Monitoreo de transacciones AML es el motor de detección central de un sistema contra el lavado de dinero Programa de cumplimiento — El análisis continuo y sistemático de todas las transacciones financieras dentro de una institución regulada para identificar actividades que puedan indicar lavado de dinero, financiamiento del terrorismo, evasión de sanciones u otros delitos financieros. A diferencia de los procesos KYC, que se centran en la identificación de clientes al momento de su incorporación, el monitoreo de transacciones opera durante todo el ciclo de vida del cliente, observando patrones de comportamiento que sugieren actividad delictiva incluso entre clientes que superaron la verificación inicial de identidad.

En la industria de las criptomonedas, el monitoreo de transacciones AML tiene dos dimensiones distintas pero complementarias. La primera es monitoreo interno de transacciones: analizar la actividad del cliente dentro del intercambio (montos de depósito, frecuencias de retiro, patrones de negociación, ubicaciones geográficas de inicio de sesión y la relación entre estas actividades) en comparación con una línea base de comportamiento para detectar anomalías. Esto lo realiza un Sistema de Monitoreo de Transacciones (TMS), que aplica una combinación de reglas deterministas (marcar cualquier retiro individual superior a $50,000; marcar 10 o más transacciones en 24 horas que sumen más de $10,000) y modelos de aprendizaje automático (detectar comportamiento de estructuración a lo largo de varios días; identificar patrones de capas en varias cuentas). El segundo es monitoreo en la cadenaAnalizamos las direcciones de blockchain asociadas a cada transacción utilizando plataformas de análisis de blockchain (Chainalysis KYT, Elliptic Lens, TRM Labs) para evaluar el riesgo de los fondos según su origen y destino. Un depósito desde una billetera conectada directamente a una entidad sancionada o a un mercado conocido de la darknet genera una alerta, independientemente del monto de la transacción o del perfil de comportamiento interno del cliente. La combinación de monitoreo interno y en la cadena de bloques reduce la brecha entre lo que el cliente comunica al exchange (datos KYC) y lo que la blockchain revela sobre el origen de sus fondos. El monitoreo efectivo de transacciones AML requiere un ajuste continuo: los umbrales de alerta demasiado bajos generan miles de falsos positivos que sobrecargan al personal de cumplimiento; los umbrales demasiado altos pasan por alto actividades sospechosas reales. El objetivo es un sistema calibrado que genere el volumen adecuado de alertas de alta calidad para que el equipo de cumplimiento las investigue dentro de los plazos regulatorios.

 Origen e Historia

Fecha	Eventos
Años 1990	Primeros sistemas de monitoreo de transacciones basados ​​en reglas implementados en los principales bancos de EE. UU. y Europa; centrados principalmente en los umbrales de reporte de transacciones en efectivo.
2001	La Ley Patriota de EE. UU. exige el monitoreo de actividades sospechosas para todas las empresas de servicios monetarios; se formalizan las expectativas regulatorias para el monitoreo automatizado.
Años 2010	El aprendizaje automático comienza a complementar los sistemas de gestión de transacciones basados ​​en reglas; los análisis de comportamiento y los modelos de detección de anomalías mejoran la calidad de las alertas en el sector bancario.
2013-2015	Los exchanges de criptomonedas comienzan a implementar sistemas de monitoreo de transacciones de primera generación; los primeros sistemas son conjuntos de reglas rudimentarios sin integración de análisis de blockchain.
2017	Chainalysis KYT (Know Your Transaction) se lanza como el primer producto de monitoreo de transacciones blockchain en tiempo real diseñado específicamente para ello; establece un nuevo estándar para la lucha contra el lavado de dinero en criptomonedas.
2019	La Recomendación 15 del GAFI exige a los proveedores de servicios de activos virtuales (VASP) que implementen un monitoreo continuo de clientes y transacciones; obliga a toda la industria de criptomonedas a actualizar sus capacidades de monitoreo.
2020	Las acciones coercitivas de FinCEN contra BitMEX (100 millones de dólares) y otras empresas citan la falta de mantenimiento de un monitoreo adecuado de las transacciones como una violación fundamental.
2022-2023	Los modelos de redes neuronales basados ​​en grafos entran en producción en las principales bolsas; la latencia de monitorización en tiempo real se reduce a menos de un segundo para bloquear transacciones de alto riesgo.

“El monitoreo de transacciones no se trata de llenar papeleo, sino de detectar patrones en el ruido antes de que el blanqueador complete el ciclo.” — Guía de certificación de monitoreo de transacciones ACAMS AML

 Cómo Funciona

TODAS LAS TRANSACCIONES DE LOS CLIENTES (en tiempo real)

| v +==============================================+

SISTEMA DE MONITOREO DE TRANSACCIONES

MOTOR DE REGLAS

+– Reglas de velocidad (N transacciones en X horas)

+– Reglas de umbral (cantidad > Y)

+– Reglas de estructuración (depósitos < CTR)

+– Normas de jurisdicción (zona geográfica de alto riesgo)

MODELOS DE COMPORTAMIENTO DE ML

+– Detección de anomalías frente a la línea de base

+– Comparación con el grupo de pares

+– Análisis de patrones temporales

+– Detección de capas de red/grafo

PUNTUACIÓN DE RIESGO EN LA CADENA

+– Puntuación de riesgo de la dirección de la billetera (Chainalysis)

+– Rastreo del origen de los fondos

+– Coincidencia de direcciones de sanciones

+==============================================+

| v ALERTA GENERADA

| [¿NIVEL DE RIESGO?] / | \ ALTO MEDIO BAJO

| | | v v v Auto- Manual Auto- bloquear revisión borrar

| v GESTIÓN DE CASOS +– Investigación del analista +– Recopilación de pruebas +– Decisión sobre la solicitud de acceso a datos personales (archivo/sin archivo) +– Seguimiento de plazos (ventana de 30 días para la solicitud de acceso a datos personales)

Tipo de monitoreo	Detecta	Ejemplo de disparador
Monitoreo de velocidad	Aumento rápido del volumen de transacciones	El cliente realiza 50 transacciones en 24 horas después de semanas de inactividad.
Detección de estructuras	Mantener deliberadamente las transacciones por debajo de los umbrales de declaración.	Depósitos diarios de 9,800 dólares durante 2 semanas consecutivas.
detección de capas	Movimiento complejo de fondos hacia un origen oscuro	Fondos transferidos a través de más de 5 billeteras en 48 horas.
Puntuación de riesgo en la cadena	Fuentes de fondos de alto riesgo	Depósito desde billetera con 60% de exposición a mercados de la darknet.
Riesgo geográfico	Transacciones que involucran jurisdicciones sancionadas	Retiro para cambio en un país sancionado
Actividad de cuenta inactiva	Transacciones repentinas de gran volumen en cuentas previamente inactivas.	Retiro de $500 000 de una cuenta con 6 meses de inactividad.

 En términos simples

1. Supervisa todas las transacciones, todo el tiempo. A diferencia de una revisión periódica, el monitoreo de transacciones para la prevención del lavado de dinero (AML) se ejecuta de forma continua y en tiempo real: cada depósito, retiro y operación se analiza en el momento en que ocurre, y las transacciones de alto riesgo pueden bloquearse antes de que se completen.
2. Las reglas detectan patrones conocidos; el aprendizaje automático detecta patrones nuevos. El monitoreo basado en reglas detecta actividades que los reguladores y los equipos de cumplimiento ya consideran sospechosas (estructuración de transacciones, grandes cantidades de efectivo). Los modelos de aprendizaje automático detectan patrones novedosos para los que aún no se había creado una regla: las anomalías de comportamiento que los blanqueadores sofisticados utilizan para pasar desapercibidos.
3. El análisis de blockchain añade la dimensión de la operación en la cadena de bloques. El monitoreo interno de transacciones le indica cómo se comporta su cliente en su plataforma. El análisis de blockchain le muestra por dónde ha pasado el dinero a lo largo de su historial en la cadena de bloques: si esos fondos pasaron por un mercado de la dark web, una billetera designada para sanciones o un servicio de mezcla seis saltos atrás.
4. La priorización de las alertas es el factor humano. El sistema genera alertas; analistas capacitados las investigan. La mayoría de las alertas resultan ser legítimas tras la investigación (falsos positivos). Las que no lo son se remiten para la elaboración de un Informe de Actividad Sospechosa (SAR, por sus siglas en inglés). La calidad de la investigación del analista determina si el informe SAR es útil para las fuerzas del orden.
5. Los umbrales requieren calibración periódica. Un sistema de monitoreo configurado una sola vez y sin revisión posterior pierde eficacia con el tiempo, a medida que evoluciona el comportamiento de los clientes, cambian las metodologías delictivas y crece el negocio. Las métricas de rendimiento mensuales (tasa de alertas, tasa de conversión de SAR, tasa de falsos positivos) sirven de guía para las decisiones de ajuste continuo.

 Ejemplos del mundo real

Escenario	Implementación	Resultado
Detección de estructuras	La regla de TMS se activa cuando el cliente realiza 12 depósitos por un total de $117,600 en 13 días, todos entre $9,000 y $9,900; ningún depósito individual activa el umbral de CTR.	El analista investiga; el cliente no puede proporcionar una explicación legítima; se presenta un informe de actividad sospechosa (SAR) que describe el patrón de estructuración; se inicia una investigación de FinCEN.
Bloqueo de direcciones de sanciones en tiempo real	Chainalysis KYT califica la billetera de depósito entrante con una exposición del 95 % a las billeteras del Grupo Lazarus, designadas por la OFAC; la alerta se activó en menos de 500 ms.	El depósito fue rechazado automáticamente antes de que los fondos se acreditaran en la cuenta del cliente; se presentó un informe de actividad sospechosa (SAR); la cuenta del cliente fue congelada para investigación; se notificó a las autoridades.
detección de anomalías de comportamiento mediante aprendizaje automático	Un cliente minorista de larga data (con una actividad promedio de $200 al mes) inicia repentinamente transferencias salientes por valor de $3 millones en 72 horas; el modelo de aprendizaje automático lo identifica como un caso atípico extremo en comparación con su grupo de pares.	El analista contacta al cliente para obtener una explicación sobre el origen de los fondos; el cliente proporciona documentación que acredite los ingresos legítimos de la venta de su negocio; el caso se cierra con la justificación documentada; no se requiere un informe de actividad sospechosa (SAR, por sus siglas en inglés).

 Ventajas

La Ventaja	Detail
Detección en tiempo real	Los sistemas de monitoreo modernos pueden detectar y bloquear transacciones de alto riesgo en milisegundos, antes de que se muevan los fondos, no después de que se hayan realizado.
Escala sin personal proporcional	El monitoreo automatizado revisa cada transacción; sin él, el cumplimiento requeriría un analista por cada varios cientos de clientes activos.
Detección de patrones a lo largo del tiempo	Los sistemas TMS identifican patrones que abarcan semanas o meses que ningún analista humano que revise transacciones individuales notaría.
Evidencia regulatoria	Los registros de alertas y los registros de investigación de TMS crean la documentación contemporánea que los reguladores esperan durante los exámenes del programa AML.
Detección de redes entre clientes	Los sistemas avanzados identifican redes de cuentas relacionadas (direcciones IP, dispositivos o beneficiarios compartidos) que participan en actividades sospechosas coordinadas.

 Desventajas y riesgos

Supervisión	Generar impacto
Alerta de fatiga	Los sistemas mal calibrados generan miles de alertas de baja calidad diariamente; los analistas se desensibilizan y pueden pasar por alto actividades sospechosas reales.
Evasión adversaria	Los blanqueadores de dinero más sofisticados estudian las normas de control conocidas y estructuran deliberadamente sus actividades para que queden justo por debajo de los umbrales de detección.
Evasión criptográfica que preserva la privacidad	Criptomonedas que priorizan la privacidad (Monero) y la combinación de servicios oculta los rastros de transacciones de los que dependen los análisis de blockchain, creando puntos ciegos de monitoreo.
Compromiso entre latencia y precisión	La monitorización en tiempo real requiere velocidad; el análisis profundo de gráficos para el rastreo complejo en la cadena lleva tiempo; las plataformas de intercambio deben equilibrar la profundidad de detección con la velocidad de procesamiento de las transacciones.
sobreajuste del modelo	Los modelos de aprendizaje automático entrenados de forma demasiado limitada con patrones históricos pueden no generalizar a nuevos comportamientos delictivos, creando confianza sin efectividad.

Consejos de gestión de riesgos:

• Implementar un proceso formal de revisión de la calidad de las alertas: seleccionar mensualmente una muestra de las alertas cerradas (que no sean SAR) y hacer que un analista sénior verifique de forma independiente que los cierres fueron apropiados; este es un elemento necesario de un programa sólido contra el lavado de dinero.
• Integre los análisis de blockchain en la cadena de bloques con los datos internos de TMS en una vista unificada del caso, de modo que los analistas puedan ver tanto el historial de transacciones del lado del exchange como el contexto de riesgo en la cadena de bloques de forma conjunta, lo que reduce el tiempo de investigación.
• Utilice la evaluación comparativa del comportamiento del grupo de pares como capa de monitoreo: un cliente cuyo comportamiento de retiro se encuentra en el percentil 99 para su segmento de clientes merece ser examinado incluso si no se activa ninguna regla individual.
• Documente cada ajuste del umbral de alerta con una justificación comercial y un análisis de datos que lo respalde; los reguladores pueden preguntar por qué cambió los umbrales y esperan ver decisiones basadas en evidencia, no ajustes arbitrarios.

 Preguntas Frecuentes

P: ¿Cuál es la diferencia entre la monitorización de transacciones basada en reglas y la basada en aprendizaje automático?

El monitoreo basado en reglas aplica condiciones explícitas codificadas manualmente: "marcar cualquier transacción superior a $X" o "marcar patrones de estructuración con depósitos entre $9,000 y $9,900". El monitoreo mediante aprendizaje automático entrena modelos estadísticos con datos históricos etiquetados para identificar patrones demasiado complejos o sutiles para reglas explícitas. Los modelos de aprendizaje automático pueden detectar anomalías de comportamiento (un cliente que de repente actúa de forma diferente a lo habitual), mientras que las reglas manejan tipologías conocidas. Ambos se implementan generalmente de forma conjunta en las plataformas TMS modernas.

P: ¿Cuál es el plazo para presentar un SAR después de una alerta de monitoreo de transacciones?

En Estados Unidos, una vez que una institución financiera dispone de información suficiente para determinar que se requiere un Informe de Actividad Sospechosa (SAR, por sus siglas en inglés), tiene 30 días naturales para presentarlo. Si no se puede identificar al sujeto, el plazo se extiende a 60 días. Si persiste la actividad sospechosa (en casos donde ya se presentó un SAR), se requiere un SAR de seguimiento en un plazo de 90 días. El incumplimiento de estos plazos constituye una violación de la Ley de Secreto Bancario (BSA, por sus siglas en inglés).

P: ¿Se puede realizar un seguimiento de un cliente después de que se cierre su cuenta?

Los requisitos de mantenimiento de registros contra el lavado de dinero (AML) establecidos en la Ley de Secreto Bancario (BSA) exigen que las instituciones financieras conserven los registros de transacciones durante 5 años, incluso después del cierre de la cuenta. Si se detecta actividad sospechosa en dichos registros dentro del plazo de retención, se puede presentar un Informe de Actividad Sospechosa (SAR) para transacciones históricas incluso después de que la relación con el cliente haya finalizado.

P: ¿Qué es una “tipología” en el monitoreo de transacciones para la prevención del lavado de dinero?

Una tipología es una descripción documentada de una técnica específica de lavado de dinero o delito financiero: los métodos, patrones y señales de alerta asociados con una conducta delictiva particular. El GAFI, el FinCEN y las UIF nacionales publican tipologías periódicamente. Las reglas y modelos de monitoreo de transacciones contra el lavado de dinero se basan en tipologías conocidas, y los equipos de cumplimiento utilizan las nuevas publicaciones de tipologías para actualizar sus reglas de monitoreo.

P: ¿Cómo controlan las plataformas de intercambio de criptomonedas la Regla de Viaje durante el monitoreo de transacciones?

La supervisión de la Regla de Viaje es un componente especializado de la supervisión de transacciones que se centra en verificar que la información requerida del remitente/receptor se haya recopilado y transmitido para las transferencias entre proveedores de servicios de activos virtuales (VASP) que superen el umbral aplicable. Sistemas como Notabene o TRISA se integran con el TMS para señalar las transferencias en las que se activaron las obligaciones de la Regla de Viaje, pero la recopilación o transmisión de datos falló o fue rechazada, generando alertas de cumplimiento para su investigación.

 Fuentes

• FinCEN. “Guía para preparar una descripción narrativa de un informe de actividad sospechosa (SAR) completa y suficiente”. fincen.gov/sites/default/files/shared/sarnarrcompletguidfinal_112003.pdf
• ACAMS. “Certificación de Monitoreo de Transacciones contra el Lavado de Dinero”. acams.org
• Chainalysis. “Documentación KYT (Conozca su transacción) de Chainalysis.” chainalysis.com/products/kyt/

Consejo de UEEx: Si su cuenta de intercambio de criptomonedas se restringe temporalmente tras una transacción grande o inusual, es probable que el sistema de monitoreo de transacciones AML haya generado una alerta. Proporcionar de forma proactiva documentación sobre el origen de sus fondos (extractos bancarios, registros de nómina o documentación de ingresos por ventas) acelera significativamente el proceso de revisión de cumplimiento y reduce la posibilidad de que su cuenta permanezca bloqueada por un tiempo prolongado.

Descargo de responsabilidad: esta entrada del glosario es sólo para fines educativos y no constituye asesoramiento financiero o legal.

UEEx — Tu puerta de entrada a las criptomonedas