Tercer factor de autenticación: clave para evitar fraude en línea

Con el crecimiento de fraude cibernético y la información sensible que se maneja por internet es importante cuidar la información. El tercer factor de autenticación es una innovación clave para evitar situaciones donde la seguridad está en riesgo.

Por Gabriel Chapt, CEO de Plusmo.

La adopción del Tercer factor de autenticación significa un nuevo paso en cuidar la ciberseguridad de las personas y empresas. A fines de 2023, el Banco Central de la República Argentina (BCRA) actualizó las normas de seguridad y prevención del fraude en los servicios financieros digitales, estableciendo requisitos mínimos para la gestión y el control de riesgos tecnológicos y de seguridad de la información.

A la par, la jurisprudencia actual responsabiliza a los bancos por el acceso indebido a cuentas de clientes. En otras palabras, si alguien toma un préstamo a nombre de otra persona sin su consentimiento, la entidad financiera que otorgó el crédito es la responsable, ya que debe garantizar que el solicitante es quien dice ser.

Para combatir el fraude, existen diversas soluciones tecnológicas, desde sistemas de scoring y biometría hasta herramientas de control de identidad. Todas son complementarias, pero ninguna es infalible por sí sola. Hasta ahora, la seguridad digital se ha basado en el doble factor de autenticación. Sin embargo, los operadores móviles están impulsando una innovación clave: el tercer factor de autenticación.

Tercer factor de autenticación

En este sentido, gracias a la iniciativa Open Gateway, promovida por la GSMA Association, que es una asociación de operadores móviles global, se plantea utilizar la información que poseen las telcos sobre sus clientes y el uso de la red para fortalecer la seguridad digital.

Este tercer factor de autenticación permite que un operador móvil actúe como certificador de la línea en uso del usuario, validando que quien intenta autenticarse es efectivamente la línea celular registrada por el titular de la línea en tiempo real.

Para facilitar la adopción de esta tecnología, los operadores exponen su información a través de APIs (Interfaz de Programación de Aplicaciones), que empresas como Plusmo integran en soluciones accesibles para distintas industrias. Dado que en cada país operan varias compañías de telecomunicaciones, es fundamental contar con un integrador que simplifique la implementación y garantice cobertura total.

En concreto, actualmente, existen en Argentina dos APIs de identificación móvil que refuerzan la seguridad en transacciones digitales. La primera se llama SIM Swap, y previene el secuestro de líneas telefónicas, evitando que delincuentes dupliquen una SIM para recuperar contraseñas y vulnerar cuentas.

La segunda se llama Number Verification, y verifica de forma silenciosa que el usuario que navega en la red del operador está usando el número de teléfono declarado, sin necesidad de enviar SMS ni realizar validaciones adicionales, lo que mejora la experiencia del cliente.

Crecimiento y adopción del tercer factor de autenficiación

En el corto plazo en la hoja de ruta de los carriers está previsto sumar las APIs Device Status y Device Location que permitirán saber si la línea está en roaming y la localización respectivamente.

Además, en otros países ya está disponible un conjunto de APIs de «Conozca a su Cliente» (KYC), que permiten corroborar que los datos del usuario coincidan con los registrados por el operador móvil. Si bien estas soluciones aún no llegaron a Argentina, se espera su incorporación en el corto o mediano plazo.

Con esta triple autenticación las empresas pueden proteger mejor a sus clientes y también obtienen un retorno de la inversión, no solamente a nivel de la reputación porque el cliente no es vulnerado, sino también por el dinero que se ahorran al evitar fraudes y estafas.

Las entidades pueden decidir cuándo aplicar esta autenticación reforzada, ya sea en cada inicio de sesión, en la recuperación de contraseña o en procesos críticos como el onboarding, es decir, la primera vez que se registrar un cliente. Este momento es especialmente sensible, dado que una verificación robusta en el inicio evita problemas futuros.

Ningún método de autenticación es excluyente, sino que todos son complementarios. Integrar un tercer factor basado en datos en tiempo real de operadores móviles brinda una capa adicional de protección, permitiendo a las empresas ofrecer mayor seguridad sin afectar la experiencia del usuario. En un mundo digital donde el fraude evoluciona constantemente, adoptar estas soluciones es clave para un ecosistema financiero más seguro y confiable.