Dependencias invisibles: La parte de la pila de análisis que dejamos de cuestionar

Onur Alp Soner es cofundador y CEO de Countly.

FinTech avanza rápidamente. Las noticias están en todas partes, la claridad no.

FinTech Weekly entrega las historias y eventos clave en un solo lugar.

Haz clic aquí para suscribirte al boletín de FinTech Weekly

Leído por ejecutivos de JP Morgan, Coinbase, BlackRock, Klarna y más.

Cuando una brecha de datos llega a las noticias, generalmente se presenta como una excepción: una mala configuración, un permiso pasado por alto, un error humano que podría haberle ocurrido a cualquiera. La discusión suele detenerse allí, como si el incidente en sí fuera la causa. En realidad, las brechas son más señales que fallos. Exponen dependencias que se volvieron demasiado centrales y opacas mucho antes de que algo saliera mal. Para cuando se filtran los datos, el riesgo generalmente ha estado acumulándose silenciosamente durante años.

Durante mucho tiempo, la analítica se consideraba en una categoría mental segura. Se la veía como observacional, algo que vigilaba el sistema en lugar de moldearlo. A diferencia de pagos, identidad o infraestructura central, la analítica rara vez se trataba como una capa que pudiera afectar materialmente los resultados.

En fintech, especialmente, la analítica ahora influye en cómo evolucionan los sistemas y cómo se toman decisiones, moldeando el comportamiento del producto, los controles de riesgo e incluso la automatización. Sin embargo, la infraestructura que la respalda todavía suele ser externa, funcionando en plataformas de terceros fuera del control directo de la organización.

Esta es la dependencia invisible que dejamos de cuestionar.

Por qué “sin PII” dejó de ser una definición suficiente de seguridad

Cuando los equipos justifican la externalización de la analítica, el argumento generalmente se centra en los datos personales. Los eventos se anonimizar. No se recopilan nombres ni correos electrónicos. Sin PII, se asume que el riesgo es bajo.

Aunque esa lógica era válida cuando la analítica se trataba principalmente de contar usuarios y sesiones, se rompe cuando la analítica empieza a capturar cómo se comportan los sistemas.

Los datos de eventos modernos hacen mucho más que describir usuarios individuales. Exponen la estructura interna. Nombres de funciones, URLs internas, variantes de experimentos, estados de error, patrones de temporización y respuestas del backend revelan cómo está diseñado un producto y cómo fluyen las decisiones a través de él. Nada de esto identifica directamente a una persona, pero en conjunto puede reconstruir gran parte de la lógica interna de una organización.

Aquí es donde el efecto mosaico se vuelve relevante en la práctica. Los eventos individuales parecen inofensivos en aislamiento. Agregados con el tiempo, a través de funciones y flujos, revelan cómo funciona realmente un producto. En fintech, esto tiene consecuencias reales. Incluso los eventos anonimados pueden insinuar umbrales de aprobación, reglas de puntuación de riesgo o rutas de escalamiento. La sensibilidad de los datos analíticos hoy en día radica menos en quién se rastrea y más en lo que revela.

Los límites de “Nosotros manejamos la seguridad por ti.”

Los proveedores de analítica destacan en escala, rendimiento y velocidad de integración. Esas fortalezas importan. Lo que no optimizan es la seguridad a largo plazo, la defensibilidad regulatoria o la capacidad de una organización para explicar su propia arquitectura bajo escrutinio.

Cuando los proveedores dicen que “manejan la seguridad”, generalmente quieren decir que la complejidad está oculta. No puedes ver cómo se combinan, retienen los datos o qué señales secundarias se derivan. La invisibilidad se vende como simplicidad, pero el control se reemplaza por confianza. Normas como SOC2 validan controles, no decisiones arquitectónicas. Un sistema puede estar completamente certificado y aún concentrar datos analíticos sensibles de formas que serían difíciles de justificar ante un escrutinio.

Ese compromiso puede ser aceptable en otros contextos. Para analítica que influye en decisiones, crea un riesgo estructural al reemplazar la seguridad verificable por sistemas ocultos y confianza asumida.

Las contabilidades financieras ya operan bajo esta lógica: la trazabilidad, auditabilidad y propiedad son innegociables. La analítica ahora influye en decisiones igualmente importantes, pero aún no se ha tratado con la misma disciplina.

Cómo se acumula el riesgo estructural en los sistemas de analítica

La mayoría de los incidentes analíticos no provienen de una mala decisión aislada. Surgen gradualmente, a medida que los sistemas asumen responsabilidades para las que no fueron diseñados.

Los equipos añaden más eventos, luego más contexto, luego más metadatos. Banderas de funciones, IDs de experimentos, códigos de error internos, estados del backend y clasificaciones de usuarios lentamente se integran en los flujos de eventos. Con el tiempo, la analítica se convierte en un espejo detallado de cómo funciona realmente el producto. En ese momento, deja de ser una capa pasiva de informes y se convierte en una forma de memoria institucional.

Cuando los datos se exponen, lo que se filtra rara vez son solo números en bruto. Es estructura: cómo se implementan las funciones, cómo se staging las decisiones, cómo interactúan los servicios y cómo se manejan los casos límite. Incidentes recientes han mostrado esto claramente, con registros antes considerados inofensivos que revelan lógica interna de enrutamiento, configuraciones de experimentos, rutas de administración y patrones de comportamiento que nunca deberían haber salido del control organizacional.

La IA no introduce este riesgo, pero lo amplifica. La analítica conductual alimenta cada vez más sistemas de decisión automatizados, lo que significa que la exposición estructural puede influir en el comportamiento del modelo, sesgos y lógica de decisiones. Un solo incidente puede afectar no solo la transparencia, sino también cómo actúan los sistemas en el futuro.

En fintech, el impacto se amplifica aún más. Los datos analíticos a menudo se sitúan cerca de sistemas que evalúan confianza, detectan fraude o automatizan aprobaciones. Incluso cuando la analítica no toma decisiones por sí misma, cada vez influye más en los sistemas que sí lo hacen.

La conveniencia como sustituto del escrutinio

Para los equipos presionados por avanzar rápido, paneles bien diseñados, integraciones rápidas y conocimientos instantáneos son difíciles de resistir. Sin embargo, con el tiempo, la conveniencia tiende a reemplazar el escrutinio. Pocas organizaciones mapean en detalle sus flujos de datos analíticos, evalúan qué tan difícil sería salir de una plataforma o consideran cuánto conocimiento institucional ha sido efectivamente externalizado. Esto rara vez es una decisión deliberada. Es el resultado de tratar la analítica como herramienta en lugar de infraestructura.

Esto no es un argumento en contra de los servicios de terceros en general. De hecho, algunas capas son adecuadas para ser alquiladas, especialmente cuando el fallo está contenido y la salida es sencilla. La distinción que importa es si un sistema influye en los resultados.

Para decirlo claramente, cualquier sistema que afecte el acceso, la confianza, la elegibilidad o la experiencia central del usuario debe ser visible, auditable y completamente comprensible por la organización que depende de él. Los sistemas que son fáciles de reemplazar y no codifican lógica institucional pueden vivir con seguridad fuera de la institución.

Una prueba sencilla aclara el límite: si este sistema desapareciera mañana, ¿aún podrías explicar cómo funciona tu producto y por qué se toman las decisiones de la manera en que se hacen?

La cuestión de responsabilidad más amplia

Los sistemas fintech cada vez más funcionan como infraestructura de cara al público. Moldean quién puede abrir cuentas, acceder a crédito o participar en la economía. Esa realidad cambia el modelo de responsabilidad. Las decisiones arquitectónicas ya no son solo decisiones técnicas internas; tienen consecuencias sociales.

Cuando capas críticas como plataformas en la nube, sistemas analíticos o modelos de IA están concentrados en unos pocos sistemas opacos, las fallas y decisiones inexplicables pueden tener repercusiones mucho más allá de una sola empresa. Las dependencias invisibles no solo aumentan el riesgo de seguridad. También debilitan la responsabilidad.

En última instancia, si un sistema no se puede ver, no se puede gobernar. Y los sistemas que no se pueden gobernar no deben ser confiados con decisiones que afectan materialmente la vida de las personas. La analítica dejó de ser solo observacional hace tiempo. Nuestra arquitectura, estándares y suposiciones aún no se han puesto al día.

Sobre el autor

Onur Alp Soner es cofundador y CEO de Countly, una plataforma de análisis digital y compromiso en la aplicación. Tecnólogo y autodidacta, fundó Countly desde cero para dar a las empresas más control sobre cómo entienden e interactúan con sus usuarios. Bajo su liderazgo, Countly ha crecido hasta convertirse en una plataforma confiable para empresas en todo el mundo que desean innovar rápidamente manteniendo la privacidad del usuario en el centro de sus estrategias de crecimiento.