El Índice de Experiencia del Consumidor, recientemente publicado por Aspect, que señala que un 38% de los consumidores prefiere usar aplicaciones como Facebook Messenger o WhatsApp para contactar con el servicio de atención al cliente que las llamadas telefónicas. Las empresas han incorporado rápidamente los mensajes en su estrategia de comunicación haciendo un esfuerzo para ampliar sus clientes.
Una de las industrias que más está usando este canal es la financiera. Los bancos están utilizando el SMS y sus clientes pueden acceder a su cuenta personal y realizar transacciones por ellos mismos. Los bancos envían contraseñas de un solo uso a los clientes vía SMS para autentificar sus credenciales. Es una práctica muy popular en todo el mundo, pero algunos países están empezando a cuestionar la seguridad de este sistema. En particular, el Instituto Nacional de Estándares y Tecnología (NIST) de los EE.UU está pensando en prohibir la autentificación basada en dos factores vía SMS, lo que ha supuesto una controversia para el sector bancario.
Este organismo habla de la depreciación de la autentificación basada en SMS de dos factores, identificando sus errores inherentes de seguridad. El NIST afirma que el gobierno estadounidense debería empezar a utilizar el SMS como un factor secundario para la confirmación de la identidad de sus usuarios porque cabe la posibilidad de que los mensajes con códigos de un solo uso pueden ser interceptados o redirigidos.
El NIST tiene razón en un punto: la problemática de la identificación vía SMS. Cuando se usan los SMS de forma aislada, la seguridad empieza a estar en entredicho y esto está provocando verdaderos dolores de cabeza a la industria bancaria. Uno de los principales problemas que encontramos aquí es el fraude del intercambio de la tarjeta SIM. Es posible que alguien pueda adquirir ilegalmente una SIM idéntica a la de un usuario y desviar las comunicaciones, incluyendo los SMS y hacerlo llegar al hacker. Esto facilita que el hacker pueda acceder con la contraseña de un solo uso a la cuenta bancaria del usuario y la víctima y el banco no saben nada hasta que ya es demasiado tarde.
Entonces, ¿cuál es el camino a seguir? ¿Deberían los SMS someterse a procedimientos más rigurosos de seguridad? Realmente no. Existe una manera por la cual los SMS sigan formando parte de uno de los roles más importantes en los procedimientos de autentificación y es asumiendo que los bancos tienen que hacer un trabajo adicional para comprobar y respaldar estas interacciones.
Desde Aspect hemos estado trabajando en profundidad con la industria para encontrar las soluciones que refuerzan la seguridad del SMS sin que suponga una molestia para la vida de los consumidores. Una manera consiste en desplegar la tecnología detrás de las escenas que promueven la verificación sin crear fricción en ningún momento durante la experiencia del cliente. Aspect Verify es una herramienta que permite la verificación con comprobaciones adicionales para identificar la información correcta, utilizando el contexto y el comportamiento del usuario. Estas comprobaciones tienen que ser imperceptibles para el consumidor para que su experiencia de usuario no sea interrumpida. Esta tecnología permite detectar fraudes tecnológicos como el intercambio de la SIM o la detección de un desvío y permite las verificaciones de ubicación, utilizando datos móviles fácilmente disponibles para determinar la identidad del usuario.
Por lo tanto, hay que tener en cuenta los fallos de seguridad en el uso de los SMS para autenticar transacciones y los bancos deberían tenerlo muy en cuenta. La industria bancaria necesitará introducir capas adicionales de seguridad para proteger las cuentas de sus clientes y mantener la confianza del consumidor. Con un respaldo adecuado, los SMS son perfectamente aceptables y no es necesario tirar todo por la borda.