La banca con respuesta de voz interactiva (IVR) es muy común. Si alguna vez ha llamado a su banco para consultar el saldo de una cuenta o pagar una factura, probablemente lo haya utilizado. Además de estas tareas básicas de autoservicio, los clientes pueden utilizar los IVR bancarios para denunciar fraudes, actualizar información personal, consultar su historial de transacciones o incluso cambiar su PIN sin tener que esperar a un agente.
Tener acceso a una variedad de opciones como estas hace que el uso de IVR sea una alternativa conveniente a visitar una sucursal física o esperar largos tiempos de espera.
Los clientes no son los únicos que se benefician de estos sistemas: los bancos pueden disfrutar de las ventajas de reducir la cantidad de consultas rutinarias de servicio al cliente y encontrar nuevas formas de atender a los clientes fuera del horario comercial habitual.
Muchos de los principales servicios de telefonía VoIP de la actualidad ya incluyen IVR en sus paquetes, lo que significa que los bancos que utilizan estos servicios probablemente ya tengan acceso a herramientas e integraciones para recopilación de datos, análisis y funciones de seguridad avanzadas como reconocimiento de voz.
Todos estos beneficios de la respuesta de voz interactiva conllevan el riesgo de vulnerabilidades adicionales que deben tenerse en cuenta y abordarse antes de su implementación. Sin las medidas de seguridad adecuadas, la tecnología de respuesta de voz interactiva tiene el potencial de ser utilizada para fraudes de identidad, ataques de phishing y violaciones de datos.
¿Cómo atacan los piratas informáticos a los servicios bancarios IVR?
Si bien a los clientes y las empresas les encantan los buenos sistemas de respuesta de voz interactiva (IVR), a los piratas informáticos les encantan los malos. La piratería de IVR implica atacar ciertas debilidades para obtener acceso no autorizado al sistema.
Buscarán datos de tarjetas de crédito, intentarán tomar el control de las cuentas de los clientes e incluso explotarán la información personal asociada al historial financiero.
Algunos de los métodos más comunes incluyen engañar al IVR para que piense que el pirata informático es un cliente legítimo, lanzar ataques de phishing con llamadas telefónicas automatizadas o tácticas de ingeniería social, usar suplantación de biometría de voz y encontrar vulnerabilidades en el software IVR para ingresar al sistema.
Métodos de autenticación seguros para banca IVR
Si un sistema está correctamente protegido, cada vez que un cliente llama a un IVR bancario, debe verificar su identidad con al menos un método de autenticación antes de poder acceder a cualquier servicio de la cuenta.
La clave aquí es asegurarse de que el IVR sea compatible y lo suficientemente seguro para mantener a los piratas informáticos alejados, pero que no sea tan complejo como para frustrar a los clientes legítimos hasta el punto de afectar su capacidad de acceder a su propia información bancaria.
Para mayor protección, los bancos generalmente requieren múltiples capas de autenticación que están diseñadas para frustrar diferentes tipos de ataques.
6 métodos de autenticación para banca IVR
Autenticación basada en conocimiento
La autenticación basada en el conocimiento es una forma de verificar la identidad de una persona preguntándole cosas que solo ella conoce. Por ejemplo, si una persona llama a un banco utilizando la autenticación basada en el conocimiento, el banco podría pedirle que proporcione una de sus direcciones anteriores o la ciudad en la que conoció a su cónyuge.
Para que el KBA funcione bien, los bancos deben asegurarse de que están utilizando datos que no se pueden encontrar o deducir fácilmente a través de la ingeniería social, y también necesitan hacer las preguntas lo suficientemente claras para que los clientes realmente recuerden sus respuestas.
Ofrecer únicamente preguntas muy específicas puede ser una receta para la frustración, por lo que es importante que las preguntas sean lo suficientemente amplias para que se puedan usar fácilmente y, al mismo tiempo, lo suficientemente específicas para que sean seguras. Algunos sistemas incluso permiten que el usuario final establezca sus propias preguntas y respuestas.
Autenticación basada en PIN
La autenticación basada en PIN es una forma muy común para que los clientes obtengan acceso a sus cuentas ingresando códigos de 4 a 6 dígitos que sólo ellos conocen.
Cuando se utiliza con un sistema de respuesta de voz interactiva (IVR) bancario, el sistema compara automáticamente el código PIN introducido por el cliente con el que está asociado a su cuenta. Si los dos números coinciden, el resto del sistema de respuesta de voz interactiva (IVR) se desbloquea y el cliente puede utilizar los servicios.
Si bien la autenticación basada en PIN puede ser un método eficaz para la protección de datos, suele ser errática debido a que los clientes establecen PIN comunes o fáciles de adivinar. Esto incluye cuando los clientes usan los mismos cuatro números seguidos o combinaciones predeterminadas como 1234.
Si utiliza autenticación basada en PIN, es importante recordar a sus clientes que eviten usar números que estén asociados con otros datos importantes, como los últimos cuatro dígitos de su número de teléfono o número de seguro social, ya que esto aumenta la posibilidad de que los piratas informáticos puedan ingresar a su cuenta si se viola el IVR.
También es importante incluir elementos en el sistema de respuesta de voz interactiva (IVR) que bloqueen automáticamente la cuenta después de una determinada cantidad de intentos fallidos. Esto ayudará a prevenir ataques de fuerza bruta, en los que los piratas informáticos utilizan programas de software que intentan iniciar sesión automáticamente con miles de intentos.
Biometría de voz
La autenticación biométrica de voz es una tecnología relativamente nueva que funciona cuando un cliente dice una determinada frase de contraseña o una serie de palabras predefinidas en el teléfono. El sistema de respuesta de voz interactiva captura la grabación y la compara con una grabación anterior configurada por la persona que llama. Si la frase de contraseña y los patrones de voz coinciden, el cliente puede continuar.
La biometría de voz es excelente cuando funciona, pero los problemas con la captura de voz de baja calidad y el análisis deficiente a veces pueden generar falsos negativos y falsos positivos. El primero es muy molesto para los clientes, mientras que el segundo es un gran riesgo para el banco.
Si su banco opta por habilitar la biometría de voz, es importante asociarse con un sistema de alta calidad que tenga un excelente reconocimiento de patrones. También es una buena idea informar a sus clientes sobre la importancia de proporcionar huellas de voz claras cuando configuran sus frases de contraseña.
Códigos de acceso de un solo uso
Los códigos de acceso de un solo uso son códigos temporales que se envían a los clientes por SMS, correo electrónico o llamada telefónica para verificar su identidad. Cuando un cliente llama, el sistema de respuesta de voz interactiva (IVR) le envía un código a través del método registrado que prefiera. Si el cliente ingresa el código correcto dentro del tiempo asignado, puede pasar a la siguiente etapa del servicio.
Aunque este tipo de control de seguridad suele encontrarse al principio del proceso IVR, también se puede volver a utilizar más adelante como seguridad adicional cuando se trata de algo de mayor riesgo, como enviar una gran suma de dinero a otra persona.
Los mejores códigos de acceso de un solo uso son sensibles al tiempo, lo que significa que solo funcionarán durante unos minutos o una hora, lo que reduce la posibilidad de que alguien con malas intenciones pueda hacerse con ellos. Si implementa códigos de acceso de un solo uso en su negocio, asegúrese de recordarles a sus clientes que mantengan sus datos actualizados para que el sistema de respuesta de voz interactiva envíe el código al número de teléfono o la dirección de correo electrónico correctos.
Verificación de identificación de llamadas
Una de las formas automatizadas de autenticar a los usuarios que llaman es hacer coincidir la información de identificación de llamadas con el número de teléfono asociado a su cuenta bancaria. Si la información coincide, el cliente puede continuar con este paso sin tener que hacer nada activamente.
Si bien la verificación de identificación de llamadas puede ser excelente para los clientes que solo llaman desde el número de teléfono registrado en el banco, en realidad no funciona para los clientes que deben llamar desde números no registrados, como los números del trabajo o el teléfono de un amigo. Como resultado, la mayoría de los sistemas que utilizan este método de autenticación también deben brindar otras opciones.
Los datos de identificación de llamadas también pueden ser falsificados, por lo que los bancos deberían considerar implementar medidas de seguridad adicionales junto con la verificación de identificación de llamadas para asegurarse de que realmente es el cliente el que se comunica.
