Twitch es la plataforma social de video y comunidad líder a nivel mundial de , la cultura de los videojuegos y las artes creativas para jugadores de videojuegos. Cada día, cerca de 10 millones de usuarios activos se reúnen para ver y hablar sobre videojuegos con más de dos millones de personas que realizan transmisiones en vivo. Cuando tienes una audiencia apasionada y activa, mantener las cuentas seguras con un mínimo de fricción es la prioridad principal para Twitch. Es por eso que eligieron Twilio Authy.
Fundada en el 2011, Twitch es más que una experiencia de espectador, es un video social. Twitch utiliza audio y chat para permitir que las personas realizadoras de transmisiones en vivo y sus audiencias interactúen en tiempo real acerca de todo, desde juegos y cultura pop hasta la vida en general.
Para los millones de personas que visitan Twitch cada día para interactuar con sus pasiones compartidas, la confianza es imprescindible. "Nos tomamos muy en serio nuestra comunidad", dijo Sudesh Peram, gerente de productos de Twitch. "Tenemos dos tipos de usuarios: personas que crean el contenido y personas que consumen el contenido. En realidad, nuestros creadores de contenido se ganan la vida con sus transmisiones en nuestra plataforma, por lo que la seguridad es una prioridad para nosotros, ya que su sustento depende de ello".
Peram continuó diciendo que "Twitch es una plataforma mucho más seria de lo que era hace diez años. Es por eso que la seguridad es tan importante para nosotros. Los presentadores más importantes pueden ganar cientos de miles de dólares al año, por lo que tienen la presión de continuar transmitiendo. Si no lo hacen, pierden espectadores y dinero. Aquí es donde entra en juego la seguridad. Queremos que los presentadores publiquen contenido a tiempo y conserven su público".
Otra razón fundamental para tener una seguridad sin errores en Twitch es proteger las identidades de los usuarios. "La mayoría de nuestros usuarios tienen identidades alternas", dijo Peram. "Cuando un usuario entra en Twitch con su identidad anterna, siente que puede vivir esa identidad en el mundo de los videojuegos. Lo tomamos con seriedad. Los usuarios deben confiar plenamente en nuestra plataforma".
Para proteger las identidades de sus usuarios, Twitch confía en un sistema cerrado de ID y Twilio Authy. "Cualquier plataforma con este volumen y escala está sujeta a la vulnerabilidad en la cuenta de usuario", explicó Peram, "así que sabíamos que debíamos cuidar a nuestros usuarios de cosas como secuestros de cuenta y robos de contraseñas, incluso si esto causara problemas cuando iniciaran sesión. Los beneficios superan las molestias".
Sin embargo, antes de integrar a Authy en su plataforma, el equipo de Twitch tenía que tomar una gran decisión: ¿deberían desarrollar o comprar? Sabían que podían crear su propio sistema de seguridad, pero sería una gran tarea en cuanto a costos y recursos, debido al desarrollo y la integración, para escalar la solución y, sobre todo, para que sea confiable. Peram señaló que "construir nuestro propio 2FA no era fundamental en nuestro negocio. No queríamos dedicar una cantidad excesiva de tiempo a todo esto cuando sabíamos que ya había soluciones personalizables en el mercado".
Cuando tomamos la decisión, el equipo analizó sus prioridades y estableció criterios para identificar al proveedor de soluciones adecuado. La confiabilidad, la compatibilidad multiplataforma, el autoservicio y la asistencia al cliente fueron todos criterios fundamentales para su consideración. "Tenemos usuarios en todos los diferentes tipos de plataformas, incluida una gran presencia en Android y iOS. Nuestros presentadores trabajan en PC o Mac. Por lo tanto, necesitábamos una solución que funcionara en todas las plataformas", dijo Peram.
El autoservicio fue otro factor decisivo. "No queremos que nuestros usuarios se bloqueen. Si pierden su teléfono, deberían poder utilizar su computadora de escritorio. Cada vez que recibimos una llamada de atención al cliente, nos cuesta dinero y tiempo procesar y, a veces, no podemos tomarla a tiempo, así que no queremos dejar a nuestros usuarios sin soluciones".
Twitch optó por Twilio Authy como el servicio adecuado para ellos. "Twilio cumplía con todos nuestros criterios. Estamos contentos con la multiplataforma y el autoservicio. Yo mismo he usado el autoservicio; es muy fácil restablecer mi teléfono y usar mi nuevo teléfono de inmediato", dijo Peram.
La implementación fue mucho más fácil de lo que Twitch creía. "Hicimos una prueba piloto con las cuentas del personal durante unos meses, la probamos y nos sentimos cómodos con ella. Lo mejor fue cuando comenzamos a desarrollarlo con productos regulares, como Twitch.tv". Según Peram, Twilio Authy fue el producto más fácil que ha utilizado en términos de API. En solo unos días pasó por la prueba de concepto, y en unas semanas ya estaba implementado en toda la plataforma.
A Peram y su equipo también les gusta la documentación de Twilio, el servicio al cliente y otros recursos para desarrolladores. "No los necesitábamos, pero nos alegró saber que estaban disponibles", dijo.
Peram tiene algunos consejos excelentes para otros administradores de productos que están buscando soluciones de seguridad: "Twitch es un servicio que llegó a cientos de millones de usuarios en un período bastante corto. No importa el tamaño de la plataforma, debes tener 2FA ahora mismo. Si hackean la cuenta de un usuario, y este se queja en Twitter, se acabó el juego para tu empresa. Cuando ves el impacto de una vulneración en tus cuentas es que empiezas a tomarlo en serio".
Él recomienda que las plataformas integren 2FA como parte del flujo normal de usuarios cuando configuren la nueva experiencia. "Intenta optimizar para lograr el registro más fácil posible. Agregar otra capa siempre será un desafío, pero cuando llegas a una masa crítica y tienes millones y millones de usuarios, quieres que tu sistema sea estable y que tu comunidad esté segura".
No hay una buena excusa para no tener 2FA. La seguridad no debe ser una idea de último momento.
Twitch se enfoca activamente en aumentar la adopción de 2FA entre sus presentadores. Y reducir los problemas de seguridad para sus usuarios siempre es la prioridad. "Nos gusta el concepto "one touch" (un toque). Nuestros usuarios inician sesión diariamente y preferimos que solo deban aceptar o rechazar una solicitud. Eso hace que sea mucho más fácil que mirar un código y escribirlo todos los días", explicó Peram. "Cuando vean lo fácil que fue para nosotros la implementación y vean la seguridad y los beneficios adicionales para los usuarios, también empezarán a usarlo".