Probablemente estés gastando demasiado en la verificación por SMS

Cada OTP que envías por SMS está agotando tu presupuesto y la paciencia de tus usuarios. Está claro que la verificación basada en SMS se ha convertido en una opción para verificar a los usuarios y bloquear el acceso no autorizado. Pero bombardear a los usuarios con códigos cada vez que quieren iniciar sesión no te está ganando adeptos y definitivamente no es barato. Entonces, ¿cómo proteges las cuentas de tus usuarios sin gastar más de lo necesario o molestar a las personas que estás tratando de proteger? En esta publicación, desglosaré las estrategias para proteger las cuentas sin aumentar indebidamente tu factura de SMS.

El costo de la verificación por SMS

Para las empresas, cada SMS enviado se traduce en un coste, especialmente cuando se trata de aplicaciones de gran volumen. Por ejemplo, el precio de los SMS del popular proveedor de comunicaciones Twilio puede oscilar entre 0,0079 y 0,75 dólares por mensaje, según el destino y el operador. Y no son solo los usuarios legítimos los que acumulan costes. Además, las estafas de bombeo de SMS también aumentan la factura. Aunque no está verificado, se estima que Twitter perdía 60 millones de dólares al año por el bombeo de SMS antes de restringir la función. Para reducir su dependencia de los SMS y recortar costes sin comprometer la seguridad, puede utilizar otras soluciones para verificar a los usuarios como alternativa a los mensajes de texto con OTP.

Métodos para reducir los costes de verificación por SMS

Reducir los costos de los SMS no significa sacrificar la seguridad. Al explorar una combinación de métodos alternativos, las empresas pueden mantener una protección sólida de las cuentas sin depender únicamente de los SMS para cada verificación. En lugar de enviar verificaciones por SMS, podría:

• Utilice otros canales para enviar códigos : enviar OTP a través de notificaciones push, correo electrónico o aplicaciones de mensajería como WhatsApp ofrece una alternativa segura y rentable a los SMS. Las notificaciones push funcionan bien para las aplicaciones móviles, mientras que los enlaces de verificación de correo electrónico son familiares y fáciles de implementar. Los costos de los mensajes de WhatsApp son mucho más económicos en comparación con los SMS; por ejemplo, Twilio ofrece precios que van desde $0,0014 a $0,0768 por conversación de autenticación para WhatsApp . Cada uno de estos canales reduce la dependencia y los costos de los SMS sin comprometer la seguridad.
• Omite el envío de códigos; solo valídalos : las aplicaciones de autenticación, como Google Authenticator o Authy de Twilio, permiten a los usuarios generar sus propios códigos de verificación, eliminando de manera efectiva la necesidad de SMS y, a menudo, brindando una solución más rentable. Por ejemplo, el servicio TOTP de Twilio cuesta solo $0.05 por verificación exitosa . Una vez configurado, este método ofrece a los usuarios una forma conveniente de verificar de manera segura la identidad del usuario y, al mismo tiempo, mantener una protección sólida contra el acceso no autorizado.
• Aprovechar otros tipos de verificación : más allá de los códigos, las técnicas como la biometría ofrecen formas efectivas de autenticar a los usuarios sin SMS cuando están disponibles. La biometría, como la huella dactilar o el reconocimiento facial, brindan una experiencia fluida y segura, especialmente en dispositivos confiables.

Desventajas de las alternativas a los SMS

Si bien estas alternativas pueden reducir los costos, cambiarlas requiere ajustar el flujo de autenticación existente, lo que puede no ser ideal para todas las empresas. Los SMS siguen siendo ampliamente accesibles y no requieren que los usuarios descarguen o configuren una aplicación específica, como WhatsApp o Google Authenticator. También están disponibles para todos los dispositivos móviles, lo que los hace más versátiles que métodos como la biometría, que generalmente se limitan a los teléfonos inteligentes.

Además, los usuarios suelen estar más familiarizados con la verificación por SMS, lo que puede hacer que la experiencia sea más fluida y con menos fricción, lo que genera mayores tasas de conversión y más interacción. Estos factores hacen que los SMS sean una opción atractiva, ya que brindan una accesibilidad y una facilidad de uso que pueden ser difíciles de igualar con otros métodos de verificación.

Entonces, ¿de qué otra manera pueden las empresas reducir costos si quieren seguir usando SMS para la verificación de usuarios, además de negociar una mejor tarifa con su proveedor?

Un enfoque eficaz consiste en reducir la cantidad de mensajes SMS enviados y decidir cuándo activarlos de forma estratégica. Aquí es donde entran en juego técnicas como la identificación de dispositivos, que permite a las empresas identificar navegadores o dispositivos de confianza y solo solicitar la verificación por SMS cuando sea necesario.

¿Qué es la huella digital del dispositivo?

La identificación de dispositivos es un método para reconocer dispositivos únicos en función de una combinación de sus características, como la configuración del navegador, el sistema operativo, la resolución de pantalla, las preferencias de idioma, los complementos instalados y otros detalles que no permiten la identificación personal. Cada dispositivo tiene una "huella digital" distintiva formada por estos atributos, lo que permite identificar a los usuarios que regresan incluso cuando los métodos tradicionales, como las cookies, no están disponibles o se eliminan.

A diferencia de las direcciones IP, que son dinámicas y se ocultan fácilmente con VPN o servidores proxy, la identificación de dispositivos ofrece una forma más fiable y persistente de reconocerlos. Funciona de forma pasiva, sin necesidad de almacenar datos en el dispositivo del usuario, y es más difícil de evadir. Se basa en un conjunto diverso de atributos que son difíciles de falsificar o replicar y que siguen siendo eficaces incluso cuando los elementos individuales cambian con el tiempo.

Esto lo hace especialmente eficaz para detectar y prevenir el fraude de apropiación de cuentas, ya que puede descubrir patrones de comportamiento sospechoso e intentos de ocultar la identidad del dispositivo, lo que proporciona una sólida capa adicional de seguridad en comparación con otros métodos de reconocimiento. Además, los atributos recopilados para la identificación del dispositivo se pueden utilizar para detectar señales de alerta, lo que indica a los usuarios potencialmente riesgosos, como el uso de navegadores sin interfaz gráfica o zonas horarias no coincidentes.

Cómo puede ayudar el reconocimiento de dispositivos

Una vez que pueda reconocer de forma fiable un dispositivo que regresa, podrá recordar dispositivos de confianza sin someter a los usuarios a controles de seguridad repetidos. Este reconocimiento conlleva varias ventajas:

• Ahorro de costos : reconocer el dispositivo de un usuario que regresa como confiable elimina la necesidad de enviar un SMS OTP para iniciar sesión en la cuenta, lo que reduce la frecuencia de los mensajes y disminuye los costos.
• Mejor experiencia de usuario : al identificar dispositivos confiables, los usuarios legítimos pueden omitir la verificación OTP, lo que garantiza un acceso más rápido a su sitio o aplicación y reduce la frustración.
• Mayor seguridad : garantizar la consistencia del dispositivo al iniciar sesión agrega una capa adicional de verificación oculta, protegiendo las cuentas de los clientes al dificultar que los estafadores imiten a los usuarios legítimos.
• Detección de riesgos : el análisis de los atributos del dispositivo puede identificar dispositivos sospechosos o de alto riesgo, lo que le permite bloquear amenazas potenciales y mejorar la seguridad general de la cuenta.

El uso de huellas dactilares del dispositivo en sus flujos de inicio de sesión no solo reduce los costos de SMS, sino que también fortalece la seguridad de la cuenta y mejora la experiencia del usuario.

Implementación técnica de alto nivel

En un nivel alto, integrar el reconocimiento de dispositivos significa incorporarlo en su flujo de inicio de sesión o verificación de usuario para identificar a los usuarios que regresan en función de las características de su dispositivo y navegador.

1. Identificar al usuario : ya sea que utilice herramientas de identificación de dispositivos personalizadas o un servicio pago, comience por recopilar características (como tipo de dispositivo, navegador, dirección IP, etc.) y combínelas para crear un identificador único.
2. Asignar puntajes de riesgo : para cada usuario, asigne un puntaje de riesgo en función de los atributos actuales y anteriores del dispositivo y de la coherencia de sus características. Estos factores pueden incluir puntos de datos como el uso de VPN, ubicaciones de IP inesperadas o atributos inusuales que indiquen el posible uso de herramientas de evasión.
3. Implementar la verificación condicional : omitir la verificación por SMS para los usuarios que inicien sesión desde dispositivos reconocidos como confiables para esa cuenta y libres de indicadores de riesgo. La verificación por SMS solo se activa para dispositivos nuevos o no reconocidos en la cuenta o cuando se detectan características de alto riesgo, como atributos de navegador sin interfaz gráfica, durante los intentos de inicio de sesión.

Deje de gastar de más en la verificación de usuarios por SMS

Al combinar las contraseñas de un solo uso por SMS con una capa de reconocimiento de dispositivos inteligentes, puede equilibrar la rentabilidad, la comodidad del usuario y la seguridad. El reconocimiento de dispositivos confiables reduce la dependencia de la verificación frecuente por SMS, lo que reduce los costos y mantiene una protección sólida.

A diferencia de las direcciones IP y las cookies, que se modifican o eliminan fácilmente, la identificación de dispositivos ofrece una forma más confiable y persistente de reconocer a los usuarios. Si bien los SMS por sí solos son costosos e inconvenientes, y omitir la verificación debilita la seguridad, agregar la identificación de dispositivos reduce los costos de los SMS, agiliza los flujos de inicio de sesión y fortalece la protección de las cuentas.