Guía de claves de acceso para portales de clientes de seguros
Claves de acceso para portales de clientes de seguros: reduzca el ATO, recorte los costes de OTP y modernice la MFA de los asegurados en aseguradoras reguladas con CIAM heredado.
Esta página se tradujo automáticamente. Lee la versión original en inglés aquí.
- Las pérdidas por account takeover en los seguros se están acelerando: el NYDFS impuso una multa combinada a ocho aseguradoras de automóviles de 19 millones de dólares estadounidenses en octubre de 2025 por no aplicar la MFA en los sistemas de cotización públicos, lo que permitió ataques de credential stuffing sobre los datos de los conductores.
- Los costes de OTP por SMS a escala de aseguradora alcanzan entre 0,01 y 0,05 dólares estadounidenses por mensaje; una aseguradora con 5 millones de asegurados que inician sesión dos veces al mes gasta entre 1,2 y 6 millones de dólares estadounidenses al año solo en la entrega de OTP, antes de tener en cuenta los fallos de entrega y las llamadas de soporte.
- Los restablecimientos de contraseñas y las llamadas de soporte de MFA representan aproximadamente entre el 20 y el 40 % del volumen de los centros de llamadas de seguros, con un coste de cada llamada de entre 5 y 25 dólares estadounidenses, dependiendo del tiempo del agente y los pasos de verificación de identidad.
- El despliegue de claves de acceso de Aflac logró 500.000 inscripciones con una tasa de éxito de inicio de sesión del 96 %; Branch Insurance observó que los tickets de soporte de los agentes disminuyeron aproximadamente un 50 % tras el lanzamiento.
- Los datos de la FIDO Alliance muestran que las claves de acceso aumentan la conversión de inicio de sesión en 30 puntos porcentuales; HealthEquity fue más allá y convirtió las claves de acceso en obligatorias para todos los usuarios en otoño de 2025 sin posibilidad de exclusión (opt-out).
1. Introducción#
Los portales de clientes de seguros están bajo presión desde múltiples direcciones a la vez. El riesgo de account takeover está aumentando, la OTP por SMS es cara a gran escala, los centros de llamadas asumen las consecuencias de los fallos de contraseñas y MFA y los reguladores esperan cada vez más una MFA resistente al phishing. Esa combinación convierte a los seguros en uno de los casos de uso de autenticación de clientes más claros para las claves de acceso.
Este artículo abarca:
- Por qué los portales de seguros son un fuerte caso de uso para las claves de acceso: Riesgo de ATO, flujos de OTP caros, detección de fraude retrasada y creciente presión regulatoria.
- Cómo se comparan las claves de acceso con los métodos de autenticación heredados: OTP por SMS, OTP por correo electrónico, TOTP y confianza del dispositivo en las dimensiones de seguridad, UX, cumplimiento y coste.
- Qué diferencia los despliegues en las aseguradoras: Plataformas CIAM heredadas, arquitectura de portal multimarca, flujos de agentes frente a asegurados y regulación regional.
- Cómo las aseguradoras pueden desplegar claves de acceso con un modelo operativo práctico: Qué medir, cómo usar el modelo de madurez y cómo pasar de inicios de sesión con alta dependencia de OTP a MFA resistente al phishing.
- Cómo las claves de acceso impulsan la adopción digital y la migración al autoservicio: El argumento estratégico para líderes de nivel directivo (C-level y VP): cambio de canal, desvío de centros de llamadas y conexión de la observabilidad de la autenticación con los resultados de negocio.
Artículos recientes
🔑
Análisis del embudo de comercio electrónico: por qué ganan Amazon y Shopify
♟️
15 mayores brechas de datos en Australia [2026]
♟️
Guía de claves de acceso para portales de clientes de seguros
♟️
Claves de acceso de la FSA de Japón: impulso a la MFA resistente al phishing (2026)
🏢
Las mejores soluciones CIAM de 2026: Comparativa passwordless y de IA
2. ¿Por qué los portales de clientes de seguros son un objetivo primordial para el account takeover?#
Los portales de clientes de seguros almacenan algunos de los datos personales más confidenciales que existen, a menudo dependiendo de una seguridad de inicio de sesión débil. Eso los convierte en un objetivo natural para los ataques basados en credenciales. Las cuentas de los asegurados contienen números de la Seguridad Social, detalles bancarios, historiales médicos e historial de reclamaciones. Todo esto puede ser monetizado a través del robo de identidad o reclamaciones fraudulentas.
Whitepaper empresarial de Passkeys. Guías prácticas, patrones de despliegue y KPIs para programas de passkeys.
A diferencia de los portales bancarios donde la monitorización de transacciones detecta el fraude en tiempo real, el fraude en los seguros a menudo tarda semanas o meses en salir a la superficie. Un atacante que consigue acceso a la cuenta de un asegurado puede cambiar a los beneficiarios, presentar reclamaciones fraudulentas o extraer datos personales mucho antes de que la aseguradora detecte el compromiso.
La magnitud del problema:
- Credential stuffing en la puerta principal: El NYDFS impuso a ocho aseguradoras de automóviles una multa combinada de 19 millones de dólares estadounidenses en octubre de 2025 específicamente porque no aplicaron la MFA en los sistemas de cotización públicos. Los atacantes utilizaron el credential stuffing para acceder a datos sensibles de conductores en masa.
- La OTP por SMS es cara y frágil: A escala de aseguradora (millones de asegurados), los costes de entrega de OTP por SMS se acumulan rápidamente. Una aseguradora que envíe 10 millones de OTP al mes a 0,03 dólares estadounidenses por mensaje gasta 3,6 millones de dólares estadounidenses al año, y eso asumiendo un 100 % de entrega. En la práctica, el filtrado de operadores, la portabilidad de números y el roaming internacional causan que entre el 5 y el 15 % de los OTP nunca lleguen, y cada fallo de entrega genera potencialmente una llamada de soporte.
- Carga en el centro de llamadas por los restablecimientos de contraseñas: Los centros de llamadas de seguros ya manejan reclamaciones complejas y consultas de pólizas. Añadir restablecimientos de contraseñas y resolución de problemas de MFA a esta mezcla desvía el tiempo de los agentes de actividades que generan ingresos. Las estimaciones del sector sitúan las llamadas relacionadas con la autenticación en un 20-40 % del volumen total del centro de llamadas para los servicios financieros al consumidor.
- La presión regulatoria se está endureciendo: Más allá del NYDFS, la Regla de Salvaguardas de la FTC ha ordenado la MFA para instituciones financieras no bancarias desde junio de 2023, y la Ley Modelo de Seguridad de Datos de Seguros de la NAIC (adoptada en más de 25 estados) requiere MFA basada en el riesgo para todos los licenciatarios.
Los datos de alto valor, la detección de fraude retrasada, el aumento de los costes de OTP y el endurecimiento de la regulación apuntan todos en la misma dirección: los portales de seguros necesitan con urgencia una autenticación resistente al phishing.
- Los portales de seguros son objetivos de ATO de alto valor porque el fraude tarda semanas en salir a la superficie, a diferencia de la banca, donde la monitorización de transacciones detecta los abusos en tiempo real.
- El NYDFS multó a ocho aseguradoras de automóviles con 19 millones de dólares estadounidenses en octubre de 2025 por la falta de MFA en sistemas públicos; las sanciones alcanzan los 75.000 dólares estadounidenses por día.
- La OTP por SMS a escala de aseguradora cuesta entre 1,2 y 6 millones de dólares estadounidenses al año antes de los costes generales de soporte; entre el 5 y el 15 % de los mensajes nunca llegan.
- Aflac, Branch Insurance y HealthEquity ya han desplegado claves de acceso con resultados medibles: un 96 % de éxito de inicio de sesión, alrededor de un 50 % menos de tickets de soporte y la inscripción obligatoria sin opción a exclusión (opt-out).
3. ¿Cómo se comparan las claves de acceso con OTP por SMS, OTP por correo electrónico, TOTP y la confianza del dispositivo para portales de seguros?#
Elegir el método de autenticación adecuado significa sopesar la seguridad, la experiencia del usuario (UX), la recuperación, la complejidad del despliegue, la carga de soporte, la postura de cumplimiento y el coste a gran escala. La tabla siguiente desglosa cómo se posiciona cada opción.
| Método | Seguridad | UX | Recuperación | Complejidad de despliegue | Carga de soporte | Cumplimiento | Coste a gran escala |
|---|---|---|---|---|---|---|---|
| OTP por SMS | Baja: vulnerable al SIM-swapping, la interceptación SS7 y los ataques de retransmisión de phishing. El NYDFS señala explícitamente a los SMS como una MFA débil. | Media: conocida pero lenta (esperar mensaje, cambiar de aplicación, teclear código). Tasa de fallo de entrega del 5-15 % a gran escala. | Fácil: vinculada al número de teléfono, pero la portabilidad del número crea brechas de recuperación. | Baja: la mayoría de las plataformas CIAM admiten OTP por SMS de fábrica. | Alta: los fallos de entrega, los códigos caducados y el roaming internacional generan un alto volumen en el centro de llamadas. | Mínimo: cumple con las listas de verificación básicas de MFA, pero el NYDFS y CISA recomiendan alternativas resistentes al phishing. | Alto: de 0,01 a 0,05 dólares estadounidenses por mensaje. Para 10 millones de OTPs/mes: entre 1,2 y 6 millones de dólares estadounidenses/año antes de los costes de soporte. |
| OTP por correo electrónico | Baja: las cuentas de correo electrónico son a menudo comprometidas; los códigos OTP son vulnerables al phishing y reproducibles (replayable). | Baja: entrega lenta (segundos a minutos), cambio de contexto entre aplicaciones, los códigos caducan. | Fácil: vinculada al correo electrónico, pero el compromiso del correo electrónico afecta en cascada a todas las cuentas vinculadas. | Baja: trivial de implementar a través de SMTP. | Alta: los filtros de spam, los retrasos en la entrega y los códigos caducados aumentan los tickets de soporte. | Débil: no cumple los estándares de MFA resistentes al phishing según las directrices del NYDFS o la FTC. | Bajo: coste marginal casi nulo por mensaje, pero alto coste de soporte indirecto. |
| TOTP (App Authenticator) | Media: elimina el riesgo de SIM-swapping pero los códigos siguen siendo vulnerables al phishing mediante ataques de retransmisión en tiempo real. | Media: requiere instalar una aplicación, introducir un código manualmente y sincronización de hora. Fricción para los asegurados sin conocimientos técnicos. | Difícil: si se pierde el dispositivo sin códigos de respaldo (backup codes), la recuperación de la cuenta requiere un proceso de verificación de identidad manual. | Media: requiere educación del usuario e instalación de aplicaciones; la adopción típicamente es inferior al 20 % si no es obligatoria. | Media: menos problemas de entrega que los SMS, pero la recuperación por pérdida de dispositivos y los errores de configuración persisten. | Moderado: cumple con los requisitos básicos de MFA pero no es resistente al phishing según los estándares de NYDFS/CISA. | Bajo: sin coste por autenticación, pero los gastos generales de soporte de la aplicación y la recuperación añaden costes indirectos. |
| Confianza del dispositivo | Media: reduce la fricción en dispositivos reconocidos pero no proporciona resistencia al phishing; se puede reproducir la cookie/huella dactilar. | Alta: invisible para los usuarios en dispositivos de confianza; inicios de sesión repetidos sin interrupciones. | Media: la pérdida de dispositivos o los cambios de navegador restablecen la confianza, requiriendo re-verificación. | Media: requiere infraestructura de fingerprinting de dispositivos y políticas de expiración (decay) de la confianza. | Baja: pocos avisos de cara al usuario en dispositivos de confianza, pero los restablecimientos de confianza generan confusión. | Insuficiente por sí solo: no califica como MFA bajo ningún marco importante sin un segundo factor. | Bajo: solo coste de infraestructura; sin tarifas por autenticación. |
| Claves de acceso (FIDO2/WebAuthn) | Alta: credenciales criptográficas, vinculadas al dominio, resistentes al phishing por diseño. Inmunes al credential stuffing, SIM-swapping y ataques de retransmisión. | Alta: confirmación biométrica o por PIN en menos de 2 segundos. Sin introducir códigos, sin cambiar de aplicación. Aflac logró un 96 % de éxito de inicio de sesión. | Media: vinculadas al ecosistema de la plataforma (iCloud Keychain, Google Password Manager). El bloqueo del ecosistema requiere verificación de identidad para la recuperación. | Media-Alta: requiere un servidor WebAuthn, estrategia de rpID, flujos de inscripción, lógica de alternativas (fallback) y telemetría en el lado del cliente (client-side). | Baja: Branch Insurance vio una reducción de los tickets de soporte de alrededor del 50 % tras el despliegue de claves de acceso. | Fuerte: cumple con los requisitos de MFA resistentes al phishing bajo la Parte 500 del NYDFS, la Regla de Salvaguardas de la FTC y la Ley Modelo de la NAIC. El NIST SP 800-63B reconoce las claves de acceso sincronizadas como conformes con el nivel AAL2. | Bajo: cero costes por autenticación. El ROI se materializa a través de la eliminación de SMS, reducción de fraude y desvío de centros de llamadas. |
En resumen: Las claves de acceso son la única opción que obtiene la mayor puntuación en seguridad, UX, carga de soporte, cumplimiento y coste a gran escala. La compensación (trade-off) es la complejidad del despliegue, pero es una inversión inicial que se amortiza a medida que crece la adopción.
Obtén un whitepaper gratuito de passkeys para empresas.
4. ¿Qué hace que el despliegue de claves de acceso sea diferente para las aseguradoras?#
El despliegue de claves de acceso en el sector de los seguros no es lo mismo que desplegarlas en banca o SaaS. Las aseguradoras lidian con infraestructuras heredadas (legacy), complejidad multimarca, poblaciones de usuarios divergentes y requisitos normativos superpuestos que configuran cada decisión de implementación.
4.1 Plataformas CIAM heredadas#
La mayoría de las grandes aseguradoras gestionan la identidad de sus consumidores en plataformas CIAM empresariales como Ping Identity, ForgeRock u Okta. Estas plataformas ahora soportan FIDO2/WebAuthn a nivel de protocolo, pero ese soporte solo cubre la ceremonia de backend. La capa de adopción (avisos de inscripción, prompts sensibles al dispositivo, manejo de errores y telemetría en el lado del cliente) falta o requiere un importante desarrollo a medida.
Esto crea la misma "trampa del 1 %" observada en despliegues bancarios: la casilla del Proveedor de Identidad (IdP) está marcada, pero la adopción se estanca porque nadie construyó el recorrido de producto (product journey) que lleva a los asegurados de la contraseña a la clave de acceso.
4.2 Portales multimarca y estrategia de rpID#
Una gran aseguradora típica opera productos de automóvil, hogar, vida y especialidades, a menudo en subdominios separados o incluso dominios separados adquiridos mediante fusiones y adquisiciones (M&A). Las claves de acceso están vinculadas al origen: una credencial creada en auto.insurer.com no funcionará en life.insurer.com a menos que ambos compartan el mismo ID de la Parte Confiante (rpID).
La solución:
- Defina un único rpID anclado al dominio principal (por ejemplo,
insurergroup.com) antes de que comience cualquier trabajo de claves de acceso. - Dirija toda la autenticación a través de una capa de SSO centralizada (OIDC/SAML) que utilice este rpID compartido.
- Si los dominios heredados no pueden consolidarse de inmediato, utilice Orígenes Relacionados (Related Origins) para salvar la brecha sin forzar una nueva inscripción.
4.3 Flujos de agentes frente a asegurados#
Los seguros tienen dos poblaciones de usuarios muy diferentes accediendo a los mismos sistemas backend:
| Dimensión | Asegurados | Agentes / Corredores (Brokers) |
|---|---|---|
| Frecuencia de inicio de sesión | Baja (pago mensual de facturas, renovación anual, reclamaciones) | Alta (cotizaciones diarias, gestión de pólizas, comprobación de comisiones) |
| Perfil del dispositivo | Smartphones y tabletas personales; gran diversidad de sistemas operativos (OS) / navegadores | Estaciones de trabajo compartidas de la agencia, ordenadores portátiles corporativos, a menudo tras firewalls |
| Nivel de confianza | Baja confianza inicial; debe construirse a través de la inscripción | Mayor confianza de referencia; a menudo previstos a través del onboarding de la agencia |
| Sensibilidad | Acceso a datos personales completos (SSN, datos bancarios, historiales médicos) | Amplio acceso a PII de múltiples asegurados |
| Necesidades de alternativas (fallback) | Nunca deben quedar bloqueados fuera de reclamaciones o pagos | Nunca deben quedar bloqueados para cotizar o vincular pólizas |
Branch Insurance mostró cómo funciona esto en la práctica: empezaron con los agentes (mayor frecuencia, entorno más controlado) y alcanzaron una adopción inicial del 25 % antes de expandirse a los asegurados. Priorizar a los agentes generó confianza interna y sacó a la luz los problemas específicos de los dispositivos de forma temprana.
4.4 Panorama del cumplimiento regional#
La autenticación de seguros no es solo una cuestión normativa de EE. UU. Las reglas exactas difieren según el mercado, pero la dirección es consistente: controles de identidad más fuertes, cobertura MFA más amplia y más escrutinio de los canales digitales orientados al cliente.
- EE. UU.: La Parte 500 del NYDFS ordena MFA universal para noviembre de 2025 para las entidades cubiertas, incluidas las aseguradoras con licencia en Nueva York. El NYDFS señala explícitamente a los OTP por SMS como débiles y recomienda alternativas resistentes al phishing. La Ley Modelo de Seguridad de Datos de Seguros de la NAIC impulsa la MFA basada en el riesgo en más de 25 estados, mientras que la Regla de Salvaguardas de la FTC exige la MFA para ciertas instituciones financieras no bancarias e intermediarios.
- UE: DORA entró en aplicación el 17 de enero de 2025 y se aplica a las compañías de seguros en toda la UE. DORA es más amplia que una regla de MFA, pero eleva el nivel de la gestión del riesgo TIC, el reporte de incidentes, las pruebas de resiliencia y la supervisión de terceros para sistemas orientados al cliente.
- Australia: APRA CPS 234 requiere controles de seguridad de la información acordes al riesgo en las aseguradoras y otras entidades reguladas por APRA. La orientación sobre MFA de 2023 de la APRA pide específicamente una autenticación reforzada para el acceso privilegiado, el acceso remoto y las actividades de alto riesgo, y señala que las brechas importantes de MFA que afectan a los asegurados pueden equivaler a una debilidad de seguridad reportable.
- Canadá: La Directriz B-13 de OSFI se aplica a las instituciones financieras reguladas por el gobierno federal, incluidas las aseguradoras. OSFI afirma que las empresas deben implementar controles de acceso y de identidad basados en el riesgo, incluida la MFA a través de canales externos y cuentas con privilegios.
Para las aseguradoras multirregionales, la implicación práctica es simple: diseñar la autenticación del cliente para satisfacer el régimen aplicable más estricto. La dirección común es hacia una MFA basada en el riesgo y cada vez más resistente al phishing, no una dependencia continuada de la OTP por SMS.
Whitepaper empresarial de Passkeys. Guías prácticas, patrones de despliegue y KPIs para programas de passkeys.
5. ¿Qué deberían medir las aseguradoras antes y después de lanzar las claves de acceso?#
Lanzar claves de acceso sin telemetría en el lado del cliente es como redactar una póliza de seguro sin datos de evaluación (underwriting). No sabrá qué está fallando, dónde ni para quién hasta que su centro de llamadas se vea saturado. El error del "despliegue a ciegas" de los despliegues bancarios se aplica también aquí, especialmente dada la diversa demografía de los asegurados con los que lidian las aseguradoras.
Como mínimo, las aseguradoras deberían medir tres resultados orientados al negocio:
- Tasa de éxito de inicio de sesión: ¿Están los asegurados y los agentes completando el inicio de sesión de manera más fiable después de lanzar las claves de acceso?
- Tasa de inscripción: ¿Los usuarios están realmente creando claves de acceso o la adopción se estanca después del primer aviso (prompt)?
- Volumen de alternativas (fallback) y soporte: ¿Los usuarios están retrocediendo al SMS o a la recuperación de contraseñas, y están disminuyendo los tickets de soporte relacionados con la autenticación?
Si estas tres cifras se mueven en la dirección correcta, el despliegue está funcionando. Si no es así, debe ajustar el momento del aviso, el diseño del fallback, la cobertura del dispositivo o la educación del usuario antes de escalar más.
5.1 Los recorridos (journeys) de reclamaciones y cambios de cuenta importan más que los inicios de sesión genéricos#
Los portales de seguros no son solo experiencias de "iniciar sesión y comprobar el saldo". Los momentos de mayor riesgo ocurren a menudo cuando un asegurado presenta una reclamación, cambia los detalles de un pago, actualiza una dirección, añade a un conductor, cambia a un beneficiario o accede a documentos sensibles. Esos recorridos no deberían agruparse en un indicador (KPI) genérico de inicio de sesión.
Las aseguradoras deberían, por lo tanto, realizar un seguimiento del rendimiento de las claves de acceso de forma separada para los eventos de cuenta de alto riesgo. Si el éxito del inicio de sesión parece fuerte en general, pero los recorridos relacionados con las reclamaciones o los pagos siguen retrocediendo a los SMS o a la recuperación manual, el despliegue no está reduciendo realmente el riesgo operativo donde más importa. Esta es una de las mayores diferencias entre los seguros y las aplicaciones de consumo de uso más frecuente.
5.2 Los inicios de sesión de baja frecuencia cambian el manual de adopción#
Muchos asegurados inician sesión solo un par de veces al año: en la renovación, tras un problema de facturación o cuando presentan una reclamación. Eso hace que la adopción de las claves de acceso en los seguros sea fundamentalmente diferente a la de los productos de uso diario. Tienes menos oportunidades para avisar, educar y recuperar una mala primera experiencia.
Por eso las aseguradoras deben medir la inscripción por recorrido (journey), no solo de forma agregada. Un aviso (prompt) que se muestra después de un pago exitoso o tras comprobar el estado de una reclamación puede convertir mucho mejor que un aviso en frío en la primera pantalla de inicio de sesión meses después de la última sesión. En los seguros, los mejores momentos para la adopción están normalmente vinculados a la confianza y a la finalización de la tarea, no a la frecuencia de inicio de sesión.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study6. ¿Qué es el Modelo de Madurez de Autenticación de Seguros?#
Este marco de cuatro niveles brinda a las aseguradoras una forma de evaluar su situación actual respecto a la autenticación, establecer hitos objetivo y comunicar su progreso a las juntas directivas, reguladores y auditores. Cada nivel se construye sobre el anterior.
| Nivel | Nombre | Método de Autenticación | Resistencia al Phishing | Postura de Cumplimiento | Carga de Soporte | Perfil de Costes | Visibilidad |
|---|---|---|---|---|---|---|---|
| 1 | Solo SMS | Contraseña + OTP por SMS como único segundo factor | Ninguna: el SMS es interceptable mediante SIM-swap, SS7 y retransmisión de phishing | Incumple las pautas del NYDFS sobre resistencia al phishing; cumplimiento mínimo de la FTC; brecha en el enfoque basado en riesgo de la NAIC | Alta: los fallos de entrega de OTP, códigos caducados y restablecimientos de contraseña impulsan el 20-40 % del volumen del centro de llamadas | Alto: 0,01-0,05 dólares estadounidenses por OTP a gran escala más los costes de soporte | Mínima: solo logs HTTP en el lado del servidor; sin datos de ceremonia en el lado del cliente |
| 2 | MFA Habilitada | Contraseña + SMS/TOTP/notificación push como segundo factor | Baja: TOTP y las notificaciones push son vulnerables al phishing mediante retransmisión en tiempo real; push es vulnerable a ataques de fatiga (fatigue attacks) | Cumple el requisito básico de MFA de la FTC y la NAIC; no cumple la recomendación de resistencia al phishing del NYDFS | Media: menos problemas de entrega de SMS, pero los errores de configuración de TOTP y la fatiga por notificaciones push añaden nuevas categorías de tickets | Medio: TOTP elimina el coste por mensaje, pero los gastos generales de soporte de la aplicación persisten | Limitada: puede rastrear la selección de método MFA pero carece de telemetría a nivel de ceremonia |
| 3 | Resistente al Phishing | Claves de acceso desplegadas como método principal; contraseña/OTP como fallback para dispositivos incompatibles | Alta: las credenciales FIDO2/WebAuthn están vinculadas al dominio y son criptográficas; inmunes al phishing, credential stuffing y SIM-swap | Cumple o supera los requisitos del NYDFS, FTC y NAIC; conforme al nivel AAL2 del NIST SP 800-63B | Baja: Branch Insurance observó una reducción de tickets del ~50 %; Aflac alcanzó un 96 % de éxito de inicio de sesión | Bajo: cero costes por autenticación; ROI procedente de la eliminación de SMS y reducción de fraude | Moderada: embudos de inscripción y autenticación instrumentados; clasificación básica de errores en marcha |
| 4 | Resistente al Phishing + Observabilidad | Claves de acceso por defecto; puntuación de confianza del dispositivo; incremento (step-up) basado en riesgo para anomalías; fallbacks inteligentes | La más alta: autenticación criptográfica + evaluación continua de confianza del dispositivo + señales de comportamiento | Preparado para auditorías: telemetría completa respalda la certificación CEO/CISO, auditoría NYDFS y reportes regulatorios | La más baja: detección proactiva de anomalías previene problemas antes de que lleguen al centro de llamadas | El más bajo: el enrutamiento optimizado de fallback minimiza el gasto residual en SMS; reducción de pérdidas por fraude | Completa: cuadros de mando en tiempo real sobre curvas de adopción, tasas de error por dispositivo/OS, disminución de confianza y cobertura del factor SCA |
El siguiente diagrama visualiza los cuatro niveles de madurez como una progresión desde "solo SMS" hasta la observabilidad completa.
Cómo usar este modelo:
- Evaluar: Identifique su nivel actual auditando los métodos de autenticación, la cobertura de telemetría y las brechas de cumplimiento en todos los portales de cara al cliente.
- Establecer un objetivo: Fije una hoja de ruta de 12 a 18 meses para alcanzar al menos el Nivel 3. Las aseguradoras bajo la supervisión del NYDFS deberían apuntar al Nivel 4 para respaldar el requisito de certificación dual CEO/CISO.
- Comunicar: Utilice el modelo en presentaciones al consejo de administración y documentos regulatorios para demostrar un progreso estructurado en lugar de mejoras ad hoc.
Whitepaper empresarial de Passkeys. Guías prácticas, patrones de despliegue y KPIs para programas de passkeys.
7. Cómo las claves de acceso impulsan la adopción digital y la migración al autoservicio#
La mayoría de los directivos de seguros tratan la autenticación como una cuestión de TI. Eso es un error. Para los líderes de nivel C y VP cuya agenda estratégica incluye trasladar a los asegurados desde los centros de llamadas y las oficinas al autoservicio digital, la autenticación es el mayor punto de fricción que se interpone en el camino.
7.1 La autenticación es la puerta de entrada a cada iniciativa digital#
Cada iniciativa de seguros digital (reclamaciones en autoservicio, cambios de póliza en línea, pagos digitales, flujos de trabajo de firma electrónica) comienza con un inicio de sesión. Si los asegurados no pueden pasar por esa puerta de entrada de manera fiable, ninguna de las inversiones posteriores genera un retorno (ROI).
Los datos son claros:
- El 43 % de los consumidores dice que la gestión de inicios de sesión afecta a su disposición a usar servicios en línea en absoluto.
- El 64 % ha abandonado una compra porque tuvo que crear una cuenta o no pudo iniciar sesión.
- El 60 % de los consumidores encuentra que los portales de seguros, pensiones e hipotecas son difíciles de navegar, siendo el inicio de sesión el primer y más común punto de fallo.
- Solo el 20 % de los clientes de seguros dicen que los canales digitales son su forma preferida de interactuar con su aseguradora, en gran parte porque la experiencia (comenzando por la autenticación) es peor que la que obtienen de las aplicaciones bancarias y comerciales (retail).
El siguiente diagrama ilustra cómo estos cuatro puntos de datos se combinan en un único patrón de bloqueo de la adopción.
Para las aseguradoras que gastan millones en rediseños de portales, chatbots y flujos de trabajo de reclamaciones digitales, una experiencia de inicio de sesión de contraseña y OTP por SMS socava toda la inversión. Los asegurados que no consiguen iniciar sesión o se rinden por frustración recurren por defecto a llamar al centro de contacto o a visitar una sucursal, exactamente los canales de alto coste que la estrategia digital se suponía que debía reemplazar.
7.2 Cuantificar el cambio hacia el autoservicio#
Mover a los asegurados de canales asistidos por humanos al autoservicio digital es una de las estrategias de reducción de costes de mayor impacto en los seguros:
- Las interacciones telefónicas cuestan entre 8 y 15 dólares estadounidenses por contacto frente a menos de 1 dólar estadounidense para el autoservicio. A escala de aseguradora, incluso un cambio de canal del 10 % del teléfono a los medios digitales ahorra millones al año.
- Los usuarios del portal tienen un 12 % menos de probabilidades de cancelar sus pólizas en comparación con los no usuarios. Los usuarios multicanal muestran una tasa de retención un 25 % superior.
- Las aseguradoras que despliegan el autoservicio digital reportan reducciones de costes de servicio del 15-25 % y unos costes de procesamiento de reclamaciones un 30 % más bajos.
- El 82 % de los clientes de seguros quieren resolver problemas sin llamar, pero solo el 56 % informa de herramientas de autoservicio adecuadas; una brecha que la fricción de la autenticación amplía aún más.
El siguiente gráfico muestra cómo se comparan estos factores económicos entre los canales.
Las claves de acceso abordan directamente la brecha entre la intención del cliente y el uso real del portal. Cuando iniciar sesión lleva menos de 2 segundos con una confirmación biométrica en lugar de un flujo de contraseña más OTP que falla entre un 5 y un 15 % de las veces, más asegurados completan el recorrido (journey) digital en lugar de coger el teléfono.
7.3 Qué revela de forma exclusiva la observabilidad de Corbado sobre la adopción digital#
La mayoría de las aseguradoras saben que su tasa de adopción digital es inferior a la que desean. Lo que no pueden responder es por qué. ¿Es incompatibilidad de dispositivo? ¿Fricción en el flujo de inscripción? ¿Un sistema operativo o navegador específico donde las claves de acceso fallan de manera silenciosa? ¿Un segmento demográfico al que nunca se le pide que se inscriba?
Aquí es donde la observabilidad de la autenticación de Corbado proporciona algo que ninguna otra herramienta en el mercado ofrece: la capacidad de conectar la telemetría de la autenticación directamente a métricas de negocio como la tasa de adopción digital, la tasa de finalización del autoservicio y la migración de canales.
Corbado expone:
- Dónde abandonan los asegurados el embudo de autenticación: no solo "fallo de inicio de sesión", sino en qué etapa de la ceremonia, en qué dispositivo, para qué segmento de usuarios.
- Qué cohortes están atascadas en los métodos heredados: por ejemplo, asegurados mayores de 60 años en Android que nunca ven un aviso (prompt) de clave de acceso porque su dispositivo es incompatible, enrutándolos silenciosamente a un SMS y luego al centro de llamadas.
- El vínculo directo entre el éxito de la autenticación y el compromiso digital: si la tasa de éxito de inicio de sesión aumenta en 10 puntos porcentuales, ¿cuánto aumenta el uso del autoservicio del portal? ¿Cuántas llamadas menos llegan al centro de contacto?
Para un CIO o Vicepresidente Sénior de Digital que hace una presentación ante el consejo, esto transforma el "lanzamos las claves de acceso" en "las claves de acceso aumentaron la adopción del autoservicio digital en un X %, redujeron el volumen del centro de llamadas en un Y % y ahorraron Z dólares estadounidenses por trimestre". Esa es la narrativa estratégica que justifica la inversión y acelera la hoja de ruta de transformación digital más amplia.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study8. Cómo ayuda Corbado a las aseguradoras a desplegar claves de acceso#
La mayoría de las aseguradoras ya tienen una plataforma CIAM (Ping, ForgeRock, Okta) que puede manejar la ceremonia de WebAuthn. Lo que les falta es la capa de adopción que convierte el "soportamos claves de acceso" en "el 50 % de nuestros asegurados usan claves de acceso". Corbado proporciona esa capa.
8.1 Motor de adopción#
Los componentes de interfaz de usuario (UI) preconstruidos y la lógica de decisión de Corbado manejan el recorrido (journey) de inscripción que las plataformas CIAM dejan al desarrollo a medida:
- Los avisos de inscripción contextuales aparecen en momentos de alta confianza (inmediatamente después de una comprobación exitosa de MFA) en lugar de enterrados en la configuración de la cuenta.
- La urgencia progresiva pasa de avisos "Opcionales" a "Recomendados" o "Obligatorios" a lo largo de una línea temporal configurable, coincidiendo con la curva de adopción de 12 a 18 meses que la mayoría de las aseguradoras necesitan.
- Pruebas A/B para los mensajes de inscripción, el momento (timing) y la ubicación para optimizar las tasas de conversión en los diferentes segmentos de asegurados y líneas de productos.
8.2 Inteligencia del dispositivo#
Corbado mantiene una matriz continuamente actualizada de compatibilidad de claves de acceso a nivel de dispositivo:
- Si un modelo específico de Samsung tiene una implementación de clave de acceso defectuosa, Corbado suprime el aviso automáticamente, enrutando al usuario a una alternativa (fallback) sin frustraciones.
- Passkey Intelligence detecta las capacidades del dispositivo antes de mostrar un aviso, previniendo los errores de "Operación Interrumpida" que causan picos de soporte.
- La diversidad de dispositivos específica de los seguros (tabletas antiguas utilizadas por jubilados, estaciones de trabajo de agencias compartidas, ordenadores portátiles gestionados por la empresa) se maneja a través de políticas de confianza configurables.
8.3 Fallbacks inteligentes#
Corbado evita los bloqueos permanentes mediante el enrutamiento inteligente de los usuarios a alternativas cuando su dispositivo o entorno no está preparado para las claves de acceso:
- Los asegurados en dispositivos incompatibles ven una transición fluida al siguiente mejor método en lugar de una pantalla de error.
- Los flujos de recuperación que utilizan la verificación de la identidad (eKYC, escaneo de identificación + prueba de vida) permiten volver a inscribirse sin la intervención del centro de llamadas.
- Las políticas de fallback específicas para los agentes se adaptan a las estaciones de trabajo compartidas y a los entornos de proxy corporativos que bloquean los flujos híbridos (código QR).
8.4 Telemetría forense#
Corbado proporciona la "visión de rayos X" que los logs CIAM del lado del servidor no pueden dar:
- El panel de control (dashboard) de Confianza del Dispositivo saca a la luz las tasas de éxito por tipo de clave de acceso, clasificación del dispositivo y cobertura del factor SCA.
- La detección de anomalías en tiempo real señala patrones inusuales (picos en dispositivos compartidos, inscripciones desde entornos sospechosos) antes de que se conviertan en incidentes de seguridad.
- Los informes preparados para auditorías proporcionan a los CISO los datos necesarios para la certificación anual del NYDFS, las auditorías de la NAIC y los informes internos para el consejo de administración.
Corbado no reemplaza su stack CIAM existente. Se asienta frente a él, manejando la complejidad del mundo real de la fragmentación de dispositivos, la educación de los usuarios y la visibilidad operativa que determina si su inversión en claves de acceso ofrece ROI o se estanca en menos de un 1 % de adopción.
9. Conclusión#
Los portales de clientes de seguros están bajo presión desde múltiples direcciones al mismo tiempo: aumento de los ataques de ATO, costosa infraestructura de OTP por SMS, sobrecarga de los centros de llamadas por el restablecimiento de contraseñas, expectativas regulatorias cada vez más estrictas en Estados Unidos, la Unión Europea, Australia y Canadá, y el mandato estratégico de mover a los asegurados desde canales humanos de alto coste hacia el autoservicio digital. Las claves de acceso abordan estos cinco puntos eliminando las credenciales vulnerables al phishing, quitando los costes por autenticación, reduciendo la carga de soporte, alineándose con el cambio hacia una MFA más fuerte y suprimiendo la fricción de inicio de sesión que bloquea la adopción digital.
Aflac (500.000 inscripciones, 96 % de tasa de éxito), Branch Insurance (reducción de tickets del 50 %) y HealthEquity (despliegue obligatorio sin opt-out) ya han demostrado que la adopción a gran escala funciona. La clave está en tratar las claves de acceso como un recorrido (journey) de producto en lugar de una casilla de infraestructura: invierta en flujos de inscripción, instrumente al cliente, planifique fallbacks (alternativas) y construya la telemetría que conecta el rendimiento de la autenticación con las métricas comerciales que realmente le importan a su junta directiva: la tasa de adopción digital, el desvío de centros de llamadas y la tasa de finalización del autoservicio.
Utilice el Modelo de Madurez de Autenticación de Seguros para evaluar su postura actual, establezca un objetivo a 12-18 meses y comunique su progreso estructurado a su junta directiva y a los reguladores.
Acerca de Corbado
Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →
Preguntas frecuentes#
¿Cómo reducen las claves de acceso el riesgo de account takeover en los portales de clientes de seguros?#
Las claves de acceso utilizan criptografía de clave pública-privada vinculada al dominio de la aseguradora, lo que las hace inmunes al phishing, al credential stuffing y a los ataques de SIM-swapping que plagan los flujos de contraseñas y OTP por SMS. Aflac informó de una tasa de éxito de inicio de sesión del 96 % tras desplegar las claves de acceso, y Branch Insurance vio caer los tickets de soporte aproximadamente un 50 %. Como no se transmite ningún secreto compartido durante la autenticación, los atacantes no pueden recopilar credenciales reutilizables ni siquiera si controlan la red.
¿Qué marcos de cumplimiento normativo configuran los requisitos de autenticación para los portales de clientes de seguros y cómo ayudan las claves de acceso?#
En EE. UU., la Parte 500 del NYDFS, la Regla de Salvaguardas de la FTC y la Ley Modelo de Seguridad de Datos de Seguros de la NAIC empujan a las aseguradoras hacia una MFA más fuerte. Fuera de EE. UU., las aseguradoras de la UE se rigen por DORA, las australianas por APRA CPS 234 y las canadienses por la Directriz B-13 de OSFI, todas las cuales elevan las expectativas en torno a los controles de autenticación para los sistemas orientados al cliente. Las claves de acceso ayudan porque proporcionan una MFA resistente al phishing utilizando credenciales criptográficas FIDO2/WebAuthn al tiempo que reducen la dependencia de los flujos de OTP por SMS más débiles.
¿Cómo se comparan las claves de acceso con OTP por SMS, TOTP y la confianza del dispositivo para la autenticación en portales de seguros?#
La OTP por SMS cuesta entre 0,01 y 0,05 dólares estadounidenses por mensaje a gran escala, es vulnerable al SIM-swapping y al phishing y genera una alta carga en los centros de llamadas por fallos de entrega. Las aplicaciones TOTP eliminan el coste por mensaje pero siguen siendo vulnerables al phishing y requieren la introducción manual de códigos. La confianza del dispositivo reduce la fricción en los dispositivos conocidos pero no ofrece resistencia al phishing. Las claves de acceso combinan una seguridad resistente al phishing con un coste por autenticación cero y tiempos de inicio de sesión inferiores a 2 segundos, lo que las convierte en el único método que obtiene la mayor puntuación en las dimensiones de seguridad, experiencia de usuario (UX), coste y cumplimiento.
¿Qué diferencia el despliegue de las claves de acceso para las aseguradoras en comparación con los bancos o las empresas SaaS?#
Las aseguradoras se enfrentan a la complejidad de portales multimarca donde los productos de auto, hogar y vida pueden ejecutarse en subdominios separados que requieren una estrategia de rpID unificada. Las plataformas CIAM heredadas como Ping, ForgeRock u Okta manejan el backend de WebAuthn pero ofrecen herramientas de adopción limitadas. Los flujos de agentes frente a los de los asegurados requieren diferentes niveles de confianza y perfiles de dispositivos. La presión regulatoria también abarca múltiples jurisdicciones: las aseguradoras estadounidenses se enfrentan a la Parte 500 del NYDFS, la Ley Modelo de la NAIC y la Regla de Salvaguardas de la FTC; las aseguradoras de la UE caen bajo DORA, las australianas responden ante APRA CPS 234 y las canadienses ante la Directriz B-13 de OSFI. Esto requiere un plan de despliegue que satisfaga el estándar aplicable más estricto.
¿Qué es el Modelo de Madurez de Autenticación de Seguros y cómo pueden utilizarlo las aseguradoras para evaluar su progreso?#
El Modelo de Madurez de Autenticación de Seguros define cuatro niveles: Nivel 1 (solo SMS) con OTP de un solo factor y sin resistencia al phishing; Nivel 2 (MFA habilitada) con contraseña más SMS o TOTP que cumple el cumplimiento básico; Nivel 3 (resistente al phishing) con claves de acceso desplegadas, inscripción asegurada y alternativas inteligentes (fallbacks); Nivel 4 (resistente al phishing + observabilidad) con telemetría completa, confianza del dispositivo y monitorización continua. Las aseguradoras pueden usar el modelo para identificar su nivel actual, establecer hitos objetivo y comunicar el progreso a las juntas directivas y reguladores.
Compartir este artículo
Artículos relacionados
Tabla de contenidos