Visualización activa frente a visualización pasiva: por qué la antigua disyuntiva ya no es válida.

La mayoría de las sistemas de verificación de identidad Incluye un paso en el que el usuario debe demostrar que es una persona real, no una foto, un vídeo o una máscara. Este paso se denomina detección de vitalidad.

Existen dos formas principales de hacerlo. Una requiere que el usuario realice alguna acción: parpadear, sonreír, girar la cabeza o seguir un punto en movimiento. La otra no requiere nada. El usuario se toma una selfie normal y el sistema decide automáticamente si la persona es real.

Durante años, la industria asumió tácitamente que el primer método (detección activa de actividad) era más seguro que el segundo (detección pasiva de actividad). El razonamiento era simple: una foto estática no puede parpadear; una reproducción de video no puede seguir una instrucción aleatoria. Por lo tanto, si se logra que el usuario se mueva, se dificulta la tarea del atacante.

Esa suposición ya no es válida. A continuación, te explicamos qué ha cambiado y por qué es importante para cualquier equipo que diseñe un proceso de incorporación de nuevos empleados.

Cómo se ve cada método para un usuario

La interacción activa es la versión con la que la mayoría de la gente se ha topado. Regístrate en una aplicación bancaria o en una plataforma de intercambio de criptomonedas y la pantalla te pide que mires a la cámara, sigas las instrucciones, a veces lee un número en voz alta. Mueve la cabeza hacia la izquierda. Gira lentamente en círculo. Abre la boca.

La presencia pasiva en tiempo real es invisible. El usuario se toma una selfie. El sistema toma la decisión en segundo plano. La verificación se aprueba o se rechaza. Desde la perspectiva del usuario, se siente como una foto común y corriente.

El resultado es el mismo, pero la experiencia del usuario es muy diferente.

Por qué la industria optó por la estrategia activa

Tres razones.

La primera era lógica simple. Si el usuario se mueve, se detectan los ataques que no permiten el movimiento (fotos, repeticiones de pantalla). Por lo tanto, la opción activa se convirtió en la predeterminada segura.

La segunda prueba consistió en pruebas de laboratorio. Se asumió que las pruebas independientes más exigentes para sistemas de detección de actividad requerían interacción del usuario para superarlas sin problemas. Los proveedores que superaron las pruebas de nivel superior generalmente lo hicieron con flujos activos.

El tercer factor era la percepción. Los reguladores, los auditores e incluso los compradores buscaban señales visibles de que el sistema estuviera realizando alguna comprobación. Un flujo activo da la impresión de estar haciendo más, incluso cuando la detección subyacente no es más eficaz.

El efecto combinado fue que la mayoría de los vendedores se centraron en la opción activa. Los compradores, que buscaban la opción más segura, la solicitaron. Todo el mercado se estancó en esa opción.

El costo que conlleva la actividad

Cada paso del proceso de incorporación representa un punto de abandono para algunos usuarios. Se confunden, no siguen las instrucciones correctamente, el sistema los rechaza y no vuelven a intentarlo. El abandono aumenta con cada paso adicional.

Para una empresa fintech, una plataforma de intercambio de criptomonedas o una plataforma de juegos que incorpora miles de usuarios al día, incluso pequeños aumentos en la tasa de abandono se traducen en clientes reales perdidos. El flujo de usuarios activos tiene un precio, y ese precio se paga en conversiones perdidas.

La decisión que tomó la industria fue clara. Aceptamos la disminución porque la seguridad lo exige.

¿Qué cambió en el laboratorio?

La norma internacional para las pruebas de vivacidad es la ISO/IEC 30107-3. Tiene tres niveles de dificultad.

El nivel 1 abarca fotografías en papel y máscaras básicas. El nivel 2 introduce objetos de resina y látex impresos en 3D. El nivel 3 es el más alto: evaluadores con al menos diez evaluaciones previas de PAD construyen máscaras profesionales de silicona, uretano y resina, con una duración máxima de siete días cada una. El estándar permite que hasta el 5 % de estos ataques pasen desapercibidos. La mayoría de los proveedores no han alcanzado el nivel 3.

Cuando los sistemas de detección de actividad pasiva comenzaron a superar el Nivel 3 sin que ningún ataque lograra traspasarlo, la antigua premisa se desmoronó. La idea de que se necesitaba un sistema activo para una seguridad de primer nivel resultó ser una suposición del sector, no un hecho.

Si un sistema pasivo puede mantener el mismo rendimiento que uno activo en la prueba más exigente del sector, la relación coste-beneficio cambia radicalmente. Los equipos de incorporación ya no tienen que elegir entre seguridad y conversión; pueden tener ambas.

Qué deben preguntar ahora los compradores

La pregunta correcta para un proveedor de servicios de transmisión en vivo ya no es "¿activo o pasivo?". Son dos preguntas más útiles:

¿Qué nivel de pruebas de laboratorio independientes ha superado su sistema?

¿En qué hardware se realizó la prueba?

Si un proveedor tiene Conformidad de nivel 3 Con una tasa de aceptación de ataques del 0 % y una tasa de rechazo del 0 % para usuarios legítimos, la cuestión de si es activo o pasivo se convierte en una elección de experiencia de usuario, no de seguridad.

Cómo Shufti desmintió ese mito con las pruebas iBeta de nivel 3.

Verificación facial de Shufti Funciona mediante detección automática de actividad. El usuario presenta una sola selfie, la comprobación se ejecuta en segundo plano y el resultado es positivo o negativo. No se muestran mensajes.

En abril 2026, Shufti se convirtió en la primera empresa europea en limpiar iBeta PAD Nivel 3 Con este enfoque pasivo, en 900 ataques probados en Android e iOS, el sistema no permitió el paso de ninguno y no rechazó erróneamente a ningún usuario legítimo.

Para los equipos de incorporación que se han visto obligados a sacrificar la seguridad en aras de la conversión, el resultado es un cambio real. Agendar demo para ver la vitalidad pasiva de Shufti en acción.