IAM

Autenticación adaptativa inteligente: todo lo que necesitas saber

¡Eh, tú! ¡Sí, tú! ¿Eres realmente tú? Esa es la pregunta que se nos hace indirectamente cada vez que le damos a un botón de acceder o registrarse. Acceder a nuestras cuentas es algo que hacemos muchas veces al día, en muchos sitios distintos y desde distintos dispositivos.

¿Cómo accedemos a nuestras cuentas en internet? Introducimos el usuario, después la contraseña y le damos a acceder. Tan simple como eso. Pero, ¿y si tu usuario y contraseña estuvieran en peligro? ¿Y si hubiera una violación de datos y tu documentación se filtrara? ¿Cuál sería la solución? En ese caso, la solución sería establecer un método de autenticación de dos factores, como contraseñas de un solo uso que llegan por mensaje de texto. Pero, ¿es realmente seguro? Los mensajes de texto constituyen un antiguo protocolo que envía datos sin cifrar. Pueden interceptarse incluso antes de que lleguen al móvil del usuario. Así que, el doble factor de autenticación puede no ser lo suficientemente segura en el mundo de hoy en día.

Para afrontar esto, la solución sería utilizar una autenticación de múltiples factores que incluya más pasos antes de autenticar el usuario. Sin embargo, el hecho de seguir tantos pasos antes de la autenticación puede reducir la facilidad de uso del sistema. Es aquí cuando entra en juego la autenticación adaptativa.

Durante este artículo seguiremos el siguiente índice:

1. Qué es la Autenticación Adaptativa y por qué se usa

La Autenticación Adaptativa es una manera de implementación de la autenticación de múltiples factores que selecciona los factores de autenticación correctos según el perfil de riesgo y los patrones para que se adapten a la situación correspondiente. Para una situación de bajo riesgo, puede usarse una autenticación básica de contraseña de usuario, mientras que para otras de mayor riesgo, sería más oportuno usar otro tipo de autenticación.

Los pasos de la autenticación suelen dividirse en 3 categorías:

  • Algo que comúnmente conocemos como usuario y contraseña.
  • Algo que tenemos, como las contraseñas de un solo uso (OTP en inglés).
  • Algo que nos identifique, como una cara o una huella dactilar.

La autenticación de múltiples factores se realiza mediante la combinación de dos o más de los factores anteriores. Pero usar todos estos factores todo el tiempo puede reducir la funcionalidad de la aplicación o del servicio. La autenticación adaptativa puede decidir cuáles son los factores y cuánto de ellos se necesitan para la autenticación en función de la situación.

Las políticas de autenticación adaptativa pueden implementarse de 3 maneras:

  1. Pueden activarse manualmente por un administrador del sistema. El administrador determina un nivel de riesgo para distintos factores de autenticación según el rol del usuario, su ubicación o la importancia del servicio que se está protegiendo.
  2. Se le puede otorgar al sistema la capacidad de identificar el patrón de conducta típico del usuario a lo largo del tiempo y de usar factores de autenticación basados en eso. Por ejemplo, un usuario accede al sistema desde un país o ubicación geográfica durante un largo periodo, de modo que si la solicitud de acceso proviene de otra zona geográfica, el sistema se adaptará a la situación y utilizará otros factores para autenticar al usuario.
  3. Se puede usar una combinación de políticas estáticas y dinámicas al implementar los dos factores anteriores.

La autenticación adaptativa funciona según un perfil de usuario. El perfil consiste en su ubicación geográfica, el dispositivo que suele usar para acceder, el rol del usuario y otra información relacionada. Cada vez que un usuario intenta acceder, el sistema calculará y asignará una puntuación de riesgo para dicha solicitud basada en el perfil del usuario. Según esta puntuación de riesgo, el sistema determinará la cantidad mínima de pasos de autenticación que se realizarán para verificar el usuario.

Con más precisión, el sistema identifica una situación y ayuda a determinar una puntuación de riesgo más precisa. Esto genera un sistema de autenticación adaptativa fácil de usar y más seguro. Es aquí cuando la autenticación adaptativa inteligente entra en escena.

2. Qué es la autenticación adaptativa inteligente (IAA)

Un sistema de autenticación adaptativa inteligente (IAA) lleva el cálculo de riesgos al siguiente nivel. Por ejemplo, un usuario tiene un dispositivo registrado. El sistema considerará ese dispositivo como fiable. Después, un sistema de autenticación inteligente adaptativa podría identificar que el dispositivo está alterado/liberado y, por ese motivo, dejaría de ser fiable aunque fuera el mismo dispositivo registrado. De este modo, se le asignará una puntuación de riesgo mayor a cada solicitud de acceso que provenga de ese dispositivo, además de establecer más pasos de autenticación.

Una autenticación adaptativa inteligente siempre recopilará información sobre el comportamiento de los usuarios. Por ejemplo, se recopilarán los datos, como las ubicaciones desde las cuales suele acceder el usuario y a qué horas del día lo hace en las distintas plataformas. Después, se usará toda esta información para crear modelos de conducta y perfiles de riesgo. Algunos sistemas adaptativos inteligentes hasta usan técnicas de aprendizaje automático para crear estos modelos de conducta o riesgo más precisos y calcular la puntuación de riesgo.

3. Cómo funciona la autenticación adaptativa inteligente

La autenticación adaptativa inteligente es una combinación de autenticación y tecnologías de aprendizaje automático. Esto normalmente implica un motor de análisis de riesgos sólido alimentado por el aprendizaje automático que evalúa el perfil de riesgo del usuario. Esto comienza con la recopilación de usuarios o grupos de usuarios y otros datos generales relevantes desde distintas fuentes digitales y fuentes de datos de terceros, como herramientas para la detección de fraude o riesgos. Aquí la información sobre la conducta es crucial, pues ayuda a entender mejor las costumbres del usuario de manera que cualquier desviación o anomalía pueda detectarse a raíz de estos patrones conocidos.

Por lo general, los datos recopilados se incorporan al instante en un análisis de riesgos que se ejecuta gracias al aprendizaje automático y a unas reglas específicas para realizar evaluaciones de riesgo rigurosas. Los algoritmos del aprendizaje automático sirven, sobre todo, para identificar nuevas estrategias de fraude y actividades anómalas o sospechosas de un usuario o un grupo de usuarios. Con el procesamiento de datos a partir del aprendizaje automático, se utiliza un perfil de riesgo o un mecanismo similar para determinar los pasos siguientes de la autenticación. Por consiguiente, según el perfil de riesgo o el mecanismo que se determine, los pasos o las medidas se aplicarán de forma dinámica al proceso de autenticación de los usuarios, y estos deberán cumplirlos para poder completar dicho proceso.

4. Cómo la autenticación inteligente adaptativa mejora la autenticación adaptativa convencional

La autenticación adaptativa convencional podría ser lo suficientemente potente como para detectar el riesgo asociado y brindarle al usuario los niveles apropiados de autenticación en situaciones cotidianas. La cuestión es si de verdad puede hacer frente a desafíos y problemas, tales como usabilidad, seguridad, eficiencia, cumplimiento, etc. y a la vez ofrecer una seguridad óptima.  Es aquí donde la autenticación adaptativa inteligente entra en juego.

La autenticación adaptativa inteligente, a diferencia de los mecanismos de la convencional, se basa, en cierto modo, en numerosos factores de procesamiento previo y en modelos de aprendizaje automático muy entrenados que aportan resultados más precisos y adecuados.  Se utiliza una gran variedad de datos de entrada y adicionales para calcular el nivel de riesgo y determinar la medida de seguridad más apropiada para una situación específica.  Se ha demostrado con creces que la autenticación adaptativa inteligente no solo ofrece el nivel adecuado de seguridad sino también una buena experiencia de usuario teniendo en cuenta los riesgos de seguridad actuales en constante evolución.

5. Uso de la IAA en la vida real

Vamos a ver cómo podría aplicarse la autenticación adaptativa inteligente en una situación de la vida real.

Tom trabaja en el centro de Londres, donde vive en su propia casa con su familia. Cerca de su casa hay un supermercado y algunos cajeros automáticos. Tiene la costumbre de extraer dinero de esos cajeros cuando va al supermercado o camino al trabajo. Además, utiliza tanto tarjetas de crédito como de débito para gastar su dinero en diferentes lugares de la ciudad.

Digamos, por ejemplo, que el sistema utilizado por el banco de Tom consta de un componente de autenticación adaptativa inteligente que ejecuta los siguientes pasos cada vez que Tom realiza una transacción.

Paso 1: 

Cuando Tom realiza una transacción, un componente de autenticación adaptativa inteligente del sistema del banco recopila datos importantes como la geolocalización, el dispositivo y su integridad durante la transacción, la duración y la hora en el que se ha realizado, y otros datos contextuales. A su vez, recopila información sobre el comportamiento de Tom en canales digitales para crear un perfil del usuario preciso.  Además, estos sistemas recopilan datos de comportamiento para comprender mejor los hábitos del usuario, por lo que el sistema es capaz de detectar una desviación de estos patrones en una transacción.

Paso 2:

Como siguiente paso, el sistema utiliza los datos ya existentes de otras fuentes diversas, como datos de historial o software de terceros, sistemas de detección de fraude, otros sistemas de seguridad, etc. para crear un panorama más completo de la situación.

Paso 3: 

Con todos los datos que rodean a la transacción, el sistema del banco utiliza una combinación de algoritmos del aprendizaje automático para detectar nuevas estrategias de fraude y actividades anómalas o sospechosas por parte de un usuario o un grupo de usuarios y, de esa forma, determinar la puntuación de su perfil de riesgo y establecer los pasos de la autenticación que el usuario debe seguir para completar la transacción.

Paso 4: 

Durante este paso, siguiendo el perfil de riesgo, los pasos de la autenticación se aplican de forma dinámica al proceso de la transacción en tiempo real. Si se necesitan medidas de seguridad adicionales para la transacción, Tom seguirá los pasos adecuados, ya que se le solicitará su autenticación de una forma u otra para que el sistema del banco lo confirme.

Sin embargo, es importante tener claro que la transacción debe llevarse a cabo de acuerdo con el comportamiento habitual de Tom. De esa manera, no será necesario tomar medidas de seguridad adicionales.

Este tutorial puede interesarte: DISEÑE CON CIAM LA MEJOR EXPERIENCIA DEL CLIENTE PARA EL SECTOR BANCARIO Y FINANCIERO-

6. Conclusión

A partir del ejemplo anterior, se entiende mucho mejor cómo funciona la autenticación adaptativa inteligente, ya que se centra en cuándo y dónde se aplica. La autenticación adaptativa se vuelve cada vez más inteligente a la hora de detectar factores de riesgo, diferenciar situaciones y calcular el nivel de riesgo, gracias a las tecnologías de aprendizaje automático e inteligencia artificial que están en constante evolución y rápido desarrollo.

El uso de internet aumenta cada día, al igual que los usuarios que se inscriben en diversos servicios en línea. Esto también provoca el aumento del fraude a través de internet. Los hackers encuentran formas cada vez más complejas para filtrarse en sistemas o en los datos de usuarios. Frente a esto, en la actualidad, los mecanismos de autenticación adecuados han cobrado mayor relevancia.

Con la ayuda del aprendizaje automático y la inteligencia artificial, la siguiente generación de sistemas de autenticación adaptativa inteligente no solo podrá evitar amenazas cuando estén ocurriendo, sino también anticiparlas y tener las medidas necesarias preparadas de antemano, incluso para quienes intenten acceder en el sistema. Estos ejemplos han hecho evidente que la autenticación adaptativa inteligente es un progreso y es capaz de aumentar de forma considerable la seguridad de los servicios en internet sin perjudicar la usabilidad. ¡Seguridad y usabilidad a la vez! Ganan tanto los proveedores de servicios como los usuarios.

Live Webinar - Overcome COVID-19 Challenges in Banking & Finance with WSO2 IAM Solutions - December 3rd. 3.00 PM to 4.00 PM IST
Written By

Thimitha Gamage & Nuwan Rupasinghe

Senior Software Engineers