Ir al contenido principal

¿Qué es la Verificación de Identidad? [obsoleto]

⚠️ La Verificación de Identidad ahora está obsoleta.

La Verificación de Identidad ha quedado obsoleta y la clave secreta de verificación de identidad ya no se expone. Usar el secreto del cliente de la app para generar un user_hash resultará en un error de user_hash inválido. JWT (JSON Web Token) es ahora el método recomendado para asegurar el Fin Messenger. Consulta la guía de configuración de JWT para las mejores prácticas actuales.

La Verificación de Identidad asegura que las conversaciones entre tú y tus users se mantengan privadas, y que un actor malintencionado no pueda hacerse pasar por tus users.

Si solo usas Intercom para visitantes del sitio web que no inician sesión, no necesitas Verificación de Identidad. Solo aplica a users, para quienes tienes identificadores como dirección de correo electrónico o user_id.

¿Qué es un ataque de suplantación de identidad de user?

En espacios de trabajo que tienen users que han iniciado sesión, sin Verificación de Identidad, es posible que un actor malintencionado se haga pasar por un user. Esto significa que un actor malintencionado podría ver las conversaciones históricas de un user, aparecer ante tus compañeros como ese user y engañarlos para que tomen acciones en la cuenta de ese user.

Por ejemplo, sin Verificación de Identidad, alguien puede interactuar con tu Fin Messenger y falsificar la identidad de otro user, proporcionando un identificador conocido como su dirección de correo electrónico o user_id. Esto permite a un atacante hacerse pasar por un user real ante tus compañeros, dando acceso a conversaciones previas y datos potencialmente sensibles.

¿Cómo protege la Verificación de Identidad mi espacio de trabajo?

Con Verificación de Identidad, generas un user_hash único para cada uno de tus users basado en su dirección de correo electrónico o user_id y el secreto de verificación de identidad de tu espacio de trabajo (disponible en el paso de instalación, al configurar Fin Messenger para la transferencia a Zendesk). Tu integración generará y enviará estos hashes junto con cada solicitud del Messenger, permitiéndonos confiar en que la solicitud del user realmente proviene de ti.

Así es como tus solicitudes web del Messenger están protegidas contra suplantación cuando habilitas correctamente la Verificación de Identidad para tu espacio de trabajo.

La Verificación de Identidad previene la suplantación cruzada de users en tu espacio de trabajo porque sin acceso a tu secreto, un tercero que intente falsificar el identificador de un user a Intercom no podrá enviar a Intercom un user_hash válido para ese user.

Una vez que se aplica la Verificación de Identidad, el Fin Messenger no cargará ni aceptará solicitudes para tus users que hayan iniciado sesión sin un user_hash válido.

¿La Verificación de Identidad afecta la experiencia del user?

Con la Verificación de Identidad correctamente configurada, no hay impacto para tus clientes. Users y Leads experimentarán el Messenger con normalidad. No se requiere ninguna acción adicional de su parte para autenticarse o usar el Messenger.

¿Cuál es la diferencia entre Leads y Users?

Intercom hace una clara distinción entre:

  • Visitantes - clientes desconocidos para tu sitio que no han iniciado sesión y no tienen historial de conversación contigo,

  • Leads - clientes que inician una conversación contigo o responden a un mensaje. Son identificados por nombres como “Charcoal Umbrella from Paris” y reciben una cookie de Intercom para recordar su historial de conversación,

  • Users - clientes que se registran en tu producto e inician sesión en una cuenta existente. Usualmente los identificas por dirección de correo electrónico o user ID

¿Necesito configurar la Verificación de Identidad para visitantes?

Cuando Intercom está instalado para visitantes del sitio web que no inician sesión, no necesitas Verificación de Identidad. Solo aplica a users, para quienes tienes identificadores como dirección de correo electrónico o user_id.

En otras palabras, cuando habilitas la verificación de identidad para tu espacio de trabajo, Intercom solo esperará un user_hash cuando el Messenger se cargue para un user. Sin embargo, cuando el Messenger se carga para un visitante/lead desconectado, no se requiere un user_hash.

¿Por qué no tienen un secreto único para todas las plataformas?

Creamos un secreto único para cada plataforma para que sea más fácil rotar cada uno o habilitar la Verificación de Identidad en cada plataforma de forma independiente.

¿Cómo genero un hash único por plataforma cuando uso el mismo backend para todos los users?

No deberías generar el hash y almacenarlo en tu base de datos. En su lugar, deberías generarlo y enviarlo dinámicamente al identificar al user a Intercom. Esto significará que cuando cambies secretos o el user use una plataforma diferente, tendrás el hash correcto siendo enviado.

Si almacenas el hash y lo envías, tendrías que hacer una regeneración masiva ante cualquier cambio en tu secreto, lo que crearía fricción para ti.

¿La Verificación de Identidad protege tanto los valores de user_id como de dirección de correo electrónico?

No, la Verificación de Identidad requiere que crees un hash único usando el secreto y ya sea el user_id o la dirección de correo electrónico del user. Si envías user_ids con tus solicitudes del Messenger, debes crear el hash usando este identificador. Si no envías user_ids, lo generas con el campo de dirección de correo electrónico.

Artículos relacionados
Fin Messenger: Configura el solicitante correcto del ticket en Zendesk con transferencia al agente
Configurar la Verificación de Identidad para web y móvil [obsoleto]
Autenticación de users en Fin Messenger con JSON web tokens (JWTs)
Migración de la Verificación de Identidad a la Seguridad de Messenger con JWTs
Fin Messenger: Configurar autenticación JWT para Salesforce Enhanced Chat
¿Ha quedado contestada tu pregunta?