Los equipos de Fraude y riesgo a menudo viven en un tiroteo perpetuo: persiguiendo nuevos patrones de ataque, justificando la fricción y tratando de demostrar su valor a una empresa centrada en el crecimiento.
Esa tensión es exactamente lo que exploramos en la primera sesión de Facing Digital Challenges: How Biometrics Will Shape Secure Digital Identity in 2026, la primera parte de nuestra serie de seminarios web para profesionales en prevención de fraude, en manejo de riesgo y de identidad.
Presentada por Ajay Amlani, CEO de Aware, y acompañada por Esther Scott, Jefa de Producto Identidad en Square (Block), la primera parte de esta conversación ahondó en cómo los líderes pueden:
- Pasar del gasto reactivo a la inversión sostenida
- Posicionar el riesgo y la identidad como facilitadores del negocio, no como bloqueadores
- Equilibrar entre señales pasivas y activas y fricción inteligente
- Navegar por las complicadas realidades de la selección de proveedores, construir frente a comprar y el bloqueo de proveedores.
- Evolucionar de KYC a KYC + KYB + KYA en un mundo de IA
Este blog resume los temas y conceptos clave de la primera parte. Acompáñenos en la segunda parte, donde Esther y Ajay profundizarán en la prueba de vida facial, la prueba de identidad, las amenazas de deepfakes, las normas y la privacidad.
El problema del Whack-A-Mole: Gasto reactivo y memoria corta
Uno de los primeros grandes temas: La inversión en prevención de fraude suele ser reactiva. Ocurre un gran incidente, el gasto se dispara... entonces todo el mundo se relaja.
Como dijo Esther:
"Habrá algún acontecimiento agudo que suceda... y entonces se puede ver el gasto en esa zona durante probablemente 18 meses... y se produce una pérdida de memoria".
¿Cuál es el resultado? Los equipos de manejo de riesgos se ven atrapados en un ciclo de Whack-A-Mole, siempre un paso por detrás:
"Puedes ser genial hoy, pero mañana es un día diferente... si estás en el juego reactivo de Whack-A-Mole, estás detrás. Si no estás detrás hoy, estarás detrás mañana".
Este problema se ve amplificado por el auge de los deepfakes y los ataques automatizados, que reducen el costo y la escala Fraude. Los ciclos de mejora "a escala anual" a los que muchas organizaciones están acostumbradas simplemente ya no funcionan.
El riesgo como herramienta empresarial, no sólo como prevención de pérdidas
Esther subrayó que, para conseguir apoyo a largo plazo, los líderes de prevención de fraude y manejo de Identidad deben replantear su labor como un motor de crecimiento, no sólo como un costo de cumplimiento.
"Si haces un buen trabajo apuntalando tus sistemas de manejo de riesgo, tus sistemas de Identidad ... puedes controlar esa palanca de forma algo predecible".
Bien hechas, las inversiones adecuadas:
- Habilitan nuevos mercados
- Apoyan a nuevos productos
- Amplan a quién se puede servir con seguridad
"Hacer esas cosas bien te permite entrar en nuevos mercados, ofrecer nuevos productos [y] ampliar la forma de pensar sobre la preparación de la gente para esos productos".
Ajay reforzó esta tensión: los equipos de producto suelen centrarse en maximizar el crecimiento y reducir las fricciones, mientras que los equipos de prevención de fraude intentan justificar las fricciones y los recursos. Parte del trabajo consiste en enseñar a la organización que:
- La fricción no es el enemigo, sino que lo es la fricción innecesaria.
- Unos controles sólidos de manejo Identidad y riesgo amplían el embudo a lo largo del tiempo, permitiendo a la empresa decir "sí" con más confianza.
Señales activas frente a pasivas: Cómo encontrar los momentos adecuados para la fricción
Ajay pasó entonces a un reto práctico: equilibrar las señales activas y pasivas a lo largo del recorrido del cliente.
Contrastó las comprobaciones activas, como KBA, la captura de documento + selfie o las indicaciones biométricas explícitas, con las señales pasivas extraídas del comportamiento del dispositivo, la red y la cuenta:
"Hay señales que puedes recoger de forma pasiva... y señales que puedes recoger de forma activa... ¿Le estás pidiendo al cliente que haga algo?".
La respuesta de Esther: depende, y cambia con el tiempo.
"Si hubiera una llave de plata para todo esto, entonces sería genial, todos haríamos eso y ya está... pero la realidad es que tiene muchos matices y tendencias a lo largo del tiempo".
Algunos puntos clave de su planteamiento:
El contexto importa.
En los flujos de alto riesgo (por ejemplo, las solicitudes de hipotecas), los clientes esperan comprobaciones más invasivas y están dispuestos a tolerarlas.
"Probablemente hay una tolerancia para eso... piensas, sí, lo quiero todo. Quiero cerrar esto".
Para casos de uso más ligeros (por ejemplo, aplicaciones de pagos P2P), esa misma fricción sería inaceptable. En estos casos, se recurre más a los "controles silenciosos":
"¿Qué tan seguro puedo sentirme que Ajay es Ajay y este es su teléfono... está en la jurisdicción donde creo que debería estar... basado en todo lo que me ha proporcionado?"
El momento oportuno lo es todo.
Los equipos comprueban si es mejor adelantar las comprobaciones a la incorporación o activarlas más tarde en función del comportamiento, los umbrales que se definan o las señales de riesgo:
"En todos los sitios en los que he trabajado, hemos hecho muchas pruebas con, ¿es el momento adecuado para hacerlo todo por adelantado? ¿Es cuando estás haciendo algo nuevo?".
Aquí es donde IA y el ML se vuelven esenciales:
"La mayoría de los lugares se están inclinando por reconocer las pautas que se han seguido y tomar decisiones más inteligentes de cara al futuro".
También señaló las limitaciones de herramientas heredadas como KBA:
"La KBA en particular... es bastante friccionante, y no me siento muy bien con ella en la mayoría de las aplicaciones... ¿Qué puedo hacer en su lugar?".
Sobrecarga de proveedores, pruebas y la cuestión de construir o comprar
Cualquier líder de manejo de fraude o identidad reconoce el siguiente punto de dolor de Ajay: la sobrecarga de proveedores.
"Cuando estaba en empresas, me llamaban entre 20 y 30 vendedores a la semana... 'Si usas mi martillo, todos tus problemas desaparecerán'".
También señaló cómo algunos proveedores ganan los concursos apoyándose discretamente en grandes equipos de revisión manual mientras comercializan sus soluciones como "totalmente automatizadas":
"En realidad tienen un banco extenso de 50 personas... mirando a cada uno... [y] el cliente dice: 'Vaya, este sistema automatizado es absolutamente increíble'".
Esther puso de relieve lo difícil que es en la práctica una evaluación real y justa:
"Poder probar a 20 o 30 proveedores en un año es realmente caro, tanto desde el punto de vista del tiempo como de los recursos".
Su libro de jugadas incluye:
- Backtesting a gran escala, con estrictas restricciones de gestión de datos
- Pedir plazos de entrega rápidos: si está realmente automatizado, no debería llevar semanas.
- Realización de pruebas de integración en vivo con una breve lista de los principales proveedores
- Mejorar los procesos internos de contratos e integraciones para reducir las fricciones con el tiempo.
En cuanto a construir frente a comprar, la postura de Esther es clara: construir es la excepción, no la norma.
"No estamos aquí para construir la mejor capacidad de verificación necesariamente... en general, la gente está usando capacidades bastante comoditizadas".
Las construcciones a medida sólo tienen sentido si:
- Se tiene un problema o reto realmente único
- Está preparado para adelantarse indefinidamente a los atacantes y a los cambios tecnológicos
"Puede que construyas algo y pienses, genial, problema resuelto, voy a seguir adelante. Pues bien, los defraudadores no empiezan ni paran. La tecnología no se detiene".
Evitar el bloqueo de proveedores y planificar el cambio
El bloqueo de proveedores no es sólo un problema de aprovisionamiento, es un riesgo de resiliencia.
Esther recomendó una mentalidad de reevaluación constante y ligera:
"Un rigor sano... es una evaluación y reevaluación de cualquier capacidad que tengas... al menos anualmente: ¿estoy en el caballo correcto?".
Prácticas clave que mencionó:
Tener un "caballo estable" para el volumen diario
Manténgase "en contacto" con otros vendedores: sea curioso y siga hablando con ellos.
Incorpore proveedores o funciones adicionales antes de que su solución actual sea quede anticuada
No te apegues emocionalmente:
"Se adquiere gente, cambian todo tipo de cosas... Eso no significa que te hayas equivocado. Sólo significa que el mercado sigue moviéndose".
Ajay añadió una perspectiva del Departamento de Defensa desde su tiempo ayudando a crear la Unidad de Innovación de Defensa:
"Nos dimos cuenta de que básicamente estábamos rodeados de vendedores tradicionales... su único cliente era el Departamento de Defensa... pagas por I+D y luego te das la vuelta y compras el producto".
El modelo DIU se inclinaba por la competencia, la evaluación por etapas y el apalancamiento de capital externo (inversores) en lugar de financiar toda la I+D directamente, una interesante analogía de cómo las empresas comerciales podrían pensar en "invertir en su base de proveedores".
De KYC a KYC + KYB + KYA en un mundo de IA
En la última parte del debate, Ajay y Esther analizaron cómo Identidad se ha expandido de KYC a:
Conozca a su cliente
KYB - Conozca su negocio
KYA - Conozca a su agente
Ajay lo enmarcó en el "ABC" de Identidad moderna y preguntó cómo deberían pensar las empresas en equilibrar estas capas, especialmente a medida que los agentes y los actores de IA desempeñan un papel más importante:
"Los atacantes... tienen la flexibilidad, la autonomía y... las herramientas de colaboración para trabajar en todo el mundo e intentar imitar a la gente buena".
Esther señaló que, aunque los sabores difieren, los principios subyacentes son coherentes:
"Todo el debate anterior sobre qué es eficaz, cuál es el ritmo de las cosas se aplica también a KYC, KYB, KYA".
Algunos puntos destacados de su visión:
- Las expectativas difieren según el segmento. Las grandes empresas esperan una mayor integración; los consumidores, algo más parecido a la experiencia de una aplicación P2P.
- La verificación de agentes es una nueva capa, no un sustituto: ahora se necesita la garantía de que tanto el agente como el representado son legítimos.
- Los controles por capas y la capacidad de recuperación son fundamentales:
"Tener esa resistencia para sentir que, pase lo que pase, tengo una mezcla de proveedores... capacidades... para dar un paso adelante o poner a alguien en el proceso adecuado".
Y la IA pondrá a prueba los supuestos tradicionales sobre confianza:
"Tradicionalmente hemos podido... equivocarnos al confiar en un cliente porque hemos creado suficiente impulso. Ahora, de repente, algo puede parecerse mucho a un cliente y no serlo... y no lo sabes hasta que ha pasado".
Lo que viene en la segunda parte
En la segunda parte, Ajay y Esther profundizarán en la tecnología y la capa de confianza que hay debajo de todo esto:
- Prueba de vida facial detección de prueba de vida facial y prueba de humanidad
- Prueba de la personalidad en un entorno agentico e IA
- Amenazas Deepfake y cómo son las defensas "suficientemente buenas"
- Normas y pruebas independientes (NIST, DHS, etc.)
- El papel cambiante de la privacidad y la administración en los sistemas biométricos
Consulte la primera parte y regístrese para la segunda parte de esta serie, en la que trataremos estos temas y compartiremos más orientaciones prácticas para los responsables de fraude, riesgo e identidad .
