¿Qué es el acceso condicional / basado en riesgo y cómo funciona?
Respuesta breve
El acceso condicional hace que la decisión de acceso dependa del contexto en lugar de una regla fija. Evalúa señales —quién es el usuario, el cumplimiento del dispositivo, la ubicación, la aplicación y una puntuación de riesgo calculada por detección de anomalías— y responde de forma proporcional: permitir, bloquear o exigir un refuerzo como MFA o un dispositivo conforme. El acceso basado en riesgo es la variante dinámica donde una señal de riesgo en tiempo real impulsa la política.
Una decisión fija de «permitir si la contraseña es correcta» desaprovecha información. El acceso condicional (y su primo dinámico, el acceso basado en riesgo) convierte la decisión de autorización en una función del contexto, para que el sistema pueda ser indulgente cuando todo parece normal y estricto cuando no lo es.
Cómo se toma la decisión
Un motor de políticas combina señales en el momento del acceso:
- Identidad: quién es el usuario, qué grupo/rol.
- Dispositivo: ¿está gestionado, conforme, parcheado, cifrado?
- Ubicación y red: país conocido, IP corporativa, comprobaciones de viaje imposible.
- Sensibilidad de la aplicación: app financiera vs. menú de la cafetería.
- Puntuación de riesgo: una señal en tiempo real de la detección de anomalías (coincidencias de credenciales filtradas, patrones de inicio de sesión inusuales, uso atípico de tokens).
El motor responde entonces de forma proporcional: permitir, bloquear o reforzar exigiendo MFA, un dispositivo conforme o un restablecimiento de contraseña. Esta es la capa de aplicación que hace práctico el Zero Trust.
La autenticación basada en riesgo en concreto
La autenticación basada en riesgo alimenta la política con una puntuación de riesgo calculada de forma continua. Un inicio de sesión desde el dispositivo y la ciudad habituales del usuario pasa sin fricción; la misma cuenta autenticándose de repente desde un nuevo país en un dispositivo no gestionado dispara MFA o un bloqueo. La idea es añadir fricción solo donde los datos lo justifiquen.
La trampa: fricción y falsos positivos
Las políticas demasiado agresivas dejan fuera a usuarios legítimos (un comercial de viaje, un nodo de salida VPN) y generan soluciones improvisadas. Un buen diseño usa respuestas graduadas (refuerzo, no bloqueo duro) y se ajusta con telemetría real, y siempre preserva una vía de recuperación para que una mala señal no deje a nadie aislado de forma permanente.
Lo que buscan los entrevistadores: describes las señales de contexto más las respuestas proporcionales (permitir/bloquear/reforzar), lo vinculas con la aplicación del Zero Trust, y reconoces el compromiso entre usabilidad y falsos positivos.
Posibles preguntas de seguimiento
- ¿Qué señales ponderarías al puntuar el riesgo de un inicio de sesión?
- ¿Qué es la autenticación «reforzada» (step-up) y cuándo debería activarse?
- ¿Cómo evitar bloquear a usuarios legítimos con políticas demasiado agresivas?