Inicio/Blog/Grafos antifraude
Arquitectura Antifraude Para Fintech

Grafos antifraude para fintech regional

Un score transaccional observa un pago. El grafo detecta que la cuenta nueva, el documento reutilizado, el teléfono con cambio reciente de SIM, el dispositivo conocido, el beneficiario compartido y la cadena rápida de transferencias forman parte de la misma historia. El grafo aporta contexto; reglas, modelos, analistas y controles de pago siguen tomando la decisión.

El fraude es relacional y temporal

Las fintech regionales rara vez carecen de señales. El problema es conectar onboarding, autenticación, dispositivos, telecom, cuentas, comercios, claves de pago, beneficiarios, reclamos y casos confirmados. El grafo vuelve explícitas esas relaciones, pero cada arista necesita tiempo, procedencia y confianza. “Usó el dispositivo” está incompleto; “lo usó entre estos timestamps, observado por este SDK, con esta confianza” es evidencia.

Un pago dentro de su red de relaciones
PersonaIdentidad, perfil, edad, ingresos declarados y estado de riesgo.
TransferenciaMonto, canal, event time, velocidad y resultado.
DocumentoEmisor, verificación, reutilización y fingerprint.
DispositivoAttestation, app, SO, integridad y first seen.
BeneficiarioCuenta, clave, titular y reclamos anteriores.
TeléfonoNumber Verification, cambio de SIM, antigüedad y operador.
RedIP, ASN, proxy, geolocalización y cluster de sesión.
CasoEvidencia, acción, label, recuperación y apelación.

Use entidades estables y relaciones con forma de evento

Los nodos representan elementos duraderos: persona, empresa, cuenta, dispositivo, documento, teléfono, correo, dirección, IP/ASN, clave de pago, comercio, beneficiario y caso. Transferencias, logins, altas, resets, cambios de SIM, consentimientos y reclamos son eventos. No convierta eventos en vínculos eternos: el sistema debe demostrar si la relación existía antes de decidir.

IdentidadDocumentos, biometría, atributos declarados, proveedor de verificación, empresa, beneficiario final y calidad.
AccesoDispositivo, instancia de app, teléfono, edad de SIM, autenticador, sesión, IP, viaje imposible y recovery.
DineroCuenta, clave, tarjeta, comercio, beneficiario, cadena de transferencias, cash-out, reclamo y devolución.
RelacionesDispositivo compartido, documento reutilizado, teléfono común, domicilio, propiedad empresarial y contraparte.
ComportamientoVelocidad, fan-in, fan-out, ciclos, inactividad, burst, fraccionamiento, primera acción y cambio de secuencia.
ResultadoChallenge, revisión manual, fraude confirmado, falso positivo, recuperación, devolución y apelación.

La resolución de entidades es el componente más riesgoso

El grafo falla en silencio cuando une a dos personas legítimas o deja al mismo actor dividido entre decenas de aliases. Comience con identificadores determinísticos y procedencia clara. Mantenga los vínculos probabilísticos como hipótesis separadas y puntuadas. La misma dirección, una IP con NAT, un teléfono familiar, un POS compartido o un número reciclado no demuestran propiedad.

RelaciónEvidenciaFeature útilUso en decisiónRiesgo de error
Dispositivo en muchas cuentas nuevasID de dispositivo/app con attestation, first/last seen y sesiones.Cuentas distintas en 1h/24h/30d.Step-up, menor límite o revisión.Dispositivo compartido o fingerprint inestable.
Imagen de documento reutilizadaID verificado y fingerprint perceptual.Cuentas y nombres por cluster de evidencia.Detener onboarding para validar.Retry del proveedor o colisión.
Cambio reciente de SIM antes de recoverySeñal del operador con horario y resultado API.Horas desde SIM swap más reset de autenticador.Demorar acciones sensibles y reforzar prueba.Tratar SIM swap aislado como fraude.
Beneficiario recibe de cuentas recientesTransferencias liquidadas ordenadas por event time.Fan-in, antigüedad, burst y distribución.Retener o investigar cash-out.Marketplace o nómina legítima.
Cadena rápida con varios saltosTransferencias, liquidación e instituciones participantes.Longitud, tiempo y valor retenido.Rastrear, bloquear saldo y abrir caso.Ignorar reversos, pendientes o relojes.
Proximidad a comunidad fraudulentaLabels confirmadas, caso de origen y expiración.Camino mínimo, vecinos ponderados y comunidad.Agregar evidencia a la decisión.Contaminar vecinos con culpa permanente.

Las features respetan el tiempo de decisión

Calcule cada feature con lo que podía conocerse en ese instante. Labels posteriores, reclamos futuros, identidades corregidas y nuevas aristas no pueden filtrarse al entrenamiento o replay. Registre event_time, observed_at, valid_from, valid_to, fuente, confianza, versión de esquema e ID de ingesta.

Los patrones útiles son acotados

En línea use vecindarios de uno o dos saltos, grado reciente, fan-in/fan-out, antigüedad de cuenta, identificadores compartidos, camino hacia fraude confirmado, ciclos y ventanas de velocidad. Comunidades, embeddings, propagación de labels y simulaciones pertenecen a jobs offline. Materialice features aprobadas en un store de baja latencia; no ejecute recorridos ilimitados durante el pago.

Base
Device
Fono
Red
Fan-in
Cadena
Caso
Revisión

Integre el grafo al pipeline de decisión

De eventos crudos a una decisión reversible
01 IngerirCapture eventos inmutablesOnboarding, login, device, telecom, transferencia, reclamo y caso llegan con event time y fuente.
02 ResolverVincule con evidenciaIDs canónicos, matches determinísticos, hipótesis probabilísticas, vigencia y revisión de merges.
03 EnriquecerProduzca features acotadasVelocidad, grado, caminos, comunidades, SIM reciente, identificadores y outcomes.
04 DecidirCombine controlesReglas, modelos, evidencia del grafo, política, monto, canal, cliente y restricciones.
05 ActuarAplique fricción proporcionalAprobar, desafiar, demorar, reducir límite, retener, rechazar o derivar.
06 ExplicarPersista razón y snapshotFeatures, caminos, versiones, calidad, política y responsable.
07 InvestigarExplore el vecindario relevanteAnalistas amplían caminos, comparan timeline y adjuntan evidencia bajo permisos.
08 AprenderDevuelva outcomes con controlFraude confirmado, reversión, recuperación, falso positivo y apelación mejoran el sistema.

Los pagos instantáneos vuelven operativo el camino

La documentación de MED 2.0 en Brasil contempla rastrear transacciones posteriores y bloquear fondos sospechosos más allá del destinatario original. Es un problema operacional con forma de grafo: transferencias liquidadas, cuentas participantes, saldo disponible, orden temporal, estado del caso y acciones de devolución deben concordar. Otros mercados deben adaptar el mismo patrón a sus esquemas y autoridades locales.

Las señales del teléfono agregan contexto

GSMA Open Gateway y CAMARA estandarizan SIM Swap y Number Verification. Un cambio reciente de SIM junto con recovery, dispositivo nuevo, beneficiario alterado y transferencia inusual informa más que una señal aislada. Disponibilidad del operador, consentimiento, latencia, portabilidad, números reciclados y cobertura regional forman parte del contrato.

La investigación exige procedencia y límites

El analista debe saber por qué existe cada nodo o arista, cuándo fue válido, qué sistema lo produjo y si está confirmado o inferido. El caso necesita timeline, camino del dinero, identificadores compartidos, decisiones previas, calidad, notas y acciones permitidas. W3C PROV aporta conceptos para entidad, actividad, agente y derivación.

La privacidad limita el grafo

Defina finalidad, base legal, minimización, retención, fronteras geográficas, tokenización, acceso por rol, auditoría de consultas, control de exportación y propagación de borrado. Separe PII cruda de identificadores seudónimos. Los atributos sensibles no deben transformarse en proxies solo porque mejoran una métrica histórica.

Evalúe decisiones, no la estética del grafo

Mida pérdida evitada, fondos recuperados, precisión por acción, falso positivo, finalización de challenge, tiempo de revisión, acuerdo entre analistas, retraso de labels, freshness, errores de resolución, apelaciones revertidas e impacto por segmento. El AUC offline no indica si se frenó la transferencia correcta a tiempo.

Lo que construiría

Event log inmutable; adapters de identidad, telecom y pagos; servicio versionado de resolución de entidades; proyección temporal; jobs offline; feature store de baja latencia; motor de políticas con reglas, modelos y grafo; workspace de casos; registro de explicación; y pipeline de labels. El almacenamiento puede ser nativo o proyectado desde datos relacionales y eventos. El contrato y la reproducibilidad importan más que la marca.

El principio

Un grafo antifraude crea valor cuando convierte hechos dispersos en evidencia temporal y revisable. Debe ayudar a tomar una decisión proporcional, reconstruirla, investigar conducta conectada y aprender del resultado sin convertir correlación en culpabilidad.

Lecturas relacionadas

Artículo sobre grafos antifraude temporales para fintech, resolución de entidades, pagos instantáneos, señales de dispositivo y telecom, decisiones explicables, investigación, privacidad y feedback.