Autenticación Fuerte y Biometría: Seguridad sin Fricción en LATAM

La forma más cara de perder un cliente no es dejar pasar un fraude: es bloquear a la persona correcta. Cada paso extra de autenticación que agregas para sentirte más seguro te está costando clientes que sí eran legítimos.

Hay una pelea silenciosa dentro de cada institución financiera de la región. De un lado, el equipo de riesgo, que vive el fraude todos los días y quiere más capas: OTP, segundo factor, verificación adicional. Del otro, el equipo de producto, que ve cómo cada capa nueva tumba la conversión. Ambos tienen razón, y por eso el debate nunca se gana: está mal planteado. La pregunta no es "¿cuánta seguridad agregamos?", sino "¿cuándo la pedimos?". Y esa respuesta no vive en la pantalla de login; vive en el core.

El fraude en LATAM no es una hipótesis, es una factura mensual

Primero, démosle la razón al equipo de riesgo, porque los números son brutales. El fraude de identidad creció 137% en América Latina y el Caribe durante 2024, con un aumento promedio anual del 53% en México, según el Global Fraud Index de Sumsub reportado por Mexico Business News. Y no es fraude artesanal: en la dark web ya se compra "un minuto de video simulado de una persona para pruebas biométricas en apps bancarias" a precios accesibles. El deepfake llegó a la banca de la región.

Brasil, que suele anticipar lo que viene para el resto de LATAM, perdió R$10.1 mil millones por fraude en 2024, y cerca del 70% de esas pérdidas vienen de ingeniería social —esquemas donde la propia víctima hace la transferencia—, de acuerdo con QED Investors. Ese dato es clave: si el cliente es engañado para autenticarse él mismo, agregar otro OTP no resuelve nada. La capa extra castiga al usuario honesto y deja pasar al estafado.

Ahora la otra cara: la fricción también es una pérdida medible

Aquí entra el equipo de producto, y sus datos son igual de duros. El 19% de los usuarios abandona el carrito específicamente por haber olvidado su contraseña, y el 60% cita la frustración en el login como motivo para abandonar del todo, según cifras de Elavon y Ping Identity recopiladas por Corbado. En la misma línea, el 46% de los consumidores en EE. UU. no completó una transacción por una falla de autenticación, según un estudio de Ponemon citado en el mismo análisis.

La diferencia de eficiencia entre métodos es enorme. El Passkey Index de la FIDO Alliance —medido sobre despliegues reales de Amazon, Google, Microsoft, PayPal y otros— encontró que las passkeys logran 93% de éxito al iniciar sesión frente a 63% de los métodos tradicionales, con un tiempo promedio de 8.5 segundos contra 31.2, y una caída del 81% en incidentes de soporte relacionados con login, según la FIDO Alliance. Treinta puntos de éxito y un cuarto del tiempo no son un detalle de UX: son retención y conversión.

La región ya votó: la biometría no es fricción, es alivio

Lo interesante es que en LATAM el usuario no percibe la biometría como un estorbo, sino como lo contrario. El 85% de los consumidores de América Latina prefiere la autenticación biométrica sobre las contraseñas para transacciones en línea, y el 90% a nivel global considera la biometría el método más seguro, según una investigación de Mastercard (nota: Mastercard es proveedor de pagos, dato atribuido). La región ya está lista para pasar del OTP por SMS —vulnerable a SIM swapping e interceptación— a factores que el usuario lleva consigo y no puede olvidar.

A nivel global la tendencia se confirma: el uso de contraseña para servicios financieros en un periodo de dos meses cayó del 51% al 31% entre 2022 y 2024, según el reporte de la FIDO Alliance. El cliente no está pidiendo menos seguridad. Está pidiendo seguridad que no se sienta como un castigo.

La salida no es "más" ni "menos": es "adaptativa"

Aquí se reconcilia la pelea. La respuesta correcta a "más seguridad vs. menos fricción" es la autenticación adaptativa, también llamada basada en riesgo: el sistema evalúa cada operación en tiempo real y solo pide un factor adicional cuando algo se sale de lo normal. Un login desde el dispositivo de siempre, en el horario de siempre, por un monto habitual, pasa sin fricción. Uno desde un país nuevo, a las 3 a. m., por el triple del monto típico, dispara verificación reforzada.

Europa lleva años operando bajo esta lógica. La normativa PSD2 obliga a la autenticación reforzada (SCA), pero permite eximir transacciones de bajo riesgo mediante un análisis de riesgo en tiempo real (TRA), siempre que el proveedor mantenga tasas de fraude bajas y monitoreo en vivo, según describe Ravelin sobre el marco de la EBA. No es un mandato europeo que LATAM deba copiar al pie de la letra; es una plantilla probada de cómo combinar seguridad y experiencia: pedir mucho solo cuando el riesgo lo justifica.

Por qué nada de esto funciona sin core

Y aquí está el nudo que casi nadie nombra. La autenticación adaptativa no es una pantalla bonita: es una decisión que tu sistema toma en milisegundos, y para tomarla necesita contexto. ¿Este monto es normal para este cliente? ¿Este dispositivo ya lo vimos? ¿Este patrón de comportamiento coincide con su historial? Esa decisión solo es posible si tus datos están disponibles por API y en tiempo real, no enterrados en un core que solo concilia por lotes a fin de día.

Un core legado te deja dos opciones malas: pedir el factor extra a todos —y pagar la fricción— o pedírselo a nadie —y pagar el fraude—. La autenticación adaptativa, la biometría bien implementada y los estándares como FIDO solo rinden sobre una base que pueda servir el dato de riesgo en el instante exacto de la transacción. La seguridad sin fricción no es un producto que se compra; es una capacidad que el core habilita.

Cómo lo vemos en WAU

En WAU no te vendemos "el módulo de biometría". Construimos el core que vuelve posible decidir cuándo pedir más: datos de cliente, dispositivo y comportamiento expuestos por API y en tiempo real, con la trazabilidad que el cumplimiento exige. Sobre esa base, tu equipo de riesgo puede endurecer las operaciones sospechosas sin castigar a los clientes legítimos, y tu equipo de producto deja de perder conversión por seguridad mal aplicada. La pelea entre riesgo y producto se acaba cuando el core deja de obligarte a elegir.

Si en tu institución la seguridad y la conversión siguen jalando para lados opuestos, hablemos. Te ayudamos a ver qué necesita tu arquitectura para que la autenticación fuerte deje de costarte clientes. 👉 Agenda una conversación con nuestro equipo.

Fuentes

• Mexico Business News — El fraude de identidad crece 137% en LATAM, impulsado por deepfakes (Global Fraud Index de Sumsub, nov 2024)

• QED Investors — Brasil como campo de pruebas global de prevención de fraude financiero (2025)

• Corbado — La fricción de login mata la conversión (cifras de Elavon, Ping Identity y Ponemon, 2024)

• FIDO Alliance — Passkey Index: adopción de passkeys y beneficios de negocio (oct 2025)

• Mastercard — 85% de los latinoamericanos prefiere la autenticación biométrica para pagos en línea (vendor, dic 2024)

• FIDO Alliance — World Password Day 2024 Report: tendencias de contraseñas y passkeys (may 2024)

• Ravelin — Guía de PSD2, autenticación reforzada (SCA) y análisis de riesgo de transacciones, marco EBA