podrías evitarte a ti y a los tuyos varios dolores de cabeza.

Según Verizon, hasta el 80% de los fraudes cibernéticos podrían prevenirse con el uso de 2FA, a través de dinámicas tan simples como pedir una confirmación adicional por SMS. ¡Ser precavido en tiempos digitales vale por dos!

Recientemente, Google informó que el 100% de los ataques mediante bots automatizados, el 99% de los ataques de phishing y el 66% de los ataques dirigidos o selectivos, fueron bloqueados mediante el uso de la autenticación de dos factores.

Según un estudio realizado por IDC, por petición de Infobip, hasta el 68% de los latinoamericanos afirma tener sus reservas respecto de las compras online principalmente por temor a ser víctimas de fraude.

¿Cuáles son los beneficios del 2FA?

1. La fluidez y la seguridad pueden ir de la mano

¿Te preocupa interferir con el flujo de tus consumidores o con su experiencia general al añadir pasos adicionales de autenticación? Contar con un proceso de autenticación fluido ahora es posible mediante el uso de mensajes push. Esto significa que no es necesario ingresar un PIN para confirmar la autenticación, ¡con un simple clic basta! Y es que, al final del día, si bien la seguridad debe siempre ser prioridad, la experiencia del consumidor debe serlo igualmente. Contar con un sistema de seguridad que además aplique los principios básicos de UX será beneficioso para ti y para tus clientes, quienes además podrán decidir qué sistema o pasos de autenticación funcionan mejor para ellos. Por último, que un cliente puede elegir cómo le gustaría confirmar una transacción da pie para la incorporación de un 2FA omnicanal y a la vez conveniente.

2. Seguridad en su máxima expresión

Como era de esperarse, el 2FA disminuye inmensamente las posibilidades de que un atacante pueda hacerse pasar por alguien más para así tener acceso directo a tu cuenta y a datos o recursos confidenciales. Incluso si el atacante ya ha descifrado tu contraseña, con la incorporación de este eficaz sistema, ¡necesitará de más datos para poder ingresar!

3. Mayor productividad y flexibilidad

Es probable que las empresas que adopten nuevas tecnologías experimenten una mayor productividad tras optimizar y diversificar sus procesos de verificación de la identidad de sus usuarios. ¿A qué nos referimos exactamente? A que, en caso de hacer un buen uso de dichas tecnologías, tus clientes se beneficiarán de suscripciones más rápidas, más seguras y más ajustadas a sus necesidades y preferencias de autenticación.

Comúnmente, las empresas hacen uso del 2FA internamente para que así sus empleados puedan acceder de forma segura a sus aplicaciones corporativas para manejar allí datos, documentos y sistemas administrativos, desde prácticamente cualquier ubicación y sin poner en riesgo la información confidencial de la empresa.

4. Menores costos operativos

La implementación del 2FA puede ayudar a reducir aquellas extensas y, a la larga, costosas llamadas de soporte al cliente con el fin de, por ejemplo, reestablecer una contraseña. De este modo, este sistema de autenticación permite a los clientes la autogestión y los invita a solucionar sus problemas por sí mismos y de manera muy intuitiva y segura.

Reducir las interacciones de los clientes con los call centers no solo reducirá costos y reforzará la seguridad de tus plataformas, sino que además mejorará enormemente la UX (experiencia del usuario).

5. Reducción de fraude

No es fácil para un hacker informático eludir el 2FA, lo que lo convierte en una herramienta de seguridad eficaz contra el fraude. Las amenazas potenciales tendrían que conocer mucha información de las víctimas para obtener acceso y poder duplicar su información. ¡Filtrar una contraseña ya no será suficiente para llevar a cabo malintencionados ataques!

Mejores prácticas para implementar una estrategia 2FA

  • Combinar métodos de autenticación: el uso de diferentes métodos de autenticación (como SMS, biometría y push) en diferentes puntos del recorrido del cliente puede ser una excelente manera de equilibrar la experiencia y los requisitos de seguridad.
  • Siempre que sea posible, permite que tus usuarios elijan el canal a través del cual desean autenticarse: comprender las preferencias de los usuarios facilitará la adopción del 2FA. Las opciones son múltiples. Esto es especialmente válido para el envío de PINs (el cual puede suceder vía voz, push, SMS, email); sin embargo, también puedes permitirle al usuario elegir entre autenticarse vía biometría, PIN, token, etc.
  • Implementar bloqueos a solicitudes sucesivas: los intentos de autenticación sucesivos pueden indicar un intento de fraude. Por lo tanto, muchas empresas emplean un bloqueo sucedido unos minutos después de 3 o 5 solicitudes de acceso sucesivas e impiden que el usuario acceda a la aplicación o al sitio web durante 10 a 30 minutos.
  • Posibilitar el reenvío del código únicamente 30 segundos después de la última solicitud: los envíos sucesivos de códigos en poco tiempo pueden causar confusión en el proceso de autenticación, además de ser costoso para tu empresa (ej.: el usuario ingresa un código que ya no es válido porque otro está en camino). Una sugerencia es permitir el reenvío del código PIN únicamente una vez transcurridos 30 segundos de la solicitud anterior y, después de dos intentos, permitir la elección de un canal alternativo.
  • Incentivar a tus usuarios a habilitar el 2FA: los bancos, las aplicaciones de atención médica y los servicios gubernamentales generalmente requieren el uso de autenticación de dos factores para el acceso. Sin embargo, otras industrias pueden temer hacer esa demanda y perder conversiones. Para estos casos es muy importante que hagas campañas de incentivo para que tu usuario habilite esta opción de seguridad. Algunas empresas realizan campañas de concientización sobre la importancia del 2FA, mientras que otras como Mailchimp ofrecen un descuento durante los primeros 3 meses para quienes habilitan la funcionalidad. Otras opciones son: acceso a beneficios o funcionalidades específicas únicamente tras la activación del 2FA (ej. cupones de descuento, puntos del programa de fidelización, entre otros).

Industrias que utilizan 2FA

Instituciones financieras

Es bastante común y también crucial para las instituciones financieras (como bancos, fintechs y compañías de seguros) usar servicios 2FA para mantener seguros los datos de sus clientes. Esto puede variar desde solicitar una contraseña para acceder a su tarjeta bancaria hasta un PIN para aprobar transferencias.

eCommerce

Los minoristas en línea a menudo usan 2FA durante el proceso de inicio de sesión. Cuando la información de la tarjeta de crédito se puede guardar y almacenar en tus cuentas, es esencial agregar otra capa de protección para que tus clientes se sientan seguros cuando compran en tus sitios.

Salud

Las organizaciones de atención médica son responsables de proteger los datos y la información de los pacientes. Al usar 2FA, pueden asegurar a sus pacientes que solo ellos tienen acceso a sus registros médicos. También se requiere autenticación para que los médicos accedan de forma segura a los registros de los pacientes.

Gobierno

Especialmente durante la pandemia, los gobiernos tuvieron que hacer un cambio radical hacia el uso de plataformas en línea y basadas en la nube para que las personas pudieran acceder a sus cuentas gubernamentales. Esto puede incluir cualquier cosa, desde cuentas del Sistema Unificado de Salud, beneficios sociales, solicitudes de licencias de conducir y otros servicios gubernamentales.

Protege a tu empresa con 2FA

Activar la autenticación de dos factores es una forma fácil de mantenerse protegido. Y es que este método, literalmente, pone la seguridad de las cuentas de los clientes en sus propias manos. Incluso la forma más simple de 2FA crea un muro prácticamente impenetrable entre los hackers informáticos y la información personal de tus clientes.

Hacer uso de las herramientas que tienes a la mano para proteger las cuentas de tus clientes les ofrecerá el más alto nivel de seguridad y la mejor UX. ¿El resultado para ti y para tu compañía?: clientes felices, seguros y fieles.

Si quieres hacer uso de esta y muchas otras herramientas, contacta con uno de nuestros expertos al instante. ¡Estamos listos para ayudarte!

Contenidos relacionados:

Sep 5th, 2023
12 min read
Senior Content Marketing Specialist

Natalia Rojas

Senior Content Marketing Specialist