GH GambleHub

Detección de fraude

Detección de fraude

El antifraude no es solo un «modelo de riesgo». Se trata de un esquema: eventos estandarizados → signos y gráficos → reglas/modelos → decisión y acción → explicación y apelaciones → medición de efectos y control de deriva. A continuación, una instrucción de sistema aplicable a las plataformas de pago y juego, los mercados y los servicios de fintech.

1) Mapa de amenazas (que protegemos)

Esquemas de pago: tarjetas robadas, tarjetas de prueba, charjbacks, fraud friendly.
Riesgos de cuenta: hackeo/interceptación, multiaccounting, bonus abuse, granjas de dispositivos.
KYC/AML: documentos falsos, falsificaciones, riesgos de sanciones/RR.
Comportamental: bots, scripts, patrones anormales de apuestas/transacciones.
Afiliados: feudo de tráfico/referencias, estimulación de depósitos de baja calidad.

2) Señales y materias primas

Dispositivo/red: dispositivo fingerprint, canvas/wag, emuladores, IP/ASN/proxy/VPN, geovelocidad.
Pago: BIN/MCC/país de la tarjeta, 3DS/ECI, resultados AVS/CVV, velocity (por tarjeta/cuenta/dispositivo), desviación de límites.
Comportamiento: velocidad de las formas, trayectoria del ratón/tach, tiempo dwell, secuencia de acciones.
Social/grafovye: las coincidencias телефонов/е-mail/карт/адресов/устройств, generales fichi con los nudos "malos".
CUS/Documentos: calidad OCR/selfie match/liveness (liveness), fecha/fuente, blacklists/sanciones.

3) Ingeniería de características (feature store, point-in-time)

Ventanas temporales: 5m/1h/24h/7d para velocity-fich; Expon. suavizado.
Unidades por identidad: por user_id, teléfono, e-mail, tarjeta, dispositivo, IP/ASN.
Geo/tiempo: país/región/temporizador/perfiles festivos locales.
Gráfico de fichas: degree/triangle count/PageRank, proporción de conexiones con malas, componente.
Calidad KYC: confidence OCR, edit distance de nombres/direcciones, validación IBAN/INN.
Anti-cara: estrictamente punto-en-tiempo, sin marcas futuras; online/offline parity.

4) Marcas y variables de destino

Objetivos: chargeback = 1, confirmed_fraud=1, bonus_abuse=1.
Ventanas de la verdad depositada: las marcas llegan después de T (charjbacks), utilice el «friso» del período al aprender.
Distribución: fuerte desequilibrio (0. 1-1% «unidades») → pesaje/sempling cuidadosamente.
Etiquetas sustitutas: confirmaciones y apelaciones manuales - mantenga la confianza.

5) Modelos y enfoques

Reglas (policy-as-code): listas blancas/negras, umbrales velocity, geovelocity, atributos incompatibles. Rápido, explicable, base de datos para fail-safe.
Supervision: boosting/bosque de gradiente, regresión logística, NN de tabla con loss de costo-sensitivo.
Anomalías: Bosque de Isolación, LOF, robust z-score/seasonal-decomp, codificadores de autos.
Aproximaciones gráficas: predicción de enlace, embeddings GNN/DeepWalk, reglas de «device/mapa compartido».
Híbridos: cascade (reglas → ML → gráfico), conjuntos con diferentes penalizaciones para FP/FN.
Calibración: Platt/Isotonic para probabilidades; umbrales del valor de los errores.

6) Métricas de calidad (centrándonos en clases raras)

PR-AUC como principal; El ROC-AUC es secundario en desequilibrios.
Recall@FPR≤x%, Precision@k, Cost-sensitive utility.
Coverage y Latency p95 para la puntuación prod.
Fairness/Harms: errores por segmentos de países/dispositivos/métodos de pago.

7) Política de umbral e histéresis

Separe las zonas de solución:
  • 'score ≥ τ_block' → autoblock;
  • 'τ _ review ≤ score <τ_block' → verificación manual;
  • 'score <τ_review' → pase.

Agregue histéresis (el umbral de entrada/salida es diferente) y cool-down (intervalos mínimos de repetición) para eliminar el «parpadeo».

Tabla de decisión de ejemplo

CondiciónContextoAcciónGuardrails
`score ≥ 0. 95` или `device in blacklist`PagoBloqueoFPR≤0. 3%, SLA <1c
`0. 8≤score<0. 95 'y' suma> Q90 'PagoRugido manualSLA 2h
'geo-velocity> 1000km/h' y 'No 3DS'autentifikatsiyaStep-up KYC/3DSZhaloby≤Kh

8) Circuito en línea: puntuación y orquestación

Streaming: eventos a través del bus; fichas de la tienda de características en línea; la idempotencia a través de 'event _ id'.
Latency: objetivo p95 (por ejemplo, ≤ 100-300 ms por solicitud).
Orquestador: entrega garantizada, retrai/backoff, DLQ, rate-limit a través de los canales.
Canales de acción: 3DS/step-up, colina/límite, bloque, solicitud de documentos, ticket al gestor de casos, notificación al usuario.
Auditoría: end-to-end 'correlation _ id' «signal→resheniye→deystviye→iskhod».

9) Human-in-the-loop y gestión de casos

Casos: agregue incidentes/testimonios, muestre una explicación (top features/reglas, gráfico de vecindad).
Permisos: Auto-desbloqueo/límite parcial/solicitud de CUS/cierre.
Formación: las revisiones de los analistas vuelven a los datos (relabel), activo-lening en la frontera.
SLA: prioridad de P1/P2, tiempo de reacción, colas, distribución de carga.

10) Análisis gráfico en la práctica

Связи: `user ↔ device ↔ card ↔ phone ↔ email ↔ IP`.
Los patrones son: «estrellas» de la tarjeta de prueba, «componentes» de bonificación abusiva, proxy general/VPN.
Puntuación de nodos/costillas: ponderado PageRank, suspensiousness según la proporción de vecinos malos.
Preventivo: cuarentena de nuevos nodos si entran en un componente «infectado».

11) KYC/AML/sanciones y cumplimiento

Match: listas de sanciones/RR/medios de comunicación de apoyo; búsqueda fuzzy, normalización de nombres/transliteración.
Documentos: vitalidad/anti-spoofing, verificación de características visuales/MRZ, geo-consistencia.
Monitoreo transaccional: reglas sobre montos/umbrales/cadenas de transferencia, escenarios abrazados.
Gobierno: RLS/CLS, enmascaramiento de PII, registro de decisiones, explicabilidad y ruta de apelación.

12) Evaluación del efecto (no sólo «precisión»)

La economía de la solución: 
[
EV =\text {Preinstalación. } -\text {Costo de bloques falsos} -\text {Costos de operación}
]

Políticas/pruebas: A/B/cuasiexperimentos (DiD) para umbrales y reglas; bandits para seleccionar el método step-up.
Guardrails: quejas/apelaciones, NPS, porcentaje de «bloqueos incorrectos» (FPR), latencia.

13) Monitoreo, deriva y SLO

Calidad: PR-AUC/Recall @ FPR por ventana deslizante; calibración de probabilidades.
Deriva: PSI/KL por fichas clave, proporción de BIN/ASN «desconocidos», nuevos clústeres de dispositivos.
Operaciones: p95 latencia, proporción de temporizadores,% escaladas manuales, rugido de retroceso.
SLO: disponibilidad> 99. 9%, Decision→Action p95 ≤ 2–5 c; «stop-crane» en la degradación de la calidad de los datos.
Runibooks: ráfaga de pruebas de tarjetas, caída de 3DS, proveedor de outage, tormenta de registros.

14) Arquitectura de datos y código

Eventos: esquema canónico (UTC, version, source), llaves idempotentes.
Feature Store: paridad online/offline, recetas de puntos en tiempo, versionando transformaciones.
Modelos: registro de versiones, pipelines reproducibles, certificación en prod, shadow-start.
Rules-as-Code: repositorio de git, hojas de rugido/cheque, pruebas de regresión.
Explainability: SHAP/escala de reglas de registro, muestras de casos de entrenamiento de sapport.

15) Seguridad, privacidad, ética

Minimización de PII: tokenización/hashing de identificadores; «caja fuerte» de almacenamiento individual.
Acceso: RLS/CLS y auditoría de lecturas/descargas; exportación - con tokens y plazos.
Equidad: pruebe la diferenciación de errores por región/método, excluya atributos no válidos.
Transparencia: razones de las decisiones y una apelación comprensible al usuario.

16) Pseudo-SQL y recetas

Registro idempotente de transacciones

sql
MERGE INTO fact_payments t
USING staging_payments s
ON t. txn_id = s. txn_id
WHEN MATCHED AND s. updated_at > t. updated_at THEN
UPDATE SET status=s. status, amount=s. amount, updated_at=s. updated_at
WHEN NOT MATCHED THEN
INSERT (txn_id,user_id,card_hash,amount,currency,event_time,created_at)
VALUES (s. txn_id,s. user_id,s. card_hash,s. amount,s. currency,s. event_time,NOW());

Velocity-fichi (ventana de 24h)

sql
SELECT user_id,
COUNT()             AS tx_24h,
SUM(amount)            AS sum_24h,
COUNT(DISTINCT card_hash)     AS uniq_cards_24h,
COUNT(DISTINCT device_hash)    AS uniq_devices_24h,
MIN(event_time)          AS first_tx_24h,
MAX(event_time)          AS last_tx_24h
FROM fact_payments
WHERE event_time >= NOW() - INTERVAL '24 hour'
GROUP BY user_id;

17) Lista de comprobación de inicio antifraude

  • Señales y circuitos estandarizados, idempotencia incluida
  • Feature Store con punto en tiempo, paridad en línea/offline
  • Las marcas se forman sin caras, las ventanas de la verdad depositada se tienen en cuenta
  • Política de umbral con histéresis y paso a paso, SLA y guardrails especificados
  • La gestión de casos y el human-in-the-loop están personalizados, la explicabilidad está disponible
  • Métricas: PR-AUC, Recall @ FPR, Costo-utilidad; diagnóstico fairness
  • Monitoreo de la deriva/error, alertas, incidentes de rúnibus
  • Gobierno: versiones de modelos/reglas, rugidos, auditoría de soluciones, cumplimiento de KYC/AML
  • Plan A/B/DiD para umbrales/políticas; folback seguro en reglas

Resultado

Un antifraude fuerte es un híbrido de reglas, modelos y grafos en un circuito guiado: señales y fichas de calidad → política de umbral con histéresis → puntuación en línea rápida y orquestación de acciones → human-in-the-loop y apelaciones transparentes → métricas de efecto y control de deriva. Siguiendo este esquema, se reducen las pérdidas, se limita el daño de los falsos bloqueos y se mantiene la confianza de usuarios y reguladores.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.