Skip to main content
Blog
Blog

¿Qué es la detección de viaje imposible y cómo funciona?

La detección de viaje imposible marca sesiones donde la ubicación cambia más rápido de lo físicamente posible. Aprende cómo funciona y qué agrega la capa de navegador.

Jul 04, 2026 5 min read
¿Qué es la detección de viaje imposible y cómo funciona?

La detección de viaje imposible identifica sesiones donde la ubicación de un usuario cambia más rápido de lo físicamente posible. Si una cuenta inicia sesión desde Londres a las 09:00 y luego desde Singapur a las 09:15, la sesión se marca: ningún vuelo directo cubre esa distancia en 15 minutos. La señal es simple. Lo que determina su utilidad es cómo el sistema maneja las VPN, la infraestructura compartida, los viajeros reales y los agentes de IA que reutilizan tokens robados.

Qué cuenta como viaje imposible

El cálculo central es la distancia dividida por el tiempo. Si la velocidad requerida supera un umbral razonable, típicamente alrededor de 800 km/h como límite superior generoso para los vuelos comerciales, el movimiento se marca como físicamente implausible.

EscenarioDistanciaIntervalo de tiempoVelocidadVeredicto
Londres a París340 km25 min816 km/hMarcar
Londres a Mánchester260 km40 min390 km/hSin marca
Nueva York a Londres5.540 km2 horas2.770 km/hMarcar
Misma ciudad, cambio de VPN0 kminstante0 km/hNecesita contexto

El tiempo es lo que diferencia esto de la simple geolocalización. Una cuenta activa en un lugar y luego en otro una hora después puede ser un cambio de VPN, un traspaso móvil o un viajero real en un vuelo corto. La velocidad resuelve la mayoría de las ambigüedades, pero no todas.

Dónde falla la detección basada solo en IP

La lógica estándar de viaje imposible compara dos geolocalizaciones de IP. Funciona cuando las IPs representan un origen geográfico real. Falla en estas situaciones:

  • Cambios de VPN: cambian la ubicación aparente sin ningún movimiento físico.
  • Proxies residenciales: hacen que el tráfico del atacante parezca originarse desde una conexión doméstica cercana al objetivo.
  • Salida corporativa compartida: coloca a muchos usuarios en una ubicación independientemente de dónde estén físicamente.
  • Itinerancia de red móvil: cambia las asignaciones de país de IP cuando el operador realiza traspasos de celda.

Los falsos positivos en estos casos son costosos. Un usuario real marcado mientras viaja, cambia servidores VPN o se conecta a través de una red corporativa genera fricción sin detectar a un atacante.

Qué agrega la capa del navegador

Las huellas digitales del dispositivo cambian el significado de "mismo usuario". En lugar de preguntar si la IP coincide con la ubicación esperada, puedes preguntar si el dispositivo coincide con el historial de la cuenta y si el entorno del navegador parece un usuario real o un marco de automatización.

cside captura inteligencia de dispositivos desde los navegadores de visitantes reales: más de 102 señales que incluyen huella digital del hardware, entorno de renderizado, indicadores de automatización y postura de VPN/proxy. Dos inicios de sesión desde diferentes ciudades pueden ser un viajero real. Los mismos dos inicios de sesión desde diferentes ciudades con una huella digital de dispositivo diferente y un ASN de proxy residencial es un problema diferente.

Esta combinación detecta lo que la velocidad de IP sola no puede:

  • Viaje enmascarado por VPN: la IP permanece en una ciudad, pero el perfil del dispositivo cambia a mitad de sesión. Ese cambio no es movimiento físico, pero sí una ruptura de confianza.
  • Reutilización de tokens por agentes de IA: un agente de IA que toma un token de sesión robado puede reproducirlo desde un contexto geográfico y de red completamente diferente. El salto de ubicación es inmediato, y el perfil del dispositivo no coincidirá con el historial de la cuenta.
  • Robo de sesión real: una cookie de sesión capturada mediante un ataque en la capa del navegador y reproducida por el atacante desde otro país aparece como viaje imposible junto con un repentino desajuste de huella digital del dispositivo.

El viaje imposible como una señal dentro de un modelo de sesión

El viaje imposible es una señal útil, no un veredicto. Una cuenta que lo activa debería ver un desafío de autenticación adicional, una reautenticación forzada o una retención en acciones de alto riesgo (pago, cambio de dirección, actualización de método de pago), no un bloqueo inmediato. Un viajero real que confirma su identidad continúa sin fricción. Una sesión de relleno de credenciales que no supera el desafío se detiene.

El modelo correcto combina la señal con la deriva de la huella digital del dispositivo, la reputación de la red (puntuación de VPN y proxy, tipo de ASN), la continuidad del comportamiento y la velocidad de las acciones post-inicio de sesión. cside entrega todas estas señales de riesgo de sesión a través de API, para que tu lógica de fraude pueda puntuar el contexto completo en lugar de reaccionar solo a la ubicación.

Para ver cómo el viaje imposible encaja en un modelo más amplio de prevención de toma de cuentas, incluida la puntuación de sesiones y los controles post-autenticación, consulta el manual completo.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

El viaje imposible ocurre cuando una sesión autenticada parece saltar de una ubicación geográfica a otra más rápido de lo que permite el movimiento físico. Es una señal utilizada en la detección de toma de cuentas: un inicio de sesión desde Londres seguido minutos después de uno desde Singapur marca la segunda sesión para revisión, porque ninguna ruta de viaje conecta ambas ciudades en ese tiempo.

El cálculo básico divide la distancia geográfica entre dos ubicaciones de inicio de sesión consecutivas por el tiempo entre ellas. Si la velocidad resultante supera un umbral (típicamente alrededor de la velocidad máxima del vuelo comercial, aproximadamente 800 km/h), la segunda sesión se marca. Las implementaciones más avanzadas también comparan las huellas digitales del dispositivo entre sesiones, porque un salto de ubicación junto con un cambio de dispositivo es evidencia más sólida de uso indebido de cuenta que la ubicación sola.

La detección basada solo en IP puede ser eludida por una VPN. Si un atacante usa un nodo de salida cercano a la última ubicación conocida de la víctima, la distancia de viaje aparente es pequeña y nada se marca. Las huellas digitales del dispositivo cierran esta brecha: incluso si la IP VPN del atacante coincide con la región esperada, las señales de la capa del navegador detectan la discrepancia entre el nuevo perfil del dispositivo y el historial de huellas del dispositivo de la cuenta.

Puede generar falsos positivos sin contexto. Los viajeros de larga distancia y los usuarios de VPN corporativa mostrarán saltos de ubicación cuando cambie la asignación de su servidor VPN. Los sistemas bien calibrados descuentan escenarios conocidos como buenos: cambios de red móvil, grupos de salida corporativa y patrones de viaje coherentes con el historial de la cuenta. Combinar la velocidad de ubicación con la continuidad del dispositivo reduce considerablemente los falsos positivos.

La detección de velocidad cuenta los intentos de inicio de sesión a lo largo del tiempo y marca la alta frecuencia. La detección de viaje imposible compara pares de ubicaciones y marca movimientos físicamente implausibles. Son complementarios: la velocidad detecta campañas de relleno de credenciales; el viaje imposible detecta la reutilización de sesiones y la reproducción de tokens robados entre geografías.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo