Hace unos años, un turista en México usó su tarjeta de crédito para retirar efectivo de un cajero automático. Cuando llegó a casa y miró el estado de cuenta de su tarjeta, vio que la tarjeta también se había utilizado para comprar varias joyas. Esto era extraño: no solo no había comprado nada con la tarjeta durante las vacaciones, sino que la transacción había ocurrido cinco minutos después del retiro del cajero automático, en una tienda al otro lado del país.

Afortunadamente, después de revisar su caso, un equipo de su banco estuvo de acuerdo en que, aunque sus herramientas de detección de fraude de IA no habían marcado la compra como sospechosa, era muy poco probable que él mismo hubiera comprado las joyas, por lo que reembolsaron la compra. A medida que investigaban más, el equipo determinó que los estafadores probablemente habían robado la información de su tarjeta de crédito de un lector escondido en el cajero automático y se la habían enviado a un cómplice en la costa opuesta.

La facilidad, la velocidad y el anonimato de los pagos modernos han dado lugar a esquemas de fraude como este a una escala que es imposible de seguir para los humanos. Afortunadamente, no tienen que hacerlo, ya que las aplicaciones de IA ahora monitorean cada transacción y vigilan toda la red de tarjetas en busca de ataques. Estos modelos de IA clasifican los datos de manera más eficiente que cualquier humano.

Mastercard ha estado aprovechando la IA durante años para la detección de fraudes y actualmente la utiliza para asegurar más de 159 mil millones de transacciones al año, evitando miles de millones de dólares en pérdidas por fraude. El año pasado, Mastercard adquirió Recorded Future, que utiliza IA para analizar millones de puntos de datos diariamente, identificando patrones y anomalías que señalan amenazas potenciales.

Pero por mucho que los humanos necesiten IA, la IA también necesita humanos. Si bien las herramientas automatizadas hacen el trabajo pesado, para que los resultados sean útiles, los desarrolladores deben proporcionar continuamente un contexto de la vida real, identificando nuevos tipos de fraude, determinando cómo prevenirlo sin interrumpir la red más grande y programando las nuevas reglas en el algoritmo. Esta aportación humana es lo que convierte el poder bruto de la IA en inteligencia relevante y práctica.

A medida que los modelos de inteligencia artificial y aprendizaje automático se vuelven más poderosos, es tentador creer que la tecnología por sí sola puede superar a los ciberdelincuentes de hoy, dice Johan Gerber, director global de Soluciones de Seguridad de Mastercard. "Pero detrás de cada alerta, anomalía o transacción marcada hay una capa crucial e incremental que los algoritmos no pueden replicar: el juicio humano. Cuando el juicio humano se combina con la IA, eso es lo que lo hace realmente efectivo y garantiza que siga siendo responsable".

Si bien la IA está diseñada para discernir patrones sutiles en montones de datos, no siempre está equipada para manejar valores atípicos. Sin supervisión humana, los eventos inesperados podrían desencadenar amenazas perdidas, falsas alarmas y otras distorsiones.

"Incluso con estas poderosas herramientas, todavía se necesita gente", dice Vince Haulotte, director de entrega de mercado en el negocio de toma de decisiones de fraude y riesgo de Mastercard. "Tienes que usar un grano de sal y tener en cuenta el contexto para asegurarte de que la respuesta de la IA sea efectiva".

Por ejemplo, los sistemas de IA estaban monitoreando el uso de la tarjeta de crédito del viajero durante sus vacaciones en México. Pero la IA necesitaba un humano que le dijera que había algo divertido en dos transacciones en rápida sucesión en lados opuestos del país, y necesitaba un humano que le mostrara cómo estar atento a incidentes similares en el futuro.

Para evitar que esta estafa en particular afecte a otros clientes, Haulotte, entonces un programador que trabajaba en la plataforma de IA Brighterion , creó una nueva regla que marcaría las transacciones geográficamente imposibles. Brighterion monitorea las transacciones con tarjetas de crédito en tiempo real, las 24 horas del día, los 7 días de la semana, y las califica en función de lo riesgosas que parecen; Cuando una transacción se marca como potencialmente fraudulenta, el sistema notifica inmediatamente al banco del usuario de la tarjeta. (Cada banco puede personalizar el umbral de puntuación para tomar medidas, como enviar una alerta o incluso rechazar la transacción). 

Safety Net, otro producto de Mastercard, utiliza IA para monitorear toda la red de tarjetas en busca de signos de ataques. Por ejemplo, si un sitio web se inunda con miles de cuentas nuevas en un corto período de tiempo, podría deberse a que los estafadores están enviando spam al sitio para adivinar números de tarjetas válidos a través de la fuerza bruta.

Por supuesto, un modelo de IA no lo sabe ; no necesariamente puede comprender los detalles más finos del comportamiento humano. Como resultado, también podría generar una bandera roja cuando una promoción exitosa, o, por ejemplo, el Cyber Monday, hace que el tráfico de un sitio aumente. Reconocer la diferencia es donde entran los humanos.

"Con un aumento de transacciones genuinas como esa, me asociaré con un gerente de cuentas para comprender lo que está sucediendo y tomar precauciones para evitar falsas alarmas", dice Brett Thomson, director de desarrollo de productos de Safety Net. "Tienes que darle alguna dirección a la IA".

Debido a que las estrategias criminales evolucionan continuamente, la experiencia humana también es esencial para identificar nuevas amenazas y determinar cómo detenerlas. Tan pronto como los estafadores se dan cuenta de que sus estrategias ya no funcionan, idean nuevos esquemas. Pero debido a que la IA se entrena con datos pasados, las herramientas de monitoreo no siempre detectan estos nuevos patrones de inmediato. Por lo tanto, depende de los desarrolladores humanos actualizar y entrenar los algoritmos en un juego continuo del gato y el ratón.

"Después de que pongamos una mitigación, cambiarán su estrategia. Entonces notaremos esa estrategia y agregaremos una nueva mitigación", dice Thomson. "Es un constante ir y venir, cada uno de nosotros observa cómo reacciona el otro al próximo desarrollo".

Esta dinámica implacable garantiza que Thomson, Haulotte y sus colegas de toda la industria sigan siendo actores clave en la lucha contra el fraude.

"Me sorprende continuamente la audacia y la imaginación de los estafadores", dice Haulotte. "Siempre hay nuevas tendencias de fraude, por lo que tenemos que seguir construyendo nuevas soluciones para adelantarnos a ellas. Nuestro trabajo nunca se detiene".