Skip to content
automatización operativa y
Casos aislados: El fraude ocurría como incidentes individuales y fáciles de acotar, como un solicitante que falsificaba ingresos para obtener un crédito.Evidencia estática: Se detectaban inconsistencias visibles en documentos —valuaciones dudosas o comprobantes irregulares— sin comparar contra otros expedientes.Investigación manual: El analista confirmaba información caso por caso mediante llamadas, verificaciones y solicitudes adicionales.Reglas rígidas: Los controles eran lineales, como rechazar solicitudes que excedían umbrales fijos de valuación o ingreso.Velocidad baja: El fraude avanzaba lentamente debido a los ciclos largos de revisión y autorización del crédito.Alcance limitado: Los esquemas eran pequeños y no coordinados, centrados en acciones individuales de valuadores, notarios o solicitantes.
Una industria organizada, no amateurs: redes, bots, IA generativa y cadenas criminales operando como negocios escalables.Ejecución en milisegundos: si detectas tarde, el daño ya está hecho. Se combate con analítica en streaming y motores de decisión.Patrones que mutan: las reglas fijas no sirven; se requiere detección de anomalías, grafos, modelos adaptativos y aprendizaje continuo.
fraude hoy es una carrera de inteligencia en tiempo real entre el atacante y el bancofraude moderno no se detecta con reglas fijas; se detecta observando rupturas de comportamiento
Fuentes de eventos
Core bancario, sistemas de subsidios, CRM, canales digitales, valuadores, burós de crédito, logs de accesos internos.Capa de ingesta en tiempo real
Cola/bus de eventos (p.ej. o equivalente cloud) donde todos los sistemas “publican” eventos normalizados (JSON, Avro) con un esquema mínimo:quién,qué,cuándo,dónde,cuánto.Enriquecer eventos (join con catálogos, listas, historiales recientes).Calcula métricas en ventana (n transacciones en 5 min, monto acumulado, cambios de IP, etc.).Evalúa reglas y patrones.Motor de reglas y patrones antifraude
Sin hablar de modelos avanzados:Reglas parametrizables (if/then).Listas negras/blancas (clientes, cuentas, RFCs, valuadores, desarrolladores).Límites dinámicos por canal y producto.Correlación de eventos (misma persona, distintos canales, corto tiempo).Capa de orquestación de respuestaEnviar alertas al core para bloquear o poner “hold”.Mandar tasks a la mesa de fraude en un sistema de casos.Monitoreo y analítica en tiempo realTableros de streaming: volumen, alertas por nivel de riesgo, tiempos de respuesta, “heatmap” por región / canal.
Reglas determinísticas (“hard rules”)Monto > X + condición de canal → bloquear automáticamente.Cambio de cuenta CLABE + instrucción de pago en menos de Y horas → mandar a revisión obligatoria.Umbrales dinámicos simplesDesviaciones respecto al promedio histórico del cliente / desarrollador (por ejemplo, 3 veces su monto promedio en un día).Límites por región y tipo de producto.Listas negras y listas de observaciónRFC, CURP, cuentas, IPs, dispositivos, notarios, valuadores.Si aparece un elemento listado en un evento de alto impacto, se dispara alerta prioritaria.Correlación de eventos en ventana de tiempoMúltiples intentos fallidos en diferentes canales.Varias solicitudes similares con datos apenas modificados (dirección, teléfono, correo) en pocos minutos.Reglas de consistencia de datosIncongruencias entre ingresos declarados, capacidad de pago y tipo de propiedad.Cambios frecuentes de información clave de un mismo actor.
Tasa de detección temprana
% de fraudes detectados antes del impacto financiero total.Tiempo medio de detección (MTTD)
Minutos/segundos desde que ocurre el evento hasta que se genera la alerta.Tiempo medio de respuesta (MTTR)
Desde la alerta hasta la acción (bloqueo, revisión, contacto).Falsos positivos vs. verdaderos positivos
Ratio de alertas que terminan como casos confirmados vs. descartados.Pérdida evitada estimada
Monto que no se perdió gracias a bloqueos preventivos.Cobertura de procesos
% de productos, canales y tipos de operación que ya generan eventos y pasan por el motor de streaming.
ingresos,historial,buró,documentos.
Mismo perito valuador en múltiples operaciones dudosas.Mismo notario para desarrollos con alto incumplimiento.Mismos teléfonos, correos, RFC o CURP asociados a múltiples solicitantes.Varias solicitudes hechas desde un mismo IP.Dispositivos móviles que generan expedientes de diferentes “clientes”.Vínculos sistemáticos entre desarrolladores, valuadores, notarios y gestores.Secuencias de transacciones que siempre involucran el mismo pequeño grupo.Subcontratistas repetidos con sobreprecios.Garantías valuadas por actores recurrentes asociados a incumplimientos.Movimientos de recursos que convergen en un mismo beneficiario final.
Ratios (cuota/ingreso, deuda/ingreso)Tendencias (morosidad, uso)Variables cruzadasSeñales externas (mercado, región)
limita su complejidad (profundidad),
Arquitectura dual: batch + onlineOrquestación en el proceso de créditoUmbrales automáticos (thresholds)Reglas de negocio basadas en riesgoIntegración con sistemas coreRiesgo y supervisión en tiempo realCiclo de retroalimentación continua
Módulo 4 — Aplicaciones Avanzadas en Banca
Apertura: Analítica de fraude (patrones, grafos, streaming)
Reflexión: Apertura: Analítica de fraude (patrones, grafos, streaming)
Reflexión: Riesgo crediticio avanzado (XGBoost, SHAP, scoring)
Apertura: Marketing analítico (segmentación, propensión, personalización)
Reflexión: Marketing analítico (segmentación, propensión, personalización)
Automatización y eficiencia (RPA, OCR, bots, IDP): Reflexión
RegTech (PLD, alertas automatizadas, transparencia): Reflexión
Uso de analítica para crédito puente: reflexión
Subsidios (elegibilidad, focalización, antifraude): reflexión
Evaluación de proyectos (viabilidad, TIR, riesgos, MCDM): reflexión
Introducción
La banca moderna opera con flujos de datos que permiten detectar fraude, medir riesgo con precisión, personalizar ofertas y automatizar procesos críticos.
La SHIF gestiona subsidios, garantías y crédito puente bajo altos niveles de escrutinio. El volumen de datos ya supera la capacidad manual y las alertas llegan tarde.
¿Cómo integrar analítica avanzada para decidir más rápido, con mayor exactitud y con trazabilidad regulatoria?
Activando un stack inteligente:
Este módulo explica cómo desplegarlo en procesos clave del SHF.
Hoy vamos a revisar los flujos que transforman la banca: no teoría, sino pipelines que ya producen valor en instituciones financieras globales y que pueden adaptarse a la banca de desarrollo.
Cómo se conectan todos los componentes
¿Qué significa fraude hoy?
Antes, fraude significaba algo mucho más simple:
un individuo ejecutando una acción puntual para obtener un beneficio indebido.
Operativamente, era esto:
Fraude hoy significa esto:
En banca de desarrollo, el fraude no solo genera pérdidas: distorsiona política pública y corrompe subsidios, garantías y crédito puente.
En síntesis:
Streaming antifraude
Streaming antifraude es una fábrica de alertas que procesa eventos en tiempo real (transacciones, solicitudes, cambios de datos, accesos a sistemas) y dispara decisiones operativas al vuelo: bloquear, pedir autenticación adicional, disparar una revisión manual o marcar para monitoreo reforzado.
Arquitectura de referencia
¿Qué eventos monitorear?
Categoría
Descripción operativa
Patrones críticos a monitorear
Transacciones financieras
Movimientos asociados a crédito puente y flujos financieros vinculados.
Disposiciones inusuales; pagos anticipados sin justificación; reestructuras repetidas; liquidaciones fuera de patrón; uso atípico de anticipos.
Subsidios y programas
Gestión de beneficiarios y dispersión de apoyos.
Altas masivas en ventana corta; cambio de CLABE en lote; montos modificados fuera de curva; ampliaciones de plazo sin evidencia.
Originación y modificaciones de crédito
Ajustes en garantías, avalúos y contrapartes.
Avalúos actualizados con variaciones fuera de rango estadístico; sustitución de desarrollador/intermediario sin causal sólida; garantías reemplazadas previo a disposición.
Identidad y KYC
Actualización de información de clientes o entidades relacionadas.
Cambios simultáneos de RFC/domicilio/teléfono/correo antes de operaciones relevantes; múltiples modificaciones en menos de 48 horas; direcciones duplicadas entre actores.
Acceso a sistemas sensibles
Interacciones internas con plataformas críticas.
Inicios de sesión fuera de horario; accesos desde IPs no habituales; consultas masivas de expedientes; sesiones prolongadas sin actividad normal; escalamiento anómalo de privilegios.
Proveedores clave
Actuación de valuadores, notarios, desarrolladores e IFs.
Outliers estadísticos en tiempos de entrega; concentración inusual de operaciones con un mismo desarrollador; valuaciones sistemáticamente altas; redes de proveedores compartiendo patrones de comportamiento.
There are no rows in this table
Lógica de detección sin entrar a modelos avanzados de riesgo
Aquí el juego es de reglas, umbrales y correlación, no de algoritmos sofisticados:
Todo esto se parametriza en el motor de reglas y se versiona, de forma que Riesgos/Fraude puedan ajustar sin reprogramar toda la arquitectura.
Métricas clave para gobernar el streaming antifraude
“La clave es decidir antes del daño, no después.”
Modelos avanzados de riesgo
Grafo de colusión
Un grafo de colusión es un modelo que representa a personas, empresas, cuentas, dispositivos y documentos como nodos, y sus interacciones como aristas.
Detecta patrones colectivos, no individuales. es la herramienta más efectiva para exhibir redes de fraude que se esconden detrás de transacciones aparentemente normales. En términos operativos, es un modelo que mapea relaciones, no solo comportamientos aislados.
El punto ciego tradicional
Los sistemas antifraude basados en reglas analizan un expediente “en solitario”:
Ahí es donde las redes criminales ganan: cada expediente puede verse sano, pero el esquema completo es tóxico.
Los grafos rompen ese punto ciego mostrando quién se conecta con quién.
Señales típicas que detecta un grafo
A. Repetición de atributos críticos
B. Dispositivos o ubicaciones compartidas
C. Redes de proveedores y desarrolladores coludidos
D. Flujos de crédito puente atípicos
Métricas clave que te permiten detectar la colusión
Métrica
Qué Detecta en la Red
Interpretación Operativa (Fraude / Colusión)
Identifica al nodo con mayor número o peso de conexiones.
Señala al hub operativo: desarrollador, valuador, bróker o entidad que concentra relaciones y orquesta el fraude. Es “el cerebro” de la red.
Mide cuántas veces un nodo actúa como puente entre otros.
Detecta intermediarios que cosen operaciones, funcionan como brokers criminales y controlan el flujo de documentación, decisiones o flujos financieros.
Divide la red en subgrupos que no están ligados entre sí.
Revela células de fraude independientes que nunca se conectan visualmente. Exponen colusiones locales: micro-redes de gestores, valuadores y desarrolladores.
Mide cuán densamente conectados están los vecinos de un nodo.
Identifica si operan como “círculo cerrado”: células con alta confianza interna, compartición de documentos, avalúos, garantías o dispositivos.
Evalúa qué tan cerrada es la estructura global de la red.
Cuanto más cerrada, mayor probabilidad de colusión organizada. Indica redes donde todos conocen a todos y se facilita el fraude sistémico.
There are no rows in this table
Cómo se puede usar en una institución como SHF o banca de desarrollo
A. Ingesta
Consolidar solicitudes, documentos, IPs, metadatos, proveedores, valuadores.
B. Modelado
Construir nodos (personas, empresas, documentos, activos) y aristas (interacciones, coincidencias, operaciones).
C. Machine learning sobre grafos
Aplicar:
D. Acción
Bloqueo automático, alertas tempranas y auditorías dirigidas.
Reducción drástica de pérdidas y corrupción.
“Cuando hay colusión, las transacciones se parecen más a redes sociales que a flujos financieros.”
Modelos No Lineales de Scoring (XGBoost/GBM)
Arquitectura para maximizar precisión en originación y administración de cartera.
Incluye: regularización, manejo de desbalance, ventanas móviles, explainability (
), y motores batch/online para scoring en vivo.Propósito: elevar la precisión en originación y administración.
Input → Feature Store → XGBoost Engine → Score + SHAP + Alertas
| | |
Buró/Histórico No linealidad Explicabilidad
Valor: ROC-AUC alto, deriva controlada, decisiones auditables.
y Preparación de Datos
Base estandarizada con limpieza, imputación, agregaciones y variables temporales.
Incluye datos sociodemográficos, buró, comportamiento, lags, variables externas y alternas.
Ingeniería de Variables (Feature Engineering)
Transformaciones que habilitan el poder predictivo del modelo:
Entrenamiento del Modelo (XGBoost / GBM)
Métricas de Desempeño
Trío crítico para riesgo:
Explicabilidad y Auditoría (SHAP)
SHAP (SHapley Additive exPlanations) es el estándar moderno para explicar modelos complejos (árboles, XGBoost,
) que permite traducir un modelo no lineal a un lenguaje que riesgo, auditoría y reguladores pueden revisar sin perder rigor.Es un método basado en teoría de juegos que asigna a cada variable cuánta responsabilidad tuvo en la predicción del modelo. En otras palabras: SHAP dice cuánto suma o resta cada variable al riesgo de un cliente.
Monitoreo y Control de Deriva
El monitoreo y control de deriva garantiza que el modelo siga siendo estable, preciso y defendible.
vigilan cambios en la población y variables, SHAP detecta cambios en la lógica del modelo, las métricas señalan degradación, y la recalibración mantiene la Probabilidad de default (DP) alineada con la realidad.
Integración Operativa y Política de Decisión
Ensambles para Riesgo Operativo y Fraude (Random Forest / GBM Anomaly)
Datos Operativos + Transacciones + Relaciones
↓
Want to print your doc?
This is not the way.
This is not the way.
Try clicking the ··· in the right corner or using a keyboard shortcut (
CtrlP
) instead.