Contaminación de grafos en detección de fraude: el problema del que nadie habla

Cómo empezó todo

Después de años construyendo sistemas de detección de fraude, seguía viendo lo mismo: las empresas implementan detección basada en grafos, celebran que están detectando redes de fraude, y después ven cómo sus falsos positivos suben mes tras mes.

Los grafos estaban funcionando. Pero también estaban perjudicando a clientes legítimos.

Por qué me llamó la atención

Cuando empecé a diseñar una arquitectura de grafos para detección de fraude, me cayó una pregunta: ¿qué pasa cuando un buen cliente comparte wifi con un defraudador?

Piénsalo. Un aeropuerto. Un café. Una universidad. Miles de personas, un rango de IPs. Un defraudador ataca, y de repente todos los que están conectados a esa ubicación quedan marcados.

Eso no es detección de fraude. Es daño colateral.

El escenario que me hizo entenderlo

María compra un vuelo desde el aeropuerto a las 9 AM. Excelente clienta — meses de historial limpio, varias compras exitosas, cero problemas.

Dos horas después, un defraudador hace pruebas de tarjetas robadas desde el mismo aeropuerto. Misma geolocalización. Misma red.

En un grafo tradicional, María ahora está conectada al defraudador. ¿Su próxima compra? Puntaje de riesgo más alto. Quizás declinada. Quizás verificación extra.

No hizo nada malo. Solo tomó café en el Starbucks equivocado.

El costo real que nadie mide

Esto no es teórico. He visto cómo mata relaciones con clientes:

• Clientes legítimos bloqueados por "conexiones sospechosas".
• Equipos de soporte enterrados en revisiones de falsos positivos.
• Valor de vida del cliente destruido por fricción innecesaria.
• Precisión de detección empeorando mientras los grafos se llenan de ruido.

¿La ironía? La herramienta construida para detectar fraude termina castigando a tus mejores clientes.

Por qué sigue pasando

Es común tratar a los grafos como una solución mágica: conecta los nodos, encuentra el fraude, listo.

Pero hay un supuesto malo en cada implementación tradicional: "Si un nodo está conectado a fraude, probablemente es fraudulento."

En espacios compartidos, la conexión es coincidencia, no conspiración.

Lo que aprendí en la práctica

No todos los clientes merecen el mismo nivel de escrutinio.

¿Usuario nuevo sin historial? Analiza todo. Revisa cada conexión. Sé paranoico.

¿Cliente con meses de transacciones limpias y cero contracargos? Probablemente se ha ganado algo de confianza.

Pero esto tiene que funcionar en ambas direcciones. Si llega un contracargo de un cliente que parecía bueno, toca reevaluar. Esa información nueva te está diciendo que el perfil quizás no era tan confiable como pensabas.

Y hay algo más que he visto muchas veces: defraudadores que se hacen pasar por buenos clientes durante meses, construyen historial limpio, ganan confianza, y después sacan su verdadera cara. Es una táctica común: se construyen como clientes legítimos para luego ejecutar el ataque.

Por eso la confianza cero sigue siendo importante. No se trata de confiar ciegamente porque alguien tiene buen historial. Se trata de encontrar el balance entre cómo los evalúas y quiénes realmente son. Los perfiles se tienen que evaluar constantemente — algunos van ganando confianza con el tiempo, otros la van perdiendo. El sistema tiene que reflejar eso.

Suena obvio cuando lo dices en voz alta: los clientes probados no deberían ser penalizados por donde les tocó estar. Pero el "probado" no es permanente, se gana y se pierde según el comportamiento.

El cambio de mentalidad

La confianza debería ser gradual. Los clientes que se prueban con el tiempo deberían tratarse diferente que los usuarios desconocidos. Y si algo cambia —como que aparece un contracargo— el sistema se adapta.

No se trata de bajar la seguridad. Se trata de poner los recursos donde realmente importan.

Cuando logras esto, todo mejora: los grafos se mantienen limpios, las consultas se mantienen rápidas, los falsos positivos bajan, y la detección realmente mejora con el tiempo.

El punto ciego de la industria

Este problema no se está resolviendo en la mayoría de implementaciones que hay.

Muchas veces los grafos se presentan como una solución mágica. La contaminación solo aparece a escala, en producción, meses después. Para ese punto, todos lo aceptan como "así funciona la detección de fraude."

No tiene que ser así.

Mi conclusión

La próxima vez que evalúes un sistema de detección de fraude, haz una pregunta:

¿Cómo protegen a los clientes legítimos de la contaminación por asociación?

Si la respuesta es "no lo hacemos" o "ese es el precio a pagar", estás viendo algo que va a afectar a tus mejores clientes con el tiempo.

La detección de fraude no es solo detectar a los malos. Es proteger a los buenos.