Implementación de Tokens para Aseguradoras Mexicanas

Por: Alejandro Espinosa, Director de Ventas de HID Global

Adicional a esto,  dichos tokens hacen posible que los clientes realicen transacciones posteriores, sin que esto ponga en riesgo la seguridad de su información personal o financiera porque el usuario no estará en la obligación de ingresar sus datos cada vez que requiera efectuar una operación a través de Internet.

Cabe recalcar que la “tokenización” encripta los datos sensibles de los usuarios y por eso es una tecnología de alta aplicabilidad en compañías como aseguradoras, aerolíneas y tiendas minoristas.

Un claro ejemplo de la relevancia adquirida por este sistema es el caso de las aseguradoras mexicanas, las cuales tuvieron un cambio en su regulación, debido a que a nivel global las amenazas online están en el primer lugar de los riesgos  (y con tendencia a aumentar su volumen), principalmente en lo que se refiere a suplantación de identidad y robo de información de los asegurados. Además estos peligros son cada vez más sofisticados, puesto que mientras hace unos años las personas recibían un correo en inglés donde se les informaba que habían “recibido una herencia” y que se requería cierto aporte económico para liberarla, pero actualmente se reciben emails con la imagen institucional de un banco, siendo ésta idéntica a la imagen corporativa real del mismo.

Puntualmente las compañías aseguradoras son un blanco ideal para los hackers porque hoy en día los portales solamente se protegen con contraseñas y esto hace que al vulnerar dichos sitios web, los delincuentes puedan obtener gran cantidad de información de los asegurados (datos personales, datos fiscales y dirección). Asimismo, muchos seguros tienen un componente de inversión, al que –en una situación hipotética– un atacante podría habilitar que los rendimientos de dicho instrumento sean transferidos a una de sus cuentas.

De igual forma estas compañías necesitan adoptar métodos de autenticación que cumplan con la regulación vigente y que no afecten significativamente sus procesos, todo esto sin dejar de ser económicamente viables en su implementación. Por ejemplo, si una aseguradora va a ofrecer tokens a diferencia de un banco, que tiene sucursales el reto sería la distribución de dichos dispositivos.

Para las aseguradoras mexicanas, la implementación de esta nueva medida representa un gran reto, puesto que dichas entidades tienen menos experiencia en el manejo de la administración de riesgos.

Ciertamente, esta regulación plantea algunas dificultades a las aseguradoras y a todas las instituciones en general, pero todas de una u otra forma deben enfrentarse a este tipo de situación. Por un lado, los reguladores “imponen” esta reglamentación para reducir la posibilidad de robo de identidad y en cierta forma tienen razón al tratar de proteger a los usuarios; sin embargo en cuanto al tema de autenticación es difícil mantenerse a la delantera porque esta tecnología avanza a gran velocidad.

Actualmente el mayor reto es que la regulación no considera los métodos de autenticación más novedosos, como la autenticación contextual, el cual ayudaría mucho a las aseguradoras porque se ajusta más a su manera de atender a sus canales y clientes que el uso de tokens como segundo factor de autenticación.

Pasando a la parte técnica, una autenticación segura de dos factores incorpora un segundo nivel de información que obtenemos del usuario. Según la regulación actual, hay ciertas categorías ya definidas, incluyendo:

  • Categoría 1: Información obtenida mediante cuestionarios.
  • Categoría 2: Contraseña o PIN que sólo conoce el cliente (estáticas).
  • Categoría 3: Claves dinámicas de un solo uso (OPT – One Time Password).
  • Categoría 4: Rasgos biométricos del usuario.

De acuerdo con la regulación, para ingresar a un portal hay que pedirle al cliente adicional a su usuario y contraseña (categorías 1 y 2) y un factor de las categorías 3 o 4.

Estos son los factores que hoy en día se permiten utilizar, de acuerdo con la regulación vigente, pero no son los únicos que existen.

HID Global ofrece la posibilidad de integrar una plataforma con múltiples métodos de autenticación, incluyendo los mencionados previamente y los que se refieren a continuación:

  • Preguntas y respuestas: es muy común en portales de medios sociales y casi siempre se emplea para recuperar la contraseña o como segundo factor de autenticación.
  • Mensajes fuera de línea u Out of Band (OOB): el envío de mensajes SMS o por correo electrónico del usuario para verificar su identidad.
  • Certificados digitales: son un método para asociar la identidad de una persona del mundo físico al mundo de Internet y se basan en una infraestructura de Llave Pública (PKI) de alta seguridad. Muchas instituciones y organizaciones que emiten certificados digitales son reconocidas legalmente.
  • Biometría: rasgos únicos como la voz o la huella de la persona también se han convertido en segundo factor de autenticación.
  • Autenticación contextual: basada en el comportamiento del usuario.

Este último método se basa en analizar la transacción del usuario en tiempo real, en el momento en que trata de ingresar con su nombre de usuario y contraseña a un portal, el cual recibe información de la persona, tal como dirección IP, tipo de navegador que está usando y otros atributos que permiten evaluar si existe riesgo al autorizar este “login”.

Este método es ideal para las instituciones aseguradoras porque es transparente para el usuario, es decir es invisible, y funciona en cada transacción sin generar ningún tipo de fricción. Además es útil para una institución, ya que muchos de sus asegurados se van a resistir a usar un token porque a diferencia de un portal bancario, los usuarios no ingresan cada semana a realizar transacciones (algunos lo hacen una vez al año y por lo tanto, darles un token físico no tiene mucha congruencia para ellos).

La implementación de tokens ya se ha comenzado a extender en América Latina, toda vez que países como Panamá y Venezuela tienen regulación vigente muy similar a la de México.

Un ejemplo concreto es Perú, donde la Superintendencia de Banca, Seguros y AFP señaló – en mayo de 2015 que debido a la importancia que tienen los sujetos obligados en la remisión de reporte de operaciones sospechosas, se implementó el uso de tokens (entregados por la UIF – Perú) por parte de los funcionarios que se encuentran bajo la regulación de dicha entidad, a fin de que puedan generar el reporte referido previamente y que toda operación realizada con este dispositivo sea identificada, facilitando la aplicación oportuna de los mecanismos de supervisión y auditoría que competan según el caso.

Asimismo, en naciones donde los factores de autenticación no son obligatorios, los bancos lo utilizan de una u otra manera, por eso puede predecirse que el uso de doble factor de autenticación seguirá propagándose por la región latinoamericana.

Por: Alejandro Espinosa, HID Global 

Este artículo está clasificado como: , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR