Introducción a seguridad en Experiencia de Usuario

En un mundo digital y en línea, somos expuestos constantemente a interacciones con procesos que requieren autenticación de parte del usuario para posibilitar la concreción de dichos procesos. Un ejemplo básico y muy común es nuestra conexión a Internet: si estamos conectados por medio de un cable LAN, normalmente no necesitaremos ingresar claves ni contraseñas. Sin embargo, si usamos la misma conexión, sólo que por vía de un enlace Wi-Fi, probablemente necesitaremos identificar la red, y luego ingresar la contraseña para dicha red. Esto puede hacerse sólo una vez, o cada vez que nos conectemos, dependiendo de nuestra configuración de seguridad.
Partiendo de este ejemplo muy simple y común, podemos tomar nota de la gran cantidad de procesos de autenticación a los que nos vemos expuestos en forma cotidiana: desde revisar nuestros correos electrónicos y visitar nuestras redes sociales hasta ingresar a nuestras cuentas bancarias, declaraciones impositivas, historiales médicos, etc.
Toda esta gran cantidad de posibilidades de hacer determinadas tareas, satisfacer necesidades, divertirnos, etc, conlleva a su vez una gran cantidad de cargas cognitivas para el usuario, que no sólo debe entender la experiencia (normalmente a través de una interfaz electrónica) a la que se verá expuesto/a, sino que primero deberá trasponer una cierta cantidad de barreras de seguridad.
Por lo general, estas barreras normalmente están más o menos interiorizadas en nosotros, y en ocasiones tenemos forma de superar esta barrera en forma momentánea por medio de la opción de “recordar datos”. No obstante lo cual, la adición de más procesos de autenticación va generando una obvia carga cognitiva que no podemos (ni debemos!) pasar por alto.
Un ejemplo muy simple
Revisemos nuestras redes sociales desde un dispositivo móvil. Para no tener que aclarar cada vez, vamos a suponer que no tenemos datos guardados y/o que es nuestra primera exposición a cada uno de los procesos referidos.
- Primero que nada, debemos ingresar a nuestro dispositivo, para lo cual deberemos realizar alguna tarea previa: ingresar una clave numérica, un patrón, nuestras huellas digitales, etc
- Luego, como ya vimos más arriba, debemos conectarnos a la red wi-fi; o sea: localizar nuestra red entre un grupo de redes disponibles e ingresar los datos requeridos.
- Posteriormente, debemos ingresar un usuario y clave para acceder a nuestra red social
Como podemos ver, 3 procesos de autenticación completamente diferentes en la más simple y cotidiana de nuestras actividades.
Tipos de autenticación
Aunque estemos tentados de pensar que autenticación es sólo usuario y contraseña, hay muchísimos tipos de autenticación. En el ejemplo anterior pudimos ver como hasta el proceso más simple y común, puede tener distintos tipos de autenticación.
Por esta razón, no vamos a mencionar a todos. Primero, porque es imposible. Segundo, porque no nos sirve de nada saber que existe Shiva PAP, RADIUS o SSO si no tenemos idea de qué son, para qué sirven y cómo se usan. Finalmente, los detalles técnicos de estas tecnologías tienen poca relación con la experiencia de usuario (sin embargo, la correcta elección de un tipo de autenticación sobre otro puede tener efecto sobre la experiencia resultante).
Entonces, aunque no nos es posible nombrar todos los métodos existentes, es posible categorizar los incontables métodos existentes en taxonomías más amplias. Aunque incluso así es muy difícil mencionar todas estas taxonomías ya que los distintos métodos pueden (suelen) ser híbridos, podemos intentar definir de modo más o menos global los siguientes tipos:
Autenticación por Contraseña
Este es el tipo más común: el usuario es identificado de algún modo, (usualmente ingresando un nombre de usuario), y el sistema requiere una contraseña. El texto en negrita es sumamente importante. Si tomamos el ejemplo de ingresar a nuestro teléfono celular, es fácil ver que podemos ingresar una contraseña, sin embargo no vamos a ingresar un nombre de usuario. En resumen: el componente principal de este tipo de autenticación es la contraseña, ya que la identificación del usuario puede realizarse por distintos medios.
Autenticación por medios físicos
Este tipo de autenticación requiere de al menos dos componentes, uno físico y otro virtual. Los ejemplos más comunes son una tarjeta con banda magnética, o una llave electrónica. Al hacer uso de los mismos, el sistema verificará nuestra identidad y nos permitirá (o denegará) la concreción de una acción.
Es muy común combinar este tipo de autenticación con la autenticación por contraseña mencionada más arriba, lo que genera otro tipo de autenticación conocido como AMF, la cual veremos a continuación. Por ejemplo, en un cajero automático deberemos ingresar nuestra tarjeta en una ranura provista a tales efectos. Una vez el sistema nos identifica como posibles usuarios autorizados*, nos pedirá una contraseña, la cual será contrastada contra una base de datos para darnos el acceso requerido.
*El hecho de ser portadores de una tarjeta de acceso no significa que somos usuarios autorizados necesariamente, sólo que una parte del proceso ha sido empezada en forma satisfactoria. De la misma manera, no ser capaces de finalizar el proceso no significa que no estemos autorizados, por lo que el estado es siempre ambiguo.
Autenticación de Múltiples Factores
Este tipo de autenticación, también conocido como AMF (en caso de más de dos factores, caso contrario se denomina A2F), es la que requiere dos o más pruebas de identidad. Por ejemplo, una identificación por contraseña y un segundo paso en que se pide un dato que presumiblemente sólo el usuario va a conocer.
Autenticación Biométrica
Este tipo de autenticación es la que identifica al usuario por medio de características biométricas únicas. Por ejemplo, el caso ya mencionado de usar la huella dactilar del usuario, escaneo de retina, reconocimiento por voz, etc.
Este tipo de identificación es el más seguro, pero a la vez el más difícil y costoso de implementar, por lo que es más común verlo en dispositivos que en entornos web.
Autenticación Tácita
En este caso, no estamos hablando de un tipo per se, sino del proceso en sí. Más concretamente: en todos los otros tipos de autenticación, el proceso consiste en la identificación del usuario (Proceso 1). Si esta identificación es positiva, el sistema nos permitirá realizar una tarea determinada (Proceso 2).
Por el contrario, la autenticación tácita nos identifica por el hecho de realizar la tarea. Para entenderlo de manera más simple, tomemos el ejemplo de una tarjeta de viaje en transporte: el usuario no debe identificarse de ninguna manera en particular, pero al usar la tarjeta, será identificado, descontándose el monto del viaje de su cuenta.
Autenticación y Autorización
El último tipo de autenticación nos introduce al concepto de “Autorización vs Autenticación”. Aunque es muy común confundirlas, no son la misma cosa, y en Experiencia de Usuario es necesario comprender los alcances de este concepto. La no-delimitación de alcances de autorización para diferentes niveles de usuario puede ser muy problemática y es muy difícil de solucionar si se hace incorrectamente.
Básicamente, podemos simplificar en que el proceso de identificar un usuario está completamente separado del proceso que define los roles y capacidades del usuario dentro del sistema. De hecho, se programan en forma separada y pueden existir el uno sin el otro.
Un ejemplo simple
Juan que es un usuario del paquete cobre ingresa al área de clientes del Sitio A. El sistema identifica a Juan positivamente, y al reconocerlo como usuario del paquete cobre, le permite realizar las tareas denominadas Tarea1, Tarea2 y Tarea3.
María es una usuaria del paquete oro ofrecido por el Sitio A. El sistema identifica a María positivamente, y al reconocerla como usuaria del paquete oro, le permite realizar las tareas denominadas Tarea1, Tarea2, Tarea3, Tarea4, Tarea5 y Tarea6.
Pedro es el administrador del Sitio A. El sistema identifica a Pedro positivamente, y al reconocerlo como administrador, le permite realizar todas las tareas posibles dentro del sistema.

Administrador UXpañol.com
Diseñador Gráfico y UX Evangelist
Experto en Experiencia de Usuario, habiendo trabajado para distintas empresas Fortune 500, gobiernos, personalidades, etc
One thought on “Introducción a seguridad en Experiencia de Usuario”
Comments are closed.