Cómo reducir la fricción de UX en el desarrollo de productos seguros

Publicado: 2022-07-22

En el desarrollo de productos, la apariencia a menudo termina acaparando toda la atención. Una interfaz de usuario agradable es importante, pero UX es lo que hace o deshace su producto.

Como gerente de producto, paso la mayor parte de mi tiempo pensando en cómo reducir la fricción en toda la experiencia de usuario. Con eso me refiero a reducir la cantidad de pasos que un usuario final debe tomar para lograr sus objetivos o reducir la complejidad de esos pasos. Una aplicación de comercio electrónico que lo obliga a pasar por tres medidas de seguridad para realizar una compra no funcionará tan bien como una aplicación que requiere solo una.

Sin embargo, la baja fricción no puede darse a expensas de la seguridad para las organizaciones que mantienen datos confidenciales de los clientes, como instituciones financieras y compañías de seguros.

Debido a que la facilidad de uso y la seguridad de los datos personales suelen estar en desacuerdo, encontrar el equilibrio adecuado puede ser complicado. Aquí está cómo hacerlo.

La antigua batalla entre la seguridad y la comodidad

Durante décadas después del nacimiento de la tarjeta de crédito en la década de 1950, los emisores que desconfiaban del fraude exigían a los comerciantes que los llamaran cada vez que una transacción excedía el "límite mínimo", el monto máximo que un titular de la tarjeta podía cargar sin autorización previa. Eso es mucha fricción para un consumidor que espera comprar un auto nuevo o un refrigerador. Como resultado, al establecer límites mínimos, los bancos y las compañías de tarjetas de crédito tenían que sopesar su apetito por el riesgo frente a la tolerancia de los consumidores a las molestias.

Un cliente con un límite de crédito de $10,000 probablemente tenga más valor para un banco y mayores expectativas de servicio que uno con un límite de $1,000. Puede decidir aumentar el límite mínimo para este tipo de cliente para minimizar la fricción que experimentan. Pero, ¿y si esas cuentas de mayor valor también son más vulnerables al fraude? Podría terminar introduciendo un nivel de riesgo que dañaría más sus resultados que la pérdida de algunos de esos clientes.

Avance rápido a la era digital y este vaivén de demandas competitivas permanece, aunque con amenazas que cambian rápidamente y consumidores menos pacientes. No existe una fórmula exacta para conciliar estas demandas, por lo que los gerentes de producto que trabajan en software y aplicaciones necesitan calibrar constantemente su UX para mantener la fricción y la seguridad en equilibrio.

Menos fraude no siempre significa más ganancias

En la mayoría de las aplicaciones y el software seguros, hay dos grupos de clientes a los que los gerentes de producto deben atender:

  1. La organización que prioriza la mayor protección posible.
  2. El usuario final que quiere una UX de producto perfecta.

Un banco, por ejemplo, preferiría una protección del 100 % contra el fraude por muchas razones, entre ellas:

  • La satisfacción del cliente.
  • Reducción de pérdidas por fraude.
  • Reputación de la marca.
  • Minimización de ciberataques.

Por otro lado, el usuario final tiene requisitos competitivos: quiere un acceso fácil y rápido a su cuenta. Eso no sucederá si la UX del banco está diseñada para una protección contra el fraude del 100 %.

En cambio, el usuario final encontrará mucha fricción cada vez que use la aplicación. Por ejemplo, después de ingresar una contraseña, es posible que el usuario deba ingresar un código de autenticación de dos factores enviado a su teléfono, seguido de un escaneo biométrico o un desafío CAPTCHA. El tiempo de retraso resultante podría llevar a algunos usuarios a reducir el uso de la aplicación o, peor aún, a buscar un nuevo banco. En este escenario, el banco habrá ahorrado dinero en pérdidas por fraude pero habrá perdido dinero en su base de clientes cada vez más reducida.

Para complicar las cosas, diferentes usuarios finales pueden tener diferentes umbrales de cuánta fricción tolerarán antes de buscar otro proveedor de servicios.

Un icono que representa un banco está etiquetado con el texto "El banco quiere una aplicación segura". Un icono que muestra un teléfono móvil está etiquetado con el texto "El usuario quiere una experiencia perfecta".
Las necesidades del cliente y las preferencias del usuario a menudo están en desacuerdo.

Bloquee los objetivos, los costos y la tolerancia al riesgo del cliente

Ahora que hemos establecido que intentar brindar una protección contra fraudes del 100 % no tiene sentido comercial, debemos determinar qué lo tiene. Comencemos con los recursos del banco: dinero y personas.

Primero, identifique la tasa de fraude actual del banco y cuántas pérdidas puede absorber. También sopese los ahorros netos que espera obtener con este nuevo producto frente al costo de desarrollarlo y mantenerlo. (Es posible que descubra que la protección contra el fraude cuesta más que el fraude en sí).

A continuación, averigüe cuántos casos sospechosos y "falsos positivos" puede procesar el personal del banco por día. Los falsos positivos ocurren cuando el banco elimina o restringe la cuenta de un usuario debido a un error de cálculo del riesgo. Estos falsos positivos aumentan la fricción para el usuario, agotan el tiempo de los empleados del banco y, en última instancia, pueden dañar la reputación de la marca.

Puede comenzar a evaluar su producto una vez que haya bloqueado lo que el banco puede permitirse gastar o perder en dinero y mano de obra. Con esta información, puede determinar qué puntos de datos recopilar de los usuarios finales para calcular su puntuación de riesgo de fraude en tiempo real.

Identificar qué datos recopilar de los usuarios finales

El software y las aplicaciones seguras verifican:

  • Quien eres. Estos son sus comportamientos, que incluyen cosas como sus ubicaciones de inicio de sesión o movimientos del mouse.
  • Que tienes. Estos son los dispositivos que están registrados a tu nombre o que usas regularmente.
  • Lo que sabes. Esto incluye contraseñas, preguntas de seguridad, cumpleaños y otra información personal.

Una vez que el software recopila esta información, los modelos de aprendizaje automático utilizan las entradas de cada categoría para asignar al usuario un perfil de riesgo de fraude. En función de este perfil, una organización puede decidir si permite el acceso, deniega el acceso, solicita más autenticación, restringe la funcionalidad o cualquier combinación de esas opciones.

Como gerente de producto, es tentador recopilar la mayor cantidad de información posible. Sin embargo, esta no es siempre la mejor práctica. Esto se debe a que cuanta más información recopile de cada usuario, más tiempo y recursos se necesitarán para calcular la puntuación de riesgo en el back-end. Esto, a su vez, aumenta el tiempo de retraso para el usuario, es decir, más fricción.

En su lugar, comience con los indicadores que parecen ser los indicadores más simples de la identidad de un usuario, como la ubicación, los dispositivos conocidos y las contraseñas. Luego, piense en las formas en que un actor malicioso podría eludir esos indicadores. Los delincuentes sofisticados podrían falsificar la ubicación y el dispositivo de un usuario, y pueden tener acceso a contraseñas comprometidas a través de filtraciones de datos o ataques de malware. Para cerrar esas lagunas, también puede analizar los movimientos del mouse o verificar si el usuario ha realizado compras similares en el pasado.

Antes de agregar un nuevo indicador, compare su impacto en la prevención del fraude con los costos iniciales de agregarlo al producto. También debe tener en cuenta los costos laborales y financieros recurrentes que conllevan los cálculos adicionales y el almacenamiento de datos.

Recuerde que encontrar el conjunto correcto de indicadores es un ejercicio de prueba y error. La única forma de determinar verdaderamente el beneficio de cada indicador es sumando y restando cada uno de ellos, monitoreando el impacto de cada combinación en su tasa de fraude y la experiencia del usuario tanto para el cliente como para los usuarios finales.

Incruste con clientes para examinar sus indicadores

Si bien el cliente puede priorizar la reducción del fraude, la usabilidad para sus propios empleados (como los analistas de fraude) también es importante en el back-end. Por lo tanto, es aconsejable asegurarse de que los puntos de datos que planea recopilar los ayuden y no los obstaculicen.

Un marco de pensamiento de diseño es un enfoque útil para los productos que sirven a dos conjuntos de usuarios. Está centrado en el ser humano más que en el problema y pide a los diseñadores que se identifiquen con los usuarios para que puedan imaginar sus necesidades futuras. El pensamiento de diseño puede ayudar a los gerentes de productos a desarrollar un producto dinámico que sirva a intereses contrapuestos, en este caso, seguridad y conveniencia.

Invertir en la etapa de empatía significa hacer preguntas e integrarse en el flujo de trabajo diario de su cliente. Eso le permite interactuar con RFP para pronosticar cambios en el mercado y ver cómo los datos del cliente se alinean con su panorama de amenazas en tiempo real. Una vez que comprenda estos desafíos estratégicos y tácticos, puede comenzar el desarrollo.

Planee pasar el mayor tiempo posible con su cliente durante las fases de desarrollo y prueba. Si bien la retroalimentación le dará una idea de la lista de deseos del cliente, la observación lo ayuda a identificar errores de comunicación, lagunas de conocimiento y fallas de diseño que no aparecerán en el autoinforme.

La vigilancia es bastante simple si es un gerente de producto interno que comparte espacio de oficina con analistas de fraude. Si es un consultor o un trabajador externo, deberá programar visitas al sitio con la mayor frecuencia posible. Si viajar no es una opción, las sesiones virtuales con pantalla compartida valen la pena.

Comuníquese semanalmente con los analistas de fraudes una vez que su producto esté en funcionamiento para asegurarse de que el diseño de UX les sirva, especialmente cuando lanza nuevas funciones: ¿Por qué realizan las tareas en un orden determinado? ¿Qué sucede cuando hacen clic en un botón en particular? ¿Cómo reaccionan cuando reciben una notificación? ¿Qué cambios están notando en su trabajo diario?

Recopile sus datos

La tecnología de recopilación de datos permite a las organizaciones aprovechar cientos de puntos de datos para verificar la identidad de un usuario. También ayuda a los sitios y aplicaciones de comercio electrónico a adaptar la experiencia de un usuario a su perfil demográfico. Un usuario que se ajusta a un determinado perfil puede incluso obtener ofertas personalizadas o activar asistencia automatizada.

Entonces, ¿cómo funciona esto en las aplicaciones de seguridad?

  • Navegadores web: cada vez que un usuario navega a un sitio protegido en un navegador, los "recolectores" de JavaScript incorporados recopilan información de identificación. Esto podría incluir puntos de datos como ubicación, detalles del dispositivo y movimientos del mouse.
  • Aplicaciones nativas: las aplicaciones nativas están diseñadas para una plataforma de dispositivo específica, como iOS o Android. Al acceder a un servicio desde un dispositivo móvil, estas aplicaciones utilizan kits de desarrollo de software (SDK) para recopilar información de identificación, que puede incluir toques y deslizamientos con los dedos en lugar de movimientos del mouse.

Sus modelos de aprendizaje automático luego asignarán una puntuación de riesgo de fraude basada en el patrón general que forman estos puntos de datos. Si la puntuación de riesgo está por encima del promedio, tiene sentido introducir más fricción en forma de autenticación de dos factores o preguntas de seguridad. Sin embargo, si demasiados de sus usuarios activan pasos de verificación adicionales, podría ser el momento de reconsiderar su umbral de riesgo o su estrategia de recopilación de datos.

Siga reduciendo la fricción del usuario final

Una vez que su producto esté en funcionamiento, realice un seguimiento de las quejas de los usuarios finales registradas en los centros de atención telefónica o a través de las tiendas de aplicaciones para descubrir puntos débiles y sugerencias para mejorar. Incluso las mejores pruebas previas al lanzamiento no detectarán todos los puntos de fricción, y los nuevos sistemas operativos y lanzamientos de dispositivos pueden causar complicaciones inesperadas que ralentizan a los usuarios finales.

Para las empresas basadas en el comercio electrónico, los costos de estas ralentizaciones son evidentes. En 2022, el Instituto Baymard estimó que el 17 % de los abandonos evitables de carritos se debieron a un proceso de pago demasiado largo o complicado; un 18% adicional de los encuestados culpó a la falta de confianza en la seguridad de la información de su tarjeta de crédito. Baymard estima que el pago lento y la falta de confianza en la seguridad del sitio se encuentran entre un conjunto de factores que contribuyeron a $260 mil millones en ventas perdidas en los EE. UU. y la UE. Eso presenta una oportunidad increíble para que los gerentes de productos de comercio electrónico reconsideren sus soluciones de punto de venta. Pero sin importar su industria, reducir la fricción del usuario y garantizar la confianza en su protección de datos debe ser una práctica continua que puede generar clientes más felices e importantes innovaciones comerciales.

Un gráfico de barras que muestra los motivos de los abandonos de carritos evitables durante el pago. Los valores incluyen: costos adicionales demasiado altos, 48%; Se requiere creación de cuenta, 24%; Entrega demasiado lenta, 22%; La seguridad del sitio se siente poco confiable, 18%; Pago demasiado complicado, 17%; Costo total poco claro, 16%; errores del sitio web, 13%; Política de devoluciones demasiado estricta, 12%; Métodos de pago limitados, 9%; Tarjeta rechazada, 4%.
Los procesos de pago complicados y la falta de confianza en la seguridad del sitio representaron el 35 % de los abandonos de carritos evitables en 2022.

Aquí hay dos ejemplos de reducción exitosa de la fricción en el desarrollo de productos seguros:

3DS

A fines de la década de 1990, Visa y Mastercard se unieron para crear el protocolo de seguridad de pagos seguros 3D (3DS). Lanzado en 2001, el protocolo original requería que todos los usuarios registraran sus tarjetas con 3DS e iniciaran sesión en cada pago con una contraseña 3DS dedicada. Si un usuario no podía recordar su contraseña de 3DS, debía recuperarla o restablecerla antes de completar su compra. En una versión posterior, los emisores de tarjetas tenían la opción de reemplazar la contraseña estática olvidada con frecuencia por una contraseña dinámica de un solo uso (OTP). Sin embargo, el paso de inicio de sesión adicional siguió dificultando el proceso de pago.

Los desarrolladores de 3DS tomaron nota de esta fricción persistente y, en 2016, lanzaron 3DS 2.0, que incluye un componente SDK que permite que las aplicaciones incrusten el elemento 3DS en su código. 3DS 2.0 se adapta mejor a las transacciones móviles y analiza más puntos de datos para generar una evaluación de riesgos más precisa. Como resultado, solo un pequeño porcentaje de usuarios de 3DS 2.0 necesita realizar un paso de autenticación adicional, a menudo en forma de OTP.

Imagen que compara los procesos 3DS antiguos y nuevos. El 3DS original requería que todos los compradores autenticaran sus identidades con contraseñas estáticas, que a menudo se ingresaban en una ventana emergente o en un sitio de redirección. El proceso de 3DS 2.0 muestra más pasos de autenticación que ocurren automáticamente y en paralelo con el proceso de pago del comprador, en lugar de ralentizarlo. Estos pasos de autenticación incluyen íconos que representan la ubicación del comprador, los dispositivos, el historial de compras, la compra actual, la zona horaria y la biometría.
3DS 2.0 utiliza funciones de autenticación pasiva que liberan a la mayoría de los compradores de pasos adicionales durante el pago.

Uber

3DS 2.0 es un ejemplo de cómo reducir la fricción del producto a través de la iteración. Pero también puede reducir la fricción a nivel de la industria mediante la introducción de productos disruptivos.

El modelo de negocio de Uber se basa en restar fricción a un viaje en taxi tradicional. Con Uber, ya no tendrás que esperar en espera con un servicio de taxi ni hurgar en tu billetera al final de tu viaje.

Un proceso de pago fluido fue clave para el éxito inicial de la empresa, pero conllevaba algunos riesgos. Cada vez que Uber procesa automáticamente una transacción en una tarjeta de crédito almacenada en su aplicación, corre el riesgo de una devolución de cargo (en la que el titular de la tarjeta disputa una transacción y recibe un reembolso).

Sin embargo, Uber calculó que el costo de estas posibles devoluciones valía la pena para optimizar la experiencia del usuario. Si un usuario tuviera que buscar una tarjeta de crédito o ingresar una contraseña cada vez que llama para pedir un viaje, todo el negocio podría haber fallado. En cambio, Uber aceptó el riesgo por fricción y el servicio despegó.

En ambos ejemplos, un enfoque de gestión de productos centrado en el usuario que también sopesó la seguridad y el riesgo dio como resultado innovaciones revolucionarias y rentables.

El mejor mantenimiento es una buena ofensa

Los fraudes quieren estar un paso por delante de los equipos de productos. Mientras que otros tipos de desarrollo pueden reaccionar a los requisitos cambiantes, los proyectos de software seguro deben anticiparlos. Esto significa que los gerentes de productos deben leer la literatura de la industria y aprovechar los datos de múltiples clientes para aprender de las infracciones de seguridad pasadas y las desviaciones exitosas.

Su equipo de producto debe proporcionar informes regulares sobre el panorama de amenazas y compararlos con las experiencias y los requisitos de su cliente. No todas las amenazas nuevas justificarán una actualización del producto. Tal vez su equipo haya identificado un nuevo tipo de ataque contra el que su UX no protege, pero una discusión con su cliente revela que no es relevante para su entorno de amenazas: un cliente bancario en Sudáfrica puede estar lidiando con una erupción de fraude de intercambio de SIM, mientras que otro en Nueva York podría estar experimentando más ataques de piratas informáticos que utilizan VPN. En la mayoría de los casos, no sería rentable, e introduciría fricciones de UX innecesarias, para proteger a ambos bancos de ambos tipos de fraude.

Como gerente de producto, su función requiere ajustar constantemente las características para asegurarse de que no está intercambiando seguridad por una experiencia de usuario placentera o viceversa. Y aunque necesitará muchos datos para comprender realmente las necesidades de sus clientes y usuarios finales, el resto de este acto de equilibrio es una mezcla de prueba, error y arte.