Capítulo 4. Evaluación e inversión en prevención del fraude
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
El dinero hace girar el mundo...
John Kander y Fred Ebb1
El pan de cada día de la prevención del fraude está en la identificación de la investigación (mediante el análisis del fraude, el modelado, la ingeniería inversa, etc.) y la mitigación, y en equilibrar ese proceso evitando en lo posible las fricciones para los buenos clientes. Pero se necesita todo un marco de sistemas, herramientas e inversión departamental para apoyar esos esfuerzos, y en eso se centra este capítulo.
Cuanto más cuidado pongas en asegurarte de que tu marco se ajusta a las necesidades de tu equipo y a la estructura de tu empresa, más eficazmente apoyará tu trabajo de prevención del fraude.
Además, es importante situar adecuadamente el departamento de prevención del fraude de dentro de la organización en general. Tu equipo funcionará mejor si mantiene estrechas relaciones de colaboración con otros departamentos, y es más probable que obtengas los recursos que necesitas si la dirección comprende tu trabajo y lo que haces por la empresa. Aunque sólo esté tangencialmente relacionado con el quid del trabajo, es mucho más importante de lo que muchos equipos creen, y es tan importante invertir en estas relaciones y esfuerzos educativos como en el análisis y la investigación.
Tipos de soluciones de prevención del fraude
Las soluciones de prevención del fraude no son una discusión del tipo "talla única" . No tiene mucho sentido discutir sobre cuál es la "mejor" solución o herramienta de prevención del fraude. Todas las opciones tienen ventajas e inconvenientes diferentes. La cuestión es: ¿qué es lo mejor para tu situación y tus objetivos?
Esta sección examina las principales categorías de soluciones y herramientas que puedes utilizar como base técnica de tu sistema. Ten en cuenta, sin embargo, que esta base técnica debe guiarse por la experiencia y los conocimientos de los expertos en prevención del fraude y por la investigación y las ideas de los analistas del fraude. La prevención del fraude no es una profesión del tipo "cómpralo todo y olvídate".
Motores de reglas
Los motores de reglas son la forma tradicional de prevención del fraude. El principio de funcionamiento de los motores de reglas es sencillo: tus transacciones o actividad en línea fluyen a través de un sistema, que puede detectar determinadas características. Puedes crear una regla que diga que cualquier transacción superior a 200 $ debe pasar siempre a revisión manual, o que los inicios de sesión desde una zona geográfica específica deben ser siempre revisados, o incluso rechazar la actividad de un país en particular (¡algo que daría lugar a un desafortunado número de falsos positivos!).
Puedes establecer reglas aprovechando una enorme variedad de factores, como el tipo de artículo, el precio del artículo, la zona horaria, la ubicación geográfica, los datos de la dirección, la información telefónica, los datos del correo electrónico, la hora del día, la información del dispositivo, la información del navegador, etc. También hay una amplia gama de consecuencias: puedes aprobar o rechazar automáticamente, enviar a revisión manual, requerir automáticamente la autenticación de dos factores (2FA), etc.
El inconveniente es que las normas tienden a ser un enfoque bastante general del fraude: aunque últimamente hayas experimentado muchas transacciones fraudulentas desde Nigeria, ¿realmente quieres bloquear todas las transacciones procedentes de allí? Por supuesto, puedes combinar diferentes normas para obtener un enfoque más matizado, aunque seguirá teniendo un efecto bastante general.
Las reglas también dependen totalmente de tus esfuerzos y los de tu equipo. No se actualizarán para reflejar los cambios en el comportamiento de los clientes o las tácticas de fraude a menos que tú las actualices. Las reglas existentes permanecerán aunque ya no sean relevantes, a menos que las elimines, lo que puede dar lugar a que las reglas heredadas causen confusión en el futuro.
Por otra parte, las normas son fáciles de aplicar, surten efecto rápidamente y dan a tu equipo una sensación de control. Cuando las cosas cambian rápidamente, es valioso tener reglas con las que trabajar para que tu equipo pueda reaccionar con rapidez y decisión ante circunstancias que se mueven con rapidez. Eso es algo que más de un equipo vio durante la pandemia COVID-19.
Los motores de reglas pueden construirse internamente, lo que te permite adaptarlos a tus necesidades y significa que controlas totalmente cómo se construye tu sistema y los datos que contiene. También pueden obtenerse de un proveedor, lo que significa que pueden ponerse en marcha rápidamente y que deben mantenerse actualizados con los últimos avances tecnológicos para ti, sin que tengas que invertir continuamente en el sistema. Muchos equipos combinan aspectos tanto de la opción interna como de la contratada a un proveedor.
Aprendizaje automático
No diremos mucho aquí sobre cómo funcionan los sistemas de aprendizaje automático, porque eso es algo que tratamos más a fondo en el Capítulo 5, que trata del modelado del fraude. En su lugar, tocaremos el tema aquí para situar el aprendizaje automático en el contexto de los sistemas de lucha contra el fraude.
Los sistemas de aprendizaje automático están de moda en la prevención del fraude desde 2015 aproximadamente, y el concepto es sencillo: se puede entrenar a las máquinas para que reconozcan transacciones o actividades como fraudulentas o legítimas basándose en ejemplos anteriores, y luego pueden predecir con exactitud si un nuevo ejemplo resultará ser fraudulento o legítimo.
Una ventaja principal es que los sistemas de aprendizaje automático pueden adaptarse rápidamente a los nuevos grandes trucos del fraude. A diferencia de los revisores manuales, ven todos los datos, no sólo una pequeña parte, y no tienen que esperar a consultar con sus colegas y luego elaborar laboriosamente la mejor regla que añadir. También detectan patrones que los humanos suelen pasar por alto, y pueden matizar mucho la forma en que evalúan cada caso, en comparación con el enfoque de brocha gorda de un motor de reglas.
Las desventajas incluyen que estos sistemas tienden a tener un elemento de caja negra; puede ser difícil saber por qué toman determinadas decisiones o qué factores tienen en cuenta. Esto puede resultar incómodo para los equipos a los que les gusta saber qué está pasando, y es un riesgo a la hora de evitar sesgos. También puede dificultar la corrección de la máquina cuando comete errores, y puede llevar tiempo que un modelo se adapte a cambios que surgen de la nada y no coinciden con las variables para las que ha sido entrenado (por ejemplo, como vimos durante la pandemia COVID-19). Entrenar un nuevo modelo también lleva tiempo.
Además, algunos de los retos a los que se enfrenta el aprendizaje automático cuando se trata de la prevención del fraude (que analizamos en detalle en el Capítulo 5) implican que, para compensarlos, es esencial la experiencia en el dominio, pero puede ser difícil emplearla con éxito con un modelo de aprendizaje automático puro, sobre todo si el equipo de fraude quiere poder hacerlo de forma independiente.
Sistemas híbridos
Los modelos híbridos combinan de algún modo el aprendizaje automático con las reglas. Esto podría ser empezar con un enfoque de motor de reglas y añadir aprendizaje automático para fines específicos, como el reconocimiento de patrones (una máquina a menudo puede notar patrones que un humano podría pasar por alto). O podría significar utilizar un sistema de aprendizaje automático como base y poder añadir reglas para hacer frente a los cambios rápidos o para reflejar las nuevas investigaciones de tu equipo.
Un modelo híbrido ha surgido como el más popular entre la mayoría de los departamentos de fraude en los últimos años, debido al potencial de combinar las ventajas tanto de las reglas como del aprendizaje automático en un solo sistema. Cuando hablan de híbrido, distintas empresas y distintos proveedores quieren decir cosas muy distintas -y reflejan un equilibrio diferente entre reglas y aprendizaje automático-, por lo que es importante aclararlo en las conversaciones siempre que sea relevante para ti.
Herramientas de enriquecimiento de datos
Cuando tu sitio ve una transacción o la actividad de una cuenta, tienes un determinado conjunto de datos con los que trabajar. Recibirás cierta información directamente del cliente: nombre, correo electrónico, quizás número de teléfono o dirección, y número de tarjeta de crédito u otro medio de pago. También es probable que tengas alguna información que recopiles, como la dirección IP, información del dispositivo, información del navegador, etc.
Las herramientas de enriquecimiento de datos te permiten introducir cualquiera de esos puntos de datos en su sistema, y recibir cualquier información adicional que tengan de fuentes de terceros o simplemente de haber visto esa información antes. Muchas de estas herramientas pueden integrarse directamente en tu propio sistema, haciendo que el enriquecimiento de los datos sea fácil y, en algunos casos, automatizado.
Existe un gran número de herramientas de enriquecimiento de datos. Algunas se centran en puntos de datos específicos, que son los únicos que tu equipo puede enviarles para su enriquecimiento -correo electrónico, dispositivo, IP, dirección, comportamiento-, mientras que otras adoptan un enfoque más holístico. Algunas proporcionan determinados tipos de datos, lo que significa que, independientemente de si envías correo electrónico, teléfono o dispositivo, esperarás que te envíen más información sobre un perfil social asociado, o puntuación crediticia, o cualquiera que sea su especialidad. Otros proporcionan una serie de tipos de datos como respuesta.
Pueden ser muy valiosas para complementar tu propia información, sobre todo con un cliente nuevo o con un cliente que añade o utiliza información nueva. Sin embargo, no todas las herramientas serán adecuadas para ti.
Tienes que considerar el retorno de la inversión (ROI): ¿cuánto añade a tu precisión una herramienta concreta? Muchos te permitirán un periodo de prueba para determinarlo, o aceptarán un contrato a corto plazo inicialmente para que puedas probarlo. Cada empresa tiene necesidades diferentes. El hecho de que los datos de comportamiento fueran absolutamente esenciales para luchar contra el fraude cuando trabajabas en un banco no significa que vayan a ser tan valiosos cuando trabajes en una tienda de ropa. Tienes que decidir si lo que obtienes vale el precio que pagas.
Del mismo modo, algunas herramientas son más fuertes en ciertas regiones que en otras, y tienes que explorar esto antes de firmar. Una herramienta concreta puede ser estupenda para Norteamérica, pero no tener prácticamente cobertura en Japón o Brasil. Dependiendo de tu audiencia, eso puede importar o no.
También está la cuestión de la frescura. Dado que muchos de estos datos proceden de terceros, sobre todo de intermediarios de datos, puede ser difícil garantizar su actualidad. La gente cambia de domicilio, de número de teléfono, de empresa y de tarjeta de crédito. Hablar con otras personas del sector de la prevención del fraude puede ser esencial en este caso: la comunidad tiene conocimientos que compartir y suele estar muy dispuesta a hacerlo. Te animamos a que aproveches este recurso.
Modelo de consorcio
Los que luchan contra el fraude están inusualmente dispuestos a colaborar entre sí, incluso entre empresas y sectores. En cierto modo, esto se debe a la naturaleza del trabajo. Otros departamentos, como Marketing, Ventas, Finanzas, Producto, Logística, etc., compiten con otras empresas y con sus departamentos equivalentes en esas empresas. A menudo, su éxito puede suponer una molestia o frustración para los departamentos equivalentes de otras organizaciones. En la prevención del fraude, no es así. Los que luchan contra el fraude tienen un enemigo común: los defraudadores. No compiten entre sí, sino contra el enemigo común.
Como parte de esa batalla continua, los que luchan contra el fraude ponen en común sus conocimientos, compartiendo información sobre las tendencias actuales, las nuevas técnicas de los defraudadores y los puntos de datos que se sabe que están asociados al fraude. Gran parte de este esfuerzo de colaboración tiene lugar en conferencias y eventos del sector, y en llamadas comerciales programadas con regularidad. El intercambio directo de datos se produce a veces de manera muy informal -por ejemplo, a través de un correo electrónico de grupo con hojas de cálculo adjuntas- y a veces de manera indirecta, como cuando los comerciantes de un sector prefieren utilizar todos el mismo proveedor de prevención del fraude para poder beneficiarse indirectamente de las experiencias de los demás.
Utilizar un modelo de consorcio es una forma de hacer que el intercambio de datos sea más formalizado y directo. Varios equipos de prevención del fraude cargan sus registros de fraude en una ubicación centralizada, a la que todos los equipos pueden acceder e integrar como parte de sus propios sistemas. Podrías considerarlo como una lista de declinaciones compartida, pero a gran escala.
Algunos consorcios están dirigidos por terceros o por un grupo de comerciantes con el único fin de establecer y mantener el consorcio. Otros evolucionan como subproducto de una solución de prevención del fraude; cuando una solución pasa a ser utilizada por muchos comerciantes, mercados o bancos, la solución ve y almacena datos y análisis de muchas fuentes diferentes. Cada empresa que utiliza la solución se beneficia efectivamente de ese consorcio accidental. Muchos servicios de prevención del fraude pueden atestiguar que el efecto de red les llevó a la grandeza, gracias a poder ver a un único atacante moviéndose entre bancos, minoristas, anunciantes, intercambios, etc. DoubleVerify en la prevención del fraude publicitario; Forter y Riskified en la protección del comercio electrónico; y Cyota (adquirida por RSA y ahora escindida como Outseer), IBM Trusteer y Biocatch en la protección bancaria son sólo algunos ejemplos.
Cyota es un buen ejemplo del efecto red en acción. Uri Rivner, cofundador de la startup de innovación ALD Regutize (y cofundador de BioCatch), ayudó a Cyota (en su calidad de vicepresidente de marketing internacional) a hacer realidad las ideas que subyacen a la autenticación basada en el riesgo y a la Red eFraude, y a convertirlas en una práctica aceptada en el sector. Uri señaló:
Cyota allanó el camino, y empresas como BioCatch pusieron en juego nuevos campos de la ciencia justo cuando la industria más los necesitaba. BioCatch empezó recopilando datos biométricos del comportamiento, como el movimiento del ratón, los patrones de tecleo y la forma de sujetar y manejar un dispositivo móvil. Al principio, el objetivo era crear perfiles de comportamiento y detectar anomalías que pudieran indicar que alguien más estaba operando desde la cuenta online del usuario, pero tras poner en marcha la tecnología descubrimos algo asombroso. Observar la forma en que operaban los ciberdelincuentes nos proporcionó una enorme cantidad de datos que nadie había visto antes, y al trabajar con grandes bancos teníamos suficientes ejemplos de comportamientos fraudulentos para comprender realmente las interacciones y los patrones de comportamiento de los defraudadores. Esto nos permitió modelar el comportamiento típico de los defraudadores y las herramientas que manejan, como el acceso remoto, lo que, unido a lo que sabíamos sobre el historial de comportamiento de los usuarios, era 20 veces más preciso para detectar el fraude que limitarse a mirar los perfiles de los usuarios.
Uri puso el ejemplo de la identificación de ataques de acceso remoto a: "Cuando controlas el dispositivo de otra persona a distancia a través de Internet, tu coordinación mano-ojo se vuelve torpe y se retrasa debido a la latencia; con un análisis de comportamiento suficientemente sensible, se puede detectar inmediatamente". Uri añadió que compartir patrones de comportamiento delictivo en todo el sector suponía un gran impulso para la detección.
En el mundo del comercio electrónico, los modelos de consorcio son igualmente útiles , ya que a los estafadores les gusta reutilizar cuentas de correo electrónico, números de teléfono, etc. en distintos sitios. Esta práctica fraudulenta tiene como objetivo maximizar su ROI (porque crear cuentas lleva tiempo), por lo que un modelo de consorcio puede ser una forma eficaz de que las empresas protejan sus sistemas contra puntos de datos que ya se han quemado en otros sitios.
En cierto modo, comprar en un consorcio es como disponer de un tipo especial de enriquecimiento de datos especialmente orientado a lo que buscas y de lo que quieres protegerte.
Utilizar los datos del consorcio
Los datos de consorcios pueden ser potentes, especialmente cuando las empresas de un mismo sector utilizan todas el mismo consorcio, ya que los defraudadores suelen especializarse en sectores concretos. Sin embargo, este modelo conlleva algunas advertencias.
En primer lugar, los datos de la lista negativa tienen un desfase: no descubres que una dirección de correo electrónico es problemática hasta que se produce una devolución de cargo, que puede ser días, semanas o meses después de que se utilizara la dirección. Como dicen los que luchan contra el fraude: "Una lista de declives es una buena forma de atrapar a los defraudadores del mes pasado". Es potencialmente valiosa, ya que los defraudadores de un sitio del mes pasado pueden ser los tuyos hoy, pero es potencialmente demasiado tarde para ser útil. Tienes que ser consciente de ello, y no tratar el consorcio como una bala de plata.
En segundo lugar, el modelo de consorcio puede animar a los equipos a pensar en las direcciones de correo electrónico, los números de teléfono, etc. como "buenos" o "malos", lo cual es inexacto y engañoso. Una dirección de correo electrónico es sólo una dirección de correo electrónico. Lo que importa es cómo se utiliza. Los correos electrónicos que acaban comprometidos a través de una toma de control de cuenta (ATO), por ejemplo, no son problemáticos en sí mismos. Simplemente han pasado por una "mala racha", por así decirlo. Del mismo modo, con las direcciones físicas, el hecho de que un lugar haya sido utilizado por los defraudadores durante un tiempo no dice nada sobre el lugar en sí. Tal vez se trate de una oficina o de un gran edificio de apartamentos con conserje: la mayoría de los habitantes del edificio son clientes legítimos y no querrás mancharlos con la brocha de los defraudadores. Tal vez fue un punto de entrega durante un tiempo (un lugar utilizado por los delincuentes como punto de entrega o almacén de mercancías robadas o ilegales), pero ahora los defraudadores se han mudado y viven allí clientes legítimos. Puede que el número de teléfono perteneciera a un delincuente. Incluso es posible que una tarjeta de crédito comprometida siga siendo utilizada por el cliente real, cuyos pedidos deberían aceptarse. Y así sucesivamente.
En general, puedes puntuar las direcciones de correo electrónico y los números de teléfono para ayudar a detectar problemas de riesgo evidentes (por ejemplo, que la dirección de correo electrónico sólo tenga un día de antigüedad, o que el número de teléfono sea un número no fijo de Voz sobre IP [VoIP], es decir, sólo un número gratuito de Internet).
Los puntos de datos no son malos. Los usuarios pueden ser malos. Las identidades pueden ser malas. Son ésas las que tienes que vigilar e identificar. Los datos del consorcio pueden ayudarte a hacerlo, siempre que no te confundas con lo que te están dando. Ver más sobre este tema en el Capítulo 15.
También hay un tercer punto relativo al modelo de consorcio que es más una limitación que una advertencia. Los consorcios son útiles para compartir datos de listas de declive: los registros de fraude asociados a la actividad fraudulenta. Desde el punto de vista de las consideraciones de privacidad y las restricciones legales o normativas, esto entra cómodamente en la categoría de prevención de la actividad ilegal, pero no siempre. Estas mismas consideraciones, sin embargo, impiden a la mayoría de las empresas compartir información relativa a los buenos clientes de forma similar, aunque estuvieran dispuestas a hacerlo, lo que por razones de competencia la mayoría no haría.
La diferencia entre el modelo de consorcio y el modelo más estándar de enriquecimiento de datos es que con el enriquecimiento de datos, cuando las empresas comparten los datos de sus usuarios para saber más en relación con ellos, los datos se comparten con un tercero de confianza: el agente de datos o proveedor externo. En un consorcio, se comparten más directamente con otras empresas online, algunas de las cuales pueden ser competidoras. Es algo positivo en el sector del fraude que las empresas competidoras estén dispuestas a compartir datos de fraude entre sí para colaborar contra los defraudadores, que son su enemigo común, pero, por supuesto, limita la naturaleza del esfuerzo de colaboración, ya que también es importante no dar ventaja a un competidor compartiendo datos no relacionados directamente con los defraudadores.
Consorcios sin proveedores
Muy recientemente se ha desarrollado una alternativa interesante como parte de lo que la empresa de investigación y consultoría tecnológica Gartner denomina la tendencia de computación de mejora de la privacidad, llamada así porque se basa en la tecnología de mejora de la privacidad (PET). En este modelo, el consorcio puede poner en común todo tipo de conocimientos -relativos tanto a los buenos como a los malos usuarios- porque ninguno de los datos personales de los usuarios se comparte realmente con otras empresas ni con terceros. Por esta razón, la tendencia se denomina a veces providerless (sin proveedor), ya que el proveedor tercero se elimina de la ecuación. Los datos sensibles del usuario no salen de la posesión de la empresa que intenta verificarlos.
Esta forma de consorcio se basa en algún tipo de técnica de mejora de la privacidad, como el cifrado homomórfico, el cálculo multipartito, las pruebas de conocimiento cero, etc. Un interesante documento del Foro Económico Mundial entra en los detalles de cómo funciona cada una de esas técnicas y da ejemplos de los usos en los servicios financieros, así que puedes consultarlo para obtener más información. Pero la idea básica no es difícil de entender.
Imagina que tú y un amigo queréis ver si vuestras tarjetas bancarias tienen el mismo número CVV (el código de seguridad de tres dígitos que aparece en el reverso). Hay algo así como una probabilidad de 1:1.000 de que lo tengáis, así que no es en absoluto imposible. No queréis deciros mutuamente cuál es vuestro número, ya que sois analistas del fraude y sabéis lo arriesgado que sería. Podríais decírselo a un tercero de confianza, pero realmente tendríais que confiar en él, y como analistas del fraude, pecáis de precavidos cuando se trata de confianza y seguridad.
Una idea sería que tiraras los dados juntos varias veces, y sumaras o multiplicaras las tiradas para obtener un número aleatorio enorme. Utilizas una calculadora para sumar ese número enorme a tu CVV, lo que da como resultado un número aún mayor. Ahora ambos podéis decirle ese número tan grande a un tercero, que puede deciros si tenéis una coincidencia.
El tercero no obtiene ninguna información más allá de la coincidencia/no coincidencia; no puede conocer tus números CVV, porque no conoce el número aleatorio que tú y tu amigo obtuvisteis de las tiradas de dados. Tú y tu amigo no podéis conocer el CVV del otro (a menos que coincida, claro), porque no os decís vuestro número final. Ésta es una versión simplificada de los tipos de tecnologías de mejora de la privacidad que pueden permitir a las empresas ver si los datos de los usuarios que están viendo son fiables o, por el contrario, son considerados fraudulentos por las otras empresas del consorcio.
El modelo de consorcio sin proveedor es aún nuevo, pero ya ha encontrado su expresión en la vida real en Identiq, una red de validación de identidades que permite a las empresas aprovechar los datos de las demás para validar identidades sin compartir en absoluto ningún dato personal de los usuarios. Otras empresas también están estudiando la forma de utilizar las PET en la validación de identidades o la prevención del fraude. (Revelación completa: Shoshana Maraney, una de las autoras de este libro, trabaja actualmente en Identiq y está intrigada por las posibilidades de colaboración que la tendencia sin proveedores representa para la comunidad de prevención del fraude).
El enfoque sin proveedor es un interesante perfeccionamiento de las herramientas de enriquecimiento de datos y consorcio, sobre todo en el contexto de la creciente regulación de la privacidad de los datos en todo el mundo. También ofrece posibilidades interesantes respecto a la puesta en común de conocimientos sobre en qué clientes se puede confiar, en lugar de sólo en cuáles no.
Crear un equipo de análisis de investigación
Para sacar el máximo partido de las soluciones y herramientas que elijas, necesitarás un equipo capaz de análisis de investigación para asegurarte de que siempre te adaptas a las necesidades específicas de tu negocio y a los comportamientos de tus clientes. Incluso para un equipo bastante pequeño, necesitas empezar con un par de verdaderos expertos en la materia: personas que lleven tiempo luchando contra el fraude y tengan un buen y amplio conocimiento tanto del nivel granular -qué buscar al revisar transacciones individuales- como del nivel macro -ver qué tendencias tienen un amplio impacto y poner ese conocimiento al servicio de la protección de la empresa-. En la investigación y el análisis del fraude, dos son siempre mejor que uno; los analistas del fraude se benefician enormemente de poder contrastar sus intuiciones, intercambiar ideas y resolver los problemas juntos.
Mientras tu equipo esté dirigido por profesionales experimentados, puedes contratar a otros miembros del equipo para puestos subalternos. La experiencia trabajando con datos es una ventaja, pero los conocimientos estadísticos no son necesarios siempre que los candidatos muestren aptitud y estén dispuestos a aprender. Con el tiempo, puedes formarles para que detecten anomalías en los datos que ve tu empresa y desarrollen una intuición para saber cuándo algo no va bien en una transacción.
Es una buena idea iniciar a los nuevos empleados en con revisiones manuales para que adquieran un conocimiento de las transacciones e interacciones típicas con el sitio, así como del perfil de tus clientes, además, por supuesto, de hacerse una idea de los ataques y defraudadores a los que se enfrenta tu equipo. Sin embargo, es igualmente importante formarles en el análisis de lagunas, es decir, en la comparación de los resultados reales con las predicciones, y en el muestreo y posterior revisión para encontrar la causa raíz de cualquier punto ciego que haya causado lagunas en el rendimiento. Anima al equipo a pensar qué podría cambiarse en tus modelos para mejorar la capacidad del sistema tanto para detectar el fraude como para evitar fricciones. El análisis del fraude no es un trabajo rutinario; debes formar a los analistas para que busquen patrones fuera de las transacciones individuales, busquen formas de corroborar y aprovechar ese conocimiento, y construyan los conocimientos adquiridos en tu sistema.
En términos de cultura de equipo, fomentar la creatividad es tan importante como las virtudes más obvias del análisis de datos y la investigación cuidadosa. Quieres que tu equipo piense en distintos tipos de fuentes de datos que podrían utilizar para confirmar o rechazar hipótesis, que piensen en nuevas formas de poner en uso datos o herramientas existentes, y que sean capaces de equilibrar diversas posibilidades en sus mentes a la vez.
Por esta razón, es importante no insistir en que los analistas de fraude sean sistemáticamente conservadores. Es cierto que los contracargos deben mantenerse bajos, pero siempre hay un pequeño margen de maniobra para probar nuevas herramientas o técnicas que podrían, si tienen éxito, mejorar tus resultados, aunque a veces tengas mala suerte y te salgan mal. Del mismo modo, si haces que los analistas se centren sistemáticamente en las transacciones que pasan por alto -las devoluciones de cargo que no detuvieron-, se volverán muy conservadores y tu tasa de aprobación bajará. (Si quieres, los gestores de fraudes pueden experimentar para ver si esto es cierto para tu equipo. Anecdóticamente, los resultados parecen bastante consistentes. Que tu equipo se centre exclusivamente en las devoluciones de cargo no es bueno para las ventas de una empresa). Los equipos deben centrarse en evitar tanto los falsos positivos como las devoluciones de cargo para mantener el equilibrio.
Del mismo modo, la estructura del equipo debe mantenerse lo más plana posible; las jerarquías estrictas limitan la disposición de los empleados a experimentar y sugerir nuevas formas de hacer las cosas. También es importante recordar a los miembros del equipo el lado positivo del trabajo (ayudar a facilitar el recorrido de los clientes, proteger a la empresa de pérdidas, resolver problemas difíciles) si el lado negativo de ver tanta actividad delictiva parece desanimarlos. Esto es más relevante en las empresas que tienen más probabilidades de recibir noticias de víctimas de fraude, como los bancos, las empresas de criptomonedas y las de tarjetas regalo, pero también puede ser un reto en otros sectores.
En este contexto, es importante mencionar el valor del análisis ascendente, como se explica en el libro de Ohad Samet Introducción a la gestión del riesgo en los pagos online (O'Reilly). El mundo de los pagos online ha evolucionado considerablemente desde que se publicó ese libro, pero los principios clave de formación y enfoque descritos para los equipos de fraude son tan relevantes hoy como lo eran cuando se escribió el libro. Samet expone la importancia de la investigación y el razonamiento inductivos, enseñando a los analistas de fraude a tomar muestras de muchos casos prácticos (de transacciones, inicios de sesión, creaciones de cuentas, etc., lo que sea relevante para tu negocio) y luego a desentrañar tanto las historias legítimas como las fraudulentas de cada una, cotejando los datos que puedan verse. Encontrar más fuentes que apoyen o rechacen cada posibilidad es el siguiente paso natural. A partir de ahí, los analistas de fraude pueden recurrir a su experiencia en el estudio de casos para sugerir heurísticas a gran escala que puedan cotejarse con la base de datos de la empresa.
Es especialmente importante llamar la atención sobre este tipo de análisis ascendente porque el modelo descendente, que utiliza un enfoque basado en la regresión, es en muchos sentidos más obvio instintivamente dentro del caso de uso de la lucha contra el fraude. Al fin y al cabo, las empresas tienen muchos datos, ¿qué te dicen? ¿Qué te llevan a deducir o planificar? El enfoque descendente es necesario, por supuesto, y lo mencionaremos en el Capítulo 5. Pero el hecho es que, a menudo, el fraude se produce en pequeños volúmenes, y los defraudadores siempre intentan imitar el comportamiento de los buenos clientes.
Necesitas equilibrar ambos retos, y la mejor forma de hacerlo es utilizando tus recursos humanos de la forma más eficaz, incluidas sus capacidades creativas. Como dice el vicepresidente de producto de Identiq, Uri Arad, en su entrevista en el podcast Fraudology, basándose en casi una década de lucha contra el fraude en PayPal:2
El enfoque basado en los datos, con el aprendizaje automático y las estadísticas, es excelente para obtener una visión general. Y el enfoque basado en historias, con personas que profundizan en casos individuales, es estupendo para conocer los detalles que necesitamos para comprender realmente lo que está pasando. Cuando se juntan las dos cosas, el resultado es muy potente.
Colaborar con el Servicio de Atención al Cliente
Trabajar en sincronía con otros departamentos de y apoyarlos es importante, en general, en tu organización, pero en muchos casos el equipo de prevención del fraude tiene una relación especial con el servicio de atención al cliente, y cuando no la tienen, es posible que debieran tenerla.
El servicio de atención al cliente está en primera línea de la interacción de los consumidores con tu empresa. Eso también significa que son los que tienen más probabilidades de estar en contacto directo con los defraudadores que intentan robar a tu empresa. Es más probable que la formación del servicio de atención al cliente se centre en la política de la empresa y la capacitación de los clientes, garantizando que tengan una buena experiencia, que en identificar y bloquear a los defraudadores. Los departamentos de fraude deben asegurarse de que también se cubra este importante elemento, y de que se actualice periódicamente de acuerdo con las tendencias de fraude en desarrollo.
Esta colaboración tiene dos partes. En primer lugar, los encargados de la lucha contra el fraude pueden ayudar a los representantes de atención al cliente a comprender los trucos que los defraudadores pueden hacer con ellos, desde llamar para cambiar una dirección después de que se haya aprobado una transacción, hasta el fraude de reembolso profesional, pasando por los intentos de ATO. Los representantes que no estén formados para no revelar información sensible del usuario o incluso de la empresa, como qué sistemas se utilizan internamente, pueden convertirse en un eslabón débil de la cadena de seguridad y prevención del fraude. El refuerzo contra los ataques en el nivel de atención al cliente protege a toda la empresa del fraude y de los ataques a la seguridad en general.
En segundo lugar, si se establece un estrecho bucle de retroalimentación, las experiencias de atención al cliente pueden alimentar el conocimiento de los equipos de fraude sobre los clientes y las tendencias. Las empresas que no están preparadas para establecer las conexiones de este modo pueden pasar meses o incluso años sin darse cuenta de que están sufriendo un grave ataque de fraude en los reembolsos, por ejemplo, porque la información que lo demuestra (que puede incluir que los representantes sean capaces de reconocer las voces de ciertos defraudadores por teléfono y los guiones que utilizan) se queda en el servicio de atención al cliente y no se integra en los sistemas de conocimiento del equipo de prevención del fraude.
Medir las pérdidas y el impacto
Como dijimos en el Capítulo 3, antaño, los equipos de prevención del fraude de se medían por lo bajos que podían mantener los contracargos por fraude de la empresa. El único indicador clave de rendimiento (KPI) relevante era el número de devoluciones de cargo por fraude recibidas, normalmente medido en dólares, aunque a veces por porcentaje de transacciones. Tiene su lógica. Estas devoluciones de cargo son el coste de fraude más obvio para una empresa de comercio electrónico en particular. Las normas de las redes de tarjetas también apoyan este enfoque; las empresas que ven aumentar sus devoluciones de cargo por encima del 1% son, en circunstancias ordinarias, susceptibles de ver consecuencias que conducen a periodos de prueba, multas o incluso la imposibilidad de procesar determinadas marcas de tarjetas.
En realidad, sin embargo, medir las verdaderas pérdidas por fraude de la empresa y el impacto del equipo de lucha contra el fraude es más complejo, como muchas empresas se han dado cuenta en los últimos años. Esto ha dificultado aún más el establecimiento de indicadores clave de rendimiento, la medición de las pérdidas y la medición del impacto del equipo de prevención del fraude, entre otras cosas porque para hacerlo con eficacia hay que asegurarse de que los responsables de la toma de decisiones de la alta dirección comprendan el fraude, la prevención del fraude y el contexto pertinente.
Las empresas de hoy en día no suelen querer mantener las devoluciones de cargo al mínimo absoluto. Por supuesto, es crucial mantenerse muy por debajo de los umbrales de devolución de cargos establecidos por las empresas emisoras de tarjetas, con un margen de error cómodo en caso de que de repente te veas afectado por una red de fraude inesperada o algo similar, pero sigue habiendo una gran distancia entre esto y tratar de aspirar al cero absoluto en lo que respecta a las devoluciones de cargos. Centrarse demasiado en minimizar las devoluciones de cargos implica políticas estrictas que probablemente causen un alto número de falsos positivos, que son, después de todo, otra forma de pérdida para la empresa y que, según la opinión general, suele ser mayor que las devoluciones de cargos por fraude, a veces por bastante margen. Los falsos positivos son, por desgracia, notoriamente difíciles de calcular, y hacerlo requiere una investigación continua de las transacciones rechazadas y la voluntad de dejar pasar algunos casos de prueba de "zona gris" para ver si son fraudulentos o no.
Consejo
Es crucial que la alta dirección entienda la compensación entre devoluciones de cargos y falsos positivos, y que esto forme parte del proceso de establecer unos KPI razonables y medir el impacto del equipo. Aquí puede ser necesaria cierta educación, y los responsables de la prevención del fraude deben considerarlo una parte intrínseca de su trabajo. Si evitar los falsos positivos va a ser un KPI para tu equipo, debe quedar claro qué cálculo implica esto.
En cuanto a la elección de las métricas en las que debe centrarse el departamento, ten en cuenta que no puedes establecer los KPI en el vacío. ¿Tu empresa valora más la precisión o la rapidez? Eso influirá en tu política de revisiones manuales. ¿Qué equilibrio debes buscar en términos de devoluciones de cargos frente a falsos positivos? Eso está íntimamente relacionado con el nivel de atención a la experiencia del cliente, así como con la naturaleza de tu producto. ¿Qué nivel de fricción es aceptable? Eso depende de tu mercado y de tu vertical. Establecer objetivos realistas que se ajusten a las prioridades de la empresa en su conjunto requiere educar a la alta dirección sobre cómo encajan el fraude y la prevención del fraude en el negocio en general, así como discusiones sobre cómo ven el papel de tu equipo en el apoyo a prioridades más amplias.
También es importante comparar con las medias del sector. Los índices de fraude, los retos e incluso las devoluciones de cargos que se produzcan en un mercado de tarjetas regalo serán muy diferentes de los que se produzcan en un minorista de ropa. Un banco también tendría un perfil totalmente distinto, y los neobancos (también conocidos como bancos que sólo operan por Internet) y los bancos tradicionales pueden tener normas y expectativas diferentes. La lucha contra el blanqueo de dinero (AML) es otra historia completamente distinta (y tiene un tipo de cálculo diferente en cuanto a errores, relacionado con los requisitos normativos implicados). No puedes medir de forma realista tus propias pérdidas a menos que las entiendas en el contexto del sector más amplio del que formas parte. Si tienes un 0,6% de devoluciones de cargo por fraude en un sector que suele registrar un 0,3%, estás en una posición muy diferente a la de un equipo con un 0,6% de devoluciones de cargo en un sector que suele registrar entre un 0,8% y un 0,9%.
Por desgracia, los puntos de referencia suelen ser difíciles de evaluar, ya que gran parte de esta información es del tipo que las empresas prefieren mantener en privado. Encuestas como la Encuesta Global sobre el Fraude del Merchant Risk Council (a menudo realizada junto con CyberSource) o el informe LexisNexis True Cost of Fraud pueden darte una idea razonable de las métricas de los distintos sectores, aunque el grado de detalle de estas encuestas tiene un límite. Las conversaciones informales con quienes luchan contra el fraude en otras empresas también te darán una idea útil de tu situación. Este tipo de información es igualmente importante a la hora de hablar y educar a la alta dirección.
Medir el impacto también es complicado. El valor de una transacción fraudulenta evitada no es la única cantidad en juego. Aquí tienes otros factores a tener en cuenta:
La cantidad real de fraude que observas -tu tasa de fraude- esmenor de lo que sería si no protegieras eficazmente la empresa. Si todo tu equipo se fuera de vacaciones (o empeorara en su trabajo), los defraudadores lo descubrirían rápidamente y el índice de fraude sería mucho mayor. Piensa en lo rápido que saltan las redes de fraude sobre una vulnerabilidad una vez descubierta; sería así a mayor escala y sin corrección. Así que, en realidad, estás ahorrando a la empresa mucho más que la cantidad de fraude que estás deteniendo. Hay mucho fraude potencial que nunca llega porque estás haciendo de la empresa un objetivo difícil de atacar. Esto es difícil de medir, pero utilizando ejemplos de redes de fraude y extrapolando se puede ilustrar el punto. También puedes ver a veces en los foros de defraudadores noticias sobre empresas que intentan cubrir varios puestos de prevención del fraude; a los defraudadores les gusta cuando eso ocurre porque saben que el departamento está desbordado. Es probable que ataquen. Este tipo de discusiones también ilustran la cuestión.
Hay costes adicionales asociados a la mayoría de las transacciones, sobre todo de bienes físicos, incluidos los esfuerzos logísticos, el coste de reponer el artículo y la falta de disponibilidad del mismo para otros clientes. Este tipo de cosas se incluyen en lo que LexisNexis llama su multiplicador, que la empresa utiliza para calcular cuánto representa realmente para la empresa cada dólar de fraude (o de fraude evitado). Suele ser al menos tres veces la cantidad relacionada con las pérdidas directas por devoluciones de cargos. Esta misma analogía se aplica a la apertura de cuentas online para los bancos. Puede ser mucho más costoso cerrar cuentas bancarias falsas (debido a las pérdidas operativas) que el importe en dólares de las pérdidas reales por fraude relevantes.
Si tu equipo protege contra el fraude a nivel de cuenta, como la apropiación de cuentas, las reseñas falsas o la colusión en un mercado, estás protegiendo la reputación de la empresa de forma significativa y valiosa y, sin duda, estás teniendo un impacto, aunque sea uno difícil de medir con una cifra. Sin embargo, puedes proporcionar cifras relativas a las reseñas falsas evitadas, las cuentas protegidas contra el pirateo, etc. , y es crucial que presentes estas cifras a la alta dirección. Cuando tu impacto va mucho más allá de la caja, es importante que esto sea visible. Puede que haya KPI relacionados que quieras tener en cuenta y que se basen en este tipo de métricas.
Justificar el coste de la inversión en prevención del fraude
Puede ser frustrante, pero la realidad es que siempre vas a tener que justificar el número de personas de tu equipo, el presupuesto y la inversión en nuevas herramientas o tecnologías. Aunque sepas que estás haciendo un gran trabajo y te compares favorablemente con el resto de tu sector, es probable que tus superiores no lo sepan. E incluso si lo saben, tendrán que ser capaces de defenderlo ante los miembros del consejo de administración, los accionistas y otras partes interesadas.
Ante todo, necesitas cifras. He aquí algunas de las cifras esenciales:
Tu tasa de fraude, o el número de ataques que estás viendo como porcentaje del total de transacciones o actividades. Tal vez quieras desglosarlo en tipos de ataque.
El número de intentos fraudulentos que detienes, tanto en porcentaje del número total de ataques como en valor en dólares.
El importe en dólares de la exposición frente a las pérdidas reales (por ejemplo, tienes 5 millones de dólares en pérdidas potenciales por transacciones, pero en función de tu equipo de fraude y tus herramientas las pérdidas reales sólo fueron de 75.000 dólares).
Tu tasa de devoluciones.
Tu tasa de éxito en las disputas por devoluciones de cargo.
Tu tasa de revisión manual, o cuántas transacciones o actividades revisas manualmente, como porcentaje del total de transacciones o actividades.
El porcentaje de casos revisados manualmente que se aprueban.
La velocidad media de revisión manual.
Si procede, las cifras relativas a los abusos a nivel de cuenta, como el abuso de cupones, las pérdidas por fraude electrónico, las pérdidas por fraude entre pares (P2P), las reseñas falsas, etc., que perjudican los resultados y/o la reputación de la empresa.
Lo que quieres es transmitir cuánto ahorras a la empresa cada año (o trimestre, según el caso). Necesitas que tus ejecutivos vean tu trabajo en el contexto del panorama general. Haz que imaginen cómo sería la vida sin un equipo de fraude, porque no sería bonito.
Una vez que hayas establecido ese escenario, puedes vincularlo a tus herramientas y al recuento de personal. Si tu equipo de revisión manual está trabajando rápida y furiosamente (y con precisión), presenta cifras de cómo sería si ese equipo fuera más pequeño o, si pretendes aumentar el número de empleados, más grande. Si tu sistema híbrido te permitió apoyar la entrada de la empresa en un nuevo mercado con bajas devoluciones de cargo, baja fricción y bajos falsos positivos, asegúrate de que se da crédito a ese sistema (y a tu equipo por elegirlo). Si quieres una nueva herramienta, mide lo que estimas que serían los resultados en el área correspondiente si la tuvieras.
Parte de esto es un ejercicio anual, bianual o trimestral. Pero para sentar las bases del éxito, tienes que asegurarte de que hay un esfuerzo educativo continuo que llegue a toda la empresa, y especialmente a la alta dirección. No puedes permitirte dejarlo pasar.
Relaciones interdepartamentales
Los departamentos de prevención del fraude a menudo operan en algo de un silo dentro de su organización. El enfoque y el tipo de trabajo que forman parte integral del trabajo pueden parecer muy ajenos a otras partes de la empresa. Las excepciones pueden ser el departamento de Confianza y Seguridad y el de Ciberseguridad, y puede merecer la pena invertir en estrechar relaciones con estos equipos, que se enfrentan a adversarios, preocupaciones y ataques similares. Como dijo Uri Lapidot, director senior de producto de riesgo en Intuit:
Es muy posible que los equipos de fraude tengan un contexto valioso que compartir que pueda ayudar a los equipos de ciberseguridad y confianza y seguridad, y viceversa. Además, los equipos suelen tener intereses y prioridades que se solapan, y trabajar juntos puede hacer el mejor uso posible de los recursos y conocimientos de cada departamento. Mantener un contacto estrecho, con sincronizaciones programadas regularmente, es importante para todos los implicados.
Sin embargo, la distancia entre la prevención del fraude y los departamentos ajenos a los ámbitos de la ciberseguridad o la confianza y la seguridad es un problema. No puedes quedarte en tu zona de confort. Los que luchan contra el fraude no deben subestimar la importancia de las relaciones interdepartamentales.
Si otras personas de tu organización no entienden tu trabajo, lo que haces o cómo lo haces, es una oportunidad para la educación. Puedes organizar sesiones de almuerzo y aprendizaje, o enseñar Fraude 101 en las clases de incorporación a la empresa para los nuevos empleados. El fraude es fascinante, y no sólo para los analistas del fraude, siempre que relaciones el tema con tu público y la empresa y utilices algunas historias de la vida real para ilustrar tus puntos de forma eficaz.
Como hemos dicho, gran parte de la prevención del fraude consiste en encontrar el equilibrio adecuado (o el compromiso adecuado) entre la experiencia del cliente y la aversión al riesgo. Hay muchos otros departamentos que se ven afectados por esa decisión, como los de marketing, ventas, producto y atención al cliente. Si los ignoras, seguirán refunfuñando y pensando que eres un grupo de detractores. Si les haces partícipes de los retos y las compensaciones y te aseguras con el tiempo de que comprenden el panorama general desde tu perspectiva, se unirán a ti para encontrar soluciones viables. También empezarán a acordarse de incluir al departamento de Prevención del Fraude en discusiones como la entrada en un nuevo mercado, o te informarán con antelación sobre un programa de cupones que están poniendo en marcha o una venta flash que están contemplando.
Muchos analistas de fraude nos han dicho que a menudo son los últimos en enterarse de este tipo de cosas, y que a veces se enteran demasiado tarde, cuando los falsos positivos (o los nuevos fraudes) ya se han disparado. Retomando la Navaja de Hanlon, nunca atribuyas a la malicia lo que se explica adecuadamente por la ignorancia. No te lo hicieron saber porque no se dieron cuenta de que necesitabas saberlo. Y parte de tu trabajo consiste en asegurarte de que se den cuenta de ello en el futuro.
Otros departamentos no saben mucho sobre la prevención del fraude. Tienes que educarlos para que comprendan cómo se relaciona su trabajo con el tuyo, crean que trabajas por el mismo objetivo final que ellos y quieran colaborar para lograr el éxito de la empresa.
Como ilustración de por qué es tan vital desarrollar asociaciones interdepartamentales enriquecedoras y colaborativas, Tal Yeshanov, responsable de riesgos y operaciones financieras de Plastiq, habló de sus experiencias sobre cómo el trabajo con los equipos de marketing ha sido tan valioso para el éxito de su equipo de fraude:
Al fin y al cabo, tanto tu equipo de marketing como el de fraude intentan responder a la pregunta: "¿Quién es este usuario?". El objetivo final es diferente, y los KPI son diferentes, lo que puede ocultar esta importante verdad, pero el hecho es que compartir algunos datos sobre los usuarios, como la IP, el dispositivo, la zona horaria, la configuración de idioma, el correo electrónico, el teléfono, la antigüedad de la cuenta, el volumen de transacciones, la velocidad de las transacciones, etc., puede ayudar a ambos equipos a destacar en lo que hacen. Una vez que los equipos ven que su trabajo, y sus objetivos, en realidad no son tan diferentes, suelen estar ansiosos por ver lo que pueden conseguir juntos.
Los equipos de fraude y marketing tienen que trabajar juntos. El trabajo de marketing es dar a conocer a los usuarios las ofertas de productos y funciones. Cuando los equipos de marketing lanzan campañas, especialmente las que tienen éxito, significará que los usuarios vendrán y realizarán transacciones. El equipo de marketing decidirá el mensaje/descuento/promoción que ofrecer, el momento del lanzamiento (normalmente en torno a las vacaciones) y el alcance/tamaño de la campaña (con qué frecuencia, durante cuánto tiempo y a quién). Todas estas cosas afectarán a los equipos de riesgo, y deben planificar trabajar juntos para tener una estrategia preparada para gestionar el aumento del volumen de transacciones.
Tal también ofreció algunas cosas a tener en cuenta, para mostrar lo entrelazados que están realmente los problemas de marketing y de fraude:
- Aumentará el número total de transacciones
- Esto significa que más usuarios harán pedidos. Asegúrate de que los equipos antifraude cuentan con el personal y la formación adecuados.
- El valor en dólares de cada transacción puede aumentar
- Esto significa que los usuarios pueden optar por gastar más dinero para aprovechar/calificar para una promoción. Asegúrate de adaptar las reglas, los modelos y los flujos de trabajo para tener esto en cuenta, de modo que los falsos positivos se reduzcan al mínimo.
- El comportamiento de los usuarios cambiará
- Puede que en lugar de comprar un artículo compren tres, que en lugar de enviarlo a su propia casa lo envíen a un amigo, o que en lugar de hacer el pedido desde su casa, lo hagan desde el aeropuerto o un hotel (sobre todo si es durante las fiestas, cuando la gente está de viaje). Como ya hemos dicho, los equipos de fraude deben examinar las tendencias anteriores y hablar con marketing para asegurarse de que tienen en cuenta estos cambios, de modo que los usuarios legítimos no sean presa de los sistemas destinados a atrapar a los defraudadores.
- El tipo de transacción puede ser diferente
- Puede que un usuario sólo haya comprado un tipo de artículo, pero ahora, con un incentivo, puede que decida diversificarse y comprar distintos tipos de cosas. Asegúrate de que tu equipo de fraude y tu equipo de marketing son conscientes de lo que hace el otro.
Estrategia de análisis de datos
El análisis de datos hace o deshace los esfuerzos de prevención del fraude. Es fácil centrarse en las necesidades inmediatas de análisis: las transacciones, los inicios de sesión, etc., que fluyen ahora por el sistema. Hay un lugar vital para ello, y en muchos casos es a lo que la mayoría de los miembros del equipo dedicarán más tiempo. Pero si nunca miras más allá de eso, se apoderará de tu horizonte, dejándote continuamente apagando fuegos. La estrategia es importante para que comprendas la estructura de cómo tu equipo aborda los retos a los que se enfrenta, y cómo mejorarla para obtener mejores resultados. Es algo para lo que tienes que tomarte tiempo, incluso cuando las cosas están ocupadas, porque puede que no sea urgente, pero es muy importante.
Dependiendo de tus prioridades como departamento y como empresa, puedes adoptar un enfoque diferente de la estrategia de análisis de datos. Pero hay dos puntos que queremos destacar y que son ampliamente relevantes. El primero es que necesitas incorporar a tus planes trimestrales las conexiones adecuadas entre tu automatización y tu experiencia humana.
No deben ejecutarse por separado; obtendrás los mejores resultados si cada uno guía al otro. Por ejemplo, sacarás el máximo partido de tus modelos de aprendizaje automático si haces que un experto en la materia revise regularmente las características que se derivan de ellos. Muchas de esas características serán significativas, pero a veces serán aleatorias o estarán relacionadas con una tendencia que comprenda dentro de un contexto cultural o social relevante del que la máquina carece. En estos casos, tienes que hacer que la máquina ignore las características o las modifique adecuadamente, si quiere detener el fraude sin añadir falsos positivos.
Del mismo modo, los equipos deben programar sesiones regulares de intercambio de ideas en para explorar, generar y luego probar características complejas relacionadas con casos demasiado raros o demasiado complicados para que el modelo los advierta. Demasiado raro es obvio, y el material para darse cuenta de tales casos puede proceder de tu propio muestreo aleatorio de casos o de la colaboración con los equipos de atención al cliente. Por ejemplo, los cibercafés de los países en vías de desarrollo. Los vuelos reservados desde ellos suelen tener más probabilidades de ser fraudulentos. Pero, ¿y si la persona que está al teclado coincide con la imagen que te has creado de un viajero internacional? Entonces es una buena señal. Las personas son complicadas. Un modelo que se confunde al recibir demasiadas señales contradictorias (tanto buenas como malas) simplemente lo ponderará como no indicativo en un sentido u otro. Pero un experto humano puede entender la información en su contexto y asegurarse de que se utiliza adecuadamente.
El segundo punto que queremos destacar es la importancia de que trabaje específicamente con los equipos de atención al cliente como parte de tu estrategia de análisis de datos. Con una relación de confianza adecuada y un contacto regular, estos equipos pueden darte la mejor orientación posible cuando quieras buscar tendencias de fraude en desarrollo. Si te enteras de que el servicio de atención al cliente ha tenido una oleada de clientes que se supone que son mujeres de 80 años, pero sus teléfonos siempre son atendidos por un hombre joven, puedes introducir ese conocimiento en tu sistema y marcar esas transacciones.
Trabaja con el equipo de atención al cliente para acordar una lista de sucesos sospechosos y los indicadores de fraude que escuchan o ven. A continuación, añade un botón a su sistema que les permita informar en tiempo real siempre que ocurra algo así, eligiendo el indicador adecuado en un sencillo menú desplegable. Cuanto más fácil se lo pongas, más ayuda recibirás y más datos obtendrás. Tu equipo podrá entonces buscar patrones. No será una gran cantidad de datos y no serán del tipo que podrías enchufar a un modelo automatizado, pero serán suficientes y se elegirán con el suficiente cuidado como para que merezca la pena el tiempo de tu equipo de fraude. Un experto en la materia podrá determinar si se trata de una mera coincidencia o de la punta de un iceberg de fraude.
Consejo
Asegúrate de notificar al equipo de atención al cliente cuando sus aportaciones te hayan ayudado. Es estupendo para construir una buena relación y hace más probable que quieran ayudar en el futuro. Además, nunca se sabe: puede inspirar a uno o dos de ellos a convertirse en analistas de fraude con el tiempo.
Estrategia tecnológica contra el fraude
Tu estrategia tecnológica contra el fraude variará enormemente dependiendo de tu presupuesto y de los recursos de que dispongas para incorporar nuevas herramientas. Al igual que con la estrategia de análisis de datos, hay algunos puntos relevantes a grandes rasgos que queremos destacar.
En primer lugar, tu estrategia tecnológica contra el fraude debe ser estratégica. No la integres con algo sólo porque suene divertido, brillante e inteligente. Puede ser todo eso, pero si va a hacer algo que tu empresa no necesita realmente, sólo estás complicando tu sistema sin motivo. Incluso si tu organización está dispuesta a probar simplemente nuevas tecnologías para ver qué hay por ahí, deberías analizar los puntos débiles reales de tu situación actual y tratar de encontrar soluciones para ellos, en lugar de buscar lo que suene más excitante.
Por el contrario, los equipos que tienen dificultades para encontrar presupuesto o recursos para nuevas tecnologías no deben dejar que esa limitación les impida centrarse igualmente en dónde están sus puntos débiles e invertir tiempo e investigación en herramientas que puedan tener un impacto mensurable en ellos. Aunque tardes más de un año en conseguir la herramienta que sabías que necesitabas hace meses, si es la adecuada para ti, tener que esperar no la hace menos relevante una vez que la tienes. Y tienes que estar atento a lo que hay ahí fuera para que, cuando tengas la oportunidad, puedas conseguir lo que necesitas.
En segundo lugar, asegúrate de que al diseñar tu estrategia tecnológica cubres todas las bases de tu sistema. Necesitas poder realizar un trabajo táctico basado en reglas, de modo que puedas detener de inmediato a determinados defraudadores o redes, o adaptarte sobre la marcha a circunstancias que cambian rápidamente. También es posible que quieras disponer de tecnología basada en el aprendizaje automático, en cuyo caso debes asegurarte de planificar también el mantenimiento que conlleva, identificando nuevas tendencias y atributos relacionados. En este contexto, mantente ágil. Por ejemplo, si has invertido mucho en tu equipo y tecnología de aprendizaje automático, y está funcionando realmente bien y tus socios de ciencia de datos te están ayudando a resolver problemas de los que llevas años preocupándote, eso es estupendo. Pero no olvides que también necesitas la capacidad de utilizar reglas para adaptarte a corto plazo (como, por ejemplo, al principio de la pandemia de COVID-19, cuando las cosas cambiaron tan rápidamente en muchos sentidos). Es mejor escribir una regla sencilla que te ayude hasta que tu modelo pueda ser entrenado, que confiar totalmente en tu normalmente excelente sistema de aprendizaje automático y ser sorprendido.
Asegúrate de que tienes a tu disposición una variedad de herramientas y enfoques, de modo que puedas utilizar la herramienta más adecuada para la tarea que tengas entre manos. Puede que te encante tu martillo, pero eso no significa que todos los problemas sean clavos.
En tercer lugar, cuando consideres tus necesidades tecnológicas, recuerda pensar en todo el recorrido del cliente, desde la creación de la cuenta hasta el inicio de sesión, la transacción o la acción, etc. Si es necesario, prioriza qué elementos son los más cruciales para recibir apoyo o herramientas adicionales y dirígete primero a ellos (pero no olvides el resto).
Esto es igual de relevante para las partes de un pago que tu empresa no controla; asegúrate de que comprendes la situación de tus flujos de autenticación, y si estás perdiendo ahí fuera, explora soluciones que puedan ayudarte. Como de costumbre, a menudo hay una compensación en términos de fricción para el usuario, con una mayor fricción añadida para reducir los falsos positivos, y eso debería formar parte de tu comprensión más amplia de las prioridades de la empresa en relación con la experiencia del cliente. En relación con esto, si te interesa frustrar a los defraudadores obligándoles a proporcionar (y por tanto quemar) más datos mediante procesos de autenticación, eso también puede ser relevante para tu estrategia tecnológica.
Consideraciones sobre la privacidad de los datos
La prevención del fraude y otros trabajos diseñados para detectar y bloquear la actividad delictiva están exentos de muchas de las consideraciones sobre privacidad de datos que limitan a otras industrias y departamentos. Por ejemplo, el Considerando 47 del Reglamento General de Protección de Datos (RGPD) de la UE señala: "El tratamiento de datos personales estrictamente necesario para prevenir el fraude también constituye un interés legítimo del responsable del tratamiento de datos de que se trate." En una línea similar, la Ley de Derechos de Privacidad de California (CPRA) mantiene que la prevención del fraude es una excepción al derecho de supresión "en la medida en que el uso de los datos personales del consumidor sea razonablemente necesario y proporcionado para esos fines."
Los legisladores siguen, por supuesto, una lógica convincente: no eximir a la prevención del fraude de las restricciones sobre el intercambio de datos haría el juego a los defraudadores al dificultar enormemente la identificación de los ladrones en el trabajo, ya que cada empresa sólo podría trabajar con sus propios datos, más la información o aclaración adicional que pudiera obtener trabajando en colaboración con otros grupos que utilizaran algún tipo de tecnología de mejora de la privacidad. Las herramientas de enriquecimiento de datos y, en muchos casos, incluso los proveedores de soluciones de terceros, dejarían de ser útiles, paralizando los esfuerzos de detección del fraude. Del mismo modo, el derecho a insistir en que una empresa que tiene tus datos los elimine, introducido por legislación como el GDPR, se ve razonablemente mitigado por las necesidades de prevención del fraude, ya que si los defraudadores pudieran exigir con éxito la eliminación de sus datos, sería mucho más difícil atraparlos en su siguiente intento. Los reguladores no están por la labor de facilitar la vida a los defraudadores (al menos no intencionadamente).
Por todas estas razones, parece probable que la futura legislación sobre privacidad de datos, incluida la que rige las transferencias de datos entre jurisdicciones, siga pautas similares al eximir a la prevención del fraude de muchas de sus exigencias. Sin embargo, esto no significa que los departamentos de prevención del fraude no se vean afectados. Como recordarán los equipos que se preparan para el GDPR, la estructura y el carácter consultable de las bases de datos utilizadas deben ser susceptibles de solicitudes de derecho de acceso, solicitudes de derecho de supresión cuando proceda, etc. También deben establecerse procedimientos que permitan a los equipos de fraude determinar cuándo pueden cumplirse con seguridad las solicitudes de derecho de supresión. Además, los procesos de verificación de la identidad, necesarios para garantizar que la persona que solicita sus datos es realmente la persona en cuestión, pueden recaer en el equipo de prevención del fraude.
Más allá de esto, observarás las palabras estrictamente necesario y razonablemente necesario y proporcionado utilizadas en la normativa citada anteriormente. La interpretación de estas palabras, y de otras similares en otras partes de la normativa, es enormemente importante para delimitar lo que los equipos de lucha contra el fraude pueden y no pueden hacer con y sobre los datos de los usuarios. Eso es un día de campo para los abogados, pero como parte de ese debate, los equipos de prevención del fraude deben ser capaces de explicar qué datos utilizan, por qué los necesitan y qué hacen con ellos. Esto también merece la pena tenerlo en cuenta a la hora de considerar nuevas herramientas para el enriquecimiento de datos.
Es importante que los equipos de lucha contra el fraude colaboren con el equipo jurídico de su empresa para asegurarse de que todo se está haciendo no sólo de conformidad con las leyes locales pertinentes, sino también de forma que pueda estar a prueba de futuros cambios. También puede ser valiosa una auditoría exhaustiva de qué datos se envían a qué proveedores y un análisis sagaz de la necesidad de las distintas relaciones con los intermediarios de datos. Es importante saber cuál es la posición de tu equipo en relación con el intercambio de datos y la legislación, para poder argumentar de forma convincente en caso de que sea necesario defender tus prácticas de intercambio de datos.
Identificar y combatir las nuevas amenazas sin fricciones indebidas
Gran parte del trabajo diario de un equipo de fraude se centra en el momento inmediato: qué actividades o transacciones son fraudulentas, qué patrones o tendencias o técnicas de fraude están apareciendo esta semana, y cómo encontrar el equilibrio entre la fricción y la prevención del fraude para los clientes que tienes ahora.
Sin embargo, la investigación de nuevas amenazas sigue siendo esencial. En primer lugar, si no se detecta durante mucho tiempo, un nuevo truco puede resultar enormemente costoso para la empresa. En segundo lugar, las reacciones de pánico ante las amenazas sorpresa, cuando acaban descubriéndose, suelen provocar grandes fricciones y pérdidas de negocio. En tercer lugar, recordando la importancia de demostrar experiencia a la alta dirección, es importante demostrar que estás al tanto de los acontecimientos y no te enteras de una nueva amenaza meses después de que el resto de la comunidad haya empezado a hablar de ella.
La investigación suele estar muy bien en teoría, pero puede quedar relegada a un segundo plano bajo la presión de problemas más urgentes. Para evitarlo, merece la pena elegir a personas concretas cuyo trabajo consista en investigar determinadas áreas de tus propios datos un número determinado de veces al mes o al trimestre, y nombrar a otros miembros del equipo para que estén al tanto de los foros, artículos y boletines de la comunidad de lucha contra el fraude. Las reuniones semanales periódicas para los que se dedican a las revisiones manuales también son valiosas para posibilitar el debate que puede sacar a la luz nuevos patrones. Hacer que estas actividades sean eventos fijos en el calendario del equipo evitará su desaparición accidental.
Cuando se identifican nuevas amenazas, por supuesto, es importante recordar que la detección y la prevención deben llevarse a cabo con la menor fricción posible para los buenos usuarios. En estas situaciones, siempre es tentador reaccionar de forma exagerada y pasarse al lado de la aversión al riesgo, por lo que establecer un procedimiento para hacer frente a las nuevas amenazas, que incluya la consideración de la fricción, puede merecer la pena.
Al día con las nuevas herramientas de lucha contra el fraude
Al igual que las nuevas técnicas de fraude evolucionan con el tiempo, los proveedores de desarrollan continuamente nuevas herramientas de lucha contra el fraude para combatirlas. Al igual que con las nuevas amenazas, merece la pena tener una o más personas en tu equipo cuyo trabajo incluya investigar regularmente nuevas herramientas para que tu equipo no se pierda la última opción que se ajuste exactamente a la necesidad que acabas de descubrir. Algunos equipos de fraude especialmente grandes tienen una persona dedicada a esta función.
Es importante, por supuesto, evaluar cada herramienta cuidadosamente, tanto por sí sola como en comparación con tus herramientas y sistemas existentes. ¿En qué medida mejorará esta nueva herramienta tu precisión, ya sea aumentando la detección del fraude o reduciendo la fricción? Comprueba siempre los resultados con tu configuración actual. Por muy buena que sea una herramienta, aunque venga muy recomendada por compañeros de confianza del sector, puede que no se adapte bien a tus necesidades y perfil de riesgo.
Resumen
En este capítulo se han esbozado aspectos del marco en el que se basa un equipo de prevención del fraude con éxito. El sistema que utilices, la estructura de tu equipo, tus relaciones con otros departamentos, las consideraciones sobre la privacidad de los datos y estar al día de los nuevos avances tanto en el fraude como en la prevención del fraude son elementos importantes para crear y dirigir esfuerzos eficaces de lucha contra el fraude en tu empresa. El siguiente capítulo es, en cierto sentido, un capítulo complementario de éste, en el que se exploran las opciones, los retos y las soluciones de los modelos de prevención del fraude. Para muchos equipos, ésta será una necesidad igualmente esencial en la lucha contra el fraude, aunque el tipo de modelo que utilices dependerá de los retos a los que te enfrentes y del sector en el que operes.
1 John Kander y Fred Ebb, "Money", en Cabaret, música de John Kander, letra de Fred Ebb, libro de Joe Masteroff (1966).
2 Karisse Hendrick, "A 21st Century Approach to Enabling Merchant Collaboration (w/ Uri Arad at Identiq)", 10 de junio de 2021, en Fraudology, producido por Rolled Up Podcast Network, podcast.
Get Prevención práctica del fraude now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
