Dashboard
El Dashboard principal de ADO-STS proporciona una vista consolidada y en tiempo real del estado de seguridad de la plataforma. Está diseñado para ofrecer información crítica de manera intuitiva y accionable.
Métricas Principales (Top Row)
El Dashboard ADO-STS está estructurado en 3 secciones principales que proporcionan una vista integral del estado de seguridad:
SECCIÓN 1: MÉTRICAS PRINCIPALES
Ubicación en Dashboard
Parte superior del dashboard - Cuatro indicadores principales mostrados como tarjetas de KPIs
1.1 Unique Users Today
¿Qué muestra? Número total de usuarios únicos que han iniciado sesión en el sistema durante las últimas 24 horas.
¿Para qué sirve?
- Monitorear el volumen de actividad diaria de usuarios
- Detectar picos anómalos de actividad que podrían indicar ataques masivos
- Establecer líneas base de actividad normal
¿Cómo interpretarlo?
| Escenario | Interpretación | Acción Requerida |
|---|---|---|
| Valor muy bajo | Posible problema técnico o día festivo | Verificar sistema y calendario |
| Valor normal | Operación estándar según patrones históricos | Continuar monitoreo |
| Pico súbito | Posible ataque DDoS o evento promocional | Investigar causa y preparar escalamiento |
Factores que influyen en esta métrica:
- Horarios comerciales y días de la semana
- Campañas promocionales o marketing
- Eventos especiales o lanzamientos
- Ataques coordinados o actividad bot
1.2 Unique Devices Today
¿Qué muestra? Cantidad de dispositivos únicos (identificados por device fingerprint) que han accedido al sistema en las últimas 24 horas.
¿Para qué sirve?
- Identificar el uso de múltiples dispositivos por usuario
- Detectar device farming (granjas de dispositivos)
- Monitorear la diversidad tecnológica de los usuarios
¿Cómo interpretarlo?
| Relación Dispositivos/Usuarios | Significado | Nivel de Atención |
|---|---|---|
| Cerca de 1:1 | Usuarios con dispositivo único | Normal |
| Mayor a 2:1 | Uso multi-dispositivo o sharing | Monitoreo adicional |
| Muy alta (>5:1) | Posible device farming o bots | Investigación inmediata |
Lo que nos ayuda a identificar:
- Usuarios que comparten dispositivos
- Actividad de bots usando múltiples dispositivos emulados
- Patrones de uso legítimo multi-dispositivo (BYOD)
1.3 Api Calls T5 min
¿Qué muestra? Número total de llamadas API realizadas al sistema ADO-STS en los últimos 5 minutos.
¿Para qué sirve?
- Monitorear la carga del sistema en tiempo real
- Detectar picos de actividad automatizada
- Evaluar el performance del sistema
¿Cómo interpretarlo?
| Volumen de Calls | Estado del Sistema | Acción |
|---|---|---|
| 0-1,000 | Actividad baja | Monitoreo normal |
| 1,001-5,000 | Actividad normal | Operación estándar |
| 5,001-15,000 | Actividad alta | Monitoreo de capacidad |
| >15,000 | Sobrecarga potencial | Activar auto-scaling |
Tipos de llamadas que incluye:
- Inicialización de sesiones
- Análisis de comportamiento en tiempo real
- Evaluaciones de riesgo
- Enriquecimiento de datos
1.4 Fraud Attempts Today
¿Qué muestra? Número de intentos de fraude detectados y bloqueados en las últimas 24 horas.
¿Para qué sirve?
- Medir la efectividad del sistema de detección
- Identificar tendencias de actividad fraudulenta
- Evaluar el nivel de amenaza diario
¿Cómo interpretarlo?
| Número de Intentos | Evaluación | Consideraciones |
|---|---|---|
| 0-10 | Día tranquilo o excelente detección | Verificar que el sistema esté funcionando |
| 11-50 | Actividad fraudulenta normal | Monitoreo estándar |
| 51-200 | Actividad alta | Investigar patrones comunes |
| >200 | Posible ataque coordinado | Activar protocolos de emergencia |
Lo que cuenta como "intento de fraude":
- Sesiones con score de riesgo alto (>800)
- Actividad bloqueada automáticamente
- Casos confirmados manualmente por analistas
SECCIÓN 2: VISUALIZACIÓN GEOGRÁFICA
Ubicación en Dashboard
Centro del dashboard - Mapa mundial interactivo que ocupa la mayor parte de la pantalla
¿Qué muestra el mapa?
Representación visual de:
- Ubicación geográfica de todas las sesiones activas
- Distribución global de la actividad del sistema
- Concentraciones de riesgo por regiones
- Patrones de movimiento anómalos
Elementos visuales en el mapa
| Elemento | Descripción | Significado |
|---|---|---|
| Puntos de colores | Marcadores en ubicaciones específicas | Sesiones individuales con nivel de riesgo |
| Densidad de puntos | Concentración de marcadores | Volumen de actividad por zona |
| Líneas conectoras | Conexiones entre ubicaciones | Posibles viajes imposibles o conexiones sospechosas |
¿Para qué sirve?
Análisis geográfico para:
- Detectar viajes imposibles: Usuarios que aparecen en ubicaciones muy distantes en poco tiempo
- Identificar hotspots de fraude: Concentraciones anómalas de actividad sospechosa
- Validar coherencia geográfica: Verificar que la ubicación sea consistente con otros datos
- Monitorear actividad global: Tener vista panorámica de la operación mundial
¿Cómo interpretarlo?
Patrones normales:
- Distribución uniforme según la base de usuarios
- Concentraciones en centros urbanos principales
- Actividad coherente con zonas horarias
Patrones anómalos:
- Concentraciones súbitas en ubicaciones inusuales
- Múltiples sesiones desde coordenadas idénticas
- Saltos geográficos imposibles en tiempos cortos
Funcionalidades interactivas
| Función | Propósito | Caso de Uso |
|---|---|---|
| Zoom | Análisis detallado por región | Investigar actividad específica de una ciudad |
| Filtros temporales | Ver evolución histórica | Analizar patrones de ataque en el tiempo |
| Capas de información | Superponer diferentes tipos de datos | Correlacionar riesgo con ubicación |
SECCIÓN 3: TOP RISK INDICATORS (ÚLTIMAS 24 HORAS)
Ubicación en Dashboard
Panel lateral derecho - Lista de los principales indicadores de riesgo detectados
¿Qué muestra esta sección?
Lista priorizada de los principales riesgos detectados en las últimas 24 horas, incluyendo:
3.1 Malware Risks
¿Qué detecta? Presencia de software malicioso en los dispositivos de los usuarios que acceden al sistema.
¿Para qué sirve?
- Identificar dispositivos comprometidos
- Prevenir el uso de credentials robadas
- Detectar keyloggers y screen scrapers
¿Cómo se presenta?
- Número de dispositivos con malware detectado
- Ranking por nivel de peligrosidad
- Tipos de malware más frecuentes
Información que proporciona:
- Cantidad de detecciones de malware
- Tipos específicos encontrados (trojans bancarios, keyloggers, etc.)
- Dispositivos afectados y usuarios en riesgo
3.2 Emulator Risks
¿Qué detecta? Dispositivos emulados o virtualizados que pueden estar siendo utilizados para actividades fraudulentas.
¿Para qué sirve?
- Detectar device farming automatizado
- Identificar bots sofisticados
- Prevenir ataques masivos coordinados
¿Cómo se presenta?
- Número de emuladores detectados
- Nivel de confianza en la detección
- Patrones de uso sospechosos
Indicadores que analiza:
- Inconsistencias en hardware reportado
- Patrones de sensores anómalos
- Características de virtualización
3.3 Location Risks
¿Qué detecta? Riesgos asociados con la ubicación geográfica y patrones de movimiento de los usuarios.
¿Para qué sirve?
- Detectar viajes imposibles
- Identificar ubicaciones de alto riesgo
- Validar coherencia geográfica
¿Cómo se presenta?
- Número de ubicaciones sospechosas
- Casos de viajes imposibles detectados
- Concentraciones anómalas por región
Tipos de riesgos que identifica:
- Velocidades de viaje físicamente imposibles
- Ubicaciones en países de alto riesgo
- Inconsistencias entre IP y GPS
- Uso de VPNs o proxies para enmascarar ubicación
3.4 Behavioural Risks
¿Qué detecta? Patrones de comportamiento anómalos que no coinciden con el perfil normal del usuario o comportamiento humano típico.
¿Para qué sirve?
- Detectar account takeover (toma de cuentas)
- Identificar actividad automatizada (bots)
- Reconocer cambios súbitos en patrones de uso
¿Cómo se presenta?
- Número de anomalías comportamentales
- Usuarios con cambios significativos en patrones
- Actividad que sugiere automatización
Aspectos que monitorea:
- Cambios en velocidad de escritura
- Patrones de movimiento del mouse/touch anómalos
- Secuencias de navegación inconsistentes
- Timing no humano entre acciones
3.5 Link Analysis
¿Qué detecta? Conexiones y relaciones sospechosas entre usuarios, dispositivos, ubicaciones y comportamientos.
¿Para qué sirve?
- Identificar redes de fraude organizadas
- Detectar dispositivos compartidos sospechosamente
- Encontrar patrones ocultos de coordinación
¿Cómo se presenta?
- Número de conexiones sospechosas identificadas
- Redes de usuarios/dispositivos relacionados
- Patrones de coordinación detectados
Tipos de conexiones que analiza:
- Múltiples usuarios usando el mismo dispositivo
- Dispositivos conectados a las mismas redes WiFi/Bluetooth
- Patrones de comportamiento idénticos entre usuarios diferentes
- Secuencias de acceso coordinadas temporalmente
Interpretación de cada indicador
| Indicador | Valor Normal | Valor de Alerta | Acción Recomendada |
|---|---|---|---|
| Malware Risks | 0-5 detecciones/día | >20 detecciones/día | Investigar dispositivos afectados |
| Emulator Risks | 0-10 detecciones/día | >50 detecciones/día | Reforzar validación de dispositivos |
| Location Risks | 0-15 casos/día | >100 casos/día | Revisar reglas geográficas |
| Behavioural Risks | 0-20 anomalías/día | >200 anomalías/día | Ajustar modelos de comportamiento |
| Link Analysis | 0-5 redes/día | >25 redes/día | Investigación de fraude organizado |
¿Cómo usar esta información?
Para priorización: Los indicadores se ordenan por:
- Número de casos detectados
- Nivel de riesgo promedio
- Tendencia de crecimiento en las últimas horas
Para investigación: Cada indicador puede expandirse para mostrar:
- Casos específicos más relevantes
- Detalles de los usuarios/dispositivos afectados
- Recomendaciones de acción específicas
Para reportes: Esta sección proporciona un resumen ejecutivo de:
- Los principales tipos de amenaza del día
- Volumen de cada tipo de riesgo
- Tendencias comparativas con días anteriores
Navegación e Interacción
Funcionalidades del Dashboard
| Elemento | Interactividad | Propósito |
|---|---|---|
| Métricas Principales | Click para detalles expandidos | Ver tendencias históricas y breakdowns |
| Mapa Geográfico | Zoom, filtros, overlays | Análisis geográfico detallado |
| Risk Indicators | Click para lista detallada | Investigar casos específicos |
Actualizaciones automáticas
| Sección | Frecuencia de Actualización | Indicador Visual |
|---|---|---|
| Métricas Principales | Cada 30 segundos | Timestamp en pantalla |
| Mapa Geográfico | Cada 60 segundos | Pulso en nuevos eventos |
| Risk Indicators | Cada 5 minutos | Badge de "actualizado" |
Interpretación Integral del Dashboard
¿Qué nos dice un dashboard "saludable"?
- Métricas principales: Valores dentro de rangos históricos normales
- Mapa geográfico: Distribución esperada según base de usuarios
- Risk indicators: Números bajos y consistentes con tendencias históricas
¿Qué nos dice un dashboard "en alerta"?
- Métricas principales: Picos súbitos o valores inusualmente bajos
- Mapa geográfico: Concentraciones anómalas o patrones irregulares
- Risk indicators: Incrementos significativos en cualquier categoría
Correlaciones importantes a observar
| Correlación | Interpretación | Acción |
|---|---|---|
| Alto volumen de users + muchos emulators | Posible ataque bot masivo | Activar contramedidas automatizadas |
| Picos en API calls + location risks | Ataques desde múltiples ubicaciones | Revisar reglas geográficas |
| Behavioral risks + link analysis altos | Red organizada de fraude | Investigación profunda coordinada |
Módulo Sessions
El Módulo de Sesiones constituye el núcleo operacional del sistema ADO-STS, proporcionando una interfaz completa para el monitoreo, análisis y gestión de todas las sesiones de usuario en tiempo real. Este módulo integra datos de múltiples fuentes para ofrecer una vista unificada del comportamiento del usuario y los riesgos asociados.
Sistema de Filtros Avanzados - Configuración Técnica
Filtros Primarios (Barra Superior)
| Filtro Técnico | Tipo de Datos | Descripción Técnica | Interpretación de Uso | Algoritmo Subyacente |
|---|---|---|---|---|
| Brand | Enum de fabricantes | Filtrado por marca del dispositivo (Apple, Samsung, Google, etc.) | Análisis de patrones por fabricante, detección de cambios abruptos de marca | Matching exacto con base de datos de dispositivos |
| User Group | Categoría segmentada | Clasificación del tipo de usuario (Business, Personal, Premium, etc.) | Segmentación de riesgo por tipo de usuario, aplicación de políticas específicas | Clasificación basada en metadatos de cuenta |
| Device Source | Origen de adquisición | Fuente de donde proviene el dispositivo (Organic, Referral, Direct, etc.) | Tracking de procedencia para detectar dispositivos comprometidos | Análisis de cadena de referencia |
| IP Country | ISO 3166-1 Alpha-2 | Código de país basado en geolocalización IP | Filtrado geográfico, detección de accesos desde países de riesgo | GeoIP database con actualización diaria |
| Indicators | Array de flags | Tipos específicos de alertas e indicadores de riesgo activados | Filtrado por señales específicas de fraude o comportamiento anómalo | Bitmap de indicadores con OR lógico |
| AI Context | Nivel de procesamiento | Profundidad del análisis de IA aplicado (Basic, Standard, Advanced, Deep) | Control del nivel de análisis, balance entre precisión y performance | Configuración de pipelines de ML |
| IP ISP | String del proveedor | Proveedor de servicios de Internet específico | Análisis por ISP, detección de granjas de bots o proxies comerciales | Lookup en bases de datos ASN/WHOIS |
| MUID | Hash único | Machine Unique Identifier para búsqueda específica | Tracking directo de dispositivos específicos | SHA-256 hash de características hardware |
| Platform | OS/Browser combo | Combinación de sistema operativo y plataforma de acceso | Análisis por plataforma, detección de emuladores | User-Agent parsing con validación |
| UA Device Brand | User-Agent parsing | Marca del dispositivo extraída del User-Agent | Comparación con brand real para detectare spoofing | Cross-validation entre fuentes |
| IP City | Geolocalización granular | Ciudad específica basada en IP con precisión metropolitana | Análisis local de patrones, detección micro-geográfica | GeoIP con precisión de ciudad (95%+ accuracy) |
| Date Range | Timestamp range | Selector de rango temporal con precisión de minutos | Análisis temporal de tendencias, investigación de incidentes | Índices temporales optimizados |
Filtros Secundarios (Chips/Tags Contextuales)
| Filtro Contextual | Descripción Técnica | Casos de Uso | Implementación |
|---|---|---|---|
| IP Location Risk | Evaluación automática del riesgo geográfico | Alto/Medio/Bajo basado en historial de fraude de la ubicación | Modelo ML entrenado con datos geográficos de fraude |
| User Group Business | Segmentación automática de usuarios corporativos | Aplicación de políticas específicas para usuarios empresariales | Clasificación basada en dominio de email y metadatos |
Estructura de Columnas - Análisis Técnico Detallado
Columnas de Identificación y Control
| Columna | Tipo de Dato | Descripción Técnica | Interpretación de Riesgo | Algoritmo de Análisis |
|---|---|---|---|---|
| TRY | Integer (1-∞) | Número secuencial de intentos de la sesión | >3 intentos indican comportamiento sospechoso, >5 es crítico | Contador incremental con timeout de reset |
| DATE | Timestamp UTC | Fecha y hora exacta de inicio de sesión con precisión de milisegundos | Análisis de patrones temporales, detección de actividad fuera de horarios | Índice temporal para consultas de rango |
| SCORE | Float (0-1000) | Puntuación de riesgo calculada por el motor de IA | 0-199: Bajo, 200-499: Medio, 500-799: Alto, 800+: Crítico | Ensemble de 12 modelos ML con weighted average |
| USER | Hash/ID único | Identificador único del usuario en el sistema | Tracking de comportamiento histórico del usuario | Hash irreversible de PII |
| CSID | UUID v4 | Client Session Identifier único por sesión | Correlación de eventos dentro de la misma sesión | UUID generado por cliente, validado por servidor |
Columnas de Contexto Temporal y Operacional
| Columna | Tipo de Dato | Descripción Técnica | Interpretación de Riesgo | Algoritmo de Análisis |
|---|---|---|---|---|
| DURATION | Integer (segundos) | Duración total de la sesión desde inicio hasta último evento | <30s o >3600s son anómalos según el tipo de operación | Análisis estadístico de distribución temporal |
| BRAND | Enum normalizado | Marca del dispositivo normalizada (Apple, Samsung, Xiaomi, etc.) | Cambios frecuentes de marca (>1/semana) incrementan score | Análisis de estabilidad de dispositivo |
| CHANNEL | String categorizado | Canal de acceso (Mobile App, Web, API, etc.) | Canales inusuales para el perfil del usuario | Análisis de consistencia de canal |
| CONTEXT | JSON estructurado | Información contextual adicional de la operación | LOGIN, LOGOUT, TRANSFER, etc. afectan interpretación del riesgo | Parsing de contexto operacional |
Columnas de Análisis de Red e Infraestructura
| Columna | Tipo de Dato | Descripción Técnica | Interpretación de Riesgo | Algoritmo de Análisis |
|---|---|---|---|---|
| ISP | String del proveedor | Nombre del proveedor de servicios de Internet | Cambios frecuentes de ISP sin roaming legítimo | Análisis de estabilidad de conectividad |
| IP | IPv4/IPv6 | Dirección IP pública desde la cual se origina la conexión | IPs de TOR, VPN, proxies conocidos incrementan riesgo | Blacklists y análisis de reputación IP |
| IP AGE | Integer (días) | Edad de la primera vez que esta IP fue vista en el sistema | IPs nuevas (edad 0) tienen mayor riesgo inherente | Tracking temporal de IPs |
| IP COUNTRY | ISO Alpha-2 | Código de país de dos letras basado en geolocalización IP | Países en listas de riesgo incrementan score automáticamente | GeoIP con validación de coherencia |
Columnas de Análisis de Dispositivo y Usuario
| Columna | Tipo de Dato | Descripción Técnica | Interpretación de Riesgo | Algoritmo de Análisis |
|---|---|---|---|---|
| KNOWN DEVICE | Boolean/Enum | Estado de reconocimiento del dispositivo (0=Nuevo, 1=Conocido) | Dispositivos nuevos requieren verificación adicional | Fingerprinting multi-dimensional |
| USERS ON DEVICE TW | Integer | Número de usuarios únicos que han usado este dispositivo en ventana temporal | >1 usuario por dispositivo es indicador de riesgo | Análisis de multiplicidad de usuarios |
| DEVICE USED | Integer | Número de veces que este dispositivo específico ha sido utilizado | Muy poco uso (<5) o uso excesivo (>100/día) es sospechoso | Análisis de frecuencia de uso |
| USER AGE | Integer (días) | Antigüedad del usuario en el sistema desde su primer registro | Usuarios muy nuevos (<7 días) tienen score de riesgo elevado | Cálculo de antigüedad con factor de confianza |
Columnas de Identificadores Técnicos
| Columna | Tipo de Dato | Descripción Técnica | Interpretación de Riesgo | Algoritmo de Análisis |
|---|---|---|---|---|
| MUID | Hash SHA-256 | Machine Unique Identifier basado en características hardware | Cambios de MUID indican nuevo dispositivo o manipulación | Hashing de componentes hardware únicos |
| SID | UUID v4 | Session Identifier único generado por el sistema | Utilizado para correlación de eventos y debugging | UUID generado server-side |
Interpretación de Códigos de Color en el Dashboard
Sistema de Semáforo Visual
| Color | Rango de Score | Interpretación | Acción Automática | Revisión Requerida |
|---|---|---|---|---|
| Verde | 0-299 | Riesgo Bajo - Comportamiento normal | Procesamiento automático | No |
| Amarillo | 300-599 | Riesgo Medio - Anomalías menores detectadas | Logging adicional | Revisión opcional |
| Naranja | 600-799 | Riesgo Alto - Múltiples indicadores sospechosos | Verificación automática | Revisión recomendada |
| Rojo | 800-949 | Riesgo Crítico - Patrón fraudulento probable | Bloqueo temporal | Revisión obligatoria |
| Rojo Intenso | 950-1000 | Riesgo Extremo - Fraude casi confirmado | Bloqueo inmediato | Escalamiento |
Funcionalidades Avanzadas del Módulo
Sistema de Búsqueda y Filtrado
Motor de Búsqueda:
- Elasticsearch backend para consultas complejas
- Índices optimizados por timestamp, score, usuario e IP
- Búsqueda fuzzy para identificadores parciales
- Agregaciones en tiempo real para estadísticas dinámicas
Filtros Combinados:
- Operadores lógicos (AND, OR, NOT) entre filtros
- Filtros temporales relativos (última hora, último día, última semana)
- Filtros geográficos con mapas interactivos
- Filtros por rangos para scores y métricas numéricas
Exportación y Reporting
| Formato | Descripción | Casos de Uso |
|---|---|---|
| CSV | Datos tabulares para análisis en Excel/Python | Análisis estadístico offline |
| JSON | Estructura completa de datos para integración | APIs y sistemas automatizados |
| Reportes formateados para presentación | Documentación de incidentes | |
| Excel | Hojas de cálculo con gráficos automáticos | Análisis ejecutivo |
Alertas y Notificaciones Configurables
Tipos de Alertas:
- Threshold alerts cuando score supera límites configurados
- Pattern alerts cuando se detectan patrones específicos
- Velocity alerts cuando aumenta la frecuencia de eventos
- Geographic alerts para accesos desde ubicaciones inusuales
Canales de Notificación:
- Email con plantillas personalizables
- SMS para alertas críticas
- Webhooks para integración con sistemas externos
- Dashboard notifications en tiempo real
Interpretación de Casos Específicos Observados en el Dashboard
Análisis de Sesiones Mostradas
Sesión 1 (Score 935):
- Interpretación: Riesgo medio por ser dispositivo nuevo (KNOWN DEVICE = 0)
- Factores: Apple/JavaScript, BIE channel, IP alemana (98.98.26.149)
- Recomendación: Monitoreo adicional pero no bloqueo
Sesión 2 (Score 972):
- Interpretación: Riesgo crítico - múltiples factores sospechosos
- Factores: Score muy alto, posible cambio de dispositivo
- Recomendación: Bloqueo inmediato y revisión manual
Sesión 3 (Score 868):
- Interpretación: Riesgo alto - patrón fraudulento probable
- Factores: Duración 380 segundos (inusual), contexto LOGIN_LOGIN_LOGOUT
- Recomendación: Verificación adicional requerida
Optimización del Uso del Módulo
Mejores Prácticas Operacionales
- Monitoreo Proactivo: Revisar scores >600 en tiempo real
- Análisis de Tendencias: Usar filtros temporales para identificar patrones
- Correlación de Datos: Combinar múltiples filtros para investigaciones
- Documentación de Casos: Exportar evidencia para análisis forense
Configuraciones Recomendadas por Industria
Sector Bancario:
- Threshold de alerta: 400
- Revisión manual obligatoria: 600+
- Bloqueo automático: 800+
E-commerce:
- Threshold de alerta: 500
- Revisión manual obligatoria: 700+
- Bloqueo automático: 850+
Sector Gobierno:
- Threshold de alerta: 300
- Revisión manual obligatoria: 500+
- Bloqueo automático: 700+
Análisis Relacional
Grafos de Conexión
El sistema visualiza relaciones entre:
- Usuarios → Dispositivos
- Dispositivos → Ubicaciones
- Ubicaciones → Redes
- Redes → ISPs
- Usuarios → Patrones de Comportamiento
Indicadores de Alerta en Análisis Relacional
- Mismo Wi-Fi → Distintos Usuarios: Posible uso compartido malicioso
- Mismo Patrón de Comportamiento → Distintos Dispositivos: Posible bot
- Mismos Dispositivos BT → Diferentes Ubicaciones: Dispositivo móvil sospechoso
- Mismo ISP → Diferentes Cuentas: Granjas de fraude
Parámetros de Filtrado
Filtros Temporales
| Parámetro | Opciones | Uso Recomendado |
|---|---|---|
| Date Range | Selector de fechas | Análisis de tendencias y patrones temporales |
| Time of Day | Franjas horarias | Detección de actividad fuera de horarios normales |
Filtros Geográficos
| Parámetro | Opciones | Uso Recomendado |
|---|---|---|
| IP Country | Lista de países | Identificación de accesos desde países de riesgo |
| IP City | Ciudades específicas | Análisis local de patrones |
| Location Risk | Alto, Medio, Bajo | Filtrado por nivel de riesgo geográfico |
Filtros de Dispositivo
| Parámetro | Opciones | Uso Recomendado |
|---|---|---|
| Device Brand | Apple, Samsung, etc. | Análisis por fabricante |
| OS Family | iOS, Android, Windows | Segmentación por sistema operativo |
| Device Age | Nuevo, Conocido, Frecuente | Estado del dispositivo en el sistema |
| Device Source | Orgánico, Referido, etc. | Origen del dispositivo |
Filtros de Red
| Parámetro | Opciones | Uso Recomendado |
|---|---|---|
| ISP | Proveedores específicos | Análisis por proveedor de Internet |
| Connection Type | Móvil, Wi-Fi, Ethernet | Tipo de conexión utilizada |
| VPN Detection | Sí, No, Probable | Identificación de uso de VPN |
Filtros de Comportamiento
| Parámetro | Opciones | Uso Recomendado |
|---|---|---|
| User Behavior | Normal, Sospechoso, Anómalo | Filtrado por patrón comportamental |
| Session Duration | Rangos de tiempo | Identificación de sesiones atípicas |
| Activity Pattern | Múltiples criterios | Análisis de patrones de actividad |
Filtros de Riesgo
| Parámetro | Opciones | Uso Recomendado |
|---|---|---|
| Risk Score | Rangos 0-1000 | Filtrado por nivel de riesgo |
| Fraud Indicators | Lista de indicadores | Búsqueda por señales específicas |
| Alert Type | Categorías de alertas | Filtrado por tipo de alerta |
Casos de Uso y Ejemplos
Caso 1: Detección de Fraude por Copiar/Pegar DNI
Indicadores Detectados:
- Patrón de escritura: Paste vs Manual typing
- Pausas máximas durante el tecleo >2 segundos
- Navegación por teclado vs mouse
Interpretación: Los usuarios legítimos escriben su DNI manualmente, mientras que los fraudadores suelen copiarlo y pegarlo.
Caso 2: Detección de Dispositivos Robados
Indicadores Clave:
- Wi-Fi Name: Cambio abrupto de red doméstica
- BT Sign: Dispositivos Bluetooth desconocidos
- Location ID: Nueva ubicación sin patrón de viaje
- New ISP: Cambio de proveedor de Internet
- SIM Status: "No SIM detected"
- New Location: Ubicación nunca antes vista
Caso 3: Análisis de Usuario Múltiple en Dispositivo
Patrones Detectados:
- Diferentes tamaños de huella dactilar
- Variaciones en movimientos del acelerómetro
- Pausas máximas en actividad inconsistentes
- Múltiples usuarios en ventana de 4 horas
Caso 4: Detección de Estafas (Account Move Scam)
Indicadores Específicos:
- Is clean account money transfer: 98.7% prevalencia en fraude
- Multiple switch phone position ear-eye: Comportamiento nervioso
- Is new payee: 98.7% prevalencia en fraude
- Call status during login: "ON GOING" - llamada activa durante login
- Is senior user: Target demográfico común para estafas
Caso 5: Análisis de Edad de Ubicación
Patrón Normal vs Fraudulento:
- Usuarios Legítimos: Consistencia en ubicaciones (edad >14 días)
- Sesiones Fraudulentas: Concentración en ubicaciones nuevas (edad 0-1 días)
Módulo Live Sessions
El Módulo Live Sessions es el centro neurálgico de monitoreo en tiempo real de ADO-STS Technologies, diseñado para proporcionar visibilidad completa y control operacional sobre todas las sesiones activas en su plataforma digital. Este módulo integra inteligencia artificial avanzada, análisis biométrico comportamental y detección de fraude en tiempo real para ofrecer una solución de seguridad proactiva y preventiva.
Propósito Principal: Permitir a los equipos de seguridad y operaciones monitorear, analizar e intervenir en sesiones de usuario mientras están en curso, identificando amenazas potenciales antes de que se materialicen en pérdidas o compromisos de seguridad.
Parámetros y Columnas del Sistema
Tabla de Parámetros Principales
| Parámetro | Descripción Técnica | Valores/Rango | Significado Operacional |
|---|---|---|---|
| UID | Identificador Único Universal de sesión | Alfanumérico (formato: XXXXXXXX) | Clave primaria para seguimiento y correlación de eventos |
| DATE | Timestamp de inicio de sesión | Formato: DD/MM/YYYY HH:MM | Momento exacto de inicio para análisis temporal |
| ACTUAL TIME | Tiempo real actual del sistema | Formato: HH:MM:SS | Sincronización para correlación de eventos |
| SCORE | Puntuación de riesgo de fraude | 0-1000 (escala logarítmica) | Indicador principal de amenaza de seguridad |
| DEVICE SOURCE | Origen y tipo de dispositivo | Mobile/Desktop/Tablet + OS | Contexto tecnológico de la sesión |
| DURATION | Duración activa de la sesión | HH:MM:SS | Indicador de comportamiento y persistencia |
| ACTIVITIES | Contador de actividades realizadas | Numérico (0-∞) | Métrica de intensidad de uso |
Interpretación del Score de Riesgo
| Rango de Score | Nivel de Riesgo | Color Indicador | Acción Recomendada | Descripción |
|---|---|---|---|---|
| 0-200 | Muy Bajo | Verde | Monitoreo pasivo | Usuario legítimo con patrones normales |
| 201-500 | Bajo | Amarillo claro | Observación activa | Comportamiento ligeramente atípico |
| 501-700 | Medio | Naranja | Verificación adicional | Patrones sospechosos detectados |
| 701-850 | Alto | Rojo | Intervención inmediata | Alta probabilidad de fraude |
| 851-1000 | Crítico | Púrpura | Bloqueo preventivo | Amenaza confirmada - acción urgente |
Funcionalidades Operacionales
Capacidades de Filtrado y Búsqueda
| Tipo de Filtro | Parámetros | Uso Operacional |
|---|---|---|
| Búsqueda por UID | Campo de texto libre | Localización específica de sesiones |
| Filtro por Score | Rango numérico (min-max) | Focalización en niveles de riesgo |
| Filtro Temporal | Ventana de tiempo | Análisis de patrones temporales |
| Filtro por Dispositivo | Tipo/OS/Modelo | Segmentación tecnológica |
| Filtro Geográfico | País/Región/Ciudad | Análisis de ubicación y contexto |
Indicadores de Comportamiento en Tiempo Real
El sistema analiza continuamente múltiples dimensiones de comportamiento:
| Categoría | Parámetros Monitoreados | Alertas Generadas |
|---|---|---|
| Biometría Comportamental | Velocidad de escritura, presión táctil, patrones de mouse | Cambios súbitos en patrones establecidos |
| Contexto Ambiental | Wi-Fi, Bluetooth, sensores, ubicación GPS | Inconsistencias geográficas o ambientales |
| Análisis Relacional | Dispositivos cercanos, redes compartidas | Conexiones con entidades de riesgo |
| Actividad Transaccional | Frecuencia, montos, tipos de operación | Comportamientos financieros anómalos |
Casos de Uso y Escenarios Operacionales
Detección de Amenazas Comunes
| Escenario | Indicadores | Score Típico | Respuesta Automática |
|---|---|---|---|
| Teléfono Robado | Nueva ubicación + nuevo ISP + sin SIM | 800-950 | Bloqueo temporal + verificación OTP |
| Coacción/Extorsión | Llamada activa durante transacción | 600-750 | Desafío de seguridad adicional |
| Cuenta Comprometida | Cambio de contraseña reciente + nuevo dispositivo | 700-850 | Verificación de identidad completa |
| Bot/Automatización | Patrones mecánicos de interacción | 850-1000 | Bloqueo inmediato + CAPTCHA |
| Fraude Organizado | Múltiples usuarios mismo Wi-Fi | 650-800 | Análisis de red completa |
Métricas de Rendimiento del Módulo
| Métrica | Valor Objetivo | Descripción |
|---|---|---|
| Tiempo de Detección | < 5 segundos | Latencia desde evento hasta alerta |
| Tasa de Falsos Positivos | < 2% | Sesiones legítimas marcadas como fraudulentas |
| Tasa de Detección | > 95% | Fraudes identificados correctamente |
| Capacidad de Procesamiento | 10,000+ sesiones simultáneas | Escalabilidad del sistema |
| Disponibilidad | 99.9% | Tiempo de operación continua |
Beneficios Operacionales y ROI
Ventajas Competitivas
- Prevención Proactiva: Intercepta fraudes antes de completarse, reduciendo pérdidas en 85-95%
- Visibilidad Total: Conocimiento completo del estado de seguridad en tiempo real
- Respuesta Inmediata: Capacidad de intervención en menos de 10 segundos
- Análisis Contextual: Cada sesión evaluada en su contexto ambiental y relacional completo
- Escalabilidad Ilimitada: Arquitectura cloud-native que crece con su negocio
Impacto en Métricas de Negocio
| Área de Impacto | Mejora Esperada | Beneficio Cuantificable |
|---|---|---|
| Reducción de Fraude | 85-95% | Ahorro directo en pérdidas |
| Experiencia de Usuario | Reducción 70% fricciones | Mayor conversión y retención |
| Costos Operacionales | Reducción 60% investigaciones manuales | Optimización de recursos humanos |
| Tiempo de Respuesta | De horas a segundos | Prevención de escalamiento de amenazas |
| Cumplimiento Regulatorio | 100% trazabilidad | Reducción de riesgos legales |
Módulo Profile
El Módulo Profile constituye el centro neurálgico del sistema ADO STS, proporcionando una plataforma integral para la gestión, monitoreo y análisis de casos de fraude. Este módulo centraliza todas las herramientas especializadas necesarias para combatir el fraude digital, integrando tecnologías avanzadas de biometría comportamental, inteligencia ambiental y análisis relacional.
Arquitectura del Módulo
El Módulo Profile está diseñado como una solución modular que permite a los analistas de seguridad acceder a diferentes funcionalidades especializadas desde una interfaz unificada:
- Blocklist: Sistema de prevención mediante listas de bloqueo
- Fraud Cases: Gestión activa de casos de fraude
- Fraud History: Análisis histórico y tendencias
- Graph: Visualización de análisis relacional
- Change Password: Gestión de credenciales de usuario
Blocklist
Blocklist es un sistema de prevención proactivo que permite gestionar y mantener listas dinámicas de elementos identificados como fraudulentos o potencialmente riesgosos. Este módulo actúa como la primera línea de defensa del sistema, bloqueando automáticamente accesos desde fuentes conocidamente comprometidas, el módulo Blocklist implementa un sistema de filtrado multicapa que categoriza amenazas según diferentes vectores de ataque. Utiliza algoritmos de machine learning para actualizar automáticamente las listas de bloqueo basándose en patrones de comportamiento fraudulento detectados en tiempo real.
Categorías de Filtros Disponibles:
| Filtro | Descripción | Aplicación |
|---|---|---|
| Phishing | Detecta elementos relacionados con ataques de suplantación de identidad | Bloqueo de dominios, IPs y patrones maliciosos |
| ATO Fraud | Account Takeover - Casos de toma de cuentas no autorizadas | Prevención de accesos desde dispositivos comprometidos |
| Remote Access Fraud | Fraudes ejecutados mediante acceso remoto no autorizado | Detección de herramientas de acceso remoto maliciosas |
| Cell Phone Theft | Dispositivos móviles reportados como robados | Bloqueo basado en IMEI y características del dispositivo |
| Confirmed Fraud Checked | Casos de fraude confirmados y verificados por analistas | Lista definitiva de elementos fraudulentos |
| Suspected Fraud Checked | Casos bajo investigación con alta probabilidad de fraude | Lista de elementos en observación |
| Digital Fraud | Fraudes digitales de naturaleza general | Patrones de comportamiento anómalo en transacciones |
| Social Engineering Fraud | Casos de manipulación psicológica para obtener información | Detección de patrones de ingeniería social |
| Session Is GPS Enabled | Control de sesiones con geolocalización activa | Validación de ubicación geográfica |
| Sim Swap | Casos de intercambio fraudulento de tarjetas SIM | Prevención de ataques de SIM swapping |
| Malware Fraud | Dispositivos infectados con software malicioso | Detección de firmas de malware y comportamiento anómalo |
| Is New Device | Dispositivos no reconocidos en el perfil del usuario | Control de acceso desde dispositivos nuevos |
| Is Owner Device | Verificación de propiedad legítima del dispositivo | Validación de autenticidad del propietario |
Casos de Uso Principales:
- Prevención Automatizada: Bloqueo inmediato de amenazas conocidas sin intervención manual
- Gestión de Riesgos: Creación de políticas personalizadas de prevención según el perfil de riesgo
- Inteligencia de Amenazas: Mantenimiento de bases de datos actualizadas de vectores de ataque
- Cumplimiento Regulatorio: Documentación de medidas preventivas para auditorías
Fraud Cases
Fraud Cases es el centro de comando para la gestión activa de casos de fraude, proporcionando herramientas completas para el seguimiento, investigación y resolución de incidentes de seguridad en tiempo real, este módulo implementa un sistema de gestión de casos (Case Management System) especializado en fraude, que permite la coordinación eficiente entre equipos de análisis, la priorización inteligente de casos y el seguimiento completo del ciclo de vida de cada incidente desde su detección hasta su resolución.
Dashboard de Alertas:
Métricas en Tiempo Real (24h):
- Total Alerts: Volumen total de alertas generadas
- Assigned to Me: Casos asignados al analista actual
- Pending Alerts: Casos pendientes de revisión
- New Alerts: Nuevas detecciones no procesadas
- Confirmed Fraud: Casos confirmados como fraudulentos
Estados de Clasificación:
| Estado | Descripción | Acción Requerida |
|---|---|---|
| Confirmed Genuine | Actividad confirmada como legítima | Cierre de caso - Sin acción |
| New No Answer | Casos nuevos sin respuesta del usuario | Investigación adicional requerida |
| Reviewed | Casos revisados pendientes de decisión final | Escalamiento o cierre |
| Suspected Fraud | Alta probabilidad de actividad fraudulenta | Investigación profunda |
Sistema de Tracking Completo:
- CSID: Identificador único de sesión de cliente
- UID: Identificador único de usuario
- Brand: Marca o entidad asociada al caso
- Session Time: Duración y timing de la sesión sospechosa
- Actions: Registro de acciones tomadas
- Priority: Nivel de prioridad asignado
- Status: Estado actual del caso
Filtros y Herramientas de Análisis:
- Filtros Dinámicos: New, Reason, User Group, Brand
- Búsqueda Avanzada: Por UID, dispositivo, ubicación
- Análisis Temporal: Created On, Last Update, Last Call Time
- Clasificación Detallada: Decision, Assigned To, Fraud Type, Report Type
Aplicaciones Operacionales:
- Investigación Forense: Análisis detallado de patrones de comportamiento sospechoso
- Gestión de Workload: Distribución eficiente de casos entre analistas
- Escalamiento Automático: Priorización basada en nivel de riesgo
- Reporting Ejecutivo: Generación de reportes para management
- Coordinación de Respuesta: Sincronización de acciones entre departamentos
Fraud History
Fraud History mantiene un repositorio histórico completo y analítico de todos los casos de fraude procesados por el sistema, proporcionando capacidades avanzadas de análisis retrospectivo, identificación de tendencias y generación de inteligencia operacional. este módulo implementa un sistema de Business Intelligence especializado en seguridad, que transforma los datos históricos de fraude en insights accionables para la toma de decisiones estratégicas y la optimización continua de los sistemas de prevención.
Ventanas Temporales de Análisis:
Métricas Comparativas:
- Past 24 Hours: Análisis de actividad reciente y detección de patrones emergentes
- Past 7 Days: Tendencias semanales y variaciones operacionales
- Past 30 Days: Análisis mensual para planificación estratégica
Categorización Estadística:
| Métrica | Definición | Valor Estratégico |
|---|---|---|
| Total Cases | Volumen total de casos procesados | Indicador de carga operacional |
| Confirmed Fraud | Casos definitivamente fraudulentos | Tasa de efectividad de detección |
| Confirmed Genuine | Casos confirmados como legítimos | Medición de falsos positivos |
| Suspected Fraud | Casos en investigación | Pipeline de casos pendientes |
| No Answer | Casos sin respuesta del usuario | Métrica de engagement |
| New | Casos nuevos en el período | Tendencia de nuevas amenazas |
| Percent New Sessions | Porcentaje de sesiones nuevas | Indicador de crecimiento |
| Percent Approve | Tasa de aprobación | Eficiencia del sistema |
Aplicaciones Analíticas:
- Trend Analysis: Identificación de patrones temporales y estacionales
- Performance Metrics: Evaluación de efectividad de medidas preventivas
- Predictive Analytics: Modelado de tendencias futuras basado en datos históricos
- Compliance Reporting: Generación automatizada de reportes regulatorios
- Risk Assessment: Evaluación continua del landscape de amenazas
- ROI Analysis: Medición del retorno de inversión en medidas de seguridad
Graph
Graph proporciona capacidades avanzadas de visualización y análisis relacional, transformando datos complejos de fraude en representaciones gráficas interactivas que revelan conexiones ocultas, patrones de comportamiento y estructuras de fraude organizadas, este módulo implementa tecnologías de análisis de grafos y network analysis para crear representaciones visuales multidimensionales de las relaciones entre entidades (usuarios, dispositivos, ubicaciones, redes). Utiliza algoritmos de clustering y detección de comunidades para identificar grupos de fraude coordinados y patrones de comportamiento anómalo.
Sistema de Visualización:
Node Legend (Leyenda de Nodos):
- 🔴 Confirmed Fraud: Entidades confirmadas como fraudulentas
- 🟠 Suspected Fraud: Entidades bajo sospecha de fraude
- 🟢 Confirmed Genuine: Entidades verificadas como legítimas
- ⚪ Pending Review: Entidades pendientes de clasificación
Tipos de Conexiones Relacionales:
| Tipo de Relación | Descripción | Aplicación |
|---|---|---|
| User-Device | Vínculos entre usuarios y dispositivos | Detección de device sharing anómalo |
| Device-Network | Conexiones entre dispositivos y redes Wi-Fi | Análisis de ubicación y contexto |
| User-Location | Relaciones geográficas de usuarios | Detección de imposibilidad geográfica |
| Behavioral Patterns | Similitudes en patrones de comportamiento | Identificación de automatización |
| Network Infrastructure | Conexiones de infraestructura de red | Análisis de ISP y routing |
Algoritmos de Análisis:
| Algoritmo | Descripción | Aplicación Específica |
|---|---|---|
| Cluster Detection | Identificación automática de grupos relacionados | Agrupa entidades con comportamientos similares o conexiones frecuentes |
| Community Analysis | Detección de comunidades de fraude organizadas | Identifica redes estructuradas de fraude con múltiples participantes |
| Centrality Measures | Identificación de nodos críticos en redes de fraude | Encuentra elementos centrales que coordinan actividades fraudulentas |
| Anomaly Detection | Detección de conexiones anómalas o sospechosas | Identifica relaciones inusuales que no siguen patrones normales |
| Temporal Analysis | Evolución de conexiones a lo largo del tiempo | Analiza cómo se desarrollan y cambian las relaciones fraudulentas |
Casos de Uso Especializados:
| Tipo de Análisis | Caso de Uso | Descripción Técnica | Indicadores de Fraude |
|---|---|---|---|
| Detección de Fraude Familiar | Múltiples usuarios - Mismo dispositivo | Análisis de patrones de uso compartido legítimo vs. fraudulento | Cambios drásticos en biometría comportamental, horarios de uso inconsistentes |
| Análisis de Ubicación Geográfica | Usuarios diferentes - Misma red Wi-Fi | Detección de call centers fraudulentos o farm operations | Alta concentración de usuarios sospechosos en misma ubicación física |
| Patrones de Dispositivos | Mismo comportamiento - Dispositivos diferentes | Identificación de automatización y bot networks | Biometría comportamental idéntica en múltiples dispositivos |
| Análisis de ISP y Infraestructura | Múltiples cuentas - Mismo proveedor | Detección de infraestructura compartida para operaciones fraudulentas | Clustering de actividad sospechosa por proveedor de internet |
Herramientas Interactivas:
| Herramienta | Funcionalidad | Beneficio Operacional |
|---|---|---|
| Filtros Temporales | Análisis por períodos específicos | Permite análisis histórico y identificación de patrones estacionales |
| Control de Visualización | Ajuste de profundidad y densidad del grafo | Optimiza la visualización según complejidad de la red analizada |
| Node Interaction | Exploración detallada mediante clicks en nodos | Facilita la investigación forense de entidades específicas |
| Export Capabilities | Generación de reportes visuales para presentaciones | Permite documentación y comunicación efectiva de hallazgos |