Los ataques al servicio de asistencia más eficaces no aprovechan las vulnerabilidades del software. Aprovechan una brecha en el proceso: el usuario en línea que no puede presentar un autenticador registrado. Un contratista en el primer día. Un socio que llama para restablecer el acceso. Estos usuarios siempre han existido en el límite de la cobertura de verificación de identidad, y los atacantes se han centrado sistemáticamente en ellos.
Para los organismos públicos, los servicios financieros y otras organizaciones de alto nivel de seguridad, se trata de un riesgo inaceptable.
La última actualización de RSA Help Desk Live Verify cierra esa brecha.
El original RSA Help Desk Live Verify ha abordado una de las superficies de ataque más peligrosas para la seguridad de las empresas: las llamadas al servicio de asistencia técnica. La ingeniería social, los ataques de evasión de MFA y las estafas de soporte técnico dirigidas a los servicios de asistencia de TI han costado a las organizaciones cientos de millones de dólares en pérdidas y multas. La versión inicial de RSA Help Desk Live Verify abordó estos riesgos con un modelo de verificación bidireccional pendiente de patente que podía confirmar tanto la identidad del usuario como la del agente sin que ninguna de las partes compartiera un PIN, una contraseña o datos personales.
Pero exigía que los usuarios tuvieran un autenticador RSA registrado. Esto dejaba a una categoría de usuarios totalmente fuera del modelo de protección: contratistas sin un dispositivo provisto, empleados cuyo dispositivo autenticador se había perdido o había sido robado, trabajadores temporales y socios externos. Para estos usuarios, las organizaciones tenían que recurrir a métodos más antiguos, como hacer preguntas de seguridad, volver a leer los detalles de la cuenta u omitir por completo la verificación.
Antes de entrar en las novedades de RSA Help Desk Live Verify, conviene comprender el mecanismo subyacente:
- Cuando un usuario se pone en contacto con el servicio de asistencia, el agente inicia una sesión de RSA Help Desk Live Verify, dirigiendo al usuario a un sitio web propiedad de la empresa.
- Allí, se ofrece al usuario una serie de opciones de verificación sin contraseña (incluidas las claves de acceso). Estas opciones son el resultado de las políticas de acceso adaptables de la organización y de las señales de riesgo en tiempo real del usuario.
- El usuario verifica su identidad utilizando la opción que más le convenga
- Si la verificación se realiza correctamente, el usuario recibe un código de verificación que debe proporcionar al agente del servicio de asistencia.
- A continuación, el agente del servicio de asistencia introduce el código en la consola de administración, verifica el usuario y continúa atendiendo la solicitud.
Ninguna de las partes dice una credencial ni proporciona información personal. Y lo que es más importante, la verificación es bidireccional por diseño: el proceso también confirma la identidad del agente al usuario, lo que elimina el clásico ataque del tipo ‘Soy de su servicio de asistencia, vamos a restablecer su contraseña’.
El acceso a aplicaciones y recursos confidenciales o restringidos activa automáticamente una autenticación reforzada en función de quién lo solicita, dónde se encuentra y a qué accede. La autenticación escalonada se aplica automáticamente cuando el contexto y el comportamiento del usuario indican un riesgo.
Las organizaciones también pueden RSA® Cerradura móvil y RSA® IA de riesgo para que RSA Help Desk Live Verify sea aún mejor. Mobile Lock supervisa el entorno de autenticación móvil y puede bloquear solicitudes de verificación si el dispositivo muestra signos de compromiso: troyanos, malware de pantalla compartida u otros indicadores de que el flujo de autenticación está siendo observado o interceptado. Risk AI evalúa dinámicamente el comportamiento del usuario y las señales de riesgo, automatizando los desafíos de autenticación escalonada si está justificado.
RSA Help Desk Live Verify introduce una ruta de verificación paralela para los usuarios que no tienen acceso a un autenticador registrado, impulsado por ID Dataweb. En lugar de autenticarse con un autenticador RSA, estos usuarios pasan por un flujo de verificación de identidad: envían una credencial emitida por el gobierno -un permiso de conducir, pasaporte u otro documento de identidad- que se comprueba con fuentes de datos de identidad autorizadas en tiempo real. El agente ve el resultado de la verificación en la misma interfaz de la consola de administración. No se comparte ninguna credencial en voz alta. Se sigue aplicando el modelo de garantía bidireccional.
El flujo de verificación puede controlarse mediante las políticas de acceso adaptables de RSA. Los administradores pueden configurar qué poblaciones de usuarios se dirigen a la verificación basada en autenticador frente a la verificación de ID y pueden incorporar Identity Confidence con Risk AI para añadir señales de riesgo contextual a la decisión. Una solicitud de alto riesgo -por ejemplo, un usuario que inicia sesión desde una ubicación inusual, fuera de horario, que solicita determinados flujos de trabajo o que muestra otra anomalía de comportamiento- puede activar una ruta de verificación más estricta.
La actualización de RSA Help Desk Live Verify se diseñó para cubrir cualquier flujo de trabajo sensible, no sólo las llamadas a la mesa de ayuda. El mismo motor de verificación que protege un restablecimiento de credenciales puede proteger una autorización de transferencia bancaria, una solicitud de escalado de privilegios, un flujo de trabajo de recuperación de VPN o una acción de RR.HH. que implique datos confidenciales de empleados. En los servicios financieros, esto es importante para la autorización de pagos en tiempo real y la aprobación de transacciones de alto valor, donde los requisitos de garantía de identidad son normativos, no opcionales. En la administración pública y el sector de la defensa, aborda los requisitos de verificación de la identidad en los límites de acceso que se extienden a los contratistas y socios a los que nunca se les emitirá un autenticador gestionado por la agencia.
El impacto práctico es sencillo: cualquier flujo de trabajo en el que una organización necesite confirmar con quién está tratando antes de realizar una acción delicada puede utilizar ahora RSA Help Desk Live Verify, para cualquier usuario de su plantilla ampliada.
Desde el punto de vista de la implementación, RSA Help Desk Live Verify es un complemento para los entornos RSA ID Plus existentes. No hay cambios en las implementaciones existentes. Las organizaciones que ya utilizan RSA Help Desk Live Verify pueden ampliar la cobertura a usuarios sin autenticadores habilitando el complemento ID Verification a través de ID Dataweb. Los administradores configuran qué flujos de trabajo y poblaciones de usuarios pueden utilizar Verificación de la identidad a través del mismo marco político utilizado para el resto de la RSA® ID Plus medio ambiente.
Para los equipos de seguridad que evalúan la cobertura, la pregunta clave que deben hacerse sobre cualquier implementación de RSA Help Desk Live Verify es: ¿qué sucede cuando un usuario no tiene acceso a su autenticador? Antes de esta última actualización, la respuesta honesta para la mayoría de las organizaciones era que la verificación no funcionaba. Con ID Verification en su lugar, ese escenario se dirige a un flujo de verificación estructurado, auditable y resistente a la suplantación de identidad. Cada interacción de verificación, ya sea a través de un autenticador o de una identificación gubernamental, se registra y está disponible para informes de auditoría y cumplimiento.
RSA Help Desk Live Verify se dirige a un conjunto específico de entornos y casos de uso. Es más relevante para:
- Organizaciones con plantillas ampliadas. Si los contratistas, socios o trabajadores temporales interactúan con su help desk o participan en flujos de trabajo confidenciales, históricamente han representado una brecha de verificación. RSA Help Desk Live Verify está diseñado para ello.
- Instituciones financieras. La autorización de transferencias bancarias, la aprobación de pagos en tiempo real y las solicitudes de acceso a cuentas implican interacciones delicadas en las que la garantía de identidad reduce directamente la exposición al fraude.
- Entornos gubernamentales y de alta seguridad. Los organismos y contratistas que operan en entornos con estrictos requisitos de garantía de identidad se benefician de un modelo de verificación que funciona para los usuarios en toda la frontera de identidad, no sólo para aquellos con dispositivos gestionados por el gobierno.
- Cualquier organización que utilice RSA Help Desk Live Verify hoy mismo. Si ya ha implementado RSA Help Desk Live Verify para usuarios equipados con autenticador, esta versión le permite ampliar la misma protección a los usuarios que actualmente están fuera de esa cobertura, sin cambiar la configuración existente.
RSA Help Desk Live Verify con ID Verification entra en la Private Preview como parte del lanzamiento de junio de 2026, con disponibilidad general prevista para finales del verano de 2026. La Private Preview ya está disponible en regiones seleccionadas, con un despliegue más amplio hasta mediados de junio. Las organizaciones deben habilitar ID Verification para integrar el flujo de trabajo actualizado en su entorno RSA ID Plus.
Si su organización tiene contratistas, socios o empleados sin un autenticador registrado, y desea cerrar la brecha de verificación antes de GA, la vista previa privada ya está abierta. Póngase en contacto con su administrador de cuentas de RSA para habilitar su entorno.
Si aún no es cliente de RSA, solicite una demostración para ver RSA Help Desk Live Verify en acción.
