La autenticación ha cambiado su naturaleza intrínseca. Antes era un peaje fijo: usuario y contraseña, quizá un segundo factor, y listo. Hoy, con robo de credenciales, fraude de apropiación de cuentas (ATO), bots que imitan comportamiento humano y fraude multicanal, el enfoque “una misma barrera para todos” ya no es suficiente.
Por ello entra la autenticación basada en el riesgo o Risk-Based Authentication (RBA): un modelo que ajusta el nivel de verificación a lo que está ocurriendo en ese momento. Si el contexto parece normal, el acceso fluye. Si el contexto “parece raro”, el sistema eleva el nivel de prueba (step-up) o bloquea.
El objetivo está muy claro: mejorar el control del riesgo sin disparar fricción, algo especialmente relevante en sectores regulados (finanzas, pagos, identidad digital, iGaming) donde el equilibrio entre seguridad, cumplimiento y conversión es delicado.
¿Qué es la autenticación basada en el riesgo (RBA)?
En función del riesgo, decide si:
- Permite continuar con autenticación mínima
- Activa verificación adicional (step-up)
- Bloquea o deriva a revisión.
Esta definición coincide con lo que describen técnicos y proveedores de control de acceso: evaluación de comportamiento del usuario, características del dispositivo y contexto ambiental (IP, localización, historial) para determinar el nivel de riesgo.
¿Por qué la RBA está ganando terreno?
Hay tres razones principales:
El fraude es multifactorial
Los atacantes no solo prueban contraseñas filtradas. También:
- Simulan dispositivos, navegadores y horarios,
- Usan infraestructura “limpia”,
- Combinan ingeniería social + automatización.
La consecuencia: o hay un aumento en la fricción para todos (negativo para el negocio), o se implementa una estrategia selectiva: fricción solo cuando hay señales de riesgo.
Regulación que empuja a una autenticación robusta y proporcional
En pagos, la PSD2 y la Autenticación Reforzada de Clientes (SCA) establecen que ciertas acciones deben protegerse con autenticación reforzada y, además, contemplan exenciones ligadas al riesgo (por ejemplo, mediante análisis de riesgo transaccional).
Esto no es “RBA” como tal, pero sí es el mismo principio: seguridad proporcional al riesgo.
Los equipos de producto necesitan convertir
En el onboarding digital de clientes, pagos, e-commerce o iGaming, subir la fricción indiscriminadamente reduce altas y conversiones. La RBA permite defenderse mejor y, a la vez, proteger el flujo del viaje del cliente.
Cómo funciona un sistema de RBA en la práctica
Piensa en la RBA como un motor de decisión con 4 capas:
Capa 1. Señales (signals)
Recoge datos del intento de acceso o transacción, por ejemplo:
- Dispositivo: fingerprint, integridad, emulador, root/jailbreak
- Red: IP, ASN, proxy/VPN, reputación
- Ubicación: geolocalización, cambios abruptos, imposibles (impossible travel)
- Comportamiento: velocidad, patrones de tecleo, navegación, secuencia de pasos
- Cuenta: antigüedad, historial de incidencias, cambios recientes de datos
- Transacción (si aplica): importe, beneficiario, país, patrón y frecuencia
El NIST describe precisamente esta lógica de sistemas risk-based o adaptive authentication, basados en atributos del usuario/sistema/entorno y perfiles de comportamiento (IP, geolocalización, hora, tipo de transacción, señales de interacción).
Capa 2. Evaluación del riesgo (scoring o reglas)
Aquí hay dos modelos habituales (que pueden coexistir):
- Reglas (si X e Y, entonces riesgo alto). Útiles para controles claros: VPN + país de alto riesgo + intento de cambio de email.
- Modelos (ML). Útiles para detectar combinaciones sutiles y evolución del fraude.
Clave para Europa: si hay ML, conviene que sea explicable y auditable, porque cumplimiento y auditoría interna lo exigirán tarde o temprano.
Capa 3. Orquestación de autenticación (step-up)
Según el riesgo, el sistema decide el “nivel de prueba”:
- Riesgo bajo: sesión sin fricción adicional
- Riesgo medio: segundo factor (OTP/push), re-autenticación, “challenge”
- Riesgo alto: biometría, verificación documental, pausa y revisión, bloqueo
Capa 4. Aprendizaje y retroalimentación
Cada alerta resuelta (fraude real / falso positivo) alimenta:
- Reajuste de reglas.
- Recalibración de modelos.
- Tuning de umbrales por segmento.
Si no hay bucle de mejora, la RBA se degrada, ya que los atacantes se adaptan.
La biometría como “prueba” cuando el riesgo aumenta
La biometría (por ejemplo, facial) suele encajar en la RBA como mecanismo de step-up en actividades de alto riesgo. No es “biometría para todo”, sino biometría cuando hace falta.
- Ejemplos en los que habitualmente se activa el step-up:
- Cambio de contraseña o email (típico objetivo en ATO)
- Alta de beneficiario o cambio de método de cobro
- Transferencia inusual (nuevo receptor, país nuevo, importe anómalo)
- Acceso a datos especialmente sensibles
- Retiros grandes o acciones con impacto financiero alto
En pagos, incluso las guías de implementación de SCA suelen considerar combinaciones como “biometría + posesión” como patrón robusto (por ejemplo, biometría en el móvil + posesión del dispositivo).
RBA por industrias: cómo adaptar señales, umbrales y fricción
La promesa de la RBA no es solo “más seguridad”, sino seguridad adaptada al negocio. Eso exige ajustar señales y políticas por industria.
Servicios financieros y pagos
Aquí el mapa es claro:
- Acceso a cuenta y acciones de pago implican riesgo de fraude y abuso (PSD2/SCA).
- El desafío real es equilibrar:
- Prevención de ATO
- Experiencia digital
- Exenciones basadas en análisis de riesgo transaccional cuando aplique (TRA).
En banca/fintech suelen funcionar bien señales como:
- Consistencia del dispositivo a lo largo del tiempo,
- Patrones de transferencias y beneficiarios,
- Cambios de comportamiento tras eventos clave (reset de contraseña, nuevo SIM, etc.).
E-commerce y marketplaces
Riesgos típicos:
- Compras con credenciales robadas.
- “Account takeover” para canjear puntos / tarjetas guardadas.
- Devolución fraudulenta.
- Bots de scraping y creación masiva de cuentas.
La RBA aquí se centra en:
- Detectar automatización.
- Anomalías de checkout.
- Coherencia entre identidad, dispositivo y patrón de compra.
Lo mejor es que no resulta obligatorio utilizar la 2FA, solo cuando el contexto lo requiere.
iGaming (y sectores de alto fraude digital)
Es de los entornos más sensibles a:
- Identidades sintéticas
- Multi-cuentas
- Abuso de bonos
- Retiros sospechosos
- Collusion
En este caso, la RBA suele ocurrir “por eventos”:
- Step-up al retirar,
- Step-up al cambiar datos,
- Controles reforzados si hay señales de multi-cuenta
Salud y datos sensibles
La autenticación es una pieza de protección de acceso más amplia (zero trust, IAM, control de privilegios). La RBA aporta dos ventajas:
- Reduce riesgo de accesos indebidos a historiales,
- Evita fricción excesiva a profesionales sanitarios cuando el contexto es normal.
Empresa y acceso a sistemas internos
Con el NIS2 y una presión creciente por medidas de ciberseguridad basadas en riesgo, los controles de autenticación robusta (MFA y medidas proporcionales al riesgo) se vuelven estándar. ENISA, en sus guías técnicas, enfatiza que las actualizaciones y medidas deben basarse en riesgos identificados mediante su evaluación, y se destaca el uso de autenticación robusta/MFA para accesos sensibles.
“Datos de riesgo en tiempo real”: la base de la RBA
La RBA solo funciona bien si se alimenta con datos de riesgo en tiempo real: señales actuales del dispositivo, red, comportamiento y contexto de transacción. Esto consigue dos ventajas:
- Decisión en tiempo real
- Reducir el fraude antes de que se materialice (bloquear o set up antes del daño).
Cómo implementar RBA sin convertirla en un infierno operativo
1. Define el mapa de acciones por riesgo
No todo supone lo mismo. Clasifica acciones por impacto:
- Riesgo bajo: login habitual, navegación
- Riesgo medio: cambio de dirección, añadir método de pago
- Riesgo alto: reset credenciales, transferencias, retiro, cambio de dispositivo “principal”
2. Señales mínimas y señales “premium”
Comienza con señales que ya tienes (IP, dispositivo, geolocalización) y después se añade:
- Comportamiento
- Reputación
- Consistencia multi-sesión
- Señales de identidad digital
3- Establece políticas de step-up simples
Ejemplo de políticas razonables:
- Riesgo bajo → sin fricción adicional
- Riesgo medio → MFA/push o OTP
- Riesgo alto → biometría o verificación reforzada + bloqueo si hay señales críticas
4. Diseña para auditoría y cumplimiento
En sectores regulados, se conserva:
- La trazabilidad de decisiones (qué señales dispararon qué)
- Las evidencias de controles
- Las métricas de falsos positivos o falsos negativos
Las guías del NIST sobre autenticación y gestión de autenticadores te ayudan a estructurar niveles y controles de autenticación de forma consistente.
5. Mide lo que importa (no solo “fraude total”)
KPIs útiles:
- Tasa de ATO,
- Fraude por etapa del funnel,
- Asa de step-up (y conversión tras step-up),
- Falsos positivos (usuarios buenos frenados),
- Tiempo medio de revisión (si existe manual review).
Errores típicos al desplegar la RBA
- Umbrales demasiado agresivos: fricción a usuarios buenos = caída de conversión.
- Señales pobres: si solo miras IP, te engañan fácilmente.
- Sin bucle de aprendizaje: el fraude evoluciona; tus reglas también deben hacerlo.
- No segmentar: lo normal para un usuario “viajero” puede ser anómalo para otro.
- No coordinar con KYC/AML: autenticación y verificación deben hablarse, especialmente en acciones con impacto financiero.
RBA como control inteligente de identidad y fraude
La autenticación basada en el riesgo es una respuesta madura a un problema actual: el fraude ya no es ruidoso; es contextual. Por eso, la defensa también debe ser contextual.
Bien implementada, la RBA:
- Reduce ATO y fraude
- Mejora cumplimiento al elevar garantías cuando procede
- Protege la experiencia del usuario al reservar la fricción para el riesgo real
Preguntas frecuentes sobre autenticación basada en el riesgo
¿RBA es lo mismo que MFA?
No. MFA es un método (varios factores). RBA es una estrategia de decisión: decide cuándo y cómo pedir más pruebas. En la práctica, la RBA suele orquestar MFA como step-up.
¿RBA sustituye a SCA en pagos?
No. En pagos, SCA es un requisito específico (PSD2) con reglas y exenciones. La RBA puede ser una parte del enfoque (por ejemplo, para decidir step-up o para apoyar análisis de riesgo transaccional donde sea aplicable).
¿Qué señales son más valiosas?
Depende de industria, pero una combinación suele ganar:
- Consistencia del dispositivo
- Reputación de red
- Comportamiento
En resumen: la RBA se fija en el comportamiento del usuario, características del dispositivo y contexto ambiental (IP, localización, historial) para determinar el nivel de riesgo.
Autenticación basada en el riesgo (RBA): seguridad adaptativa para reducir fraude sin romper la experiencia de usuario
Silvia Climent — Marketing Manager
Silvia Climent es Marketing Manager en Mitek, donde trabaja para dar a conocer las soluciones de verificación de identidad y prevención del fraude que ayudan a las empresas de toda Europa a ir un paso por delante de las amenazas de fraude. Le gusta compartir cómo la tecnología de Mitek permite a las organizaciones generar confianza, actuar con mayor rapidez y proteger tanto a clientes como a ellas mismas frente a un fraude cada vez más sofisticado. Si su trabajo ayuda a la lucha contra el fraude y a evitar que un cliente se convierta en víctima, se siente realmente satisfecha.
