Costo Real del Fraude · Parte 4 de 8

Escalar el equipo de analistas no escala

Elio Rincón 17 may 2026 8 min de lectura

La conversación que se repite

Cada vez que escucho cómo opera un equipo antifraude que está creciendo, la conversación es la misma. "Tenemos revisiones acumuladas, vamos a contratar dos analistas más." "El equipo está saturado, necesitamos un analista junior." "Los falsos positivos crecen, hay que ampliar el control de calidad."

Tiene lógica. Hay más transacciones, hay más casos, contratá más gente.

Pero hay un techo, y casi todos los equipos lo descubren tarde.

Cómo escala el fraude, cómo escala el equipo

El volumen de transacciones de tu empresa crece —si va bien— exponencialmente o por lo menos linealmente fuerte. El fraude crece al mismo ritmo o peor: los atacantes te encuentran más fácil cuando eres más grande.

Tu equipo de analistas, mientras tanto, crece de a uno cada trimestre, si el presupuesto lo permite.

La brecha entre crecimiento del problema y capacidad del equipo es lo que termina rompiendo la operación. La matemática no cierra, y no es algo que se arregle pidiéndole más al equipo.

Un día normal del analista de fraude

Vamos a hacer el ejercicio honesto. Mirá cómo es el día, no en un folleto de producto sino en una operación real:

  • 9:00am. Llega y toma "temperatura" de la operación de ayer.
  • 9:15am. Abre una hoja de cálculo, se conecta a la base de datos del cliente, ejecuta consultas SQL escritas a mano, exporta miles de registros a un archivo local.
  • 9:30am. Aplica filtros manuales en la hoja de cálculo para encontrar lo raro: score > 80 AND decision = ACCEPT (posibles falsos positivos), score < 20 AND REJECT (reglas sobre-restrictivas), mismo BIN repetido varias veces en una hora, emails de dominios sospechosos (tempmail, mailinator), clientes con muchas transacciones en poco tiempo.
  • 10:00am. Marca casos sospechosos con color de celda o copiando a una hoja "TO_REVIEW". Toma notas en su cabeza o en celdas libres.
  • 10:30am a 1pm. Investiga cada caso con cinco herramientas en paralelo: tablero de indicadores, vista de grafos, vista de transacción individual, base de datos del cliente, Slack con compañeros. Hace poco sumó una sexta: pegar bloques de la hoja de cálculo en ChatGPT o Claude para que el modelo le ayude a leer el patrón. Pero el archivo tiene miles de filas, el contexto del modelo entra en bloques chicos, hay que pagar por cada vuelta y esperar minutos por respuesta. Para cuando termina de procesar una fracción del archivo, ya es la tarde.
  • 2pm a 3pm. Toma acciones: crea una regla, agrega a lista negra, comunica al cliente, deja una nota mental para seguimiento.
  • Al día siguiente. Vuelve a la hoja de cálculo y trata de recordar dónde se quedó. Se pierde el rastro de los casos.

Así es el día del analista en la mayoría de las operaciones que conozco.

Dónde se va el tiempo

Si descompones el día por bloque, queda así:

BloqueTiempo¿En el producto antifraude?
Armar la hoja de cálculo del día (consultas + exportación)30-45 minNo
Aplicar filtros + marcar1-2 hNo
Investigar casos2-3 hA medias (resto en base de datos, Slack, notas y modelos por fuera)
Tomar acciones30 min
Recordar/anotar pendientes15-30 minNo
Comunicación cliente/equipo30 minNo

El 75% del día del analista pasa fuera del producto antifraude. El producto que el cliente pagó cubre el 25% restante.

Lo que se rompe en ese flujo

No es solo un problema de eficiencia. Es un problema de calidad operativa. Lo que se rompe, todos los días, en silencio:

  • Se pierde el rastro entre días. El caso del lunes "para mañana" se olvida; el analista no recuerda por qué lo marcó.
  • Sin trazabilidad. Cuando el cliente pregunta "¿por qué no atraparon este fraude?", no hay forma de mostrar qué se revisó, cuándo, por quién y qué se decidió.
  • Información vieja. El análisis es del día anterior. Si hay un ataque en curso, se detecta 24 horas tarde — el daño ya pasó.
  • Decisiones forzadas bajo presión. Si aparece un ataque en curso al mismo tiempo que hay que validar la operación rutinaria, el analista tiene que elegir cuál mira. La que queda esperando rara vez sale gratis para el negocio.
  • Sin tiempo protegido para enfocarse. Para concentrarse en cualquiera de las dos cosas, el analista tiene que bloquear su agenda y cerrar Slack. Si lo interrumpen, el contexto se pierde y el rato siguiente se le va en reconstruir dónde estaba.
  • Repetición de trabajo. Dos analistas miran el mismo caso sin saberlo.
  • Casos sin grupo natural. Un ataque de 1.000 transacciones contra 1.000 clientes distintos se ve como 1.000 filas separadas, no como un patrón.
  • Anomalías que pasan sin revisar. Si el analista se olvida un día el filtro score > 80 AND ACCEPT, esos casos no se revisan. Nadie los levanta.
  • Sin seguimiento automático. El caso "monitorear 1 semana" depende de que el analista recuerde y vuelva al archivo correcto.
  • Vínculo nulo con contracargos. Llega un contracargo y no hay forma rápida de saber "esto pertenecía a un caso que validamos como OK hace 3 semanas — la decisión falló".
  • Anulaciones sin validación posterior. El analista acepta una transacción con puntaje alto y esa decisión no se vuelve a revisar. Si era error humano, nadie se entera hasta que entra el contracargo.

Cada uno de esos puntos es dinero perdido, riesgo regulatorio o falsa sensación de control.

El analista está haciendo el trabajo del sistema

Acá viene la parte que casi nadie audita.

El valor real del analista de fraude está en su criterio: investigar redes, leer patrones, decidir bajo ambigüedad. Es lo que la máquina no puede hacer sola, y es exactamente para lo que está en el equipo.

Pero el 75% del día se le va en armar consultas, exportar a una hoja de cálculo, filtrar columnas, copiar IDs entre pestañas, recordar a mano dónde quedó ayer.

Eso no es trabajo de fraude. Es trabajo que el sistema tendría que estar haciendo, y se lo descarga al analista porque no fue diseñado para hacerlo.

El resultado: la persona más capaz del equipo —la que tiene el ojo entrenado para ver lo que la regla no codifica— pasa la mayor parte del día armando los datos que el producto no le entrega.

Cuando el sistema asume el 75%

La pregunta cambia el día que el sistema deja de empujar trabajo al analista y empieza a empujarle decisiones.

El día deja de empezar con consultas y filtros. Empieza con casos. Lo demás —cómo se priorizan, cómo se enriquecen, cómo se cierran, cómo se rastrean en el tiempo— es ingeniería que el producto tiene que asumir, no el equipo de fraude.

Cuando eso pasa, el analista vuelve a su terreno: leer una red de cuentas conectadas, detectar el patrón nuevo antes de que el modelo lo aprenda, decidir bajo ambigüedad lo que ninguna regla puede codificar de antemano. Esa es la parte del trabajo donde su experiencia en fraude rinde de verdad, y la única que el producto no puede automatizar.

No es una mejora de la hoja de cálculo. Es otra forma de operar.

Cuando una operación cruza ese umbral, lo que cambia no es el tamaño del equipo. Cambia el valor que produce cada hora del equipo: más casos resueltos con criterio real, decisiones más sólidas, patrones detectados antes de que el daño aparezca.

La pregunta correcta

Crecer la operación antifraude no es lo mismo que crecer el equipo. La operación crece cuando lo que cada hora del equipo produce crece: detecta antes, decide mejor, abarca más sin perder calidad.

La pregunta correcta no es "cuántos casos más puede revisar mi equipo". Es:

De cada 100 casos que mi operación genera, ¿cuántos cierra el sistema sin que un analista los abra?

Es una pregunta simple, pero pocas operaciones la responden con un número concreto. Si la tuya no lo tiene, no sabe cuánto criterio humano está consumiendo en trabajo que el sistema podría hacer solo. Y ese número es el que define si tu operación antifraude escala o no.

Cierre

El equipo antifraude se rompe cuando el sistema obliga al analista a conectar las herramientas, limpiar los datos y recordar a mano en qué quedó cada caso. El producto cubre el 25%; el resto lo sostienen con una hoja de cálculo y memoria.

Es exactamente lo que estamos construyendo en Frauddi, y es el producto que más nos importa hoy.

No es una capa nueva encima de la hoja de cálculo. Es bajar el tiempo entre que aparece un patrón y se frena, mejorar la calidad de cada decisión y operar todo desde un solo lugar. El efecto se siente donde duele: menos contracargos, menos clientes legítimos bloqueados, menos horas del equipo perdidas en trabajo que el producto debería hacer.

Si quieres ver cómo se ve una operación de riesgo cuando todo eso pasa desde un mismo sitio, agendá una demo.

Próximo en la serie: Falsos positivos: el daño que tu antifraude le hace a tus mejores clientes (Parte 5/8).

← Anterior · Parte 3 Tu arsenal antifraude tiene 5 proveedores y ninguno se habla con el otro

Que el sistema haga el 75%, no tu analista

Frauddi absorbe el trabajo de datos para que tu equipo gaste su criterio donde rinde: investigar redes, leer patrones, decidir bajo ambigüedad.

Agendar demo gratuita