En el Engineering Meetup #13, una audiencia llena se reunió para conocer uno de los sistemas más críticos en la protección de Nubank y sus clientes: la Defense Platform.

La sesión fue liderada por tres expertos profundamente involucrados en el desarrollo y mantenimiento de esta tecnología: Alessandro Bottmann, Staff Software Engineer con más de 30 años de experiencia en tecnología, reconocido por liderar equipos de ingeniería y entregar soluciones de alto impacto; Jairo Júnior, Senior Software Engineer apasionado por la arquitectura y los sistemas escalables; y Rafael Rodrigues, Solutions Architect en AWS con más de 15 años de experiencia en computación en la nube.

Juntos, presentaron la arquitectura, evolución y futuro del sistema que impulsa la prevención de fraudes en todos los productos y regiones de Nubank.

Una plataforma nacida de la complejidad

En los primeros años, la detección de fraudes en Nubank estaba descentralizada. Cada equipo de producto debía integrarse con sistemas y servicios distintos para identificar y responder ante actividades sospechosas. Funcionaba, pero no escalaba. Había ineficiencias, inconsistencias y demoras considerables para poner una nueva defensa en producción.

Fue entonces cuando surgió la idea de la Defense Platform. En lugar de seguir uniendo soluciones fragmentadas, el equipo imaginó un sistema unificado, capaz de manejar millones de eventos por día, fácil de integrar con nuevos productos y que funcionara de manera confiable en múltiples regiones. Durante los últimos cinco años, esa visión se convirtió en realidad.

Hoy, la plataforma procesa cientos de millones de eventos cada día con más del 99.98% de disponibilidad. Ya opera en Brasil, México y Colombia, y está lista para expandirse aún más. Todo esto es posible gracias a un diseño enfocado en confiabilidad, escalabilidad, ejecución de baja latencia y eficiencia de costos: un sistema construido para evolucionar a largo plazo.

Descubre las oportunidades

¿Qué pasa cuando una transacción llega a la plataforma?

Imaginemos que se realiza una transacción por PIX. La Defense Platform recibe el evento con todo su contexto: origen, destino, monto y más. A partir de ahí, entra en acción un componente llamado Flow Orchestrator. Este sabe exactamente qué procesos deben aplicarse a ese tipo de evento: en el caso de PIX, más de 40 procesos distintos pueden ejecutarse en paralelo, incluyendo reglas de negocio y modelos de machine learning.

Estos componentes consultan datos a través de lo que Nubank llama features, un sistema flexible que accede a bases de datos internas, proveedores externos y otros servicios. Una vez que las reglas y modelos evalúan el riesgo, el orquestador toma una decisión: ¿la transacción es segura o debe activarse una acción?

Estas acciones pueden ser en tiempo real, como bloquear la transacción o mostrar una advertencia en la app, o bien ejecutarse de forma asincrónica, como abrir un caso interno para investigación. En todos los casos, el evento queda registrado y es procesado por el sistema distribuido de ETL de Nubank —que agrega más de 100 terabytes de registros por día— para análisis y mejoras continuas.

Diseñada para millones, preparada para adaptarse

Las cifras detrás de la plataforma son enormes. Procesa cerca de 450 millones de eventos por día, generando alrededor de 5 millones de solicitudes internas por minuto. Esto se debe a que un solo evento, como una transacción PIX, puede activar docenas de procesos encadenados.

Para soportar esta carga, Nubank se apoya en una arquitectura altamente distribuida con 20 shards solo en Brasil: réplicas completas del sistema que ayudan a distribuir el tráfico y mantener una baja latencia para millones de usuarios.

Esta arquitectura se basa en una pila tecnológica centrada en Clojure, Datomic (sobre DynamoDB) y Kafka. Los modelos de machine learning se desarrollan en Python, y la observabilidad está presente en cada capa mediante registros, trazas y métricas en tiempo real.

Optimizando el núcleo de la detección de riesgos

En su núcleo, la plataforma gira en torno a una estructura dual: detección y acción. La detección puede hacerse mediante reglas escritas manualmente o modelos de machine learning. Como los modelos tienden a ser más lentos, la plataforma usa una estrategia inteligente: si una regla ya puede identificar con certeza que una transacción es riesgosa, el modelo ni siquiera se ejecuta —lo que ahorra tiempo y recursos.

Todas las defensas pasan por una fase de shadow testing antes de su lanzamiento. En esta etapa, nuevas reglas y modelos se ejecutan en paralelo al entorno de producción, usando entradas reales pero sin afectar a los usuarios. Esto permite validar precisión y rendimiento en condiciones reales, sin riesgo.

El orquestador, reimaginado

La primera versión del orquestador era simple pero ineficiente. Ejecutaba los componentes por capas, lo que obligaba a procesos rápidos a esperar innecesariamente a los más lentos. Recientemente, el equipo reconstruyó este componente usando un modelo basado en DAG (Directed Acyclic Graph), con una biblioteca de código abierto desarrollada en Nubank llamada Nodaly.

En este nuevo modelo, cada componente espera solo por los datos de los que depende —nada más. Como resultado, el tiempo de procesamiento en flujos complejos cayó de 550 milisegundos a unos 350, una mejora significativa cuando se trata de millones de transacciones al día.

Haciendo la defensa más accesible

Hoy en día, escribir reglas aún requiere trabajo de ingeniería. Pero el equipo está trabajando para cambiar eso. Al migrar más partes de la plataforma a un modelo declarativo basado en configuración, el objetivo es permitir que analistas de fraude y otros perfiles no técnicos contribuyan directamente. Eso significa más agilidad, más autonomía y mejor capacidad de respuesta ante amenazas emergentes.

La plataforma también está evolucionando para ofrecer a los equipos de producto más visibilidad sobre el costo operacional de cada defensa. Con ello, será posible tomar decisiones más inteligentes no solo sobre el riesgo, sino también sobre la eficiencia.

Perspectivas desde AWS: ampliando la detección de fraude

Después del recorrido por la plataforma de Nubank, Rafael Rodrigues de AWS ofreció una visión práctica sobre cómo las instituciones financieras están usando herramientas en la nube para combatir el fraude. Mostró cómo Amazon Rekognition puede realizar verificación de documentos y reconocimiento facial, incluyendo detección de vida (liveness detection).

También demostró cómo Textract puede extraer datos de documentos de identidad, y cómo SageMaker se puede usar para entrenar modelos de detección de fraude —ya sea con aprendizaje supervisado tradicional o con técnicas más avanzadas como detección de anomalías y modelado por grafos.

Un punto destacado fue AWS CleanRooms, que permite a las empresas colaborar de forma segura en conjuntos de datos compartidos sin exponer datos sensibles, abriendo la puerta a esfuerzos conjuntos de lucha contra el fraude entre instituciones.

Por qué los grafos cambian las reglas del juego

El modelado por grafos fue uno de los temas más destacados. A diferencia de la detección tradicional, que analiza transacciones de forma aislada, los modelos basados en grafos revelan relaciones entre usuarios, dispositivos, direcciones IP y más.

Rafael mostró cómo mapear estas conexiones permite identificar rápidamente redes de fraude, detectar identidades robadas reutilizadas en múltiples cuentas y descubrir comportamientos sospechosos que de otra manera serían difíciles de detectar. Con Amazon Neptune como base de datos de grafos y SageMaker para el entrenamiento, el potencial para defensas más poderosas y contextuales es evidente.

Reflexiones finales

El fraude nunca deja de evolucionar —y nuestra plataforma tampoco. Con una arquitectura que combina rendimiento, flexibilidad y observabilidad, la Defense Platform está en constante mejora. Ya sea adoptando nuevos modelos, repensando la orquestación o empoderando a más personas para construir defensas, la misión sigue siendo la misma: proteger a nuestros clientes, a escala.

Y al combinar nuestra experiencia interna con colaboraciones externas —como las herramientas y servicios de AWS— estamos construyendo un ecosistema de seguridad que se fortalece con cada transacción.

Descubre las oportunidades