Interpretación Session
Resumen
El Módulo de Resumen es el apartado principal que presenta una evaluación completa y consolidada de todos los riesgos asociados a una sesión específica. Proporciona una vista integral que combina múltiples análisis para determinar la autenticidad y nivel de riesgo de la interacción del usuario.
DEVICE RISKS
Qué significa: Evalúa todos los riesgos relacionados con el dispositivo físico utilizado para acceder a la plataforma.
Valor mostrado: 85/845 Fraud
- 85: Score de riesgo del dispositivo en escala 0-100
- 845: Número total de casos de fraude detectados previamente con características de dispositivo similares
Parámetros que analiza:
- Modelo, marca y especificaciones del dispositivo
- Sistema operativo y versión
- Configuraciones de seguridad del dispositivo
- Identificadores únicos (IMEI, MAC address, etc.)
- Historial de actividad fraudulenta del dispositivo
- Configuraciones sospechosas o modificaciones
- Presencia de software malicioso o herramientas de hacking
- Edad del dispositivo en la plataforma
Cómo contribuye al Integrated Score: Aporta aproximadamente 25-30% del peso total al score final. Un dispositivo con alto riesgo puede elevar significativamente el score integrado.
LOCATION RISKS
Qué significa: Analiza todos los aspectos relacionados con la ubicación geográfica y contexto de red desde donde se realiza el acceso.
Valor mostrado: 87/865 Fraud
- 87: Score de riesgo geográfico en escala 0-100
- 865: Casos de fraude asociados a patrones de ubicación similares
Parámetros que analiza:
- Coordenadas GPS versus geolocalización por IP
- Zona horaria configurada versus zona horaria real
- Proveedor de servicio de Internet (ISP)
- Tipo de red (celular, WiFi, VPN)
- Velocidad de desplazamiento imposible entre sesiones
- Ubicaciones inusuales para el usuario
- Países o regiones de alto riesgo
- Consistencia entre ubicación declarada y técnica
- Historial de ubicaciones del usuario
Cómo contribuye al Integrated Score: Representa aproximadamente 20-25% del peso en el cálculo final. Ubicaciones anómalas o de alto riesgo incrementan el score integrado.
BEHAVIOURAL RISKS
Qué significa: Mide los patrones de comportamiento del usuario durante la interacción con la plataforma para detectar anomalías.
Valor mostrado: 68/684 Data collection phase
- 68: Score de riesgo comportamental en escala 0-100
- 684: Indica que está en fase de recolección de datos comportamentales
Parámetros que analiza:
- Velocidad y ritmo de escritura (keystroke dynamics)
- Patrones de movimiento del mouse o gestos táctiles
- Presión aplicada en pantallas táctiles
- Tamaño del área de contacto del dedo
- Tiempo entre acciones y clicks
- Patrones de navegación únicos del usuario
- Secuencia de interacciones con la interfaz
- Movimientos del dispositivo durante el uso (acelerómetro)
- Comparación con perfil comportamental histórico del usuario
Cómo contribuye al Integrated Score: Aporta aproximadamente 20-25% del peso total. Comportamientos que no coinciden con el perfil del usuario legítimo aumentan el score de riesgo.
INTEGRATED SCORE
Qué significa: Es el score final consolidado que combina todos los análisis anteriores mediante algoritmos de inteligencia artificial para proporcionar una evaluación unificada del riesgo.
Valor mostrado: 99/994
- 99: Score simplificado en escala 0-100
- 994: Score detallado en escala extendida 0-1000
Cómo se calcula el Integrated Score:
Componentes principales (75-80% del peso):
- Device Risks: 25-30%
- Location Risks: 20-25%
- Behavioural Risks: 20-25%
Componentes adicionales (20-25% del peso):
- Modelos de detección de malware: 5-8%
- Detección de bots: 5-8%
- Análisis de riesgo por actividad: 5-7%
- Análisis relacional y conexiones: 5-7%
Proceso de cálculo:
- Cada componente genera su score individual
- La IA aplica pesos dinámicos según el contexto
- Se ejecutan modelos adicionales especializados
- Se realiza análisis relacional con otras sesiones
- Se aplica el modelo de machine learning final
- Se genera el score integrado unificado
Escalas de interpretación: Cálculo del score de riesgo
INFORMACIÓN DE SESIÓN COMPLEMENTARIA
Contexto operacional:
Tipo de operación: AUTH,LOGIN,LOGIN_PASSWORD
UserID: UNPROTECTED_3CE8800337
Session ID: 1751297457
Device age: 0 (dispositivo completamente nuevo)
Users on this device: 0 (primer usuario en este dispositivo)
Características técnicas:
Device type: iOS-Device
Browser: Interbank%20UAT (altamente sospechoso)
Timezone: America/Lima
Platform: iOS 0
Brand: SMP
Device First appearance: 2025-06-30,15:30:57
TABLA DE INDICADORES DETALLADOS
Estructura y significado de cada columna:
NAME: Nombre del indicador específico analizado VALUE: Valor detectado para ese indicador AGE: Número de días desde la primera aparición de este valor COUNTER: Cantidad de veces que se ha observado este valor RELATIVE PREVALENCE: Porcentaje de frecuencia en la población total INDICATION STRENGTH: Fuerza del indicador de riesgo (0-1000)
Interpretación de colores:
- Verde: Indicadores normales con baja indication strength
- Amarillo/Naranja: Indicadores moderadamente sospechosos
- Rojo: Indicadores altamente sospechosos con alta indication strength
Ejemplo del caso mostrado:
ua_browser_family: "Interbank%20UAT"
- VALUE: Interbank%20UAT
- AGE: 214 días desde primera detección
- COUNTER: 1 (solo visto una vez)
- RELATIVE PREVALENCE: 0.0% (nunca visto en población normal)
- INDICATION STRENGTH: 1000 (máximo nivel de sospecha)
Este indicador muestra un navegador altamente sospechoso que imita la aplicación bancaria oficial pero con características técnicas anómalas.
Riesgos
El apartado de Riesgos es un módulo de validación y verificación que ejecuta múltiples controles de seguridad en tiempo real durante una sesión. Su función principal es validar la autenticidad de tres componentes críticos:
- Device Risks: Validar que el dispositivo es legítimo y seguro
- Location Risks: Verificar que la ubicación es coherente y permitida
- Behavioural Risks: Confirmar que el comportamiento corresponde al usuario real
Estados de Validación
| Estado |
Color |
Significado |
Interpretación |
| VERDE |
Verde |
Validación Exitosa |
El parámetro fue verificado correctamente. Los controles de seguridad pasaron satisfactoriamente. El elemento cumple con los criterios de seguridad establecidos |
| ROJO |
Rojo |
Validación Fallida |
El parámetro no pudo ser validado positivamente. Los controles de seguridad detectaron problemas. El elemento presenta características que generan alertas de seguridad |
| MORADO |
Morado |
Validación Indeterminada |
El parámetro no se pudo validar completamente. Los controles no pudieron obtener información suficiente. El estado del elemento es incierto o ambiguo |
DEVICE RISKS - RIESGOS DEL DISPOSITIVO
Parámetros de Alto Riesgo (ROJO)
| Parámetro |
Descripción |
Interpretación |
Nivel de Riesgo |
| Unknown device |
El dispositivo no existe en la base de datos de dispositivos conocidos |
Es la primera vez que este dispositivo accede a la plataforma |
Dispositivos nuevos pueden ser utilizados específicamente para fraude |
| Suspicious device characteristics |
Las características técnicas del dispositivo presentan anomalías |
Hardware, software o configuraciones que no son típicas o han sido modificadas |
Dispositivo alterado para evadir controles de seguridad |
| Emulator |
Se detectó que se está usando un emulador de dispositivo móvil |
Software que simula un teléfono/tablet en una computadora |
Herramienta común para automatizar fraudes masivos |
| VPN |
Se detectó una conexión VPN activa |
El usuario está ocultando su ubicación real mediante una red privada virtual |
Evasión de controles geográficos y ocultamiento de identidad |
Parámetros de Riesgo Indeterminado (MORADO)
| Parámetro |
Descripción |
Razón del Estado Morado |
Interpretación |
| VPN installed? |
Hay indicios de software VPN instalado pero no confirmación total |
El sistema detecta patrones de VPN pero no puede acceder completamente a la lista de aplicaciones |
Posible capacidad de ocultar ubicación |
| Compromised Device |
El dispositivo muestra algunos signos de haber sido comprometido |
Algunos indicadores sugieren compromiso pero el análisis no es concluyente |
Posible infección de malware o acceso no autorizado |
Parámetros Validados - Bajo Riesgo (VERDE)
| Parámetro |
Descripción |
Estado Actual |
Interpretación |
| Active malware (42) |
Sistema de detección de malware funcionando, 42 indica nivel de análisis completado |
No se detectó software malicioso activo |
Dispositivo limpio |
| Device properties consistency for identity |
Las propiedades del dispositivo coinciden con el perfil del usuario |
El dispositivo es consistente con el historial del usuario legítimo |
Validación positiva de autenticidad |
| Bot |
Análisis para detectar comportamiento automatizado o scripts |
No se detectó actividad de bots |
Interacción humana confirmada |
| Identities accessed by this device |
Registro de cuántas identidades diferentes han usado este dispositivo |
Patrón normal de uso del dispositivo |
Sin uso sospechoso por múltiples identidades |
| Device is in blocklist |
Verificación contra listas negras de dispositivos conocidos como maliciosos |
El dispositivo no está reportado como peligroso |
No está en listas de bloqueo |
| Remote Access |
Detección de software de acceso remoto activo |
No se detectaron herramientas de control remoto |
Usuario en control directo del dispositivo |
| Rooted Device |
Verificación si el dispositivo tiene permisos de root/jailbreak |
Sistema operativo sin modificaciones peligrosas |
Dispositivo con seguridad íntegra |
LOCATION RISKS - RIESGOS DE UBICACIÓN
Parámetros de Alto Riesgo (ROJO)
| Parámetro |
Descripción |
Interpretación |
Nivel de Riesgo |
| Unknown location for identity |
La ubicación actual no coincide con ninguna ubicación conocida del usuario |
Usuario accediendo desde un lugar completamente nuevo |
Posible acceso no autorizado desde ubicación comprometida |
| Suspicious location attributes |
La ubicación geográfica tiene características asociadas con fraude |
Área conocida por actividades fraudulentas o bloqueada |
Zona de alto riesgo para transacciones |
| GPS enabled? |
El GPS del dispositivo está deshabilitado |
No se puede verificar la ubicación real del dispositivo |
Imposibilidad de validar ubicación precisa |
| New IP country? |
La dirección IP pertenece a un país diferente al habitual del usuario |
Acceso desde país no característico del usuario |
Posible uso de VPN o acceso comprometido |
Parámetros de Riesgo Indeterminado (MORADO)
| Parámetro |
Descripción |
Razón del Estado Morado |
Interpretación |
| GPS location mismatch |
La ubicación GPS no coincide con la ubicación determinada por IP |
Ambas fuentes proporcionan ubicaciones diferentes pero válidas |
Discrepancia que requiere análisis adicional |
Parámetros Validados - Bajo Riesgo (VERDE)
| Parámetro |
Descripción |
Estado Actual |
Interpretación |
| Location change velocity |
La velocidad de cambio entre ubicaciones es físicamente posible |
El desplazamiento es coherente con medios de transporte reales |
Patrón normal de movilidad |
| Location is in blocklist |
Verificación contra listas de ubicaciones prohibidas |
La ubicación no está en zonas bloqueadas |
Ubicación permitida para transacciones |
BEHAVIOURAL RISKS - RIESGOS COMPORTAMENTALES
Parámetros Validados - Bajo Riesgo (VERDE)
| Parámetro |
Descripción |
Estado Actual |
Interpretación |
| Risky keyboard event |
Análisis de patrones de escritura, velocidad y ritmo de tecleo |
Los patrones de teclado coinciden con la biometría del usuario legítimo |
Comportamiento de escritura normal y auténtico |
| Risky mouse event |
Evaluación de movimientos, clicks y patrones del mouse |
Los movimientos del mouse son característicos del usuario real |
Interacción natural sin automatización |
| Use of autocomplete |
Detección del uso normal de funciones de autocompletado |
Uso típico de herramientas del navegador |
Comportamiento humano normal |
| Parámetro |
Estado |
Descripción |
Razón |
| Form navigation |
N/A |
Datos sobre navegación en formularios no disponibles |
Este análisis no aplica para el tipo de sesión actual |
Interpretación de Resultados
Matriz de Decisión por Combinación de Estados
| Combinación de Colores |
Nivel de Riesgo |
Descripción |
Acción Sugerida |
| Todo Verde |
BAJO |
Todos los parámetros pasaron las validaciones |
Proceder con confianza total |
| Verde + Morado |
MEDIO-BAJO |
Mayoría de validaciones exitosas con algunas indeterminadas |
Proceder con monitoreo adicional |
| Verde + 1-2 Rojos |
MEDIO |
Validaciones mixtas con algunos problemas detectados |
Requiere intervención manual o bloqueo automático |
| Múltiples Morados |
MEDIO-ALTO |
Múltiples validaciones incompletas |
Análisis manual recomendado |
| Múltiples Rojos |
ALTO |
Múltiples problemas de seguridad detectados |
Bloqueo inmediato, investigación |
| Todo Rojo |
CRÍTICO |
Fallas generalizadas en validaciones |
Bloqueo total, escalación inmediata |
Algoritmo de Puntuación
| Color del Parámetro |
Valor Numérico |
Peso en Cálculo |
| Verde |
+10 puntos |
Positivo |
| Morado |
0 puntos |
Neutro |
| Rojo |
-15 puntos |
Negativo |
Distribución de Peso por Categoría
| Categoría |
Peso en Score Total |
Justificación |
| Device Risks |
40% |
Fundamental para validar legitimidad del acceso |
| Location Risks |
35% |
Crítico para detectar accesos geográficamente anómalos |
| Behavioural Risks |
25% |
Importante para distinguir humanos de automatización |
Historia
Reconstrucción de video
El módulo de Reconstrucción de Video es un sistema avanzado de análisis forense que permite recrear y analizar paso a paso las acciones realizadas por un usuario durante una sesión. Este sistema captura, almacena y reproduce de manera secuencial todas las interacciones del usuario con la aplicación, proporcionando una herramienta invaluable para análisis de seguridad, debugging, investigación de fraude y validación de procesos.
Objetivos Principales
| Objetivo |
Descripción |
Beneficio |
| Análisis Forense |
Reconstruir sesiones sospechosas para investigación |
Identificación de patrones fraudulentos |
| Debugging Avanzado |
Reproducir errores exactos en el flujo de usuario |
Resolución rápida de problemas técnicos |
| Validación de Seguridad |
Verificar cumplimiento de protocolos de seguridad |
Detección de vulnerabilidades |
| Análisis de UX |
Estudiar comportamiento real del usuario |
Optimización de experiencia de usuario |
| Compliance |
Documentar procesos para auditorías |
Cumplimiento regulatorio |
Arquitectura del Sistema
Componentes Principales
| Componente |
Función |
Tecnología |
| Video Player |
Reproduce la sesión de manera visual |
Renderizado en tiempo real |
| Input Table |
Tabla detallada de eventos capturados |
Base de datos de eventos |
| Timeline Controller |
Control de navegación temporal |
Interfaz de usuario interactiva |
| Event Tracker |
Sistema de captura de eventos |
SDK de monitoreo |
Video Player - Reproductor de Sesión
El Video Player es la interfaz visual principal que muestra la reconstrucción exacta de la sesión del usuario en un dispositivo simulado. Permite visualizar cómo el usuario interactuó con la aplicación, incluyendo toques, deslizamientos, entrada de texto y navegación entre pantallas.
Características del Reproductor
| Característica |
Descripción |
Funcionalidad |
| Simulación de Dispositivo |
Replica el dispositivo exacto usado por el usuario |
iPhone, Android, tablet según el caso |
| Renderizado de Pantallas |
Muestra las pantallas exactas vistas por el usuario |
Interfaz idéntica a la sesión original |
| Indicadores Visuales |
Muestra puntos de interacción y gestos |
Toques, deslizamientos, entrada de texto |
| Sincronización Temporal |
Reproduce eventos en tiempo real o modificado |
Control de velocidad de reproducción |
Controles de Reproducción
| Control |
Función |
Opciones Disponibles |
| Timer |
Muestra tiempo transcurrido de sesión |
Formato MM:SS.MS |
| Speed |
Controla velocidad de reproducción |
X0.5, X1, X2, X4, X8 |
| Play/Pause |
Control de reproducción |
Botones estándar |
| Timeline |
Navegación temporal directa |
Barra de progreso interactiva |
Input Table - Tabla de Eventos Detallada
La Input Table es una tabla comprehensiva que registra cada evento de interacción capturado durante la sesión del usuario. Proporciona una vista granular y técnica de todas las acciones realizadas, con timestamps precisos y metadata asociada.
| Columna |
Descripción |
Tipo de Dato |
Ejemplo |
| INPUT TYPE |
Tipo de entrada o acción realizada |
Numérico/Categórico |
1, 8, 12 |
| ACTIVITY START TIME |
Fecha y hora exacta del evento |
DateTime |
30/8/2025, 10:31:15 |
| ACTIVITY START HOUR |
Hora específica en formato HH:MM:SS |
Time |
15:31:15 |
| DURATION (S) |
Duración del evento en segundos |
Decimal |
2.253, 0.5, 0.514 |
| INTERACTIONS |
Número de interacciones en el evento |
Entero |
2, 10, 11, 21 |
| FINAL VALUE |
Valor final ingresado o resultado |
String |
Asteriscos (datos sensibles), ABC |
| LENGTH |
Longitud del valor ingresado |
Entero |
0, 9, 10, 23 |
| VALUE TYPE |
Tipo de dato del valor |
String |
ABC, mixed |
| TIME DIFFS |
Diferencias de tiempo entre eventos |
String |
Asteriscos (metadata) |
| TIME DIFFS CHART |
Gráfico visual de diferencias temporales |
Gráfico |
Barras y líneas temporales |
| TIME SINCE LAST ACTIVITY |
Tiempo desde la actividad anterior |
Decimal |
18.33, 2.579, 1.348 |
| TIME SINCE SESSION START |
Tiempo desde inicio de sesión |
Decimal |
18.33, 23.16, 25.01 |
Tipos de INPUT TYPE
| Código |
Tipo de Evento |
Descripción |
Ejemplo de Uso |
| 1 |
Entrada de Texto |
Ingreso de datos en campos de formulario |
Escribir usuario, contraseña |
| 8 |
Navegación/Click |
Clicks en botones o elementos de navegación |
Botón "Siguiente", "Confirmar" |
| 12 |
Evento de Sistema |
Eventos automáticos o del sistema |
Validaciones, carga de página |
Interpretación de VALUE TYPE
| Tipo |
Descripción |
Seguridad |
Interpretación |
| ABC |
Texto alfabético |
Datos no sensibles |
Nombres, texto general |
| mixed |
Texto alfanumérico |
Potencialmente sensible |
Usuarios, códigos, referencias |
| Asteriscos (*) |
Datos enmascarados |
Altamente sensible |
Contraseñas, números de cuenta |
Timeline de Eventos - Panel Lateral
El panel lateral muestra una línea de tiempo cronológica de todos los eventos de la sesión, organizada secuencialmente con timestamps precisos y códigos de evento específicos.
Eventos del Timeline
| Timestamp |
Código de Evento |
Descripción |
Categoría |
| 10:30:56 |
INIT_SDK_CBID |
Inicialización del SDK |
Sistema |
| 10:31:08 |
SMP_AUTH |
Proceso de autenticación |
Autenticación |
| 10:31:28 |
SET_CBID |
Configuración de identificador |
Sistema |
| 10:31:28 |
SMP_LOGIN |
Inicio de sesión |
Autenticación |
| 10:31:28 |
SMP_LOGIN.PASSW |
Ingreso de contraseña |
Autenticación |
| 10:31:28 |
SET_LID |
Configuración de identificador local |
Sistema |
| 10:32:01 |
Operaciones |
Acceso a módulo de operaciones |
Navegación |
| 10:32:02 |
Transferencias |
Acceso a transferencias |
Transaccional |
| 10:32:03 |
Operaciones.Tra |
Operación de transferencia |
Transaccional |
| 10:32:04 |
Operaciones.Tra |
Continuación de transferencia |
Transaccional |
| 10:32:10 |
Operaciones.Tra |
Finalización de transferencia |
Transaccional |
Categorización de Eventos
| Categoría |
Color Indicador |
Descripción |
Ejemplos |
| Sistema |
Verde |
Eventos automáticos del sistema |
INIT_SDK, SET_CBID, SET_LID |
| Autenticación |
Verde |
Procesos de login y verificación |
SMP_AUTH, SMP_LOGIN |
| Navegación |
Verde |
Movimiento entre secciones |
Operaciones, Transferencias |
| Transaccional |
Verde |
Operaciones financieras o críticas |
Operaciones.Tra |
Funcionalidades del Sistema
Capacidades de Análisis
| Funcionalidad |
Descripción |
Aplicación |
| Reproducción Exacta |
Recrea la sesión tal como ocurrió originalmente |
Análisis forense, debugging |
| Análisis Temporal |
Estudia patrones de tiempo entre acciones |
Detección de automatización |
| Correlación de Eventos |
Relaciona eventos de different fuentes |
Investigación de seguridad |
| Exportación de Datos |
Genera reportes y evidencia |
Auditorías, compliance |
Casos de Uso Principales
| Caso de Uso |
Descripción |
Beneficio |
| Investigación de Fraude |
Analizar sesiones sospechosas paso a paso |
Identificación de patrones maliciosos |
| Análisis de Errores |
Reproducir bugs reportados por usuarios |
Resolución rápida de problemas |
| Auditoría de Seguridad |
Verificar cumplimiento de protocolos |
Validación de controles |
| Optimización de UX |
Estudiar comportamiento real del usuario |
Mejora de experiencia |
| Training y Capacitación |
Mostrar ejemplos reales de uso |
Educación del equipo |
Métricas y Análisis Disponibles
| Métrica |
Descripción |
Valor para Análisis |
| Tiempo de Sesión Total |
Duración completa de la sesión |
Identificar sesiones anormalmente largas/cortas |
| Velocidad de Interacción |
Tiempo entre acciones consecutivas |
Detectar automatización o comportamiento humano |
| Patrones de Navegación |
Secuencia de pantallas visitadas |
Identificar flujos anómalos |
| Frecuencia de Errores |
Número de intentos fallidos o correcciones |
Evaluar dificultad de UX o comportamiento sospechoso |
Interpretación de Datos
Análisis de Patrones Temporales
| Patrón |
Indicador |
Interpretación |
Acción Recomendada |
| Intervalos Regulares |
Tiempos exactamente consistentes entre acciones |
Posible automatización |
Investigar origen de la sesión |
| Intervalos Variables |
Variación natural en tiempos de respuesta |
Comportamiento humano normal |
Proceder normalmente |
| Intervalos Extremos |
Pausas muy largas o acciones muy rápidas |
Comportamiento anómalo |
Análisis manual detallado |
Validación de Autenticidad
| Factor |
Indicador Positivo |
Indicador Negativo |
Interpretación |
| Patrones de Tecleo |
Variabilidad natural, errores ocasionales |
Velocidad perfecta, sin errores |
Humano vs Bot |
| Navegación |
Exploratory, ocasionales retrocesos |
Directa sin hesitación |
Usuario real vs automatizado |
| Tiempo de Respuesta |
Variable según complejidad |
Constante independiente de tarea |
Comportamiento auténtico |
Detección de Anomalías
| Anomalía |
Descripción |
Nivel de Riesgo |
Acción |
| Velocidad Sobrehumana |
Acciones más rápidas que capacidad humana |
Alto |
Bloqueo inmediato |
| Patrones Repetitivos |
Secuencias idénticas múltiples veces |
Medio-Alto |
Investigación |
| Navegación Atípica |
Acceso a funciones en orden no intuitivo |
Medio |
Monitoreo adicional |
| Inconsistencia Temporal |
Cambios abruptos en patrones de tiempo |
Medio |
Análisis contextual |
Beneficios del Sistema
Para Equipos de Seguridad
| Beneficio |
Descripción |
Impacto |
| Evidencia Forense |
Documentación completa de actividad sospechosa |
Legal y compliance |
| Detección de Patrones |
Identificación de nuevas técnicas de fraude |
Prevención proactiva |
| Validación de Controles |
Verificación de efectividad de medidas de seguridad |
Mejora continua |
Para Equipos de Desarrollo
| Beneficio |
Descripción |
Impacto |
| Debugging Preciso |
Reproducción exacta de errores reportados |
Resolución rápida de bugs |
| Análisis de UX |
Comprensión real del comportamiento del usuario |
Optimización de interfaces |
| Testing en Producción |
Validación de funcionalidades en ambiente real |
Calidad mejorada |
Para Compliance y Auditoría
| Beneficio |
Descripción |
Impacto |
| Trazabilidad Completa |
Registro detallado de todas las transacciones |
Cumplimiento regulatorio |
| Evidencia Auditable |
Documentación que cumple estándares legales |
Protección legal |
| Reportes Automáticos |
Generación de informes para auditores |
Eficiencia operativa |
Eventos
Eventos de video
Análisis de enlaces
El módulo de Link Analysis es un sistema avanzado de análisis de relaciones y conexiones que identifica vínculos entre usuarios, dispositivos, sesiones y patrones de comportamiento. Su función principal es detectar redes de actividad relacionada, identificar cuentas múltiples operadas por la misma entidad, y descubrir patrones de fraude coordinado mediante el análisis de conexiones y similitudes comportamentales.
Objetivos Principales
| Objetivo |
Descripción |
Aplicación |
| Detección de Redes de Fraude |
Identificar grupos de cuentas operadas por la misma entidad |
Prevención de fraude masivo |
| Análisis de Dispositivos Compartidos |
Detectar múltiples identidades usando el mismo dispositivo |
Control de identidad única |
| Identificación de Patrones Similares |
Encontrar sesiones con comportamiento idéntico o muy similar |
Detección de automatización |
| Mapeo de Conexiones |
Visualizar relaciones entre usuarios, dispositivos y sesiones |
Investigación forense |
| Análisis de Familias de Dispositivos |
Identificar dispositivos conocidos y sus relaciones |
Control de dispositivos autorizados |
Arquitectura del Sistema
Componentes Principales
| Componente |
Función |
Descripción |
| Graph View |
Visualización gráfica de conexiones |
Muestra relaciones entre usuarios y dispositivos |
| Sessions with Similar Behaviour |
Tabla de sesiones relacionadas |
Lista detallada de actividad vinculada |
| Link Detection Engine |
Motor de detección de vínculos |
Algoritmos de correlación y análisis |
| Relationship Mapping |
Mapeo de relaciones |
Sistema de identificación de patrones |
Graph View - Vista Gráfica de Conexiones
La vista gráfica proporciona una representación visual de las conexiones identificadas entre el usuario actual, sus dispositivos y otros elementos relacionados. Utiliza algoritmos de grafos para mostrar relaciones complejas de manera intuitiva.
Elementos del Grafo
| Elemento |
Representación Visual |
Descripción |
Información Mostrada |
| Current User |
Icono de persona (amarillo) |
Usuario actual bajo análisis |
Punto central del análisis |
| Current Device |
Teléfono azul |
Dispositivo utilizado en la sesión actual |
Número de sesiones activas |
| Related Device |
Teléfono negro |
Dispositivos adicionales vinculados al usuario |
Identificador y conteo de sesiones |
| Connections |
Líneas conectoras |
Relaciones identificadas entre elementos |
Tipo y fuerza de la conexión |
Interpretación de Conexiones
| Tipo de Conexión |
Descripción |
Nivel de Riesgo |
Interpretación |
| Usuario-Dispositivo Único |
Un usuario conectado a un solo dispositivo |
Bajo |
Patrón normal de uso |
| Usuario-Múltiples Dispositivos |
Un usuario conectado a varios dispositivos |
Medio |
Posible uso legítimo múltiple o cuenta compartida |
| Múltiples Usuarios-Un Dispositivo |
Varios usuarios usando el mismo dispositivo |
Alto |
Posible fraude o uso no autorizado |
| Red Compleja |
Múltiples conexiones entrecruzadas |
Muy Alto |
Red sospechosa de actividad coordinada |
Métricas del Grafo
| Métrica |
Descripción |
Ejemplo en Imagen |
Interpretación |
| Device ID |
Identificador único del dispositivo |
7e43 |
Código de identificación del dispositivo relacionado |
| Session Count |
Número de sesiones por dispositivo |
(1 sessions) |
Cantidad de sesiones registradas en cada dispositivo |
| Connection Type |
Tipo de relación identificada |
Línea directa |
Relación directa entre usuario y dispositivo |
Sessions with Similar Behaviour - Sesiones con Comportamiento Similar
Esta tabla presenta una lista detallada de todas las sesiones que han sido identificadas como relacionadas o similares a la sesión actual, basándose en algoritmos de análisis comportamental y detección de patrones.
Estructura de Datos de la Tabla
| Columna |
Descripción |
Tipo de Dato |
Función |
| COUNTRY |
País de origen de la sesión |
Bandera/Código país |
Identificación geográfica |
| DATE |
Fecha y hora de la sesión |
DateTime |
Timestamp de la actividad |
| SCORE |
Puntuación de similitud/riesgo |
Numérico |
Medida de similitud comportamental |
| USER |
Identificador del usuario |
String |
ID de usuario (enmascarado) |
| REASON |
Razón de la vinculación |
String |
Criterio de similitud detectado |
| KNOWN FAMILY |
Dispositivo de familia conocida |
Boolean (X/✓) |
Indica si el dispositivo es reconocido |
| CSID |
Identificador de sesión específico |
String alfanumérico |
ID único de la sesión |
| DURATION |
Duración de la sesión |
Numérico (segundos) |
Tiempo total de la sesión |
| BRAND |
Marca/Plataforma utilizada |
String |
Identificación de la plataforma |
| CHANNEL |
Canal de acceso |
String |
Método de acceso utilizado |
| ISP |
Proveedor de servicios de internet |
String |
Compañía de internet utilizada |
| KNOWN DEVICE |
Dispositivo conocido |
Boolean (X/✓) |
Indica si el dispositivo está registrado |
| IP |
Dirección IP (parcial) |
String numérico |
Identificación de red (enmascarada) |
| UNKNOWN DEVICE |
Estado de dispositivo desconocido |
Boolean (X/✓) |
Marca dispositivos no registrados |
| IP AGE |
Edad de la dirección IP en días |
Numérico |
Tiempo desde primer registro de la IP |
| IP COUNTRY AGE |
Edad de IP en el país específico |
Numérico |
Tiempo de asociación IP-país |
| USERS IN MUD LV |
Usuarios en nivel MUD |
Numérico |
Contador de usuarios en mismo nivel de riesgo |
| DEVICE AGE |
Edad del dispositivo en días |
Numérico |
Tiempo desde primer registro del dispositivo |
| USER AGE |
Edad del usuario en días |
Numérico |
Tiempo desde creación de la cuenta |
| CONTEXT |
Contexto de navegación de la sesión |
String |
Secuencia de páginas/acciones realizadas |
Análisis de Datos de la Tabla
Información de País y Ubicación
| País Detectado |
Bandera |
Interpretación |
Nivel de Atención |
| México |
🇲🇽 |
Todas las sesiones desde México |
Concentración geográfica sospechosa |
| Consistencia de Ubicación |
Misma bandera |
Actividad coordinada desde misma región |
Posible red de fraude local |
Análisis de Puntuaciones (SCORE)
| Rango de Score |
Ejemplo |
Interpretación |
Acción Recomendada |
| 700-800 |
789, 770, 795, 772 |
Similitud muy alta en comportamiento |
Investigación inmediata |
| 500-600 |
569 |
Similitud moderada-alta |
Monitoreo intensivo |
| 100-200 |
123 |
Similitud baja-moderada |
Monitoreo estándar |
| 0-50 |
20 |
Similitud mínima detectada |
Revisión periódica |
Análisis de Usuarios
| Patrón de Usuario |
Ejemplo |
Descripción |
Implicación |
| UNPROTECTED_3C00190012 |
Usuario tipo 1 |
Cuenta sin protecciones adicionales |
Mayor vulnerabilidad |
| UNPROTECTED_100190011 |
Usuario tipo 2 |
Diferentes variantes de cuentas desprotegidas |
Patrón de cuentas similares |
| UNPROTECTED_175534809 |
Usuario tipo 3 |
Numeración secuencial o generada |
Posibles cuentas automatizadas |
Razón de Vinculación
| Razón |
Descripción |
Algoritmo Utilizado |
Nivel de Confianza |
| behaviour |
Comportamiento similar detectado |
Análisis de patrones de interacción |
Alto |
| device |
Mismo dispositivo utilizado |
Fingerprinting de hardware |
Muy Alto |
| network |
Misma red o ISP |
Análisis de infraestructura |
Medio |
| temporal |
Patrones temporales similares |
Análisis de timing |
Medio-Alto |
Estado de Dispositivos y Familias
| Campo |
Valor |
Significado |
Implicación de Seguridad |
| KNOWN FAMILY |
X (No) |
Dispositivo no pertenece a familia conocida |
Mayor riesgo de dispositivo nuevo/sospechoso |
| KNOWN DEVICE |
X (No) |
Dispositivo no registrado previamente |
Dispositivo potencialmente malicioso |
| Combinación XX |
Ambos negativos |
Dispositivo completamente desconocido |
Riesgo muy alto |
Análisis de Infraestructura Técnica
| Campo Técnico |
Valor Detectado |
Interpretación |
Nivel de Riesgo |
| BRAND |
SMP |
Todas las sesiones usan la misma plataforma |
Consistencia sospechosa |
| CHANNEL |
Emulator (IOS) |
Todas desde emulador de iOS |
Uso de herramientas de automatización |
| ISP |
WI-NET TELECOM S.A.C. |
Mismo proveedor de internet |
Concentración geográfica/infraestructura |
| IP Range |
38.2.x.x |
Mismo rango de direcciones IP |
Red coordinada |
Análisis de Dispositivos y Edades
| Campo |
Valor Observado |
Descripción |
Interpretación de Riesgo |
| UNKNOWN DEVICE |
X (Todos marcados) |
Todos los dispositivos son desconocidos |
Muy Alto - Dispositivos nuevos o temporales |
| IP |
38.25.16.17 |
Misma dirección IP para todas las sesiones |
Crítico - Concentración de actividad |
| IP AGE |
290 días (mayoría), 0 días |
IP conocida por 290 días, nueva actividad |
Medio - IP establecida con nuevo uso |
| IP COUNTRY AGE |
290-326 días |
IP asociada al país por varios meses |
Bajo - Asociación geográfica estable |
| USERS IN MUD LV |
0 (Todos) |
Sin usuarios en mismo nivel MUD |
Información - Nivel de riesgo único |
| DEVICE AGE |
0 días (Todos) |
Todos los dispositivos son completamente nuevos |
Crítico - Dispositivos creados específicamente |
| USER AGE |
290-326 días |
Usuarios con diferentes antigüedades |
Medio - Cuentas no recién creadas |
Análisis de Contexto de Navegación
| Patrón de Contexto |
Secuencia Observada |
Interpretación |
Nivel de Automatización |
| Flujo Completo |
AUTH_PAGE,LOGIN,LOGIN_PASSWORD,OPERACIONES,TRANSFERENCIAS,TRANSPAC_ORIGEN,TRANSPAC_DESTINO |
Proceso completo de transferencia |
Alto - Secuencia muy específica |
| Flujo Parcial |
AUTH_PAGE,LOGIN,LOGIN_PASSWORD,OPERACIONES,SERVIC,SERVIC_BUSC,SERVIC_DATOS,SERVIC_MON |
Acceso a servicios específicos |
Alto - Navegación dirigida |
| Flujo Simplificado |
AUTH_PAGE,LOGIN,LOGIN_PASSWORD |
Solo proceso de autenticación |
Medio - Acceso básico |
| Consistencia |
Patrones repetitivos exactos |
Mismas secuencias de navegación |
Crítico - Comportamiento no humano |
Patrones de Riesgo Identificados
Patrón 1: Concentración Temporal
| Característica |
Valor Observado |
Interpretación |
| Fecha |
30/6/2025 |
Todas las sesiones el mismo día |
| Horario |
17:15-17:28 |
Ventana temporal de 13 minutos |
| Frecuencia |
7 sesiones |
Alta concentración de actividad |
Patrón 2: Uniformidad Técnica
| Aspecto |
Consistencia |
Nivel de Sospecha |
| Plataforma |
100% SMP |
Extremadamente sospechoso |
| Emulador |
100% iOS Emulator |
Indica automatización |
| ISP |
100% mismo proveedor |
Red coordinada |
| Dispositivos |
100% desconocidos |
Dispositivos nuevos/temporales |
Patrón 3: Similitud Comportamental
| Métrica |
Observación |
Implicación |
| Scores Altos |
6 de 7 sesiones >500 |
Comportamiento muy similar |
| Duración Variable |
0-86 segundos |
Diferentes tipos de actividad |
| Razón Común |
Todas por "behaviour" |
Algoritmo detecta patrones idénticos |
Patrón 4: Infraestructura Centralizada (Nuevo Análisis)
| Factor |
Valor Crítico |
Interpretación |
Nivel de Alerta |
| IP Única |
38.25.16.17 |
Todas las sesiones desde la misma IP |
CRÍTICO |
| Dispositivos Edad 0 |
100% dispositivos nuevos |
Creados específicamente para esta actividad |
CRÍTICO |
| IP Age vs Device Age |
IP: 290 días, Dispositivos: 0 días |
IP conocida pero dispositivos nuevos |
ALTO |
| Contextos Repetitivos |
Secuencias de navegación idénticas |
Automatización confirmada |
CRÍTICO |
Patrón 5: Perfil de Usuario Sospechoso
| Característica |
Observación |
Significado |
Riesgo |
| País de Origen |
OM (Omán) |
Concentración geográfica específica |
MEDIO |
| User Age Variado |
290-326 días |
Cuentas no recién creadas |
BAJO |
| MUD Level |
Todos en 0 |
Mismo nivel de clasificación |
INFORMACIÓN |
| Unknown Device |
100% marcados |
Ningún dispositivo reconocido |
CRÍTICO |
Interpretación de Resultados
Matriz de Riesgo por Patrones
| Combinación de Factores |
Nivel de Riesgo |
Interpretación |
Acción Recomendada |
| Múltiples dispositivos + Scores altos + Misma infraestructura |
CRÍTICO |
Red de fraude coordinada |
Bloqueo inmediato de toda la red |
| Dispositivos desconocidos + Emuladores + Concentración temporal |
ALTO |
Ataque automatizado masivo |
Investigación urgente |
| Comportamiento similar + Misma ubicación + Usuarios secuenciales |
ALTO |
Fraude organizado local |
Escalación a equipo especializado |
| Scores moderados + Infraestructura mixta + Timing normal |
MEDIO |
Posible actividad coordinada |
Monitoreo intensivo |
| Dispositivos conocidos + Scores bajos + Patrones normales |
BAJO |
Actividad legítima relacionada |
Monitoreo estándar |
Algoritmos de Detección de Vínculos
| Algoritmo |
Descripción |
Factores Analizados |
Peso en Decisión |
| Behavioral Similarity |
Compara patrones de interacción |
Timing, secuencias, errores |
40% |
| Device Fingerprinting |
Identifica características únicas del dispositivo |
Hardware, software, configuración |
35% |
| Network Analysis |
Analiza infraestructura de red |
IP, ISP, geolocalización |
15% |
| Temporal Correlation |
Busca patrones temporales |
Horarios, frecuencia, duración |
10% |
Métricas de Confianza
| Nivel de Confianza |
Rango de Score |
Descripción |
Acción Automática |
| Muy Alto |
800-1000 |
Vínculos casi certeros |
Bloqueo automático |
| Alto |
600-799 |
Vínculos muy probables |
Revisión prioritaria |
| Medio |
400-599 |
Vínculos probables |
Monitoreo adicional |
| Bajo |
200-399 |
Vínculos posibles |
Seguimiento rutinario |
| Mínimo |
0-199 |
Vínculos débiles |
Solo logging |
Casos de Uso del Sistema
Detección de Fraude Masivo
| Indicador |
Descripción |
Ejemplo de la Imagen |
| Múltiples Cuentas |
Varias cuentas UNPROTECTED creadas |
7 usuarios diferentes |
| Misma Infraestructura |
Mismo ISP y tipo de dispositivo |
WI-NET TELECOM, Emulator iOS |
| Comportamiento Idéntico |
Scores altos de similitud |
789, 770, 795, 772 |
| Concentración Temporal |
Actividad en ventana corta |
13 minutos el 30/6/2025 |
Caso Crítico: Red de Fraude con IP Centralizada (Análisis de Nueva Imagen)
| Factor Crítico |
Evidencia |
Interpretación |
Nivel de Alerta |
| IP Única |
38.25.16.17 para 7 sesiones diferentes |
Todos los ataques desde mismo punto |
CRÍTICO |
| Dispositivos Vírgenes |
Device Age = 0 en todos los casos |
Dispositivos creados específicamente |
CRÍTICO |
| Usuarios Comprometidos |
User Age 290+ días pero dispositivos nuevos |
Cuentas legítimas posiblemente comprometidas |
ALTO |
| Automatización Confirmada |
Contextos de navegación idénticos |
Bots siguiendo scripts predefinidos |
CRÍTICO |
| Objetivos Específicos |
Rutas directas a TRANSFERENCIAS |
Intención clara de fraude financiero |
CRÍTICO |
Conclusión del Caso: Red de fraude altamente organizada usando cuentas comprometidas, dispositivos desechables y automatización desde infraestructura centralizada para realizar transferencias bancarias fraudulentas.
Acción Inmediata Requerida:
- Bloqueo inmediato de IP 38.25.16.17
- Suspensión de todas las cuentas identificadas
- Investigación forense de las transferencias realizadas
- Notificación a autoridades competentes
- Actualización de algoritmos de detección
Análisis de Dispositivos Compartidos
| Escenario |
Identificación |
Riesgo |
Acción |
| Familia Legítima |
Dispositivos conocidos, usuarios relacionados |
Bajo |
Permitir con monitoreo |
| Cuenta Corporativa |
Múltiples empleados, mismo dispositivo |
Medio |
Validar políticas |
| Fraude Coordinado |
Usuarios no relacionados, dispositivos nuevos |
Alto |
Bloquear e investigar |
| Red Criminal (Nuevo) |
Misma IP, dispositivos vírgenes, usuarios antiguos |
CRÍTICO |
Respuesta de emergencia |
Investigación Forense
| Capacidad |
Descripción |
Beneficio |
| Reconstrucción de Redes |
Mapea conexiones completas |
Identifica toda la red criminal |
| Análisis Temporal |
Estudia evolución de patrones |
Predice futuros ataques |
| Correlación de Evidencia |
Vincula evidencia dispersa |
Construye caso sólido |
Beneficios del Sistema
Para Equipos de Seguridad
| Beneficio |
Descripción |
Impacto |
| Detección Temprana |
Identifica redes antes de que causen daño |
Prevención proactiva |
| Análisis Masivo |
Procesa miles de conexiones simultáneamente |
Escalabilidad |
| Evidencia Visual |
Gráficos claros para presentación |
Comunicación efectiva |
| Automatización |
Reduce trabajo manual de investigación |
Eficiencia operativa |
Para Prevención de Fraude
| Beneficio |
Descripción |
Impacto |
| Detección de Patrones |
Identifica nuevas técnicas de fraude |
Adaptación rápida |
| Análisis Predictivo |
Anticipa comportamientos futuros |
Prevención proactiva |
| Correlación Avanzada |
Conecta eventos aparentemente aislados |
Detección sofisticada |
Para Compliance y Auditoría
| Beneficio |
Descripción |
Impacto |
| Documentación Completa |
Registra todas las conexiones identificadas |
Cumplimiento regulatorio |
| Trazabilidad |
Rastrea origen y evolución de redes |
Auditoría forense |
| Reportes Automáticos |
Genera informes para reguladores |
Eficiencia de compliance |
Datos del mapa
El mapa interactivo proporciona una representación visual en tiempo real de las ubicaciones de usuarios, utilizando Google Maps como base cartográfica. Permite identificar patrones geográficos, concentraciones de actividad y anomalías de ubicación de manera intuitiva.
Elementos del Mapa
| Elemento |
Representación Visual |
Descripción |
Información Mostrada |
| Marcador Principal |
Pin azul con círculo |
Ubicación actual del usuario bajo análisis |
Punto geográfico exacto |
| Área de Concentración |
Círculo sombreado |
Zona de alta actividad detectada |
Radio de confianza de ubicación |
| Marcadores Secundarios |
Pins adicionales de colores |
Ubicaciones relacionadas o históricas |
Contexto geográfico adicional |
| Controles de Navegación |
Botones de zoom y vista |
Herramientas de navegación estándar |
Exploración detallada del mapa |
Información Geográfica Mostrada
| Dato |
Valor Observado |
Descripción |
Interpretación |
| Ubicación Principal |
Región de Lima, Perú |
Punto de actividad detectado |
Concentración en capital peruana |
| Precisión del Marcador |
Área metropolitana |
Nivel de precisión de geolocalización |
Precisión a nivel de ciudad |
| Contexto Geográfico |
Zona costera del Pacífico |
Ubicación en geografía específica |
Coherencia con infraestructura de red |
Mapa Interactivo - Visualización Geográfica
El mapa interactivo proporciona una representación visual en tiempo real de las ubicaciones de usuarios, utilizando Google Maps como base cartográfica. Permite identificar patrones geográficos, concentraciones de actividad y anomalías de ubicación de manera intuitiva.
Elementos del Mapa
| Elemento |
Representación Visual |
Descripción |
Información Mostrada |
| Marcador Principal |
Pin azul con círculo |
Ubicación actual del usuario bajo análisis |
Punto geográfico exacto |
| Área de Concentración |
Círculo sombreado |
Zona de alta actividad detectada |
Radio de confianza de ubicación |
| Marcadores Secundarios |
Pins adicionales de colores |
Ubicaciones relacionadas o históricas |
Contexto geográfico adicional |
| Controles de Navegación |
Botones de zoom y vista |
Herramientas de navegación estándar |
Exploración detallada del mapa |
Información Geográfica Mostrada
| Dato |
Valor Observado |
Descripción |
Interpretación |
| Ubicación Principal |
Región de Lima, Perú |
Punto de actividad detectado |
Concentración en capital peruana |
| Precisión del Marcador |
Área metropolitana |
Nivel de precisión de geolocalización |
Precisión a nivel de ciudad |
| Contexto Geográfico |
Zona costera del Pacífico |
Ubicación en geografía específica |
Coherencia con infraestructura de red |
Panel de Estadísticas - Distribución por Países
El panel de estadísticas presenta una distribución porcentual de la actividad detectada por países, proporcionando un análisis cuantitativo de la concentración geográfica de las sesiones analizadas.
Análisis de Distribución
| País |
Bandera |
Porcentaje |
Interpretación |
Nivel de Atención |
| Perú |
🇵🇪 |
92.31% |
Concentración extrema de actividad |
Alto - Concentración sospechosa |
| United States |
🇺🇸 |
7.69% |
Actividad minoritaria |
Medio - Requiere verificación |
Análisis de Patrones de Distribución
| Patrón |
Descripción |
Nivel de Riesgo |
Interpretación |
| Concentración Extrema |
>90% de actividad en un solo país |
Alto |
Posible red localizada de fraude |
| Distribución Dual |
Solo 2 países con actividad |
Medio-Alto |
Operación limitada geográficamente |
| Discrepancia USA-Perú |
Combinación de países distantes |
Medio |
Posible uso de VPN o infraestructura distribuida |
Panel de Información de Ubicación - Datos Técnicos Detallados
Este panel proporciona información técnica granular sobre todos los aspectos de la geolocalización del usuario, incluyendo datos de GPS, IP, infraestructura de red y verificaciones de coherencia.
Estructura de Datos de Ubicación
| Campo |
Valor Observado |
Tipo de Dato |
Función |
| GPS longitude |
38.25.16.17 |
IPv4/IPv6 |
Dirección IP reportada como coordenada |
| GPS latitude |
-76.45 |
Coordenada geográfica |
Latitud GPS real |
| GPS enabled? |
No |
Boolean |
Estado del sistema GPS del dispositivo |
| Is ip-gps locations match? |
N/A |
Comparación |
Coherencia entre fuentes de ubicación |
| Country |
Peru |
String |
País determinado por geolocalización |
| City |
Lima region |
String |
Ciudad/región específica |
| Isp |
WI-NET TELECOM S.A.C. |
String |
Proveedor de servicios de internet |
| Organization |
WI-NET TELECOM S.A.C. |
String |
Organización propietaria de la red |
Análisis Técnico de Datos
Discrepancias Detectadas
| Campo |
Valor Esperado |
Valor Observado |
Nivel de Anomalía |
Interpretación |
| GPS longitude |
Coordenada (-76.xx) |
38.25.16.17 (IP) |
CRÍTICO |
Confusión entre IP y coordenada GPS |
| GPS latitude |
Coordenada (-12.xx para Lima) |
-76.45 |
ALTO |
Coordenada fuera del rango de Lima |
| GPS enabled |
Esperado: Sí |
No |
MEDIO |
GPS deshabilitado impide verificación |
| IP-GPS match |
Comparación válida |
N/A |
MEDIO |
Imposibilidad de verificar coherencia |
Análisis de Infraestructura de Red
| Aspecto |
Información |
Descripción |
Nivel de Riesgo |
| ISP Identificado |
WI-NET TELECOM S.A.C. |
Proveedor peruano específico |
Bajo - ISP legítimo |
| Organización |
Misma que ISP |
Coherencia en propiedad de red |
Bajo - Estructura normal |
| Ubicación de Red |
Lima, Perú |
Coherencia con país detectado |
Bajo - Geolocalización consistente |
| Tipo de Conexión |
Comercial/Residencial |
Basado en rango de IP |
Información - Uso estándar |
Estado de Geolocalización
| Fuente |
Estado |
Precisión |
Confiabilidad |
Acción Requerida |
| GPS |
Deshabilitado |
N/A |
No disponible |
Solicitar activación |
| IP Geolocation |
Activa |
Ciudad/Región |
Media |
Fuente principal actual |
| Network Location |
Activa |
ISP/Organización |
Alta |
Fuente de respaldo |
| Correlación Cruzada |
No disponible |
N/A |
No posible |
Requiere GPS activo |
Interpretación de Resultados
Matriz de Riesgo Geográfico
| Combinación de Factores |
Nivel de Riesgo |
Interpretación |
Acción Recomendada |
| GPS deshabilitado + IP coherente + ISP legítimo |
MEDIO |
Usuario con privacidad de ubicación |
Monitoreo adicional |
| Concentración país >90% + GPS off + Datos confusos |
ALTO |
Posible evasión de geolocalización |
Investigación detallada |
| Discrepancia coordenadas + Múltiples países |
CRÍTICO |
Posible spoofing de ubicación |
Bloqueo preventivo |
| ISP coherente + Ciudad correcta + GPS deshabilitado |
BAJO-MEDIO |
Configuración de privacidad normal |
Monitoreo estándar |
Algoritmos de Validación Geográfica
| Algoritmo |
Descripción |
Factores Analizados |
Peso en Decisión |
| IP Geolocation |
Ubicación basada en dirección IP |
Rango IP, ISP, base de datos geográfica |
40% |
| GPS Validation |
Verificación de coordenadas GPS |
Latitud, longitud, precisión reportada |
35% |
| Network Analysis |
Análisis de infraestructura de red |
ISP, organización, tipo de conexión |
15% |
| Cross-Reference |
Correlación entre fuentes |
Coherencia entre GPS, IP y red |
10% |
Detección de Anomalías Geográficas
| Tipo de Anomalía |
Indicador |
Descripción |
Nivel de Alerta |
| Coordinate Confusion |
IP en campo GPS |
Valores IP donde deberían ir coordenadas |
CRÍTICO |
| GPS Disabled |
GPS enabled = No |
Sistema GPS deshabilitado intencionalmente |
MEDIO |
| Location Mismatch |
Discrepancia fuentes |
GPS y IP reportan ubicaciones diferentes |
ALTO |
| Impossible Coordinates |
Coordenadas fuera de rango |
Valores geográficos imposibles para la región |
CRÍTICO |
Casos de Uso del Sistema
Análisis de Concentración Geográfica Sospechosa
| Indicador |
Evidencia Observada |
Interpretación |
Nivel de Riesgo |
| Concentración Extrema |
92.31% actividad en Perú |
Actividad altamente localizada |
Alto |
| Distribución Limitada |
Solo 2 países activos |
Operación geográficamente restringida |
Medio-Alto |
| ISP Específico |
WI-NET TELECOM S.A.C. |
Concentración en un proveedor |
Medio |
| GPS Consistentemente Deshabilitado |
GPS enabled = No |
Evasión sistemática de geolocalización precisa |
Alto |
Detección de Evasión de Geolocalización
| Técnica de Evasión |
Evidencia |
Descripción |
Contramedida |
| GPS Spoofing |
Coordenadas imposibles |
Manipulación de datos GPS |
Verificación cruzada con IP |
| GPS Disabled |
Sistema GPS apagado |
Prevenir tracking preciso |
Requerir activación GPS |
| IP Masking |
Discrepancia IP-ubicación |
Uso de VPN o proxies |
Análisis de infraestructura de red |
| Data Confusion |
IP en campos GPS |
Manipulación de campos de datos |
Validación de formato de datos |
Investigación de Infraestructura de Red
| Aspecto |
Información Disponible |
Análisis |
Conclusión |
| ISP Legitimacy |
WI-NET TELECOM S.A.C. registrado |
Proveedor legítimo en Perú |
Bajo riesgo de ISP malicioso |
| Network Ownership |
Organización = ISP |
Estructura de propiedad normal |
Sin indicios de red comprometida |
| Geographic Consistency |
Lima, Perú coherente |
Ubicación de red coherente con país |
Geolocalización probable auténtica |
| Connection Type |
Comercial/residencial |
Tipo de conexión estándar |
Sin indicios de infraestructura especializada |
Revisar
El módulo de Review es un sistema de análisis manual que permite a los asesores y analistas de seguridad del banco evaluar, clasificar y proporcionar retroalimentación sobre sesiones que han sido reportadas por clientes o escaladas por los sistemas automáticos. Su función principal es realizar una investigación humana detallada de casos sospechosos, confirmar o descartar alertas de fraude, y documentar hallazgos para mejorar los algoritmos de detección automática.
Objetivos Principales
| Objetivo |
Descripción |
Aplicación |
| Clasificación Manual de Casos |
Permitir evaluación humana experta de sesiones sospechosas |
Confirmación de fraude o falsos positivos |
| Retroalimentación al Sistema |
Proporcionar datos de entrenamiento para algoritmos ML |
Mejora continua de detección automática |
| Investigación Detallada |
Análisis profundo de casos complejos |
Identificación de nuevos vectores de ataque |
| Documentación de Hallazgos |
Registro detallado de evidencia y conclusiones |
Soporte legal y auditoría |
| Escalación de Casos |
Identificar casos que requieren intervención especializada |
Gestión de incidentes críticos |
Arquitectura del Sistema
Componentes Principales
| Componente |
Función |
Descripción |
| Panel de Clasificación |
Selección de tipo de caso |
Opciones predefinidas de categorización |
| Área de Comentarios |
Documentación detallada |
Campo de texto libre para observaciones |
| Sistema de Envío |
Procesamiento de decisiones |
Botón de confirmación y envío |
| Base de Conocimiento |
Referencia de tipos de fraude |
Guías para clasificación consistente |
Panel de Clasificación - Tipos de Casos
El panel de clasificación presenta una lista comprehensiva de categorías predefinidas que cubren todos los tipos posibles de actividad, desde casos legítimos hasta diferentes variantes de fraude. Permite selección múltiple para casos que involucran varios vectores de ataque simultáneamente.
Categorías de Clasificación
| Categoría |
Descripción |
Nivel de Riesgo |
Acción Posterior |
| Unknown |
Caso sin clasificar o información insuficiente |
N/A |
Requiere investigación adicional |
| Confirmed Genuine |
Actividad legítima confirmada |
Ninguno |
Marcar como falso positivo |
| Suspected Fraud |
Indicios de fraude sin confirmación total |
Medio-Alto |
Monitoreo intensivo |
| Confirmed Fraud |
Fraude confirmado con evidencia |
Crítico |
Bloqueo inmediato y escalación |
Tipos Específicos de Fraude
| Tipo de Fraude |
Descripción Técnica |
Indicadores Típicos |
Acción Recomendada |
| ATO Fraud |
Account Take Over - Compromiso de cuenta |
Cambio de patrones, nueva ubicación, dispositivo desconocido |
Bloqueo de cuenta, verificación de identidad |
| Malware Fraud |
Fraude mediante software malicioso |
Comportamiento automatizado, keyloggers, RATs |
Limpieza de dispositivo, cambio de credenciales |
| Social Engineering Fraud |
Ingeniería social y manipulación |
Usuario reporta presión externa, transferencias inusuales |
Educación del usuario, revisión de transacciones |
| Remote Access Fraud |
Acceso remoto no autorizado |
Software de control remoto, actividad desde múltiples ubicaciones |
Verificación de dispositivos autorizados |
| Digital Fraud |
Fraude mediante canales digitales |
Manipulación de aplicaciones, bypass de controles |
Fortalecimiento de seguridad digital |
| Phishing |
Suplantación de identidad digital |
Links maliciosos, sitios falsos, credenciales comprometidas |
Educación, cambio de contraseñas |
| Cell Phone Theft |
Robo de dispositivo móvil |
Acceso desde dispositivo robado |
Bloqueo de dispositivo, verificación de identidad |
| SIM Swap |
Intercambio fraudulento de tarjeta SIM |
Pérdida de control del número telefónico |
Verificación con operadora, método alternativo |
| New Device |
Actividad desde dispositivo nuevo |
Primer acceso desde dispositivo desconocido |
Verificación adicional de identidad |
| Owner Device |
Dispositivo propio del usuario |
Actividad desde dispositivo registrado |
Monitoreo estándar |
El área de comentarios proporciona un espacio de texto libre donde los analistas pueden documentar sus hallazgos, evidencias específicas, metodología de investigación y recomendaciones detalladas.
Estructura de Documentación Recomendada
| Sección |
Contenido |
Propósito |
Ejemplo |
| Resumen del Caso |
Descripción breve del incidente |
Contexto inicial |
"Usuario reporta transferencias no autorizadas desde dispositivo conocido" |
| Evidencia Encontrada |
Datos específicos que apoyan la clasificación |
Sustento técnico |
"Detectado keylogger en análisis de dispositivo, logs muestran captura de credenciales" |
| Metodología de Análisis |
Pasos seguidos en la investigación |
Reproducibilidad |
"Análisis de logs de sesión, verificación cruzada con datos de ubicación" |
| Conclusiones |
Determinación final del analista |
Decisión fundamentada |
"Confirmo compromiso por malware, dispositivo requiere limpieza completa" |
| Recomendaciones |
Acciones sugeridas |
Pasos siguientes |
"Bloqueo temporal, educación sobre seguridad, instalación de antivirus" |
El área de comentarios proporciona un espacio de texto libre donde los analistas pueden documentar sus hallazgos, evidencias específicas, metodología de investigación y recomendaciones detalladas.