La confianza digital es una cadena de evidencia y controles
Prueba de identidad, autenticación, recuperación, inteligencia de dispositivo, señales telco, comportamiento, autorización del pago, seguridad de API, monitoreo y disputa resuelven problemas distintos. Reducirlos a un score opaco oculta qué evidencia existe y qué control autorizó la acción.
NIST SP 800-63-4 separa assurance de prueba, autenticación y federación. Los pagos agregan otra pregunta: aunque el usuario se autenticó, ¿beneficiario, importe, dispositivo, sesión y conducta son compatibles con una transacción autorizada?
Evidencia de identidadDocumento, fuente oficial, antigüedad, atributos verificados, método y confianza.
Evidencia de autenticaciónPasskey, sesión, resistencia al phishing, recuperación y resultado del step-up.
Evidencia contextualBinding, SIM/device swap, IP, ubicación, red, velocidad, conducta e incidentes.
Evidencia transaccionalRail, beneficiario, importe, moneda, propósito, merchant, agenda, límites y settlement.
Los rails rápidos necesitan decisiones antes y después
Pix en Brasil, SPEI y CoDi en México y Bre-B en Colombia muestran la transición regional hacia movimientos interoperables y casi inmediatos. La velocidad mejora experiencia y competencia, pero reduce la ventana de intervención. Los controles deben existir antes de iniciar, durante autorización, ejecución, settlement y recuperación.
La documentación del Banco Central do Brasil describe el Mecanismo Especial de Devolución de Pix para fraude. Recuperar no sustituye prevenir: riesgo del beneficiario, límites, confirmación, anomalías, advertencias de estafa y operación de investigación siguen siendo necesarios.
El pipeline debe conservar evidencia y reason codes
Pipeline de fraude y pago01 IntenciónDefine la acciónLogin, registro, recuperación, beneficiario, pago, retiro, compartir datos o cambiar límite.
02 IdentidadVerifica actor y autoridadProofing, cuenta, passkey, sesión, delegación, consentimiento y assurance.
03 ContextoRecoge señales mínimasDevice binding, SIM/device swap, IP, red, ubicación, conducta, velocidad y abuso.
04 PagoEnriquece la transacciónEdad y reputación del beneficiario, importe, límite, rail, merchant, agenda y settlement.
05 EvaluaciónReglas y modelos calibradosHard blocks, allowlists, anomalía, fraude, grafo, incertidumbre y versión de policy.
06 DecisiónAplica fricción proporcionalPermitir, passkey step-up, confirmar, limitar, revisar, negar o congelar.
07 EjecuciónVincula decisión y acciónIdempotencia, request firmado, autorización, estado atómico, auditoría y notificación.
08 AprendizajeMonitorea y recuperaSettlement, disputa, MED o rail, análisis, falso positivo, remediación y feedback.
Usa autenticación resistente a phishing y protege la recuperación
Las passkeys usan credenciales de clave pública vinculadas al dominio y resistentes a phishing. Eliminan contraseña y SMS OTP de jornadas críticas. El beneficio desaparece si el atacante usa recuperación débil, cambia el teléfono con poca evidencia o registra otro autenticador desde una sesión comprometida.
Separa políticas de login, autorización transaccional y recuperación. Exige evidencia mayor para nuevo device, beneficiario, pago alto, reset y cambio de contacto. Notifica por un canal independiente y aplica cooling period cuando sea posible.
Las APIs telco son contexto, no verdad de identidad
CAMARA Number Verification confirma la relación entre sesión y número sin depender solo de SMS. SIM Swap y Device Swap revelan cambios recientes asociados a takeover. GSMA Open Gateway en Argentina, Chile, Colombia, Paraguay y Perú muestra operadores regionales exponiendo capacidades antifraude.
La señal puede faltar, estar desactualizada o reflejar un cambio legítimo. Trátala como evidencia temporal con procedencia. Define fallback, caché, propósito, consentimiento, cobertura por operador, interpretación y reason code.
Las APIs financieras necesitan garantías superiores
Open Finance Brasil protege recursos críticos con perfiles Financial-grade API. FAPI 2.0 y OAuth Security BCP aportan patrones para autorización, tokens sender-constrained, autenticación fuerte, redirects exactos y defensa contra ataques. La conformidad importa porque la seguridad depende de authorization server, client, claves, certificados y resource server.
Usa acceso breve y limitado; vincula consentimiento a recurso, propósito y duración; valida issuer, audience, algoritmos y authorization details; protege webhooks contra replay; conserva una state machine inmutable. Un API gateway no corrige autorización por objeto rota.
Elige la fricción por riesgo y consecuencia
| Señal o condición | Posible significado | Respuesta útil | Fallo a evitar |
|---|
| Device conocido, passkey, beneficiario e importe normales | Conducta consistente de bajo riesgo. | Permitir, notificar y monitorear. | Fricción repetitiva que entrena aprobaciones automáticas. |
| Cambio reciente de SIM o device | Upgrade legítimo, recuperación o preparación de takeover. | Aumentar riesgo, step-up, limitar cambios y pedir evidencia independiente. | Bloquear toda migración o tratar teléfono como identidad. |
| Nuevo beneficiario y valor/velocidad anormal | Estafa, cuenta mula, coerción o urgencia legítima. | Confirmación clara, contexto, demora/review, límite inicial y alerta específica. | Advertencia genérica y modelo entrenado solo en fraude pasado. |
| Login válido con sesión anormal | Sesión robada, control remoto, malware o automatización. | Reautenticar, vincular detalles, revisar integridad y ambigüedad. | Suponer que login autoriza todo lo posterior. |
| Client de API o consentimiento anormal | Client comprometido, redirect, scope excesivo, replay o autorización rota. | Negar, revocar tokens/consentimiento, rotar e investigar. | Usar score para compensar un defecto de protocolo. |
| Fraude confirmado tras settlement | La prevención falló o ingeniería social superó controles. | Congelar rutas, iniciar recuperación, preservar evidencia e investigar grafo. | Entrenar con etiqueta no verificada o borrar evidencia. |
Tarjeta, pago instantáneo y open finance requieren controles propios
EMV 3-D Secure comparte contexto de dispositivo y transacción para autenticación basada en riesgo en tarjeta no presente. PCI DSS define una baseline para datos de tarjeta. Pagos account-to-account tienen propiedades distintas de autorización, settlement, alias, beneficiario y recuperación. Iniciación por open finance agrega clients, consentimiento, tokens, redirects y mensajes firmados.
Normaliza evidencia común de identidad y device, pero conserva campos, state machines, disputas, deadlines y reason codes específicos de cada rail.
Los modelos necesitan reglas y operación humana
Hard controls tratan estados imposibles o prohibidos: firma inválida, client revocado, cuenta bloqueada, límite regulatorio o falta de autorización. Los modelos sirven para velocidad, grafo, cambio de conducta, anomalía y novedad de beneficiario.
Versiona features, labels, modelo, thresholds y policy. Mide precision/recall por fraude, país, rail, device, antigüedad, valor y accesibilidad. Analiza falsos positivos y apelaciones. El fraude es adversarial y los labels históricos son imperfectos.
El sistema debe seguir siendo inclusivo
Los usuarios operan con equipos económicos, teléfonos compartidos, SIM cambiada, conectividad intermitente, migración, informalidad, canales asistidos y documentos distintos. Un control que presume device permanente, número estable, dirección fija y conexión perfecta rechaza legítimos de forma desigual.
Ofrece alternativas seguras, explicaciones accesibles, review asistido, recuperación clara y funcionalidad limitada cuando la confianza esté incompleta. Mide desafíos, abandono, rechazos y cuántos después fueron legítimos.
La observabilidad une decisión y outcome
Cada decisión registra evento inmutable: correlation ID, acción, referencias, procedencia y edad de señales, versión de features, reglas, modelo, threshold, decisión, fricción, estado de API/pago, analista y outcome. Minimiza y protege este ledger.
Los dashboards deben mostrar pérdida, valor evitado, falso positivo, challenge completado, abandono, latencia de review, recuperación, tiempo de freeze, errores de API, disponibilidad de señales, fallos de consentimiento, drift e impacto de soporte.
Qué construiría
Construiría una plataforma regional de decisión con eventos canónicos, identidad y consentimiento, passkeys, adapters telco, device binding, adapters de rails, features en tiempo real, reglas y modelos, reason codes, case management y recuperación.
La policy por país y rail sería configuración. Un simulador reproduciría takeover, SIM swap, estafa, cuenta mula, client comprometido y migración legítima. Producto compararía fraude evitado, fricción, costo y recuperación antes de release.
El principio de diseño
Confianza digital no es “identificar una vez” ni “calcular un score”. Es autorización continua basada en evidencia, con fricción proporcional, ejecución segura, decisión explicable y recuperación. Funciona cuando detiene abuso sin hacer imposible la participación legítima.