[Costo Real del Fraude] Escalar el equipo de analistas no escala (Parte 4/8)

7 minute read

[Costo Real del Fraude] Escalar el equipo de analistas no escala (Parte 4/8)


La conversación que se repite

Cada vez que escucho cómo opera un equipo antifraude que está creciendo, la conversación es la misma. “Tenemos revisiones acumuladas, vamos a contratar dos analistas más.” “El equipo está saturado, necesitamos un analista junior.” “Los falsos positivos crecen, hay que ampliar el QA.”

Tiene lógica. Hay más transacciones, hay más casos, contratá más gente.

Pero hay un techo, y casi todos los equipos lo descubren tarde.

Cómo escala el fraude, cómo escala el equipo

El volumen de transacciones de tu empresa crece —si va bien— exponencialmente o por lo menos linealmente fuerte. El fraude crece al mismo ritmo o peor: los atacantes te encuentran más fácil cuando sos más grande.

Tu equipo de analistas, mientras tanto, crece de a uno cada trimestre, si el presupuesto lo permite.

La brecha entre crecimiento del problema y capacidad del equipo es lo que termina rompiendo la operación. La matemática no cierra, y no es algo que se arregle pidiéndole más al equipo.

Un día normal del analista de fraude

Vamos a hacer el ejercicio honesto. Mirá cómo es el día, no en un brochure de producto sino en una operación real:

  • 9:00am. Llega y toma “temperatura” de la operación de ayer.
  • 9:15am. Abre Excel, se conecta a la BD del cliente, ejecuta consultas SQL escritas a mano, exporta miles de registros a un archivo local.
  • 9:30am. Aplica filtros manuales en Excel para encontrar lo raro: score > 80 AND decision = ACCEPT (posibles falsos positivos), score < 20 AND REJECT (reglas sobre-restrictivas), mismo BIN repetido varias veces en una hora, emails de dominios sospechosos (tempmail, mailinator), clientes con muchas transacciones en poco tiempo.
  • 10:00am. Marca casos sospechosos con color de celda o copiando a una hoja “TO_REVIEW”. Toma notas en su cabeza o en celdas libres del Excel.
  • 10:30am a 1pm. Investiga cada caso con cinco herramientas en paralelo: dashboard de KPIs, vista de grafos, vista de transacción individual, BD del cliente, Slack con compañeros. Hace poco sumó una sexta: pegar bloques del Excel en ChatGPT o Claude para que el modelo le ayude a leer el patrón. Pero el archivo tiene miles de filas, el contexto del modelo entra en bloques chicos, hay que pagar por cada vuelta y esperar minutos por respuesta. Para cuando termina de procesar una fracción del archivo, ya es la tarde.
  • 2pm a 3pm. Toma acciones: crea una regla, agrega a lista negra, comunica al cliente, deja una nota mental para seguimiento.
  • Al día siguiente. Vuelve al Excel y trata de recordar dónde se quedó. Se pierde el rastro de los casos.

Así es el día del analista en la mayoría de las operaciones que conozco.

Dónde se va el tiempo

Si descomponés el día por bloque, queda así:

Bloque Tiempo ¿En el producto antifraude?
Armar Excel del día (consultas + exportación) 30-45 min No
Aplicar filtros + marcar 1-2 h No
Investigar casos 2-3 h A medias (resto en BD, Slack, notas y modelos por fuera)
Tomar acciones 30 min
Recordar/anotar pendientes 15-30 min No
Comunicación cliente/equipo 30 min No

El 75% del día del analista pasa fuera del producto antifraude. El producto que el cliente pagó cubre el 25% restante.

Lo que se rompe en ese flujo

No es solo un problema de eficiencia. Es un problema de calidad operativa. Lo que se rompe, todos los días, en silencio:

  • Se pierde el rastro entre días. El caso del lunes “para mañana” se olvida; el analista no recuerda por qué lo marcó.
  • Sin trazabilidad. Cuando el cliente pregunta “¿por qué no atraparon este fraude?”, no hay forma de mostrar qué se revisó, cuándo, por quién y qué se decidió.
  • Información vieja. El análisis es del día anterior. Si hay un ataque en curso, se detecta 24 horas tarde — el daño ya pasó.
  • Decisiones forzadas bajo presión. Si aparece un ataque en curso al mismo tiempo que hay que validar la operación rutinaria, el analista tiene que elegir cuál mira. La que queda esperando rara vez sale gratis para el negocio.
  • Sin tiempo protegido para enfocarse. Para concentrarse en cualquiera de las dos cosas, el analista tiene que bloquear su agenda y cerrar Slack. Si lo interrumpen, el contexto se pierde y el rato siguiente se le va en reconstruir dónde estaba.
  • Repetición de trabajo. Dos analistas miran el mismo caso sin saberlo.
  • Casos sin grupo natural. Un ataque de 1.000 transacciones contra 1.000 clientes ad-hoc se ve como 1.000 filas separadas en Excel, no como un patrón.
  • Anomalías que pasan sin revisar. Si el analista se olvida un día el filtro score > 80 AND ACCEPT, esos casos no se revisan. Nadie los levanta.
  • Sin seguimiento automático. El caso “monitorear 1 semana” depende de que el analista recuerde y vuelva al Excel correcto.
  • Vínculo nulo con chargebacks. Llega un chargeback y no hay forma rápida de saber “esto pertenecía a un caso que validamos como OK hace 3 semanas — la decisión falló”.
  • Anulaciones sin validación posterior. El analista acepta una transacción con score alto y esa decisión no se vuelve a revisar. Si era error humano, nadie se entera hasta que entra el chargeback.

Cada uno de esos puntos es plata perdida, riesgo regulatorio o falsa sensación de control.

El analista está haciendo el trabajo del sistema

Acá viene la parte que casi nadie audita.

El valor real del analista de fraude está en su criterio: investigar redes, leer patrones, decidir bajo ambigüedad. Es lo que la máquina no puede hacer sola, y es exactamente para lo que está en el equipo.

Pero el 75% del día se le va en armar consultas, exportar a Excel, filtrar columnas, copiar IDs entre pestañas, recordar a mano dónde quedó ayer.

Eso no es trabajo de fraude. Es trabajo que el sistema tendría que estar haciendo, y se lo descarga al analista porque no fue diseñado para hacerlo.

El resultado: la persona más capaz del equipo —la que tiene el ojo entrenado para ver lo que la regla no codifica— pasa la mayor parte del día armando los datos que el producto no le entrega.

Cuando el sistema asume el 75%

La pregunta cambia el día que el sistema deja de empujar trabajo al analista y empieza a empujarle decisiones.

El día deja de empezar con consultas y filtros. Empieza con casos. Lo demás —cómo se priorizan, cómo se enriquecen, cómo se cierran, cómo se rastrean en el tiempo— es ingeniería que el producto tiene que asumir, no el equipo de fraude.

Cuando eso pasa, el analista vuelve a su terreno: leer una red de cuentas conectadas, detectar el patrón nuevo antes de que el modelo lo aprenda, decidir bajo ambigüedad lo que ninguna regla puede codificar de antemano. Esa es la parte del trabajo donde su experiencia en fraude rinde de verdad, y la única que el producto no puede automatizar.

No es una mejora del Excel. Es otra forma de operar.

Cuando una operación cruza ese umbral, lo que cambia no es el tamaño del equipo. Cambia el valor que produce cada hora del equipo: más casos resueltos con criterio real, decisiones más sólidas, patrones detectados antes de que el daño aparezca.

La pregunta correcta

Crecer la operación antifraude no es lo mismo que crecer el equipo. La operación crece cuando lo que cada hora del equipo produce crece: detecta antes, decide mejor, abarca más sin perder calidad.

La pregunta correcta no es “cuántos casos más puede revisar mi equipo”. Es:

De cada 100 casos que mi operación genera, ¿cuántos cierra el sistema sin que un analista los abra?

Es una pregunta simple, pero pocas operaciones la responden con un número concreto. Si la tuya no lo tiene, no sabe cuánto criterio humano está consumiendo en trabajo que el sistema podría hacer solo. Y ese número es el que define si tu operación antifraude escala o no.

Cierre

El equipo antifraude se rompe cuando el sistema obliga al analista a conectar las herramientas, limpiar los datos y recordar a mano en qué quedó cada caso. El producto cubre el 25%; el resto lo sostienen con Excel y memoria.

Es exactamente lo que estamos construyendo en Frauddi, y es el producto que más nos importa hoy.

No es una capa nueva encima del Excel. Es bajar el tiempo entre que aparece un patrón y se frena, mejorar la calidad de cada decisión y operar todo desde un solo lugar. El efecto se siente donde duele: menos chargebacks, menos clientes legítimos bloqueados, menos horas del equipo perdidas en trabajo que el producto debería hacer.

Si querés ver cómo se ve una operación de riesgo cuando todo eso pasa desde un mismo sitio, agendá una demo en frauddi.com. Si querés saber más antes, escribime.


Próximo en la serie: Falsos positivos: el daño que tu antifraude le hace a tus mejores clientes (Parte 5/8).

Comments