El sistema de respuesta de voz interactiva (IVR) es muy común. Si alguna vez ha llamado a su banco para consultar el saldo de una cuenta o pagar una factura, probablemente lo haya utilizado. Además de estas tareas básicas de autoservicio, los clientes pueden utilizar los sistemas de respuesta de voz interactiva (IVR) bancarios para denunciar fraudes, actualizar información personal, consultar su historial de transacciones o incluso cambiar su PIN sin tener que esperar a un agente. Tener acceso a una variedad de opciones como estas hace que el uso de IVR sea una alternativa conveniente a visitar una sucursal física o esperar largos tiempos de espera. Los clientes no son los únicos que se benefician de estos sistemas: los bancos pueden disfrutar de las ventajas de reducir la cantidad de consultas rutinarias de servicio al cliente y encontrar nuevas formas de atender a los clientes fuera del horario comercial habitual. Muchos de los principales servicios de telefonía VoIP de la actualidad ya incluyen IVR en sus paquetes, lo que significa que los bancos que utilizan estos servicios probablemente ya tengan acceso a herramientas e integraciones para la recopilación de datos, análisis y funciones de seguridad avanzadas, como el reconocimiento de voz. Todos estos beneficios del sistema de respuesta de voz interactiva conllevan cierto riesgo de vulnerabilidades adicionales que deben considerarse y abordarse antes de la implementación. Sin las protecciones adecuadas, la tecnología IVR tiene el potencial de ser utilizada para fraude de identidad, ataques de phishing y violaciones de datos. ¿Cómo atacan los piratas informáticos a los servicios bancarios IVR? Si bien a los clientes y las empresas atareados les encanta un buen sistema IVR, a los piratas informáticos les encanta uno malo. El pirateo de IVR implica apuntar a ciertas debilidades para obtener acceso no autorizado al sistema. Buscarán datos de tarjetas de crédito, intentarán tomar el control de las cuentas de los clientes e incluso explotarán la información personal asociada al historial financiero. Algunos de los métodos más comunes incluyen engañar al IVR para que piense que el pirata informático es un cliente legítimo, lanzar ataques de phishing con llamadas telefónicas automatizadas o tácticas de ingeniería social, usar suplantación de biometría de voz y encontrar vulnerabilidades en el software IVR para ingresar al sistema. Métodos de autenticación seguros para banca IVR Si un sistema está correctamente protegido, siempre que un cliente llame a un IVR bancario, se le solicitará que verifique su identidad con al menos un método de autenticación antes de poder acceder a cualquier servicio de cuenta. La clave aquí es asegurarse de que el IVR sea compatible y lo suficientemente seguro para mantener a los piratas informáticos fuera, pero no tan complejo como para frustrar a los clientes legítimos hasta el punto de afectar su capacidad de acceder a su propia información bancaria. Para mayor protección, los bancos suelen requerir múltiples capas de autenticación que están diseñadas para frustrar diferentes tipos de ataques. Más sobre VoIP 6 métodos de autenticación para banca IVR Autenticación basada en el conocimiento La autenticación basada en el conocimiento es una forma de verificar la identidad de una persona al preguntar sobre cosas que solo ella sabría. Por ejemplo, si una persona llama a un banco utilizando KBA, el banco puede pedirle que proporcione una de sus direcciones anteriores o la ciudad en la que conoció a su cónyuge. Para que KBA funcione bien, los bancos deben asegurarse de que están utilizando datos que no se pueden encontrar o deducir fácilmente a través de la ingeniería social, y también deben hacer que las preguntas sean lo suficientemente claras para que los clientes realmente recuerden sus respuestas. Proporcionar solo preguntas hiperespecíficas puede ser una receta para la frustración, por lo que es importante mantener las preguntas lo suficientemente amplias para que sean fáciles de usar y, al mismo tiempo, lo suficientemente específicas para ser seguras. Algunos sistemas incluso permiten al usuario final configurar sus propias preguntas y respuestas. Autenticación basada en PIN La autenticación basada en PIN es una forma muy común para que los clientes accedan a sus cuentas ingresando códigos de 4 a 6 dígitos que solo ellos conocen. Cuando se utiliza con un IVR bancario, el sistema compara automáticamente el código PIN ingresado por un cliente con el que está asociado con su cuenta. Si los dos números coinciden, el resto del IVR se desbloquea y el cliente puede usar los servicios. Si bien la autenticación basada en PIN puede ser un método sólido para la protección de datos, a menudo es falible debido a que los clientes configuran PIN comunes o fáciles de adivinar. Esto incluye cuando los clientes usan los mismos cuatro números seguidos o combinaciones predeterminadas como 1234. Si usa la autenticación basada en PIN, es importante recordarles a sus clientes que eviten usar números que estén asociados con otros datos importantes, como los últimos cuatro dígitos de su número de teléfono o número de seguro social, ya que esto aumenta la posibilidad de que los piratas informáticos puedan ingresar a su cuenta si se vulnera el IVR. También es importante incluir elementos en el IVR que bloqueen automáticamente la cuenta después de una cierta cantidad de intentos fallidos. Esto ayudará a prevenir ataques de fuerza bruta, donde los piratas informáticos usan programas de software que intentan iniciar sesión automáticamente con miles de intentos. Biometría de voz La autenticación biométrica de voz es una tecnología relativamente nueva que funciona cuando un cliente dice una determinada frase de contraseña o una serie predefinida de palabras en el teléfono. El IVR captura la grabación y la compara con una grabación anterior configurada por la persona que llama. Si la frase de contraseña y los patrones de voz coinciden, el cliente puede continuar. La biometría de voz es excelente cuando funciona, pero los problemas con la captura de voz de baja calidad y el mal análisis a veces pueden generar falsos negativos y falsos positivos. El primero es muy molesto para los clientes, mientras que el segundo es un gran riesgo para el banco. Si su banco opta por habilitar la biometría de voz, es importante asociarse con un sistema de alta calidad que tenga un excelente reconocimiento de patrones. También es una buena idea educar a sus clientes sobre la importancia de proporcionar huellas de voz claras cuando configuran sus frases de contraseña. Códigos de acceso de un solo uso Los códigos de acceso de un solo uso son códigos temporales que se envían a los clientes por SMS, correo electrónico o una llamada telefónica para verificar su identidad. Cuando un cliente llama, el IVR enviará un código a través de su método preferido registrado. Si el cliente ingresa el código correcto dentro del tiempo asignado, puede continuar con la siguiente etapa del servicio. Aunque este tipo de control de seguridad generalmente se encuentra al comienzo del proceso de IVR, también se puede volver a utilizar más adelante como seguridad adicional cuando se trata de algo de mayor riesgo, como enviar una gran suma de dinero a otra persona. Los mejores códigos de acceso de un solo uso son sensibles al tiempo, lo que significa que solo funcionarán durante unos minutos o una hora, lo que reduce la posibilidad de que alguien con malas intenciones pueda obtenerlos. Si implementa códigos de acceso de un solo uso en su negocio, asegúrese de recordarles a sus clientes que mantengan sus datos actualizados para que el IVR envíe el código al número de teléfono o dirección de correo electrónico correctos. Verificación del identificador de llamadas Una de las formas automatizadas de autenticar a las personas que llaman es hacer coincidir su información de identificación de llamadas con el número de teléfono asociado a su cuenta bancaria. Si la información coincide, entonces el cliente puede continuar con este paso sin tener que hacer nada activamente. Si bien la verificación del identificador de llamadas puede ser excelente para los clientes que solo llaman desde el número de teléfono que está registrado en el banco, realmente no funciona para los clientes que tienen que llamar desde números no registrados, como números de trabajo o el teléfono de un amigo. Como resultado, la mayoría de los sistemas que utilizan este método de autenticación también tienen que proporcionar otras opciones. Los datos del identificador de llamadas también pueden falsificarse, por lo que los bancos deben considerar la posibilidad de implementar medidas de seguridad adicionales junto con la verificación del identificador de llamadas para asegurarse de que realmente sea el cliente el que se comunica.
Etiqueta: Autenticación
Amazon ha introducido una nueva función que le permite registrarse en su servicio de reconocimiento de la palma de la mano directamente desde su teléfono. Este servicio se facilita mediante el lanzamiento de una nueva aplicación Amazon One, disponible en plataformas iOS y Android. Con esta aplicación, puede tomar una foto de su palma y configurar su cuenta, lo que le permitirá comenzar a escanear su palma en ubicaciones que admitan esta tecnología de verificación. No más escaneo de la palma de la mano en almacenamiento físico Antes de esto, Amazon requería que los usuarios visitaran ubicaciones físicas para inscribirse en Amazon One. Este servicio te permite realizar compras o verificar tu edad en función de la huella de la palma vinculada a tu cuenta de Amazon. Inicialmente, estaba disponible en todas las tiendas Whole Foods de EE. UU. y en algunas ubicaciones de Panera Bread. Además, era accesible en más de 150 estadios, aeropuertos, gimnasios y tiendas de conveniencia. Amazon One utiliza IA generativa para analizar la estructura venosa de la palma de su mano, creando una “representación vectorial numérica única” que reconoce cuando escanea su mano en la tienda. Es importante destacar que no utiliza imágenes de palmas sin editar con fines de identificación. Noticias de la semana de Gizchina En dispositivos móviles, Amazon afirma que utiliza IA para hacer coincidir la foto tomada con la cámara de un teléfono con las «imágenes de infrarrojo cercano» capturadas por un dispositivo Amazon One. Para utilizar el servicio, deberá agregar un método de pago a la aplicación y cargar una foto de su identificación si desea utilizarla para verificar la edad. Además, puede vincular programas de fidelización, pases de temporada y membresías de gimnasios al servicio. Seguridad de la tecnología de escaneo de palma de Amazon Si bien la tecnología ha generado preocupaciones sobre la privacidad, Amazon asegura a los usuarios que las imágenes de la palma y las venas se «cifran inmediatamente» y se transmiten a una «zona altamente segura» en la nube de AWS, que la compañía había diseñado para Amazon One. En este entorno seguro, Amazon crea su firma en la palma de la mano. Amazon también menciona que la nueva aplicación «incorpora capas adicionales de detección de falsificaciones». Además, enfatiza que los usuarios no pueden guardar ni descargar las imágenes de la palma en sus teléfonos. A pesar de estas garantías, algunos usuarios, incluido yo mismo, aún pueden dudar en proporcionar las huellas de sus palmas por conveniencia. A diferencia de una contraseña, no puede cambiar la huella de su palma si sufre algún cambio físico. Descargo de responsabilidad: Es posible que algunas de las empresas de cuyos productos hablamos nos compensen, pero nuestros artículos y reseñas son siempre nuestras opiniones honestas. Para obtener más detalles, puede consultar nuestras pautas editoriales y conocer cómo utilizamos los enlaces de afiliados.