Onboarding digital: lo que tenés que saber antes de embarcarte
Hace tiempo que en Flux IT venimos implementando diferentes “matices” de onboarding digital para nuestros clientes en diversas industrias. Tanto desde el punto de vista técnico como desde la experiencia de usuario, trabajar sobre este proceso implica varios desafíos y consideraciones. Si estás pensando en una solución de este tipo, lo que sigue te va a interesar.
Primero lo primero: ¿qué es el onboarding digital?
Es el proceso de identificación para que una persona pueda utilizar un servicio determinado de manera 100% digital, evitando la necesidad de presencia física. La diferencia respecto de cualquier registro de usuario, está en que el onboarding digital busca un nivel superior de autenticación de acuerdo a la criticidad del servicio que se está ofreciendo.
La pregunta que lo define todo: ¿qué estamos buscamos?
Cuando construimos una aplicación definimos mucha funcionalidad (cada una con su nivel de criticidad), tanto para el usuario final como para el proveedor del servicio. Lo que buscamos es un punto de equilibro para brindar tranquilidad a las dos partes. En un proceso de onboarding digital existen también varios elementos que pueden utilizarse para aumentar los niveles de confianza sobre el usuario de la aplicación.
Usuario y contraseña
Es el nivel básico de autenticación. El cliente define un nombre de usuario, un email (que será validado) y una contraseña con alguna política específica, para aumentar la seguridad. En este nivel podría darse el caso de que la misma persona física se registrará más de una vez, ya que no tenemos forma de unirla con el usuario virtual.
Login social
Es un nivel de autenticación similar al de usuario y contraseña (con las mismas características), pero que disminuye al máximo la fricción con el usuario, ya que evita el proceso de sign up o permite achicarlo bastante.
Validación por SMS o llamada
Consiste en el envío de un código por SMS o por llamada telefónica ( es el que usa WhatsApp y Telegram). Agrega un nivel adicional de autenticación, ya que el usuario creado sólo puede estar asociado a un número de teléfono. Más allá de que cualquiera puede tener más de una línea, no es lo más común entre los usuarios con dispositivos móviles.
Códigos de referencia
Los códigos de referencia no solamente se utilizan para una monetización por la referencia para el uso. También suelen usarse para iniciar la posibilidad de registro a un servicio, y su seguridad está atada a cómo es la obtención de este código. Por ejemplo, la posibilidad de enrolar a tokens un dispositivo se habilita si alguien previamente sacó un código por ATM con su tarjeta de débito; o el link de acceso a la página de registro con una dirección prefijada enviada por un tercero.
Análisis de identificación personal
Cuando necesitamos que haya unicidad entre la persona y el nombre de usuario (un caso habitual en los servicios financieros), se suelen utilizar directa o indirectamente, en Argentina, los servicios del RENAPER (Registro Nacional de las Personas). Se le pide al usuario captura del frente y dorso de su DNI (Documento Nacional de Identidad), junto con una selfie. A través de la API que proveen podemos verificar que la persona es quien dice ser.
Biometría con señales de vida
El análisis de la identificación personal no evita que alguien que tenga la selfie y las capturas del DNI pueda registrarse haciéndose pasar por otra persona. La biometría usa Inteligencia Artificial para solicitarse al usuario que, haciendo uso de la cámara frontal del celular, haga ciertos movimientos (como guiñar un ojo o mover la cabeza), pudiendo confirmar que la misma persona que se identificó con el DNI es la que está realizando la operación.
Agilidad vs seguridad
Es notable que, a medida que aumentamos los niveles de autenticación requeridos para un servicio, el tiempo de registro aumenta y también las posibilidades de fallo. ¿Realmente necesitamos todos estos niveles?
Las aplicaciones suelen disponer de funcionalidad variada, y cada una con un nivel de criticidad diferente. Un buen approach a trabajar desde la experiencia de usuario es pedir estos niveles de enrolamiento de manera escalonada y gamificada, logrando un ingreso rápido a la aplicación e invitando luego a los usuarios a destrabar funcionalidad mediante otros nivel de autenticación.
Acá es importante que los usuarios perciban que están usando un sistema seguro que se ocupa de proteger sus datos y su propia identidad. Sin embargo, también esperan que ese mismo sistema los guíe adecuadamente y de la manera menos burocrática posible.
Según el negocio que estemos resolviendo, se suele elegir un combo de validaciones acorde. No siempre todas las validaciones que mencionamos tienen sentido. Por ejemplo, un banco tradicional suele tener a la persona ya identificada, y solo quiere identificar el delta, por ejemplo, un token (OTP) para transferencias. Mientras que a una empresa como Uber o WhatsApp sólo le interesa la coincidencia de una persona virtual con un número de teléfono.
Productos: ¿qué nos ofrecen?
Hay varias alternativas a la hora de implementar estas soluciones; y cada una requiere, como siempre, un análisis de time-to-market y costos, a lo que agrego la customización de la experiencia del usuario.
Hay una tendencia a sobredimensionar la implementación de este tipo de soluciones, analizando previamente grandes productos, y cayendo muchas veces en la trampa de hacer mucho más de lo que realmente el negocio necesita. No digo que los productos sean malos (todo lo contrario), sino que es muy importante entender el negocio y los flujos que le queremos dar a los usuarios finales.
Si hablamos de soluciones de identity management, hoy en día Auth0 se destaca: como SaaS, es una solución fácilmente integrable que nos brinda muchas de las características y personalizaciones más buscadas. Si necesitamos una opción onpremise, KeyCloack es un excelente producto, tal vez con una curva de aprendizaje más alta.
Cuando nos referimos a soluciones más integrales, que incluyen biometría con prueba de vida (entre mucha otra funcionalidad), en Flux IT hemos tenido una buena experiencia usando VU Security y FacePhi. Ambos permiten un gran time-to-market, siempre y cuando nos atengamos a los flujos predefinidos y a la experiencia visual y de uso que proponen (al momento de querer customizarlas, estamos atados a las posibilidades que nos da cada producto).
La opción de gestionar la seguridad por cuenta propia de manera ad-hoc, integrando Oauth2 contra un login social o yendo directamente contra la API del RENAPER, es una opción totalmente válida y adoptada por muchas empresas. A fin de cuentas, tiene que ver con la estrategia de desarrollo de cada organización.
Para finalizar, no quiero perder la oportunidad de mencionar que, en los tiempos que corren, es necesario analizar todas estas soluciones en el marco de la infraestructura. Cada vez se están ofreciendo más servicios SaaS de autenticación y autorización íntegramente en Cloud, que no necesariamente son menos seguros. Como ya mencioné, Auth0 es una posibilidad; pero también existen otras alternativas PaaS , totalmente out-the-box (como por ejemplo, Mati). También podemos considerar servicios más específicos de IA, como Amazon Rekognition o IBM Watson, entre otros.
La transformación digital está llenando de alternativas el mercado, y es muy importante priorizar y analizar qué es lo que buscamos antes de definir la arquitectura de nuestra solución. Los usuarios están demandando cada vez más operar digitalmente, y el acceso a ese mundo tiene que ser sencillo, eficaz y seguro.