Contaminación de Grafos en Detección de Fraude: El Problema del que Nadie Habla

3 minute read

Cómo empezó todo

Después de años construyendo sistemas de detección de fraude, seguía viendo lo mismo: las empresas implementan detección basada en grafos, celebran que están cachando fraud rings, y después ven cómo sus false positives suben mes tras mes.

Los grafos estaban funcionando. Pero también estaban jodiendo a clientes legítimos.

Por qué me llamó la atención

Cuando empecé a diseñar una arquitectura de grafos para detección de fraude, me cayó una pregunta: ¿qué pasa cuando un buen cliente comparte WiFi con un fraudster?

Piénsalo. Un aeropuerto. Un café. Una universidad. Miles de personas, un rango de IPs. Un fraudster ataca, y de repente todos los que están conectados a esa ubicación quedan marcados.

Eso no es detección de fraude. Es daño colateral.

El escenario que me hizo click

María compra un vuelo desde el aeropuerto a las 9 AM. Excelente clienta - meses de historial limpio, varias compras exitosas, cero problemas.

Dos horas después, un fraudster hace card testing desde el mismo aeropuerto. Misma geolocalización. Misma red.

En un grafo tradicional, María ahora está conectada al fraudster. ¿Su próxima compra? Score de riesgo más alto. Quizás declinada. Quizás verificación extra.

No hizo nada malo. Solo tomó café en el Starbucks equivocado.

El costo real que nadie mide

Esto no es teórico. He visto cómo mata relaciones con clientes:

Clientes legítimos bloqueados por “conexiones sospechosas”
Equipos de soporte enterrados en revisiones de false positives
Customer lifetime value destruido por fricción innecesaria
Precisión de detección empeorando mientras los grafos se llenan de ruido

¿La ironía? La herramienta construida para detectar fraude termina castigando a tus mejores clientes.

Por qué sigue pasando

La industria trata a los grafos como magia. Conecta los nodos, encuentra el fraude. Listo.

Pero hay un supuesto malo en cada implementación tradicional: “Si un nodo está conectado a fraude, probablemente es fraudulento.”

En espacios compartidos, la conexión es coincidencia, no conspiración.

Lo que aprendí a los golpes

No todos los clientes merecen el mismo nivel de escrutinio.

¿Usuario nuevo sin historial? Analiza todo. Revisa cada conexión. Sé paranoico.

¿Cliente con meses de transacciones limpias y cero chargebacks? Probablemente se ha ganado algo de confianza.

Pero esto tiene que funcionar en ambas direcciones. Si llega un chargeback de un cliente que parecía bueno, toca reevaluar. Esa información nueva te está diciendo que el perfil quizás no era tan confiable como pensabas.

Y hay algo más que he visto muchas veces: fraudsters que se hacen pasar por buenos clientes durante meses, construyen historial limpio, ganan confianza, y después sacan su verdadera cara. Es una táctica común. Se cultivan como clientes legítimos para luego tirar todo abajo.

Por eso zero trust sigue siendo importante. No se trata de confiar ciegamente porque alguien tiene buen historial. Se trata de encontrar el balance entre cómo los evalúas y quiénes realmente son. Los perfiles se tienen que evaluar constantemente - algunos van ganando confianza con el tiempo, otros la van perdiendo. El sistema tiene que reflejar eso.

Suena obvio cuando lo dices en voz alta: los clientes probados no deberían ser penalizados por donde les tocó estar. Pero el “probado” no es permanente, se gana y se pierde según el comportamiento.

El cambio de mentalidad

La confianza debería ser gradual. Los clientes que se prueban con el tiempo deberían tratarse diferente que los usuarios desconocidos. Y si algo cambia - como que aparece un chargeback - el sistema se adapta.

No se trata de bajar la seguridad. Se trata de poner los recursos donde realmente importan.

Cuando logras esto, todo mejora: los grafos se mantienen limpios, los queries se mantienen rápidos, los false positives bajan, y la detección realmente mejora con el tiempo.

El punto ciego de la industria

Este problema no se está resolviendo en la mayoría de implementaciones que hay.

Los vendors venden grafos como magia. La contaminación solo aparece a escala, en producción, meses después. Para ese punto, todos lo aceptan como “así funciona la detección de fraude.”

No tiene que ser así.

Mi conclusión

La próxima vez que evalúes un sistema de detección de fraude, haz una pregunta:

¿Cómo protegen a los clientes legítimos de la contaminación por asociación?

Si la respuesta es “no lo hacemos” o “ese es el tradeoff,” estás viendo algo que va a afectar a tus mejores clientes con el tiempo.

La detección de fraude no es solo cachar a los malos. Es proteger a los buenos.

Twitter Facebook LinkedIn

Contaminación de Grafos en Detección de Fraude: El Problema del que Nadie Habla

Cómo empezó todo

Por qué me llamó la atención

El escenario que me hizo click

El costo real que nadie mide

Por qué sigue pasando

Lo que aprendí a los golpes

El cambio de mentalidad

El punto ciego de la industria

Mi conclusión

Comments

You May Also Enjoy

Mi POC con MCP: Conectando Claude con una API de Prueba

My POC with MCP: Connecting Claude with a Test API

Construyendo dataspot: Lecciones desde la Detección de Fraude Real

Building dataspot: Lessons from Real-World Fraud Detection