Estrategia QA

Testing basado en riesgo: priorizar lo que más importa

Elio Navarrete 9 min de lectura

Todo equipo de QA enfrenta la misma restricción fundamental: nunca hay suficiente tiempo para probar todo. Los plazos se comprimen, el alcance se expande y la suite de pruebas crece más rápido que la capacidad del equipo para ejecutarla. Los equipos que prosperan bajo esta presión no son los que prueban más, son los que prueban de forma más inteligente. El testing basado en riesgo es la disciplina de dirigir el esfuerzo de pruebas hacia las áreas donde los defectos causarían el mayor daño.

Enseño este framework en mis cursos de QA en UPC y lo he aplicado en plataformas de salud, fintech y e-commerce. Los principios están basados en los fundamentos de ISTQB, pero los detalles de implementación provienen de años de experiencia en producción donde los frameworks teóricos tuvieron que sobrevivir al contacto con sprints reales, stakeholders reales e incidentes reales de producción.

Por qué probar todo por igual es un desperdicio

Considera una aplicación web típica con una página de login, un dashboard, una página de configuración y un checkout de pago. Si asignas esfuerzo de pruebas igual a cada módulo, estás diciendo implícitamente que un bug en la página de configuración (donde un usuario cambia su nombre visible) es tan importante como un bug en el flujo de pago (donde un cliente recibe un cobro incorrecto). Obviamente, no lo es.

Sin embargo, muchos equipos operan exactamente así. Escriben tests en el orden en que se desarrollan las funcionalidades, los mantienen todos con igual prioridad y los ejecutan todos en cada pipeline. El resultado es predecible: el pipeline de CI toma 40 minutos, la mayoría de ese tiempo se gasta en áreas de bajo riesgo, y cuando un defecto crítico se escapa, el equipo se pregunta cómo lo pasaron por alto a pesar de tener cobertura "completa".

El testing basado en riesgo resuelve esto al hacer que la asignación de esfuerzo de pruebas sea una decisión explícita y basada en datos, en lugar de un subproducto accidental del orden de desarrollo.

Fundamentos ISTQB: el riesgo como framework

El syllabus de nivel fundación de ISTQB define el riesgo en testing como un factor que podría resultar en consecuencias negativas futuras. Distingue entre dos dimensiones:

Riesgo de producto: el riesgo de que el software no cumpla con los requisitos de calidad (funcionalidad, rendimiento, seguridad, usabilidad). Estos son los riesgos que el testing aborda directamente.
Riesgo de proyecto: el riesgo de que factores del proyecto (cronograma, recursos, habilidades) afecten la capacidad de lograr los objetivos de testing. Estos riesgos afectan cómo planificas y dimensionas tu esfuerzo de pruebas.

El testing basado en riesgo se enfoca principalmente en riesgos de producto y usa dos atributos para evaluar cada riesgo: la probabilidad de que exista un defecto en un área dada, y el impacto que dicho defecto tendría en los usuarios, el negocio o el cumplimiento regulatorio.

Nivel de riesgo = Impacto de negocio × Probabilidad de fallo

Esta fórmula es engañosamente simple. El verdadero desafío está en estimar estos valores con precisión y mantenerlos actualizados a medida que el producto evoluciona.

Identificación de riesgos: recopilar las entradas

La identificación efectiva de riesgos se nutre de múltiples fuentes. Ninguna entrada por sí sola es suficiente, porque cada una proporciona un lente diferente sobre dónde es probable que se oculten los defectos:

Historial de defectos: los módulos que han tenido más bugs en el pasado tienen estadísticamente más probabilidad de tener bugs en el futuro. Analiza tu rastreador de bugs de los últimos 6-12 meses e identifica puntos calientes por componente.
Complejidad del código: alta complejidad ciclomática, condicionales profundamente anidados y métodos grandes están correlacionados con la densidad de defectos. Las herramientas de análisis estático pueden cuantificar esto.
Frecuencia de cambios: el código que cambia frecuentemente (alto churn) introduce más oportunidades de regresión. Un módulo que fue modificado en 15 de los últimos 20 sprints merece más atención que uno que ha sido estable durante seis meses.
Criticidad de negocio: ¿qué pasa si esta funcionalidad se rompe? Un login fallido bloquea a todos los usuarios. Una preferencia de notificación rota incomoda a algunos usuarios. El impacto de negocio es fundamentalmente diferente.
Exposición regulatoria: las funcionalidades que manejan PII, transacciones financieras o datos de salud conllevan riesgo de cumplimiento más allá del impacto inmediato al usuario. Un defecto en estas áreas puede desencadenar auditorías, multas o responsabilidad legal.
Novedad técnica: nuevas tecnologías, integraciones desconocidas o patrones arquitectónicos de primera vez conllevan mayor riesgo simplemente porque el equipo tiene menos experiencia con ellos.

Construir una matriz de riesgo

Una matriz de riesgo práctica mapea los módulos de tu producto contra puntuaciones de probabilidad e impacto. Uso una escala del 1 al 5 para cada dimensión, produciendo una puntuación de riesgo entre 1 y 25. Aquí hay un ejemplo simplificado para una plataforma de e-commerce:

Module	Likelihood (1-5)	Impact (1-5)	Risk Score	Test Priority
Payment checkout	3	5	15	Critical
User authentication	2	5	10	High
Product search	4	3	12	High
Order history	2	3	6	Medium
User preferences	1	1	1	Low

La puntuación de riesgo informa directamente la asignación de pruebas: los módulos de prioridad crítica obtienen la mayor cantidad de casos de prueba, los tipos de prueba más diversos (unitarias, integración, E2E, rendimiento, seguridad) y la ejecución más frecuente. Los módulos de baja prioridad obtienen cobertura básica del camino feliz y se ejecutan con menos frecuencia.

Mapear riesgos a prioridades de prueba

Una vez que tienes puntuaciones de riesgo, tradúcelas en decisiones concretas de testing:

Crítico (puntuación 15-25): cobertura completa (unitarias, integración, E2E, rendimiento, seguridad). Ejecutar en cada PR. Incluir en suite de smoke. Asignar ingenieros senior para revisar la calidad de los tests.
Alto (puntuación 10-14): cobertura fuerte (unitarias, integración, E2E). Ejecutar en cada PR. Incluir en suite de regresión.
Medio (puntuación 5-9): cobertura moderada (pruebas unitarias y de integración). Ejecutar cada noche. E2E solo para rutas críticas dentro del módulo.
Bajo (puntuación 1-4): cobertura básica (pruebas unitarias y testing exploratorio durante ciclos de release). Ejecutar semanalmente.

Este mapeo no es estático. Debe revisarse y ajustarse al menos trimestralmente, o cada vez que un cambio arquitectónico significativo, un incidente en producción o un lanzamiento de funcionalidad importante modifique el panorama de riesgos.shift-left testing by ensuring earlier testing focuses on what matters most.

Ajuste dinámico de riesgo en sprints

El testing basado en riesgo no es un ejercicio de planificación único. En entornos ágiles, los perfiles de riesgo cambian cada sprint. Un módulo que era de bajo riesgo el mes pasado podría convertirse en alto riesgo este sprint debido a un refactor mayor, una nueva integración o una vulnerabilidad de seguridad reportada.

Recomiendo incorporar una revisión de riesgos en la planificación del sprint. Durante el refinamiento del backlog, el líder de QA debe evaluar el impacto de cada historia en la matriz de riesgo existente. Preguntas a hacer:

¿Esta historia toca un flujo crítico? Si es así, el plan de pruebas de este sprint debe priorizar la cobertura de regresión para ese flujo.
¿Esta historia introduce una nueva dependencia externa? Las nuevas integraciones conllevan riesgo inherente y deben probarse más a fondo.
¿Un incidente reciente en producción ha cambiado nuestra evaluación de riesgo para algún módulo? Actualiza las puntuaciones de riesgo en consecuencia.
¿El miembro del equipo que trabaja en esta historia tiene experiencia con el código base? Ingenieros junior trabajando en módulos complejos aumentan la puntuación de probabilidad.

Este ajuste dinámico evita que la matriz de riesgo se convierta en un documento obsoleto que nadie consulta. Mantiene la evaluación de riesgos como una práctica viva integrada en el flujo de trabajo del equipo.

Ejemplo práctico: evaluación de riesgo para un módulo de pagos

Permitan que les muestre una evaluación de riesgo concreta para un módulo de procesamiento de pagos, el tipo de análisis que hago regularmente con mis equipos.

El módulo de pagos maneja tokenización de tarjetas de crédito, autorización de cargos, procesamiento de reembolsos y generación de recibos. Su perfil de riesgo:

Impacto de negocio: 5/5. Un bug de pagos significa pérdida de ingresos, disputas de clientes y posibles violaciones de cumplimiento PCI. No hay tolerancia para defectos aquí.
Historial de defectos: 3/5. Durante el último año, el módulo ha tenido 8 bugs, principalmente relacionados con casos límite en reembolsos parciales y conversión de moneda.
Complejidad del código: 4/5. El servicio de orquestación de pagos tiene alta complejidad ciclomática debido al número de métodos de pago, monedas y rutas de manejo de errores.
Frecuencia de cambios: 3/5. El módulo se modifica aproximadamente cada dos sprints, generalmente para agregar soporte de nuevos métodos de pago o actualizar versiones de APIs de terceros.

Puntuación de riesgo compuesta: alto a crítico. La estrategia de testing para este módulo incluye: pruebas unitarias completas para cada ruta de cálculo (incluyendo conversión de moneda y matemáticas de reembolsos parciales), pruebas de contrato contra la API del gateway de pagos, pruebas E2E cubriendo el flujo completo de checkout con múltiples métodos de pago, pruebas de rendimiento simulando niveles de tráfico de Black Friday, y pruebas de penetración de seguridad trimestrales enfocadas en tokenización y manejo de datos PCI.

Herramientas y técnicas para el seguimiento de riesgos

No necesitas software especializado para implementar testing basado en riesgo. Una hoja de cálculo funciona para equipos pequeños. Para organizaciones más grandes, recomiendo rastrear puntuaciones de riesgo junto a tu herramienta de gestión de pruebas, ya sea TestRail, Zephyr, qase.io o incluso una base de datos estructurada en Notion. La clave es que la matriz de riesgo sea accesible para todo el equipo y se actualice regularmente.

Las entradas automatizadas mejoran la precisión con el tiempo. Conecta tu rastreador de defectos para actualizar automáticamente las puntuaciones de probabilidad basadas en conteos recientes de bugs. Usa herramientas de análisis de código para señalar módulos donde la complejidad ha aumentado. Integra con tu pipeline de CI para rastrear qué áreas tienen más fallos de pruebas. Estas señales automatizadas reducen el esfuerzo manual de mantener la matriz de riesgo y hacen las evaluaciones más objetivas.

Cómo el testing basado en riesgo mejora la confianza de los stakeholders

Uno de los beneficios más subestimados del testing basado en riesgo es cómo transforma la conversación con los stakeholders. Cuando un product manager pregunta "¿Podemos lanzar el viernes?", la respuesta típica de QA es "Necesitamos más tiempo para probar todo" o un vago "Creemos que está listo". Ninguna respuesta inspira confianza.quality gates — the typical QA response is either "We need more time to test everything" or a vague "We think it's ready." Neither answer inspires confidence.

Con testing basado en riesgo, la respuesta se vuelve específica y basada en datos: "Todas las áreas críticas y de alto riesgo están completamente probadas y pasando. Las áreas de riesgo medio tienen cobertura de regresión. Los elementos restantes sin probar son configuraciones de preferencias de bajo riesgo. Aquí está la matriz de riesgo mostrando nuestra cobertura contra cada nivel de prioridad". Esto les da a los stakeholders la información que necesitan para tomar una decisión de release informada, y posiciona al QA como un socio estratégico en lugar de una puerta que dice sí o no.

El testing basado en riesgo no se trata de probar menos, sino de probar con intención. Al identificar explícitamente dónde los defectos causarían más daño y dirigir el esfuerzo en consecuencia, los equipos de QA entregan más valor con los mismos recursos. La disciplina requerida para mantener una matriz de riesgo y ajustarla dinámicamente se paga por sí misma la primera vez que previene que un defecto crítico llegue a producción mientras las pruebas de bajo riesgo se ejecutan en segundo plano.

¿Te resultó útil este artículo?

¡Gracias por tu valoración!

4.2 / 5 · 42 valoraciones

Referencias

Toda la información que ofrecemos está respaldada por fuentes bibliográficas autorizadas y actualizadas, que aseguran un contenido confiable en línea con nuestros principios editoriales.

ISTQB. (2024). ISTQB Certified Tester Foundation Level Syllabus, Section 5.2: Risk-Based Testing. https://www.istqb.org/
Jorgensen, P. C. (2021). Software Testing: A Craftsman's Approach (5th ed.). CRC Press.
ISO. (2018). ISO/IEC 31000:2018 Risk Management - Guidelines. International Organization for Standardization.

Cómo citar este artículo

Citar las fuentes originales sirve para dar crédito a los autores correspondientes y evitar el plagio. Además, permite a los lectores acceder a las fuentes originales para verificar o ampliar información.