Por qué las plataformas basadas en suscripciones deberían ser passwordless

Al adoptar sistemas de identificación biométrica las plataformas basadas en modelos de suscripción, como Netflix o Airbnb, pueden realmente garantizar que los usuarios sean quienes dicen ser, evitando el fraude de identidad o el intercambio de contraseñas.

Después de confirmar a principios de este año una caída significativa en el número de suscriptores, Netflix ha decidido implementar nuevos métodos para retener suscriptores y recuperar ingresos. La fórmula, que ahora se está probando en cinco países de América Latina, es cobrar a los usuarios una tarifa adicional por usar una cuenta durante más de dos semanas fuera de su residencia principal.

En abril, Netflix anunció una pérdida de 200,000 suscriptores en el primer trimestre de 2022. En julio, en su informe de ganancias del segundo trimestre, la compañía informó de la pérdida de casi un millón de suscriptores adicionales.

En una carta dirigida a los stakeholders tras el informe de ganancias del 1T, Netflix señaló a los usuarios compartían sus contraseñas con amigos y familiares como responsables de la fuerte caída en las suscripciones. La empresa también reconoció que tiene unos 100 millones de usuarios que no pagan suscripción. De ahí la idea de cobrar una tarifa adicional por compartir contraseñas.

Sin embargo, la estrategia de Netflix para recuperar ingresos y atajar el uso compartido de contraseñas es un débil intento de abordar un problema mucho mayor: el colapso inminente del modelo de contraseñas.

Many people feel uncomfortable with sharing so much personal information. Or feel that the identity authentication process takes too long (up to 24 hours) and is too complicated.
Many people feel uncomfortable with sharing so much personal information. Or feel that the identity authentication process takes too long (up to 24 hours) and is too complicated.

DE LAS CONTRASEÑAS AL MFA

A medida que los servicios online se han estandarizado –desde el aprendizaje hasta la banca, pasando por el entretenimiento, la reserva de viajes, la salud, las compras, etc.–, los usuarios se han visto abrumados por el número de contraseñas que deben recordar. Esto ha llevado a las personas a crear contraseñas simples y reutilizarlas una y otra vez.

Según el Informe de Psicología de las Contraseñas 2021 de Lastpass.com, aunque el 92% reconoce que reutilizar una contraseña o usar una similar es un riesgo, el 65% de los encuestados reutiliza su contraseña en varias cuentas. El 51% confía en la memoria para recordar contraseñas.

Como conclusión, el informe afirma que el 68% de los entrevistados reutilizan sus contraseñas por temor a olvidarlas.

Además, una encuesta reciente realizada por The Zebra reveló que el 79% de los usuarios en Estados Unidos comparten su información de contraseña con amigos y familiares.

La identificación con contraseña es una forma de autenticación basada en el conocimiento. Por lo tanto, para probar su identidad, los usuarios deben compartir un secreto (la contraseña) con su proveedor de servicios.

En los últimos años, las contraseñas han sido sustituidas por la Autenticación Multifactorial (MFA por sus siglas en inglés), una tecnología de seguridad que requiere múltiples métodos de autenticación de categorías de credenciales independientes para verificar la identidad de un usuario.

Estas credenciales suelen ser lo que el usuario sabe, como una contraseña; lo que el usuario tiene, como un token de seguridad; y quién es el usuario, mediante el uso de métodos de verificación biométrica.

La MFA funciona combinando dos o más de estos para autenticar la identidad del usuario. En otras palabras, agrega capas de seguridad a las contraseñas.

Airbnb, por ejemplo, utiliza un protocolo de identificación de 2 pasos. Independientemente de si es un anfitrión o un huésped, la persona debe proporcionar información confidencial, como fotos de su documento de identificación o su licencia de conducir, dirección, firma, etc. Luego, la plataforma almacena su información de forma encriptada, protegida por bases de datos de terceros.

Muchas personas se sienten incómodas compartiendo tanta información personal. O sienten que el proceso de autenticación lleva demasiado tiempo (24 horas) y es demasiado complicado.

En cualquier caso, tras analizar más de 127.000 quejas de Airbnb, el bloguero e investigador de viajes sher Fergusson descubrió que el 20,7% de las quejas pertenecían a clientes cuya cuenta había sido hackeada.

MFA representa una mejora en comparación con sólo utilizar contraseñas, pero tiene sus propios problemas de seguridad. Por nombrar algunos, los tokens enviados por correo electrónico pueden ser interceptados por tercero y MFA basado en SMS es susceptible al intercambio de SIM..

Además, MFA agrega fricción a las operaciones, consume mucho tiempo para los usuarios y puede ser costoso y difícil de implementar para las empresas.

LA BIOMETRÍA AL RESCATE

Los usuarios están de acuerdo en que las contraseñas y MFA son tediosos y, según una encuesta de Thirdpartytrust.com, el 36% de los usuarios, si tuvieran la opción, preferirían el reconocimiento facial a escribir una contraseña. Además de eso, una encuesta de Enterprise Strategy Group (ESG), una división de TechTarget, revela que el 54 % del total de encuestados ha comenzado la transición a la autenticación sin contraseña.

La biometría se basa en la medición y análisis de las características físicas individuales únicas de cada persona. Impide que los datos puedan ser copiados o pirateados. Con la autenticación biométrica, todo lo que una persona necesita es a sí misma. No requiere secretos compartidos (contraseñas) ni tokens.

Hoy en día, los teléfonos inteligentes personales equipados con capacidades biométricas son el estándar, sirviendo como hardware de almacenamiento de los patrones biométricos del individuo.

Para los usuarios, la autenticación biométrica es fluida, rápida, fácil de usar y, lo que es más importante, son los únicos que tienen el control de sus datos de identificación almacenados en sus teléfonos inteligentes.

Para las empresas es una manera fácil de implementar y rentable de identificar realmente a los usuarios, prevenir el fraude y proteger su privacidad mientras habilita entornos de confianza cero.

La identificación como servicio (IDaaS) de B-FY, basada en open ID, utiliza las capacidades de reconocimiento biométrico que proporcionan los dispositivos móviles para identificar de forma fiable a las personas mediante la implementación de un protocolo de identificación que ofrece las máximas garantías de protección y privacidad de los datos de los usuarios. Descubre cómo B-FY detiene el fraude de identidad y solicita una demostración gratuita..

Las industrias de servicios financieros, atención médica y educación superior ya están recurriendo a soluciones de seguridad biométrica para proteger los datos de sus usuarios.

Los modelos comerciales basados en suscripciones que dependen de la autenticación de los clientes para brindar sus servicios y proteger su reputación e ingresos deben valorar la experiencia de estas industrias para abordar el uso compartido de contraseñas, el fraude de identidad y los ataques cibernéticos.