Análisis de origen de fondos en cripto: Interpretando las categorías de riesgo (ES-1)

Una puntuación de riesgo de 78 indica que una billetera es riesgosa. No le dice por qué, y el "por qué" es lo que decide el resultado. Un 78 impulsado por exposición directa a sanciones es un rechazo rotundo; un 78 impulsado por exposición indirecta, a tres saltos, a un exchange de alto riesgo es una decisión que debe tomar un analista. El análisis de origen de fondos es la capa que convierte el número en una decisión.

La API de detección de billeteras de Didit atribuye cada puntuación de riesgo a categorías específicas de origen de fondos — más de 14 de ellas, desde SANCTIONED hasta EXCHANGE — y reporta cada una como exposición directa o indirecta con una participación y un recuento de saltos. Obtiene la puntuación, el rango y el desglose que lo explica, a $0.02 por detección.

Esta guía explica qué significa cada categoría y cómo leer la tabla de exposición.

Puntos clave

• Puntuación de riesgo = el número; categorías = la razón. Cada puntuación de 0 a 100 está respaldada por las categorías de origen de fondos que la impulsan.
• Más de 14 categorías abarcan sanciones, financiación del terrorismo, ransomware, darknet, mixers, fondos robados, estafas, juegos de azar, P2P y exposición a exchanges ordinarios.
• Exposición directa vs. indirecta. Directa significa que la billetera realizó transacciones con la entidad; indirecta significa que el valor llegó a través de saltos intermediarios (con el recuento de saltos).
• Un grafo de red traza la ruta para que un analista pueda ver exactamente cómo los fondos se conectan a una entidad de riesgo.
• Leer por severidad, no solo por puntuación. La exposición a sanciones y CSE son prohibiciones categóricas; la exposición a exchanges suele ser benigna.
• $0.02 por detección con BYOK (Crystal o Merkle Science).

Qué es el análisis de origen de fondos

En la cadena, el saldo de cada billetera tiene un historial: las direcciones de las que recibió y a las que envió, de forma recursiva. El análisis de origen de fondos agrupa esas direcciones en entidades del mundo real (un exchange conocido, una billetera sancionada, un mixer, un mercado de darknet) y mide cuánto del valor de una billetera se conecta a cada categoría. El resultado no es solo "riesgoso / no riesgoso"; es un desglose tipificado: esta parte del valor entrante se remonta a un mixer, esa parte a una entidad sancionada, el resto a un exchange regulado.

Didit normaliza ese desglose en un conjunto consistente de categorías y una tabla de exposición, independientemente de si Crystal o Merkle Science proporcionaron la inteligencia subyacente.

Por qué es importante

Dos billeteras pueden compartir una puntuación de riesgo y exigir acciones opuestas. La política de cumplimiento reside en las categorías, no en el número. La exposición a sanciones y a la explotación infantil son categóricas: cualquier exposición directa es un alto, punto final. La exposición a mixers, darknet, ransomware y fondos robados es de alta severidad pero depende del contexto: la exposición directa generalmente bloquea, la exposición indirecta profunda puede justificar una revisión. La exposición a exchanges y (a veces) P2P a menudo es la forma esperada y benigna de la actividad cripto normal.

Sin el desglose, un analista está adivinando. Con él, la misma puntuación se convierte en una decisión defendible en segundos, y el grafo de red proporciona la evidencia para respaldarla en una auditoría o un SAR.

Las más de 14 categorías de origen de fondos

Didit reporta la exposición en estas categorías:

Categoría	Significado	Severidad típica
SANCTIONED	Conectado a una dirección o entidad sancionada	Crítica — bloqueo categórico
TERRORIST_FINANCING	Vinculado a actividad de financiación del terrorismo	Crítica — bloqueo categórico
CHILD_EXPLOITATION	Vinculado a material de explotación sexual infantil	Crítica — bloqueo categórico
RANSOMWARE	Ganancias o pagos relacionados con ransomware	Alta
STOLEN_FUNDS	Fondos rastreados a un hackeo o exploit	Alta
DARKNET_MARKET	Exposición a mercados de darknet	Alta
MIXER	Fondos pasaron por un servicio de mezcla/tumbling	Alta
SCAM	Vinculado a estafas o esquemas de fraude conocidos	Alta
HIGH_RISK_EXCHANGE	Exchange con KYC débil o inexistente	Media–Alta
HIGH_RISK_JURISDICTION	Entidad en una jurisdicción de alto riesgo	Media
GAMBLING_UNLICENSED	Exposición a juegos de azar sin licencia	Media
P2P_EXCHANGE	Actividad de exchange peer-to-peer	Baja–Media
EXCHANGE	Exchange regulado/conocido	Baja — generalmente benigna
UNNAMED_SERVICE	Servicio identificado sin una etiqueta específica	Depende del contexto

Lectura de la tabla de exposición

Cada categoría en un resultado de detección se etiqueta como directa o indirecta y lleva una parte del valor de la billetera y, para la exposición indirecta, un recuento de saltos:

{
  "wallet_screening": {
    "risk_score": 78,
    "risk_band": "HIGH",
    "exposure": [
      { "category": "MIXER", "type": "INDIRECT", "hops": 2, "share": 0.34 },
      { "category": "DARKNET_MARKET", "type": "INDIRECT", "hops": 3, "share": 0.11 },
      { "category": "EXCHANGE", "type": "DIRECT", "share": 0.55 }
    ]
  }
}

• Tipo. DIRECT significa que la billetera realizó transacciones con la propia entidad; INDIRECT significa que el valor llegó a través de uno o más saltos intermediarios.
• Saltos. Para la exposición indirecta, cuántas transacciones de distancia tiene la entidad de riesgo; los saltos más cercanos tienen un mayor peso.
• Participación. Cuánto del valor de la billetera es atribuible a esa categoría.

Juntos: el ejemplo anterior es un 78 porque un tercio del valor pasó por un mixer a dos saltos de distancia y una parte se remonta a un mercado de darknet — lo suficientemente alto como para retenerlo para revisión, pero la ausencia de exposición a sanciones directas es la razón por la que no es un rechazo automático.

Detalles técnicos

El análisis de origen de fondos es parte de cada detección de billetera en la API unificada /v3/:

curl -X POST https://verification.didit.me/v3/transactions/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "transaction_id": "txn_c40b",
    "category": "finance",
    "currency_kind": "crypto",
    "direction": "INBOUND",
    "wallet_address": "0x71f3...0a9d",
    "include_crypto_screening": true,
    "subject": { "vendor_data": "user_8820", "role": "RECEIVER" }
  }'

El veredicto incluye la puntuación de 0 a 100, el rango LOW/MEDIUM/HIGH/CRITICAL y la tabla de exposición tipificada que se muestra arriba, además de un grafo de red que un analista puede abrir en la Consola. Precio: $0.02 por detección con BYOK (Crystal o Merkle Science).

Casos de uso

• Exchanges de cripto — rechazar automáticamente cualquier exposición directa a SANCTIONED; enviar la exposición profunda a MIXER/DARKNET_MARKET a revisión.
• Rampas de entrada/salida — distinguir la exposición benigna a EXCHANGE de la exposición riesgosa a HIGH_RISK_EXCHANGE antes de convertir.
• Custodios — usar el desglose de categorías y el grafo de red como evidencia para cualquier decisión de activos congelados.
• Billeteras — advertir a los usuarios cuando una dirección de destino conlleva exposición a SCAM o STOLEN_FUNDS.
• VASPs — emparejar las categorías de origen de fondos con los datos de contraparte de la Regla de Viaje para una imagen completa del riesgo.

Cómo integrarse con Didit

1. Mapear categorías a políticas. Decidir qué categorías son bloqueos categóricos (sanciones, TF, CSE) y qué umbrales activan la revisión.
2. Detectar transacciones de cripto. POST /v3/transactions/ con currency_kind: "crypto" y una dirección.
3. Ramificar en el desglose, no solo en la puntuación. Leer la tabla de exposición; actuar sobre la categoría + tipo (directo/indirecto) + participación.
4. Investigar en la Consola. Las detecciones de alto riesgo abren alertas con el grafo de red adjunto.

Preguntas frecuentes

¿Por qué la puntuación por sí sola no me dice qué hacer?

Porque dos billeteras con la misma puntuación pueden necesitar acciones opuestas. Las categorías y el tipo de exposición (directa vs. indirecta) son lo que hace que la decisión sea defendible.

¿Cuál es la diferencia entre exposición directa e indirecta?

Directa significa que la billetera realizó transacciones con la propia entidad de riesgo; indirecta significa que el valor llegó a través de saltos intermediarios. La exposición indirecta incluye un recuento de saltos para que pueda ponderar qué tan cerca está.

¿Qué categorías siempre deben bloquear?

SANCTIONED, TERRORIST_FINANCING y CHILD_EXPLOITATION son prohibiciones categóricas para cualquier exposición directa. Las categorías de delitos financieros de alta severidad generalmente justifican una revisión o un rechazo, dependiendo del tipo y la participación.

¿Es un problema la exposición a exchanges?

La exposición a EXCHANGE simple suele ser benigna, es la forma esperada de la actividad normal. HIGH_RISK_EXCHANGE (KYC débil o inexistente) es la que hay que vigilar.

¿Cuánto cuesta obtener este desglose?

Está incluido en cada detección de billetera a $0.02 con BYOK — las categorías y la tabla de exposición se devuelven con la puntuación, sin llamadas adicionales.

¿Listo para empezar?

Lea la descripción general de Wallet Screening en la documentación, vea cómo encaja en la plataforma en la página del producto Wallet Screening y consulte los precios por llamada en la página de precios. Cuando esté listo, comience gratis — 500 verificaciones KYC gratuitas cada mes y detección de billeteras a $0.02 por detección.