¿Por qué el crecimiento del comercio electrónico en 2026 depende de la invisibilidad de la seguridad?

El consumidor actual busca, compara, paga y recibe, transitando constantemente entre canales físicos y digitales, abarcando categorías que antes eran exclusivas del comercio minorista presencial. Con la consolidación de medios de pago instantáneos, como Pix, el intervalo de tiempo entre la intención de compra y la realización de la transacción se ha reducido a unos pocos segundos.

Esta aceleración ha optimizado la eficiencia y la comodidad, pero ha restringido drásticamente el margen disponible para el procesamiento de riesgos. En consecuencia, las operaciones dentro de los motores de decisión, como los modelos antifraude, se han vuelto más sensibles y rápidas, ya que el resultado final de la transacción es, a menudo, inmediato e irreversible.

En la práctica, este escenario plantea un dilema operativo recurrente: bloquear en exceso aumenta los falsos positivos, la frustración y el abandono; bloquear en defecto eleva las pérdidas financieras y el riesgo reputacional. 

Por lo tanto, la seguridad digital deja de ser un problema aislado y pasa a tener un impacto directo en la experiencia del cliente, los ingresos y la confianza, tres variables fundamentales para el crecimiento sostenible del sector.

Este dilema se intensifica a medida que el canal digital se consolida como dominante. Datos de Serasa Experian (2026) indican que el comercio minorista brasileño registró un intento de fraude cada dos minutos en 2025, lo que representa un aumento del 4,1 % con respecto al año anterior.

En el mismo sentido, el Informe sobre el fraude de identidad 2026, de Veriff, advierte que las amenazas a los negocios digitales siguen creciendo, impulsadas por la sofisticación de los ataques generados por tecnologías automatizadas. 

En Brasil, la situación es crítica: según un estudio publicado por Inforchannel indica que el uso de deepfakes en intentos de fraude creció un 126 % en 2025, siendo el país responsable del 39 % de estos casos en América Latina.

Ante este escenario, la pregunta central deja de ser «cómo detectar patrones de ataque» y pasa a ser cómo configurar el sistema para que el motor de decisión procese los modelos estadísticos en tiempo real, aplicando las directrices comerciales sin penalizar al cliente legítimo. Es a partir de esta necesidad técnica que la seguridad invisible se convierte en una relevancia estratégica para el comercio electrónico en 2026.

Enfoques de seguridad digital en el recorrido del cliente

No siempre es fácil decidir cuánto control aplicar en cada punto del recorrido del cliente. 

Organizaciones similares adoptan enfoques diferentes porque se enfrentan a diversas restricciones: niveles de riesgo aceptables, requisitos normativos, madurez analítica, capacidad de automatización del sistema y tolerancia al impacto de los falsos positivos. 

En este contexto, destacan dos grandes enfoques: la seguridad explícita, basada en controles visibles, y la seguridad invisible, que opera silenciosamente en segundo plano.

Seguridad explícita (alta fricción) 

La seguridad explícita se caracteriza por métodos de verificación perceptibles para el usuario. Implica la ejecución de protocolos visibles, como la autenticación de dos factores (2FA), la captura de documentos, la verificación de la vitalidad facial (comprobación de vida), códigos vía SMS o confirmaciones manuales.

Este tipo de enfoque es habitual en procesos de transacciones de alto valor u operaciones con un elevado riesgo reputacional. En estos escenarios, la prioridad es garantizar el control y la trazabilidad.

La principal ventaja de la seguridad explícita es la previsibilidad. Las reglas son claras, los pasos siguen un flujo lineal y las decisiones suelen ser más fáciles de explicar y auditar, lo cual es esencial en entornos regulados.

El coste de este enfoque se refleja en la experiencia del cliente. Cuantas más etapas e interrupciones haya, mayor será la probabilidad de abandono, caída de la conversión y aumento de la frustración del usuario. 

Al aplicar el mismo nivel de parámetros de verificación uniformes, el motor de decisión puede clasificar a los usuarios legítimos dentro de criterios de sospecha, elevando el costo de adquisición y la rotación. Esto se debe a que, al adoptar parámetros uniformes, el motor de decisión opera bajo una zona de indiferencia estadística. Sin segmentación, el sistema aplica el mismo cut-off (punto de corte) para comportamientos distintos. Así, un usuario legítimo que realiza una compra atípica (como una transacción de alto valor en un horario alternativo) se procesa con las mismas métricas que un ataque automatizado, lo que da lugar a un falso positivo que eleva la tasa de abandono.

Seguridad invisible (baja fricción)

La seguridad invisible funciona de manera diferente. En lugar de requerir entradas manuales por parte del usuario, el sistema procesa el riesgo de forma continua, utilizando modelos entrenados para identificar patrones de comportamiento y contexto, como la telemetría de los dispositivos, la geolocalización, los horarios y el historial de interacciones.

En este enfoque, la rigurosidad técnica se mantiene entre bastidores, sin interrumpir el flujo del usuario legítimo. Cuando los datos procesados por el modelo generan un puntuación dentro de los límites de aceptación (cut-offs) definidos en el motor de decisión, la transacción se libera de manera fluida.

Este modelo es habitual en operaciones de gran volumen, pagos instantáneos e interfaces móviles, donde la latencia o la fricción afectan directamente a la conversión. 

El reto reside en el «bloqueo silencioso». Se trata de resultados generados por el sistema que, aunque se basan en correlaciones estadísticas precisas, pueden ser difíciles de auditar e investigar, ya que requieren una gran visibilidad de los datos y la interpretabilidad de los modelos.

Esta dificultad de auditoría se debe a que el modelo puede identificar señales técnicas, como el uso de una red VPN o un cambio repentino en el comportamiento de compra, que están estadísticamente correlacionadas con los riesgos, pero que también forman parte de la rutina de los usuarios legítimos. Sin el ajuste fino de los cut-offs en el motor de decisión, el sistema termina clasificando a estos clientes idóneos dentro de criterios de sospecha.

La seguridad como evaluación continua: el marco CARTA (Gartner)

La idea de alternar entre seguridad explícita y seguridad invisible no surgió por casualidad. Fue formalizada por Gartner a través del marco CARTA, acrónimo de Evaluación continua y adaptativa del riesgo y la confianza. Este modelo establece la evaluación continua y adaptativa del riesgo y la confianza como sustituto de los modelos de verificación estática.

El marco CARTA introduce un cambio en la lógica operativa: en lugar de concentrar el procesamiento de datos en puntos fijos y aislados, como el inicio de sesión, el registro o el pago, el riesgo se cuantifica estadísticamente a lo largo de toda la experiencia del usuario.

En la práctica, esto significa que la seguridad deja de funcionar como una «puerta» que solo permite o bloquea el acceso y pasa a funcionar como un flujo continuo de análisis de señales. El sistema supervisa la telemetría y el comportamiento durante la sesión, procesando variables como: patrones de navegación; contexto técnico (dispositivo, red, geolocalización); historial de interacciones; desviaciones estadísticas del patrón.

De esta forma, la aplicación de fricción (seguridad explícita) por parte del motor de decisión solo se produce cuando el modelo identifica un cambio relevante en la puntuación de riesgo, lo que requiere una capa adicional de validación. En lugar de interrupciones sistémicas basadas en reglas rígidas, el sistema ajusta los controles a medida que se procesan los datos de comportamiento.

Sin embargo, este enfoque requiere madurez. Depende de datos históricos consistentes, una buena visibilidad de las señales analizadas y una gobernanza clara sobre cómo se toman, registran y auditan las decisiones. Sin ello, la evaluación continua pierde consistencia técnica, lo que dificulta la investigación de las decisiones automatizadas.

Por lo tanto, lo que propone CARTA no elimina la complejidad de la prevención del fraude, sino que distribuye dicha complejidad de forma estratégica. La madurez tecnológica reside en la capacidad de sostener un motor de decisión robusto, cuyos criterios de riesgo y confianza estén técnicamente alineados con los límites operativos del negocio.

El fraude como fenómeno económico: la visión de Shuman Ghosemajumder

Una forma más madura de entender la seguridad invisible es ver el fraude como un fenómeno económico. Desde esta perspectiva, los ataques, los mecanismos de defensa y los niveles de fricción se procesan como variables de coste, incentivo y rendimiento financiero.

Para Shuman Ghosemajumder, ex director técnico de Shape Security y actual director ejecutivo de Reken, la confianza y la seguridad no son estados permanentes, sino condiciones que requieren evaluaciones continuas basadas en el comportamiento observado. Como resumió en su participación en el podcast GenAI Security, la premisa técnica es que no se establece una confianza plena y estática en ninguna entidad; la viabilidad de una interacción depende del análisis ininterrumpido de los datos de comportamiento.

En la práctica, este sistema no funciona bajo la pregunta «¿quién es este usuario?», sino que procesa «¿cuáles son las entradas actuales de este usuario y cuál es la probabilidad estadística de que sean legítimas?». La confianza, por lo tanto, es una puntuación dinámica, que aumenta o disminuye según el modelo procesa nuevas señales.

Desde esta perspectiva, el objetivo estratégico de la seguridad no es la eliminación total de los ataques, una meta inviable en entornos digitales a gran escala, sino hacer que el fraude resulte económicamente desventajoso.

Cada señal conductual difícil de imitar, cada elemento que introduce incertidumbre en el flujo del ataque, aumenta el esfuerzo computacional y operativo necesario para ejecutar el ataque. Cuanto mayor sea este coste de procesamiento para el atacante, menor será la escalabilidad del fraude y, en consecuencia, menor será el rendimiento financiero del delito digital.

Para el usuario legítimo, la lógica es inversa: el recorrido debe mantenerse con poca fricción. Es esta asimetría la que sustenta las estrategias antifraude resilientes:

• Controles explícitos: los flujos fijos y los retos previsibles se pueden mapear fácilmente mediante scripts. Una vez identificada la regla de negocio, la automatización para imitar el comportamiento requerido se vuelve técnicamente sencilla.
• Señales conductuales y contextuales: reducen la previsibilidad para el atacante. La necesidad de adaptar constantemente los scripts y las herramientas eleva el coste técnico del fraude, lo que lo hace inestable y difícil de escalar.

La implementación de este enfoque requiere un alto nivel de sofisticación: análisis de datos en tiempo real, baja latencia y alta fiabilidad. La seguridad invisible no elimina la complejidad del problema, sino que la traslada a la infraestructura del atacante, preservando la experiencia del usuario.

Esta asimetría estructural entre defensa y ataque se ve reforzada por la máxima de Ghosemajumder: mientras que la defensa requiere una precisión constante en todos los casos, el ataque solo necesita un fallo en el sistema para tener éxito. Por lo tanto, configurar el motor de decisión para que el ataque sea financieramente inviable es más eficaz que intentar un bloqueo total mediante reglas estáticas.

El exceso de fricción no aumenta la seguridad: Angela Sasse y la fatiga de la seguridad

Un error recurrente en las arquitecturas antifraude es la suposición de que añadir más pasos y obstáculos dará lugar a una mayor seguridad. Las pruebas académicas indican lo contrario: el aumento de la fricción impuesta por el sistema se correlaciona con el aumento de los comportamientos de riesgo por parte de los usuarios.

Esta dimensión de la seguridad se profundiza en los estudios de Angela Sasse, profesora de la University College London y una de las principales referencias mundiales en seguridad centrada en el usuario. Sus investigaciones demuestran que las configuraciones de sistemas excesivamente intrusivas no solo fracasan en ampliar la protección, sino que a menudo reducen la eficacia de los mecanismos de defensa.

En el trabajo «Users Are Not the Enemy», desarrollado junto con Anne Adams, Sasse sostiene que las fallas de seguridad se derivan principalmente del diseño de los procesos y la arquitectura del sistema, y no de la intención de los usuarios.

Según el estudio, las infracciones recurrentes no se producen porque los usuarios actúen de mala fe o sean negligentes, sino porque el sistema ignora los límites humanos básicos. Las reglas complejas, las instrucciones poco claras y el exceso de interrupciones hacen que el uso sea difícil, agotador y propenso a errores.

La investigación destaca que la falta de claridad en la interfaz hace que el sistema sea técnicamente inutilizable, lo que lleva a buscar formas de superar las barreras impuestas. Sasse y Adams describen esto como fatiga de seguridad. Cuando el usuario se ve sometido repetidamente a fricciones, como múltiples autenticaciones o desafíos sin contexto, tiende a adoptar atajos. Esto incluye: reutilizar contraseñas en diferentes plataformas; ignorar las alertas de seguridad; reducir la atención a las señales de riesgo y tomar decisiones automáticas solo para «seguir adelante».

Un ejemplo práctico y cotidiano de este escenario es la interacción con la plataforma gov.br. Para acceder a diferentes niveles de servicios, el sistema exige transiciones constantes entre sellos de confiabilidad (Bronce, Plata y Oro), que requieren diversas formas de autenticación: contraseñas, reconocimiento facial, integración con bancos y códigos de verificación.

Aunque el objetivo del sistema es aumentar el rigor técnico, la multiplicidad de barreras en un solo viaje hace que el proceso sea agotador. Este exceso de requisitos de autenticación satura la capacidad de respuesta del usuario, generando comportamientos que comprometen la seguridad real.

En el comercio electrónico y los servicios digitales, este efecto se refleja en una caída del rendimiento: los usuarios abandonan el proceso, dejan de completar la compra o evitan volver. La pérdida de confianza se produce de forma silenciosa, sin que necesariamente se activen las alertas de los modelos tradicionales de fraude, pero con un impacto directo en la conversión y la reputación de la marca.

Estas pruebas refuerzan una conclusión importante: siempre que sea posible, la seguridad debe funcionar de forma invisible. No se trata de una elección estética, sino de una estrategia para preservar la integridad del viaje. Al reducir la fricción excesiva, el motor de decisión minimiza la inducción de comportamientos de riesgo y preserva la eficacia de la seguridad real, permitiendo que el sistema procese los datos de forma fluida y precisa.

La seguridad como propiedad del sistema: Bruce Schneier

Bruce Schneier amplía el debate sobre la seguridad al cambiar el enfoque del «recurso técnico aislado» al funcionamiento del sistema en su conjunto. En obras como Liars and Outliers, defiende que la seguridad no es algo que se añade de forma aislada a un producto o proceso, sino que surge de la forma en que las personas, las normas, los incentivos y la tecnología interactúan a lo largo del tiempo.

Para Schneier, la confianza es el protocolo más importante de cualquier transacción. Cuando los usuarios se enfrentan a bloqueos sin explicación, fricciones excesivas o decisiones difíciles de entender, este protocolo comienza a fallar. Aunque el fraude se reduzca puntualmente, el sistema pasa a ser percibido como impredecible, injusto u hostil en sus respuestas.

Este efecto es sutil, pero profundo. A medida que el índice de confianza disminuye, se observa un cambio en el comportamiento de los usuarios, que tienden a evitar los canales digitales, interrumpir sus jornadas o migrar a alternativas con menor rigor técnico. El resultado es la degradación de la legitimidad del sistema, una variable que no es captada de inmediato por los KPI de fraude, pero que compromete la sostenibilidad del negocio a largo plazo.

En este contexto, la seguridad invisible actúa como un mecanismo de resiliencia sistémica. Al configurar el motor de decisión para reducir fricciones innecesarias y aplicar controles proporcionales al riesgo estadístico identificado por el modelo, el sistema contribuye a preservar la estabilidad de las transacciones, condición esencial para la escala de cualquier ecosistema digital.

Identidad y biometría conductual: la contribución de Neil Costigan

Cuando hablamos de identidad digital, la mayoría de la gente piensa en contraseñas, códigos enviados por SMS o, más recientemente, en huellas dactilares y reconocimiento facial. Estos métodos se basan, en general, en dos preguntas sencillas: ¿qué sabes? y quién eres.

Neil Costigan, una de las principales referencias en biometría conductual, llama la atención sobre las limitaciones técnicas de este enfoque. Las contraseñas pueden filtrarse, compartirse o adivinarse. Las biometrías físicas, aunque más seguras, son esencialmente estáticas: una vez comprometidas, no pueden «cambiarse» como una contraseña.

La biometría conductual, sin embargo, se basa en en cómo interactúas. En lugar de que el sistema requiera entradas adicionales del usuario, el modelo procesa la telemetría generada durante el uso del servicio. Variables como el ritmo de escritura, la dinámica de navegación, la presión de los gestos en la pantalla y los patrones micromotores se convierten en vectores de datos que forman una firma conductual.

El procesamiento de estas señales ofrece dos ventajas estructurales para el sistema:

1. El monitoreo se lleva a cabo durante toda la sesión, sin necesidad de interrumpir el flujo de datos del usuario ni realizar pasos adicionales de validación.
2. Los patrones de comportamiento son muy contextuales y presentan una gran dificultad técnica para ser imitados a gran escala, especialmente por scripts automatizados o atacantes que operan con credenciales capturadas.

Este tipo de análisis conductual es especialmente valioso al inicio de la relación con el cliente, en el momento de la originación. En esta fase, aún no existe un historial de transacciones suficiente para respaldar decisiones basadas en el pasado. Al observar cómo se produce la interacción, y no solo lo que se declara, la biometría conductual ayuda a reducir la asimetría de información en este punto crítico del viaje.

Este análisis del comportamiento del usuario es técnicamente estratégico en la fase de originación (registro inicial). En este punto del proceso, el motor de decisión carece de historial transaccional para generar puntuaciones basadas en el comportamiento pasado. Al procesar cómo se produce la interacción en tiempo real, y no solo los datos declarados, la biometría conductual reduce la asimetría de la información, lo que permite al sistema generar clasificaciones de riesgo más precisas desde el primer contacto.

Consideraciones finales

Al igual que la infraestructura vial de una ciudad, la seguridad en el comercio electrónico solo se percibe cuando falla. Cuando los semáforos funcionan, las calles están bien señalizadas y el tráfico fluye sin interrupciones, el sistema pasa desapercibido y la gente simplemente confía y sigue adelante. 

En el comercio digital, la lógica es la misma. La seguridad que sustenta el crecimiento del comercio electrónico en 2026 no es la que obliga a paradas constantes para demostrar la legitimidad, sino la que organiza silenciosamente las decisiones, permitiendo que el cliente continúe su recorrido mientras el riesgo se gestiona entre bastidores.

Acerca de 4kst 

4kst es una empresa brasileña de DeepTech nacida en la PUCPR, pionera en el desarrollo de IA adaptativa. A través de la tecnología patentada Data Stream Learning, creamos modelos predictivos que aprenden y se actualizan en tiempo real. A diferencia del aprendizaje automático tradicional, nuestra solución elimina la degradación del rendimiento y reduce los costes de mantenimiento. Dos veces ganadora del premio Febraban Tech y reconocida por Finep, 4kst combina ciencia de vanguardia y alto rendimiento para mantener a su empresa a la vanguardia en mercados dinámicos.