5 Mejores Prácticas para Notificaciones de Seguridad
Pájaro
15 nov 2017
Correo electrónico
1 min read
Puntos clave
Las notificaciones de seguridad refuerzan la confianza del usuario al ayudar a las personas a tomar decisiones seguras e informadas durante momentos sensibles.
Las alertas más efectivas son claras, concisas y libres de retórica publicitaria, especialmente cuando los usuarios pueden sentirse estresados o vulnerables.
Los pasos siguientes que se pueden accionar (por ejemplo, “Ver ubicación”, “Asegurar tu cuenta”, “Restablecer contraseña”) aumentan dramáticamente la confianza del usuario.
Para eventos de alto riesgo, las notificaciones deben resaltar qué sucedió, dónde y qué debe hacer el usuario a continuación, sin abrumarlos.
Las elecciones de diseño importan: una marca contenida, diseños simples y mensajes directos mejoran la claridad y reducen la ansiedad.
La seguridad no debería parecer un evento aislado: las notificaciones regulares y proactivas fortalecen la lealtad y la confianza con el tiempo.
Destacados de Q&A
¿Por qué son tan importantes las notificaciones de seguridad para productos SaaS?
Debido a que los usuarios enfrentan riesgos constantes — robos, hackeos, inicios de sesión no autorizados y filtraciones de datos. Las notificaciones de seguridad les ayudan a actuar rápidamente, mantenerse informados y sentirse protegidos por su producto.
¿Qué hace que una notificación de seguridad sea efectiva?
Información clara, sin marketing, y acciones inmediatas que el usuario puede tomar. El correo electrónico de Apple "Lost Mode" es un gran ejemplo: se centra en la claridad, tranquilidad y los siguientes pasos útiles.
¿Qué tan rápido se debe alertar a los usuarios sobre actividad sospechosa?
Inmediatamente. Las plataformas como Facebook notifican a los usuarios en el momento en que ocurren inicios de sesión inusuales, combinando seguridad con CTAs accionables.
¿Qué pasa con los correos electrónicos de restablecimiento de contraseña, algo especial a considerar?
Manténlos simples, directos y seguros. Incluye el enlace de restablecimiento, la IP solicitante cuando sea relevante, y establece expectativas (por ejemplo, "no responder," correo electrónico automático, tiempo de expiración).
¿Deben las notificaciones de seguridad incluir contenido de marketing?
Absolutamente no. Los correos electrónicos de seguridad deben priorizar la confianza sobre la promoción. Cualquier indicio de marketing puede parecer fuera de lugar o, peor aún, sospechoso.
¿Cómo gestionas la ansiedad de los usuarios en torno a características o cambios relacionados con la seguridad?
Sigue el ejemplo de PayPal: explica qué cambió, por qué es beneficioso, cómo los mantiene seguros y cómo desactivarlo si lo prefieren.
¿Es útil enviar correos electrónicos con temática de seguridad incluso cuando no ha ocurrido ningún evento?
Sí — los mensajes proactivos (como la actualización del Centro de Seguridad de Wells Fargo) pueden educar a los usuarios, reforzar la confianza y destacar características protectoras.
¿Cuál es la mentalidad general de UX detrás de las excelentes notificaciones de seguridad?
Considérelos como parte de su experiencia de producto principal. Deben sentirse protectores, oportunos y profundamente centrados en el usuario — no como pensamientos secundarios del sistema.
Todos los que utilizan tecnología hoy en día (y eso es todos) enfrentan una amplia gama de desafíos de seguridad. Los dispositivos pueden perderse o ser robados. Las cuentas pueden ser hackeadas. La información personal puede filtrarse en línea.
Por lo tanto, no hace falta decir que la buena seguridad es un requisito clave para cualquier aplicación SaaS hoy en día. Pero no es suficiente solo construir tecnología segura; las actitudes y comportamientos de los usuarios también son críticos para construir un producto SaaS exitoso y seguro.
Las alertas y notificaciones de seguridad son una parte importante de desarrollar y reforzar la confianza del usuario. Para ser efectivas, los equipos de producto que desarrollan notificaciones de seguridad para sus aplicaciones deberían considerar cómo sus alertas pueden lograr dos objetivos:
Ayudar a los usuarios a tomar buenas decisiones sobre cuestiones relacionadas con la seguridad
Transmitir la información que los usuarios necesitan para tener confianza en el producto o servicio
En esta publicación, echaré un vistazo a varios ejemplos de correos electrónicos efectivos de notificación de seguridad y las lecciones que los equipos de producto pueden aprender de ellos.
Todos los que utilizan tecnología hoy en día (y eso es todos) enfrentan una amplia gama de desafíos de seguridad. Los dispositivos pueden perderse o ser robados. Las cuentas pueden ser hackeadas. La información personal puede filtrarse en línea.
Por lo tanto, no hace falta decir que la buena seguridad es un requisito clave para cualquier aplicación SaaS hoy en día. Pero no es suficiente solo construir tecnología segura; las actitudes y comportamientos de los usuarios también son críticos para construir un producto SaaS exitoso y seguro.
Las alertas y notificaciones de seguridad son una parte importante de desarrollar y reforzar la confianza del usuario. Para ser efectivas, los equipos de producto que desarrollan notificaciones de seguridad para sus aplicaciones deberían considerar cómo sus alertas pueden lograr dos objetivos:
Ayudar a los usuarios a tomar buenas decisiones sobre cuestiones relacionadas con la seguridad
Transmitir la información que los usuarios necesitan para tener confianza en el producto o servicio
En esta publicación, echaré un vistazo a varios ejemplos de correos electrónicos efectivos de notificación de seguridad y las lecciones que los equipos de producto pueden aprender de ellos.
Todos los que utilizan tecnología hoy en día (y eso es todos) enfrentan una amplia gama de desafíos de seguridad. Los dispositivos pueden perderse o ser robados. Las cuentas pueden ser hackeadas. La información personal puede filtrarse en línea.
Por lo tanto, no hace falta decir que la buena seguridad es un requisito clave para cualquier aplicación SaaS hoy en día. Pero no es suficiente solo construir tecnología segura; las actitudes y comportamientos de los usuarios también son críticos para construir un producto SaaS exitoso y seguro.
Las alertas y notificaciones de seguridad son una parte importante de desarrollar y reforzar la confianza del usuario. Para ser efectivas, los equipos de producto que desarrollan notificaciones de seguridad para sus aplicaciones deberían considerar cómo sus alertas pueden lograr dos objetivos:
Ayudar a los usuarios a tomar buenas decisiones sobre cuestiones relacionadas con la seguridad
Transmitir la información que los usuarios necesitan para tener confianza en el producto o servicio
En esta publicación, echaré un vistazo a varios ejemplos de correos electrónicos efectivos de notificación de seguridad y las lecciones que los equipos de producto pueden aprender de ellos.
1. Ofrezca a los usuarios información clara y útil
Este correo electrónico de Apple se genera cuando un usuario no puede encontrar su dispositivo iOS y recurre a la aplicación Find iPhone para obtener ayuda. Pueden usar la aplicación para activar el Modo Perdido, que indica al dispositivo perdido que envíe una señal a la nave nodriza y proporcione su ubicación, que Apple proporciona rápidamente en forma de un correo electrónico que se ve así.
Observe cómo Apple muestra de manera destacada mucha información útil en este correo electrónico. Incluso incluyen un mapa que muestra el recorrido del teléfono extraviado. Cuando el usuario hace clic en Ver Ubicación, se le envía a un mapa en línea que les muestra la ubicación actual de su dispositivo, junto con varias opciones que pueden ayudarles a recuperarlo.
Apple también sabiamente evita el marketing explícito o mensajes de marca. Lo último que un usuario necesita es sentir que le están enviando un anuncio cuando está preocupado de haber perdido un dispositivo caro. El logotipo de iCloud no es prominente, y está ahí más como una manera de recordar al usuario sobre el servicio en el que están confiando y para dirigirlos hacia los enlaces útiles al final.
Este correo electrónico de Apple se genera cuando un usuario no puede encontrar su dispositivo iOS y recurre a la aplicación Find iPhone para obtener ayuda. Pueden usar la aplicación para activar el Modo Perdido, que indica al dispositivo perdido que envíe una señal a la nave nodriza y proporcione su ubicación, que Apple proporciona rápidamente en forma de un correo electrónico que se ve así.
Observe cómo Apple muestra de manera destacada mucha información útil en este correo electrónico. Incluso incluyen un mapa que muestra el recorrido del teléfono extraviado. Cuando el usuario hace clic en Ver Ubicación, se le envía a un mapa en línea que les muestra la ubicación actual de su dispositivo, junto con varias opciones que pueden ayudarles a recuperarlo.
Apple también sabiamente evita el marketing explícito o mensajes de marca. Lo último que un usuario necesita es sentir que le están enviando un anuncio cuando está preocupado de haber perdido un dispositivo caro. El logotipo de iCloud no es prominente, y está ahí más como una manera de recordar al usuario sobre el servicio en el que están confiando y para dirigirlos hacia los enlaces útiles al final.
Este correo electrónico de Apple se genera cuando un usuario no puede encontrar su dispositivo iOS y recurre a la aplicación Find iPhone para obtener ayuda. Pueden usar la aplicación para activar el Modo Perdido, que indica al dispositivo perdido que envíe una señal a la nave nodriza y proporcione su ubicación, que Apple proporciona rápidamente en forma de un correo electrónico que se ve así.
Observe cómo Apple muestra de manera destacada mucha información útil en este correo electrónico. Incluso incluyen un mapa que muestra el recorrido del teléfono extraviado. Cuando el usuario hace clic en Ver Ubicación, se le envía a un mapa en línea que les muestra la ubicación actual de su dispositivo, junto con varias opciones que pueden ayudarles a recuperarlo.
Apple también sabiamente evita el marketing explícito o mensajes de marca. Lo último que un usuario necesita es sentir que le están enviando un anuncio cuando está preocupado de haber perdido un dispositivo caro. El logotipo de iCloud no es prominente, y está ahí más como una manera de recordar al usuario sobre el servicio en el que están confiando y para dirigirlos hacia los enlaces útiles al final.
2. Notifique rápidamente a los usuarios sobre actividad inusual en la cuenta
Si alguna vez has usado Facebook a través de un nuevo dispositivo o navegador web, probablemente te hayas encontrado con capas adicionales de seguridad que van más allá de una simple pantalla de inicio de sesión. A los usuarios con autenticación de dos factores (2FA) se les requiere ingresar un código generado en la aplicación de Facebook en un dispositivo ya confiable. E incluso cuando se ingresa un código con éxito, Facebook envía inmediatamente correos electrónicos posteriores al inicio de sesión a todas las direcciones asociadas con la cuenta, junto con notificaciones dentro de la aplicación.
Como el correo electrónico Find iPhone de Apple, se ajustan a la información necesaria y no convierten el mensaje en un anuncio. La marca directa tranquiliza al destinatario de que Facebook está cuidando de ellos.
Igual de importante, los botones proporcionan pasos claros y accionables a seguir, por si el usuario se sorprende con este aviso y necesita hacer algo al respecto. Observa que Facebook utiliza su color de marca principal para el más importante de los dos CTAs.
Y si estos tipos de alertas son molestos, proporcionan una opción que lleva al usuario a un lugar donde puede gestionar cómo y cuándo recibe alertas. También hay un enlace para darse de baja en la parte inferior para las personas que no quieren ser molestadas con este tipo de mensajes en el futuro.
Si alguna vez has usado Facebook a través de un nuevo dispositivo o navegador web, probablemente te hayas encontrado con capas adicionales de seguridad que van más allá de una simple pantalla de inicio de sesión. A los usuarios con autenticación de dos factores (2FA) se les requiere ingresar un código generado en la aplicación de Facebook en un dispositivo ya confiable. E incluso cuando se ingresa un código con éxito, Facebook envía inmediatamente correos electrónicos posteriores al inicio de sesión a todas las direcciones asociadas con la cuenta, junto con notificaciones dentro de la aplicación.
Como el correo electrónico Find iPhone de Apple, se ajustan a la información necesaria y no convierten el mensaje en un anuncio. La marca directa tranquiliza al destinatario de que Facebook está cuidando de ellos.
Igual de importante, los botones proporcionan pasos claros y accionables a seguir, por si el usuario se sorprende con este aviso y necesita hacer algo al respecto. Observa que Facebook utiliza su color de marca principal para el más importante de los dos CTAs.
Y si estos tipos de alertas son molestos, proporcionan una opción que lleva al usuario a un lugar donde puede gestionar cómo y cuándo recibe alertas. También hay un enlace para darse de baja en la parte inferior para las personas que no quieren ser molestadas con este tipo de mensajes en el futuro.
Si alguna vez has usado Facebook a través de un nuevo dispositivo o navegador web, probablemente te hayas encontrado con capas adicionales de seguridad que van más allá de una simple pantalla de inicio de sesión. A los usuarios con autenticación de dos factores (2FA) se les requiere ingresar un código generado en la aplicación de Facebook en un dispositivo ya confiable. E incluso cuando se ingresa un código con éxito, Facebook envía inmediatamente correos electrónicos posteriores al inicio de sesión a todas las direcciones asociadas con la cuenta, junto con notificaciones dentro de la aplicación.
Como el correo electrónico Find iPhone de Apple, se ajustan a la información necesaria y no convierten el mensaje en un anuncio. La marca directa tranquiliza al destinatario de que Facebook está cuidando de ellos.
Igual de importante, los botones proporcionan pasos claros y accionables a seguir, por si el usuario se sorprende con este aviso y necesita hacer algo al respecto. Observa que Facebook utiliza su color de marca principal para el más importante de los dos CTAs.
Y si estos tipos de alertas son molestos, proporcionan una opción que lleva al usuario a un lugar donde puede gestionar cómo y cuándo recibe alertas. También hay un enlace para darse de baja en la parte inferior para las personas que no quieren ser molestadas con este tipo de mensajes en el futuro.
3. Tenga mucho cuidado con los restablecimientos de contraseña
Es una buena idea incluir el correo electrónico en el flujo cuando alguien restablece su contraseña, en caso de que su cuenta haya sido accedida por un actor malicioso. Deberías enviarles una notificación por correo electrónico y requerir que visiten una página web para restablecer su contraseña. Puede ser un poco molesto, pero es un paso que agrega una capa de seguridad al proceso, como lo hace Steam aquí.
Claro, podrías cuestionar el estilo de texto plano, pero hay momentos en que un enfoque sin adornos es apropiado, dependiendo de las necesidades y preferencias de tu audiencia.
Este correo electrónico también hace un buen trabajo al establecer expectativas para el usuario:
Un humano no envió esto, así que por favor no respondas - los enlaces a continuación esperemos que te ayuden si estás confundido.
Haz clic en el enlace y utiliza una clave de restablecimiento de contraseña ingresada manualmente. Es simple, y usar una clave aleatoria en lugar de información personalmente identificable ayuda a calmar posibles temores de phishing del usuario.
Aquí está la dirección IP de la persona que hizo esta solicitud, para que la tengas en caso de que no hayas hecho esto y necesites tomar medidas contra la persona que lo hizo.
Es una buena idea incluir el correo electrónico en el flujo cuando alguien restablece su contraseña, en caso de que su cuenta haya sido accedida por un actor malicioso. Deberías enviarles una notificación por correo electrónico y requerir que visiten una página web para restablecer su contraseña. Puede ser un poco molesto, pero es un paso que agrega una capa de seguridad al proceso, como lo hace Steam aquí.
Claro, podrías cuestionar el estilo de texto plano, pero hay momentos en que un enfoque sin adornos es apropiado, dependiendo de las necesidades y preferencias de tu audiencia.
Este correo electrónico también hace un buen trabajo al establecer expectativas para el usuario:
Un humano no envió esto, así que por favor no respondas - los enlaces a continuación esperemos que te ayuden si estás confundido.
Haz clic en el enlace y utiliza una clave de restablecimiento de contraseña ingresada manualmente. Es simple, y usar una clave aleatoria en lugar de información personalmente identificable ayuda a calmar posibles temores de phishing del usuario.
Aquí está la dirección IP de la persona que hizo esta solicitud, para que la tengas en caso de que no hayas hecho esto y necesites tomar medidas contra la persona que lo hizo.
Es una buena idea incluir el correo electrónico en el flujo cuando alguien restablece su contraseña, en caso de que su cuenta haya sido accedida por un actor malicioso. Deberías enviarles una notificación por correo electrónico y requerir que visiten una página web para restablecer su contraseña. Puede ser un poco molesto, pero es un paso que agrega una capa de seguridad al proceso, como lo hace Steam aquí.
Claro, podrías cuestionar el estilo de texto plano, pero hay momentos en que un enfoque sin adornos es apropiado, dependiendo de las necesidades y preferencias de tu audiencia.
Este correo electrónico también hace un buen trabajo al establecer expectativas para el usuario:
Un humano no envió esto, así que por favor no respondas - los enlaces a continuación esperemos que te ayuden si estás confundido.
Haz clic en el enlace y utiliza una clave de restablecimiento de contraseña ingresada manualmente. Es simple, y usar una clave aleatoria en lugar de información personalmente identificable ayuda a calmar posibles temores de phishing del usuario.
Aquí está la dirección IP de la persona que hizo esta solicitud, para que la tengas en caso de que no hayas hecho esto y necesites tomar medidas contra la persona que lo hizo.
4. Tenga en cuenta las acciones que ponen nerviosos a los usuarios
Incluso los usuarios de Internet más expertos pueden vacilar al realizar un cambio en la forma en que conducen los negocios en línea. Por ejemplo, si su servicio ofrece una nueva opción que hará que las transacciones sean más convenientes para los clientes, es posible que aún estén un poco nerviosos sobre las implicaciones de ese cambio. Vea lo que hizo PayPal aquí como un ejemplo de cómo manejar este tipo de evento desencadenado.
Es un correo electrónico extenso, pero dado el tema, es uno que es probable que se lea con mayor atención que un mensaje de "Enviaste dinero a tal persona". PayPal utiliza el inicio del correo electrónico para explicar claramente el cambio realizado y qué dispositivo afecta. Luego explican los beneficios, seguidos de una garantía de que la Protección de Compra sigue aplicándose. Cierran con instrucciones paso a paso para desactivar la función si el usuario se da cuenta de que comparte el dispositivo con otras personas.
PayPal mantiene la marca al mínimo y no se molesta con imágenes ni con nada más que diga "este es un mensaje de marketing", lo que ayuda a asegurar al usuario que la empresa tiene sus mejores intereses en mente y no está viendo esto como una oportunidad para venderles algo.
Incluso los usuarios de Internet más expertos pueden vacilar al realizar un cambio en la forma en que conducen los negocios en línea. Por ejemplo, si su servicio ofrece una nueva opción que hará que las transacciones sean más convenientes para los clientes, es posible que aún estén un poco nerviosos sobre las implicaciones de ese cambio. Vea lo que hizo PayPal aquí como un ejemplo de cómo manejar este tipo de evento desencadenado.
Es un correo electrónico extenso, pero dado el tema, es uno que es probable que se lea con mayor atención que un mensaje de "Enviaste dinero a tal persona". PayPal utiliza el inicio del correo electrónico para explicar claramente el cambio realizado y qué dispositivo afecta. Luego explican los beneficios, seguidos de una garantía de que la Protección de Compra sigue aplicándose. Cierran con instrucciones paso a paso para desactivar la función si el usuario se da cuenta de que comparte el dispositivo con otras personas.
PayPal mantiene la marca al mínimo y no se molesta con imágenes ni con nada más que diga "este es un mensaje de marketing", lo que ayuda a asegurar al usuario que la empresa tiene sus mejores intereses en mente y no está viendo esto como una oportunidad para venderles algo.
Incluso los usuarios de Internet más expertos pueden vacilar al realizar un cambio en la forma en que conducen los negocios en línea. Por ejemplo, si su servicio ofrece una nueva opción que hará que las transacciones sean más convenientes para los clientes, es posible que aún estén un poco nerviosos sobre las implicaciones de ese cambio. Vea lo que hizo PayPal aquí como un ejemplo de cómo manejar este tipo de evento desencadenado.
Es un correo electrónico extenso, pero dado el tema, es uno que es probable que se lea con mayor atención que un mensaje de "Enviaste dinero a tal persona". PayPal utiliza el inicio del correo electrónico para explicar claramente el cambio realizado y qué dispositivo afecta. Luego explican los beneficios, seguidos de una garantía de que la Protección de Compra sigue aplicándose. Cierran con instrucciones paso a paso para desactivar la función si el usuario se da cuenta de que comparte el dispositivo con otras personas.
PayPal mantiene la marca al mínimo y no se molesta con imágenes ni con nada más que diga "este es un mensaje de marketing", lo que ayuda a asegurar al usuario que la empresa tiene sus mejores intereses en mente y no está viendo esto como una oportunidad para venderles algo.
5. Tratar la seguridad como una parte continua de la experiencia del usuario
A veces, es útil informar a los usuarios sobre las formas en que puedes ayudarlos a lograr tranquilidad, incluso si el mensaje no está vinculado a un evento activado. Este correo electrónico de Wells Fargo, que presenta su nueva función del Security Center, hace un buen trabajo en eso.
Incluso los mensajes de marketing como este pueden ayudar a reforzar la confianza general que un usuario tiene en un servicio. Este destaca una nueva función útil que los clientes probablemente apreciarán, dado el hecho de que los ataques a sitios web y las filtraciones de información aparecen en las noticias regularmente. La iconografía ayuda a descomponer el correo electrónico para que no esté demasiado cargado de texto, y termina con un claro CTA. Y aunque es probable que muchas personas no sepan mucho sobre el Mes Nacional de Concientización sobre la Seguridad Cibernética, aún fue inteligente por parte de Wells Fargo vincular el lanzamiento de esta función a ese evento.
También utilizan una línea de asunto clara y directa y una dirección "De:", ambas ayudan a que el mensaje se destaque un poco más en un inbox lleno de contenido.
A veces, es útil informar a los usuarios sobre las formas en que puedes ayudarlos a lograr tranquilidad, incluso si el mensaje no está vinculado a un evento activado. Este correo electrónico de Wells Fargo, que presenta su nueva función del Security Center, hace un buen trabajo en eso.
Incluso los mensajes de marketing como este pueden ayudar a reforzar la confianza general que un usuario tiene en un servicio. Este destaca una nueva función útil que los clientes probablemente apreciarán, dado el hecho de que los ataques a sitios web y las filtraciones de información aparecen en las noticias regularmente. La iconografía ayuda a descomponer el correo electrónico para que no esté demasiado cargado de texto, y termina con un claro CTA. Y aunque es probable que muchas personas no sepan mucho sobre el Mes Nacional de Concientización sobre la Seguridad Cibernética, aún fue inteligente por parte de Wells Fargo vincular el lanzamiento de esta función a ese evento.
También utilizan una línea de asunto clara y directa y una dirección "De:", ambas ayudan a que el mensaje se destaque un poco más en un inbox lleno de contenido.
A veces, es útil informar a los usuarios sobre las formas en que puedes ayudarlos a lograr tranquilidad, incluso si el mensaje no está vinculado a un evento activado. Este correo electrónico de Wells Fargo, que presenta su nueva función del Security Center, hace un buen trabajo en eso.
Incluso los mensajes de marketing como este pueden ayudar a reforzar la confianza general que un usuario tiene en un servicio. Este destaca una nueva función útil que los clientes probablemente apreciarán, dado el hecho de que los ataques a sitios web y las filtraciones de información aparecen en las noticias regularmente. La iconografía ayuda a descomponer el correo electrónico para que no esté demasiado cargado de texto, y termina con un claro CTA. Y aunque es probable que muchas personas no sepan mucho sobre el Mes Nacional de Concientización sobre la Seguridad Cibernética, aún fue inteligente por parte de Wells Fargo vincular el lanzamiento de esta función a ese evento.
También utilizan una línea de asunto clara y directa y una dirección "De:", ambas ayudan a que el mensaje se destaque un poco más en un inbox lleno de contenido.
