Por qué construimos Gu1: infraestructura de compliance para América Latina

El compliance en América Latina está roto. No en el sentido abstracto e institucional. Roto en el sentido concreto: el flujo de onboarding que diseñaste en São Paulo no funciona en Ciudad de México, la regla que cableaste para la CNBV no mapea a la UIF en Buenos Aires, y el proveedor de KYC que elegiste el año pasado ya quedó atrás del patrón de fraude que vas a ver el próximo trimestre. Cada fintech de la región reconstruye el mismo stack. Cada equipo contrata a los mismos analistas de compliance. Cada roadmap de producto pierde trimestres por el mismo ciclo regulatorio.

Construimos Gu1 porque nos cansamos de ver cómo se desperdiciaba todo eso adelante nuestro. Este es el primer post del blog, y es el lugar correcto para decir con claridad qué estamos haciendo y por qué.

El compliance en LatAm está fragmentado por diseño#

América Latina no es un mercado. Son más de 35 países, un puñado de reguladores dominantes, una cola larga de reguladores más chicos, al menos cuatro tradiciones legales y un conjunto de documentos de identidad que no comparten formato. Un CPF brasileño no es un DNI argentino, no es un CURP mexicano, no es una Cédula colombiana. Los estándares biométricos difieren. Las listas de sanciones difieren. Las definiciones de PEP difieren. Las reglas de residencia de datos difieren.

Las fintechs tratan esto como un problema a resolver una vez por país y mantener para siempre. En la práctica, se transforma en un problema a resolver una vez por país, por producto, por actualización regulatoria, por ola de fraude. El costo aparece en el presupuesto.

Las fintechs en América Latina gastan entre 15 y 20 por ciento de su presupuesto operativo en compliance, y la mayoría de ese gasto se va a herramientas legacy que no se hablan entre sí.

Hay más de 2.800 fintechs activas en la región según Finnovista, con Brasil, México y Colombia liderando el conteo. Todas están pagando un impuesto para construir y mantener la misma capa de compliance. Los reguladores que las supervisan no se coordinan. México, Brasil y Argentina son miembros del GAFI y cargan con el peso del marco internacional, pero lo implementan distinto, a ritmos distintos, con tolerancias distintas hacia la automatización.

El stack legacy no se diseñó para esto#

La mayoría de las herramientas de compliance que hoy están en producción se construyeron para otro entorno. Los proveedores de verificación de identidad se diseñaron alrededor de documentos estadounidenses o europeos, y después se portaron a LatAm con una capa fina de localización. Los sistemas de monitoreo transaccional se diseñaron para rieles de tarjeta, y después se los forzó a cubrir PIX, SPEI, Transferencias 3.0 y PSE. Los motores de alertas AML se diseñaron para procesamiento batch, y ahora se les pide seguir el ritmo de pagos instantáneos en tiempo real.

El resultado es un stack caro de operar, lento de actualizar, que produce colas de alertas que nadie tiene headcount para despejar. El compliance se convierte en un centro de costo que ingeniería más lento que el regulador, y esa es una posición perdedora.

El fraude se mueve más rápido que las herramientas#

La otra mitad del cuadro es el fraude. Los números cuestan leerlos:

• Fraude en LatAm +32 por ciento en el primer semestre de 2024 (Veriff).
• Account takeover en México +324 por ciento en 15 meses (BioCatch).
• Fraude con deepfake en Brasil +700 por ciento, fraude de identidad sintética +140 por ciento (Sumsub).
• Intentos de estafa en LatAm +155 por ciento en 2025 entre 36 instituciones y 300 millones de clientes (BioCatch).
• Ataques de malware +225 por ciento, dispositivos robados +344 por ciento, uso de herramientas de acceso remoto 5x (BioCatch).
• 59 por ciento de los mexicanos sufrió al menos un intento de estafa por mes en 2024 (GASA).
• Robo de identidad en Colombia +400 por ciento desde 2020.

A nivel global, el fraude de identidad sintética creció 8x en 2025 según LexisNexis, y aproximadamente la mitad de ese volumen aterrizó en LatAm. Más de la mitad del fraude hoy involucra IA de alguna forma (Feedzai). Los atacantes ya actualizaron su stack. La defensa, en la mayoría de las instituciones, no.

Los reguladores lo notaron. Brasil publicó la Resolución 519/2025 del BCB haciendo obligatoria la validación de CPF y el liveness para cuentas de primer nivel. México puso en vigencia en junio de 2024 una regla de la CNBV que obliga a cada fintech regulada a mantener un plan de prevención de fraude documentado. El fraude en PIX alcanzó R$2.700 millones en Brasil, 43 por ciento más año contra año según Febraban. Las funciones de compliance y fraude se están fusionando en una sola realidad operativa, y la vieja separación entre KYC, AML y prevención de fraude ya no se sostiene.

El mercado está agarrando el ritmo. El mercado de detección de fraude en LatAm fue de USD 1.740 millones en 2025 y se proyecta alcanzar USD 9.140 millones para 2034, un CAGR de 20,2 por ciento. Es mucho capital persiguiendo un problema que los incumbentes no supieron resolver.

Qué es Gu1#

Gu1 es infraestructura de compliance AI-native para instituciones financieras de América Latina. Un stack, una API, tres superficies:

• KYC para onboarding y verificación de identidad, con soporte nativo para CPF, CURP, DNI, Cédula, RFC, RUC y los formatos biométricos y documentales que los acompañan.
• AML para monitoreo transaccional, screening de sanciones, screening de PEP y gestión de casos.
• KYT (know your transaction) para scoring de riesgo en tiempo real sobre rieles de pagos instantáneos, flujos de wallet y movimiento cross-border.

AI-native es un término que se usa mucho y mal, así que seamos específicos con lo que queremos decir. Nuestro motor de reglas lo escriben y mantienen agentes de IA con humanos en el loop. La cola de analistas se triagea con agentes antes de que llegue a un humano. El parseo de documentos no depende de un proveedor de OCR externo. El tuning de alertas pasa de forma continua contra datos en vivo, no trimestralmente contra un snapshot congelado. Los humanos de nuestro equipo de compliance escriben política, no tickets.

Si querés ver la arquitectura en detalle, la armamos en el post sobre el stack de compliance AI-native.

De 35 personas a 5 más agentes de IA#

Hace un año nuestra operación de compliance andaba con 35 personas. Hoy anda con 5 personas más agentes de IA, y el output es el mismo o mayor. Esa frase es fácil de escribir y difícil de vivir, así que merece algo de honestidad.

La transición no fue sobre reemplazar personas. La mayoría de esas 35 se movieron a otras partes del producto, algunas se fueron, y las 5 que se quedaron en compliance cambiaron lo que hacían durante el día. Dejaron de revisar alertas. Empezaron a escribir las reglas que generaban las alertas, a tunear los modelos que suprimían los falsos positivos, y a auditar las decisiones de los agentes. El trabajo pasó de operador a autor de política.

Culturalmente, ese cambio es lo interesante. Un oficial de compliance revisando 400 alertas por día no puede ser estratégico. Un oficial de compliance definiendo la postura de riesgo del stack sí. Un ingeniero escribiendo reglas de compliance en código puede mandar una regla específica de PIX el martes y tenerla viva en producción el miércoles. Ese ritmo no existe en una casa legacy.

Qué significa para la gente que contratamos#

Contratamos ingenieros que sepan leer una circular de la CNBV y gente de compliance que sepa leer un pull request. El solapamiento es más chico de lo que asume el mercado, y aprendimos a construir para ese solapamiento en vez de pelearlo. Los rulebooks que entregamos se parecen más a SDKs que a documentos de política, y los documentos de política se parecen más a specs que a memos.

Dónde estamos hoy#

A abril de 2026, Gu1 está en vivo con 54 clientes activos en Brasil, México, Argentina y Colombia. La mezcla se inclina hacia fintechs y neobancos, con una porción más chica de cripto, remesas y marketplaces que mueven pagos. Brasil es nuestro mercado más grande por volumen, México por cantidad de instituciones, Argentina por profundidad de producto, y Colombia por tasa de crecimiento.

No estamos en todos lados, y somos deliberados con eso. Cada país que sumamos es una superficie completa de KYC + AML + KYT con cobertura de documentos locales, listas de sanciones locales e integraciones de reporting locales. Lanzar un quinto país no es prender un flag. Esperamos sumar uno o dos mercados más en 2026, y vamos a escribir sobre cada uno acá cuando pase.

Si querés el desglose país por país de cómo funciona el KYC en la región hoy, lo pusimos en la guía completa de KYC LatAm, y los problemas reales de AML con los que se chocan nuestros clientes están juntados en desafíos de AML para fintechs LatAm.

Qué va a cubrir este blog#

Este blog es para los operadores, ingenieros y leads de compliance que tienen que tomar las decisiones que nosotros tomamos todos los días. Vamos a escribir sobre:

• Deep dives regulatorios, país por país. BCB, CVM y Febraban en Brasil. CNBV, Banxico y UIF en México. BCRA y UIF en Argentina. Superfinanciera y UIAF en Colombia. Cuando salga una circular, explicamos qué cambió, a quién afecta y qué tenés que mandar a producción.
• Decisiones de producto. Cuando cambiamos cómo funciona nuestro liveness, o cambiamos de proveedor de sanciones, o rediseñamos la UI de gestión de casos, vamos a contar qué motivó el cambio. Incluidos los que no funcionaron.
• Notas de campo de clientes. Anonimizadas cuando corresponda, nombradas cuando el cliente quiera estarlo. Los patrones que vemos en 54 clientes son más útiles que cualquier caso de estudio aislado.
• Inteligencia de mercado sobre fraude y AML. Los números con los que abrimos el post se van a seguir moviendo. Vamos a publicar lo que vemos en la data, incluidas las partes incómodas. Los patrones de fraude en mercados emergentes se comportan distinto a lo que modelan la mayoría de los proveedores globales, y mantenemos una vista continua de eso en prevención de fraude en mercados emergentes.

No vamos a escribir piezas promocionales de proveedor. No vamos a publicar nada que no podamos defender con data. Si nos equivocamos en algo, lo corregimos en un post posterior y linkeamos para atrás.

Cómo se ve el día a día para un cliente#

El caso abstracto a favor de una infraestructura de compliance América Latina es fácil de hacer. El caso concreto es más útil. Cuando una fintech se enchufa a nuestra API, lo primero que cambia es el funnel de onboarding. La superficie de KYC absorbe la captura del documento, el liveness, la validación contra la autoridad tributaria o el registro civil local, y la primera pasada de screening de sanciones y PEP. El equipo de ingeniería del lado del cliente deja de ser dueño de los prompts de OCR y de los umbrales biométricos, y pasa a ser dueño de la lógica de negocio. Ese corte importa. Los prompts de OCR y los umbrales biométricos no son ventaja competitiva para una fintech. La lógica de negocio sí.

Lo segundo que cambia es la cola de alertas. Las alertas de AML no llegan más como una lista plana. Llegan scoreadas, clusterizadas y anotadas por agentes que ya corrieron los primeros pasos de investigación contra el historial transaccional, la señal de dispositivo y el grafo de contrapartes. El lead de compliance del lado del cliente sigue siendo dueño de la decisión final y del SAR, pero no es dueño del primer 80 por ciento del triage. Eso es lo que lleva el headcount de dos dígitos a un dígito.

Lo tercero que cambia es la superficie de reporting. Cada regulador de la región tiene un template distinto, una cadencia distinta y un set de campos distinto. Nosotros generamos los envíos a UIF, UAF, COAF y UIAF desde el mismo modelo de datos subyacente, lo que significa que un cliente que opera en cuatro países no mantiene cuatro pipelines de reporting. Mantiene una configuración de política.

Las partes difíciles que seguimos trabajando#

No terminamos. El stack está vivo y en producción en 54 instituciones, pero hay partes del problema que resolvimos mejor que otras. Los flujos cross-border entre Brasil y Argentina nos salen mejor que los flujos entre México y Colombia, porque la disponibilidad de data es distinta. La cobertura PEP en Argentina es más profunda que la cobertura PEP en Colombia porque las fuentes públicas están mejor estructuradas. La detección de liveness contra deepfakes de alta calidad es un blanco móvil, y reentrenamos más rápido que la mayoría, pero no tan rápido como los atacantes publican modelos nuevos. Somos explícitos con esos huecos frente a nuestros clientes. Pretender otra cosa sería mala forma de correr esta empresa.

La apuesta que estamos haciendo#

La apuesta abajo de Gu1 es simple. La capa de compliance en LatAm no necesita más soluciones puntuales. Necesita un stack único que cubra KYC, AML y KYT, que sea AI-native desde el diseño, que se mueva al ritmo del regulador, y que deje que un equipo chico haga el trabajo que antes pedía uno grande. El enfoque fragmentado tuvo veinte años para funcionar. No funcionó.

Hay una versión de este mercado en la que los incumbentes se adaptan y el stack se vuelve más barato y más rápido solo. No creemos que sea la versión en la que estamos. Los incumbentes están trabados por sus modelos de datos, sus ciclos comerciales y sus promesas a clientes. El costo de reconstruir el core es más alto que el costo de defender el revenue. Ese gap es la apertura sobre la que estamos construyendo.

Si manejás compliance o ingeniería en una fintech de LatAm y estás pensando en el próximo ciclo de tu stack, nos interesa saber con qué te chocás. El equipo está activo en LinkedIn y la API está documentada. También podés suscribirte al blog y te mandamos los próximos posts cuando salen. Seguimos.