Fricción necesaria: Theatrics of UX Security

Publicado: 2022-07-22

Los diseñadores de UX generalmente se esfuerzan por hacer que los productos sean más fáciles de usar, pero hay circunstancias en las que agregar fricción mejora la seguridad del producto. Por ejemplo, la autenticación de dos factores hace que el inicio de sesión sea más lento pero puede reducir el robo de identidad. También hay ocasiones en las que implementar la fricción simplemente hace que los usuarios se sientan seguros: las barras de progreso animadas no protegen los datos personales, pero pueden cumplir con las expectativas del usuario sobre el mayor grado de potencia de procesamiento requerida en un entorno seguro.

Como gerente de diseño de productos para Freja, una empresa de seguridad digital bajo contrato con el gobierno sueco, busco rutinariamente formas de armonizar la usabilidad con la seguridad del usuario. A veces, eso significa incorporar características que los usuarios perciben como seguras. Por ejemplo, la mayoría de los productos digitales pueden calcular instantáneamente datos complejos, pero la investigación muestra que los tiempos de carga artificiales les dan a los usuarios la sensación de que un sistema avanzado está trabajando duro en su nombre. Por otro lado, si los diseñadores confían demasiado en características que solo parecen reforzar la seguridad (lo que se conoce como teatro de seguridad), pueden hacer que los usuarios crean que su información está más segura de lo que es.

Características que mejoran la seguridad de UX

La verificación de identidad es un aspecto crucial de la seguridad de UX. Desafortunadamente, los nombres de usuario y las contraseñas no son medidas de autenticación confiables: en 2021, el 85 % de los ataques de phishing se dirigieron a las credenciales de los usuarios. Para combatir esto, los diseñadores están implementando funciones de seguridad que aumentan el tiempo que tardan los usuarios en crear e iniciar sesión en una cuenta. Por ejemplo, la autenticación multifactor (MFA) requiere múltiples formas de identificación en el momento de la creación de la cuenta o el inicio de sesión. La mayoría de los productos que emplean MFA requieren que los usuarios proporcionen dos de tres credenciales:

  • Una forma de identificación, como un pasaporte o una licencia de conducir, o un método de pago, como una tarjeta de crédito
  • Información única, como una contraseña o PIN
  • Datos biométricos, como un rostro, una huella dactilar o un escaneo de retina

Una forma de simplificar la MFA y mantener a los usuarios seguros es exigir una selfie de documento en la que un usuario toma una foto o un video mientras sostiene una identificación oficial junto a su rostro. Una vez que se carga la selfie, las empresas hacen que un empleado examine la cara y la identificación del usuario para encontrar una coincidencia o usan algoritmos informáticos para determinar la autenticidad.

El reconocimiento facial se está convirtiendo rápidamente en una característica de seguridad popular en el inicio de sesión y más allá. Por ejemplo, algunas aplicaciones bancarias utilizan el reconocimiento facial para verificar la identidad de un usuario cuando desea acceder a los detalles de la cuenta, firmar documentos electrónicos o transferir fondos. Y aunque muchas personas usan solo el reconocimiento facial para desbloquear sus teléfonos inteligentes rápidamente, recomiendo implementar la tecnología como parte de una estrategia de MFA para aumentar la seguridad.

Una ilustración muestra la pantalla de inicio de sesión de una aplicación en un teléfono inteligente. El texto dice: “Bienvenido. Inicie sesión para comenzar.” Debajo hay campos para que los usuarios ingresen sus ID y contraseñas, así como botones para completar el proceso de inicio de sesión u obtener ayuda con la contraseña. Una superposición de la función Face ID muestra el contorno de una cara dentro de un marco.
Las medidas de seguridad que utilizan datos biométricos, como el reconocimiento facial, protegen mejor las identidades, la información y los fondos de los usuarios contra el robo.

Una manera fácil de verificar la identidad de un usuario es desconectarlo automáticamente a intervalos predeterminados que van desde media hora hasta unos pocos días. Si bien algunos pueden encontrar este método molesto, puede proteger a los usuarios que dejan una computadora portátil desatendida, pierden un teléfono inteligente u olvidan cerrar sesión en una computadora pública.

También habrá ocasiones en las que los usuarios deban verificar que son los propietarios legítimos de los documentos digitales, como boletos para eventos y recetas. Ayudé a Freja a diseñar un producto que vinculaba de forma segura la identidad digital de un usuario (verificada en nuestra aplicación) con su pasaporte de vacunas contra el COVID-19. Esto hizo que el pasaporte fuera mucho más difícil de falsificar que la versión en papel o la versión digital preexistente disponible en muchos países. En Suecia y Dinamarca, por ejemplo, los pasaportes de vacunas digitales no están conectados a otras formas de identificación y, por lo general, se accede a ellos a través de un código QR.

A pesar de los avances en la verificación digital, algunas empresas, incluidos ciertos bancos, aún requieren que los usuarios visiten un lugar físico para probar sus identidades, especialmente cuando solicitan un préstamo. En tales casos, los miembros del personal revisan cuidadosamente la apariencia del usuario y se aseguran de que coincida con las fotos en sus documentos de identificación. Algunos consideran este teatro de seguridad y argumentan que un empleado podría completar esta tarea sin la presencia del usuario. Pero las visitas en persona pueden ser una mejora de la seguridad porque protegen contra las falsificaciones de fotos y videos conocidas como falsificaciones profundas, que son cada vez más difíciles de distinguir de las imágenes auténticas. Además, una encuesta de AARP Research encontró que el 83 % de los adultos mayores de 50 años no están seguros de que su actividad e información en línea sean privadas. Proporcionar a estos usuarios la opción de que sus documentos sean revisados ​​en persona puede establecer una confianza y lealtad duraderas con el producto.

Muchos productos digitales también almacenan direcciones, información de contacto, métodos de pago e incluso historiales médicos de los usuarios. Dado lo que está en juego, puede pensar que implementar más medidas de seguridad conducirá a un producto más seguro, pero eso fácilmente podría crear una experiencia frustrante para el usuario. El contexto es crucial. Por ejemplo, si estuviera diseñando una aplicación de intercambio de criptomonedas, podría permitir que los usuarios vean los precios y las tendencias de los tokens sin iniciar sesión, ya que esa información es fácil de encontrar en Google. Pero cuando los usuarios deciden comprar o vender tokens, les pedirá que inicien sesión con MFA. Diferentes acciones requieren diferentes niveles de seguridad.

Teatro de seguridad que hace que los usuarios se sientan seguros

En algunos casos, los diseñadores confían en el teatro de seguridad para agregar fricción y dar a los usuarios una mayor tranquilidad. Esta práctica puede ser beneficiosa, a veces incluso necesaria, siempre que no sustituya las características de UX que realmente protegen a los usuarios.

Algunas empresas agregan tiempo innecesario a los procedimientos para que se sientan seguros. TurboTax ralentiza el procesamiento de información personal y financiera cuando un usuario está declarando sus impuestos. Las barras de progreso animadas junto con el texto en pantalla aseguran a los usuarios que el programa está revisando cada detalle para garantizar que se apliquen todas las exenciones fiscales posibles. Pero TurboTax ya ha estado verificando esos datos en cada paso.

Los investigadores que estudiaron el código fuente del sitio web de TurboTax descubrieron que los indicadores de progreso están predeterminados. Una vez que las animaciones comienzan a reproducirse, dejan de comunicarse con los servidores del sitio. Además, los indicadores de progreso son los mismos para todos los usuarios y siempre tienen la misma duración. El retraso, los gráficos y los mensajes son métodos teatrales destinados a aumentar la confianza de los usuarios de que están obteniendo la mayor devolución de impuestos posible, lo cual es aceptable ya que TurboTax también emplea cifrado de datos y autenticación multifactor.

Otras empresas agregan demoras similares en una variedad de interacciones. Wells Fargo redujo la velocidad de los escáneres de retina en su aplicación porque los usuarios no estaban seguros de estar funcionando cuando funcionaban a toda velocidad. Los controles de seguridad de la cuenta de Facebook en realidad tardan milisegundos en procesarse, pero obligan a los usuarios a esperar hasta 10 segundos. Las aplicaciones de hipotecas respaldadas por prestamistas, incluida una diseñada por Google Ventures, retrasaron sus procesos de aprobación de préstamos y agregaron barras de progreso falsas para las verificaciones de crédito porque los usuarios no confiaban en la aprobación instantánea.

Con la aplicación Freja eID, requerimos que los usuarios acerquen sus teléfonos a sus pasaportes con chip durante tres segundos para cargar la información a través de la comunicación de campo cercano (NFC). De hecho, la carga tarda menos de un segundo, pero pedirles a los usuarios que mantengan sus teléfonos estables durante más tiempo les hace sentir que el proceso es seguro. También introdujimos fricción en la selfie del documento: todo lo que necesitábamos era una imagen estática, pero los usuarios no estaban convencidos de que fuera seguro, así que agregamos el paso de hacer que giraran la cabeza hacia la izquierda y hacia la derecha.

Todas estas empresas, incluida Freja, han descubierto que el teatro de seguridad, respaldado por seguridad real, ha aumentado la confianza de los usuarios. Mientras trabaja en proyectos de seguridad de UX para sus clientes, recuerde que los modelos mentales de muchos usuarios aún no han alcanzado el ritmo vertiginoso de la tecnología moderna. Ralentizar las cosas puede ayudar a los usuarios a sentirse seguros de que un producto es seguro.

Un gráfico muestra una captura de pantalla de la barra de progreso falsa de TuboTax, que dice: "Comprobación doble de todas las exenciones fiscales posibles... Le estamos dando cada dólar que se merece al asegurarnos de que no nos perdemos nada". Se muestran barras de estado para deducciones, créditos y análisis. La imagen también presenta un ícono de una mano que recibe dinero.
Una representación ilustrada de la barra de progreso y el mensaje de estado falsos de TurboTax, que es idéntico para todos los usuarios y siempre aparece durante el mismo período de tiempo. El tiempo de retardo, el gráfico y el texto son ejemplos de teatro de seguridad que pueden aumentar la confianza de los usuarios en la seguridad de un producto.

UX y fricción: una relación simbiótica

La seguridad de UX es un espectro, y los usuarios tienen expectativas específicas de cómo debería ser la seguridad: enviar un mensaje de redes sociales debe ser rápido y simple. Transferir $10,000 a la cuenta bancaria de otra persona no debería hacerlo.

En el diseño de interacción, el flujo a menudo se prioriza con la intención de ayudar a los usuarios a completar sus objetivos lo más rápido posible, pero no descarte la importancia de la fricción reflexiva que aumenta la confianza y protege la información valiosa de los usuarios.

Lectura adicional en el blog de Toptal:

  • Seguro por diseño: una descripción general de la seguridad de UX
  • Cómo diseñar para obtener la máxima confianza en el producto
  • Clasificación de tarjetas: mejor arquitectura de la información al alinearse con los modelos mentales de los usuarios