Interpretación Session Resumen El Módulo de Resumen es el apartado principal que presenta una evaluación completa y consolidada de todos los riesgos asociados a una sesión específica. Proporciona una vista integral que combina múltiples análisis para determinar la autenticidad y nivel de riesgo de la interacción del usuario. DEVICE RISKS Qué significa: Evalúa todos los riesgos relacionados con el dispositivo físico utilizado para acceder a la plataforma. Valor mostrado: 731/781 Fraud 731: Score de riesgo del dispositivo en escala 0-1000 781: Número total de casos de fraude detectados previamente con características de dispositivo similares Parámetros que analiza: Modelo, marca y especificaciones del dispositivo Sistema operativo y versión Configuraciones de seguridad del dispositivo Identificadores únicos (IMEI, MAC address, etc.) Historial de actividad fraudulenta del dispositivo Configuraciones sospechosas o modificaciones Presencia de software malicioso o herramientas de hacking Edad del dispositivo en la plataforma Cómo contribuye al Integrated Score: Aporta aproximadamente 25-30% del peso total al score final. Un dispositivo con alto riesgo puede elevar significativamente el score integrado. LOCATION RISKS Qué significa: Analiza todos los aspectos relacionados con la ubicación geográfica y contexto de red desde donde se realiza el acceso. Valor mostrado: 524/781 Fraud 524: Score de riesgo geográfico en escala 0-1000 781: Casos de fraude asociados a patrones de ubicación similares Parámetros que analiza: Coordenadas GPS versus geolocalización por IP Zona horaria configurada versus zona horaria real Proveedor de servicio de Internet (ISP) Tipo de red (celular, WiFi, VPN) Velocidad de desplazamiento imposible entre sesiones Ubicaciones inusuales para el usuario Países o regiones de alto riesgo Consistencia entre ubicación declarada y técnica Historial de ubicaciones del usuario Cómo contribuye al Integrated Score: Representa aproximadamente 20-25% del peso en el cálculo final. Ubicaciones anómalas o de alto riesgo incrementan el score integrado. BEHAVIOURAL RISKS Qué significa: Mide los patrones de comportamiento del usuario durante la interacción con la plataforma para detectar anomalías. Valor mostrado: 982/781 Data collection phase 982: Score de riesgo comportamental en escala 0-1000 781: Indica que está en fase de recolección de datos comportamentales Parámetros que analiza: Velocidad y ritmo de escritura (keystroke dynamics) Patrones de movimiento del mouse o gestos táctiles Presión aplicada en pantallas táctiles Tamaño del área de contacto del dedo Tiempo entre acciones y clicks Patrones de navegación únicos del usuario Secuencia de interacciones con la interfaz Movimientos del dispositivo durante el uso (acelerómetro) Comparación con perfil comportamental histórico del usuario Cómo contribuye al Integrated Score: Aporta aproximadamente 20-25% del peso total. Comportamientos que no coinciden con el perfil del usuario legítimo aumentan el score de riesgo. INTEGRATED SCORE Qué significa: Es el score final consolidado que combina todos los análisis anteriores mediante algoritmos de inteligencia artificial para proporcionar una evaluación unificada del riesgo. Valor mostrado: 781/781 781: Score simplificado en escala 0-1000 781: Score detallado en escala extendida 0-1000 Cómo se calcula el Integrated Score: Componentes principales (75-80% del peso): Device Risks: 25-30% Location Risks: 20-25% Behavioural Risks: 20-25% Componentes adicionales (20-25% del peso): Modelos de detección de malware: 5-8% Detección de bots: 5-8% Análisis de riesgo por actividad: 5-7% Análisis relacional y conexiones: 5-7% Proceso de cálculo: Cada componente genera su score individual La IA aplica pesos dinámicos según el contexto Se ejecutan modelos adicionales especializados Se realiza análisis relacional con otras sesiones Se aplica el modelo de machine learning final Se genera el score integrado unificado Escalas de interpretación: Cálculo del score de riesgo INFORMACIÓN DE SESIÓN COMPLEMENTARIA Ejemplo contexto operacional: Tipo de operación: AUTH,LOGIN,LOGIN_PASSWORD UserID: UNPROTECTED_3CE8800337 Session ID: 1751297457 Device age: 0 (dispositivo completamente nuevo) Users on this device: 0 (primer usuario en este dispositivo) Características técnicas: Device type: iOS-Device Browser: Interbank%20UAT (altamente sospechoso) Timezone: America/Lima Platform: iOS 0 Brand: SMP Device First appearance: 2025-06-30,15:30:57 TABLA DE INDICADORES DETALLADOS Estructura y significado de cada columna: NAME: Nombre del indicador específico analizado  VALUE: Valor detectado para ese indicador AGE: Número de días desde la primera aparición de este valor COUNTER: Cantidad de veces que se ha observado este valor RELATIVE PREVALENCE: Porcentaje de frecuencia en la población total INDICATION STRENGTH: Fuerza del indicador de riesgo (0-1000) Interpretación de colores: Verde: Indicadores normales con baja indication strength Amarillo/Naranja: Indicadores moderadamente sospechosos Rojo: Indicadores altamente sospechosos con alta indication strength Ejemplo del caso mostrado: ua_browser_family: "Interbank%20UAT" VALUE: Interbank%20UAT AGE: 214 días desde primera detección COUNTER: 1 (solo visto una vez) RELATIVE PREVALENCE: 0.0% (nunca visto en población normal) INDICATION STRENGTH: 1000 (máximo nivel de sospecha) Este indicador muestra un navegador altamente sospechoso que imita la aplicación bancaria oficial pero con características técnicas anómalas. Riesgos El apartado de Riesgos es un módulo de validación y verificación que ejecuta múltiples controles de seguridad en tiempo real durante una sesión. Su función principal es validar la autenticidad de tres componentes críticos: Device Risks : Validar que el dispositivo es legítimo y seguro Location Risks : Verificar que la ubicación es coherente y permitida Behavioural Risks : Confirmar que el comportamiento corresponde al usuario real Estados de Validación Estado Color Significado Interpretación VERDE Verde Validación Exitosa El parámetro fue verificado correctamente. Los controles de seguridad pasaron satisfactoriamente. El elemento cumple con los criterios de seguridad establecidos ROJO Rojo Validación Fallida El parámetro no pudo ser validado positivamente. Los controles de seguridad detectaron problemas. El elemento presenta características que generan alertas de seguridad AMARILLO Amarillo Validación Indeterminada El parámetro no se pudo validar completamente. Los controles no pudieron obtener información suficiente. El estado del elemento es incierto o ambiguo DEVICE RISKS - RIESGOS DEL DISPOSITIVO Parámetros de Alto Riesgo (ROJO) Parámetro Descripción Interpretación Nivel de Riesgo Unknown device El dispositivo no existe en la base de datos de dispositivos conocidos Es la primera vez que este dispositivo accede a la plataforma Dispositivos nuevos pueden ser utilizados específicamente para fraude Suspicious device characteristics Las características técnicas del dispositivo presentan anomalías Hardware, software o configuraciones que no son típicas o han sido modificadas Dispositivo alterado para evadir controles de seguridad Emulator Se detectó que se está usando un emulador de dispositivo móvil Software que simula un teléfono/tablet en una computadora Herramienta común para automatizar fraudes masivos VPN Se detectó una conexión VPN activa El usuario está ocultando su ubicación real mediante una red privada virtual Evasión de controles geográficos y ocultamiento de identidad Parámetros de Riesgo Indeterminado (MORADO) Parámetro Descripción Razón del Estado Morado Interpretación VPN installed? Hay indicios de software VPN instalado pero no confirmación total El sistema detecta patrones de VPN pero no puede acceder completamente a la lista de aplicaciones Posible capacidad de ocultar ubicación Compromised Device El dispositivo muestra algunos signos de haber sido comprometido Algunos indicadores sugieren compromiso pero el análisis no es concluyente Posible infección de malware o acceso no autorizado Parámetros Validados - Bajo Riesgo (VERDE) Parámetro Descripción Estado Actual Interpretación Active malware (42) Sistema de detección de malware funcionando, 42 indica nivel de análisis completado No se detectó software malicioso activo Dispositivo limpio Device properties consistency for identity Las propiedades del dispositivo coinciden con el perfil del usuario El dispositivo es consistente con el historial del usuario legítimo Validación positiva de autenticidad Bot Análisis para detectar comportamiento automatizado o scripts No se detectó actividad de bots Interacción humana confirmada Identities accessed by this device Registro de cuántas identidades diferentes han usado este dispositivo Patrón normal de uso del dispositivo Sin uso sospechoso por múltiples identidades Device is in blocklist Verificación contra listas negras de dispositivos conocidos como maliciosos El dispositivo no está reportado como peligroso No está en listas de bloqueo Remote Access Detección de software de acceso remoto activo No se detectaron herramientas de control remoto Usuario en control directo del dispositivo Rooted Device Verificación si el dispositivo tiene permisos de root/jailbreak Sistema operativo sin modificaciones peligrosas Dispositivo con seguridad íntegra LOCATION RISKS - RIESGOS DE UBICACIÓN Parámetros de Alto Riesgo (ROJO) Parámetro Descripción Interpretación Nivel de Riesgo Unknown location for identity La ubicación actual no coincide con ninguna ubicación conocida del usuario Usuario accediendo desde un lugar completamente nuevo Posible acceso no autorizado desde ubicación comprometida Suspicious location attributes La ubicación geográfica tiene características asociadas con fraude Área conocida por actividades fraudulentas o bloqueada Zona de alto riesgo para transacciones GPS enabled? El GPS del dispositivo está deshabilitado No se puede verificar la ubicación real del dispositivo Imposibilidad de validar ubicación precisa New IP country? La dirección IP pertenece a un país diferente al habitual del usuario Acceso desde país no característico del usuario Posible uso de VPN o acceso comprometido Parámetros de Riesgo Indeterminado (MORADO) Parámetro Descripción Razón del Estado Morado Interpretación GPS location mismatch La ubicación GPS no coincide con la ubicación determinada por IP Ambas fuentes proporcionan ubicaciones diferentes pero válidas Discrepancia que requiere análisis adicional Parámetros Validados - Bajo Riesgo (VERDE) Parámetro Descripción Estado Actual Interpretación Location change velocity La velocidad de cambio entre ubicaciones es físicamente posible El desplazamiento es coherente con medios de transporte reales Patrón normal de movilidad Location is in blocklist Verificación contra listas de ubicaciones prohibidas La ubicación no está en zonas bloqueadas Ubicación permitida para transacciones BEHAVIOURAL RISKS - RIESGOS COMPORTAMENTALES Parámetros Validados - Bajo Riesgo (VERDE) Parámetro Descripción Estado Actual Interpretación Risky keyboard event Análisis de patrones de escritura, velocidad y ritmo de tecleo Los patrones de teclado coinciden con la biometría del usuario legítimo Comportamiento de escritura normal y auténtico Risky mouse event Evaluación de movimientos, clicks y patrones del mouse Los movimientos del mouse son característicos del usuario real Interacción natural sin automatización Use of autocomplete Detección del uso normal de funciones de autocompletado Uso típico de herramientas del navegador Comportamiento humano normal Parámetros Informativos Parámetro Estado Descripción Razón Form navigation N/A Datos sobre navegación en formularios no disponibles Este análisis no aplica para el tipo de sesión actual Interpretación de Resultados Matriz de Decisión por Combinación de Estados Combinación de Colores Nivel de Riesgo Descripción Acción Sugerida Todo Verde BAJO Todos los parámetros pasaron las validaciones Proceder con confianza total Verde + Morado MEDIO-BAJO Mayoría de validaciones exitosas con algunas indeterminadas Proceder con monitoreo adicional Verde + 1-2 Rojos MEDIO Validaciones mixtas con algunos problemas detectados Requiere intervención manual o bloqueo automático Múltiples Morados MEDIO-ALTO Múltiples validaciones incompletas Análisis manual recomendado Múltiples Rojos ALTO Múltiples problemas de seguridad detectados Bloqueo inmediato, investigación Todo Rojo CRÍTICO Fallas generalizadas en validaciones Bloqueo total, escalación inmediata Algoritmo de Puntuación Color del Parámetro Valor Numérico Peso en Cálculo Verde +10 puntos Positivo Morado 0 puntos Neutro Rojo -15 puntos Negativo Distribución de Peso por Categoría Categoría Peso en Score Total Justificación Device Risks 40% Fundamental para validar legitimidad del acceso Location Risks 35% Crítico para detectar accesos geográficamente anómalos Behavioural Risks 25% Importante para distinguir humanos de automatización Reconstrucción de video El módulo de Reconstrucción de Video es un sistema avanzado de análisis forense que permite recrear y analizar paso a paso las acciones realizadas por un usuario durante una sesión. Este sistema captura, almacena y reproduce de manera secuencial todas las interacciones del usuario con la aplicación, proporcionando una herramienta invaluable para análisis de seguridad, debugging, investigación de fraude y validación de procesos. Objetivos Principales Objetivo Descripción Beneficio Análisis Forense Reconstruir sesiones sospechosas para investigación Identificación de patrones fraudulentos Debugging Avanzado Reproducir errores exactos en el flujo de usuario Resolución rápida de problemas técnicos Validación de Seguridad Verificar cumplimiento de protocolos de seguridad Detección de vulnerabilidades Análisis de UX Estudiar comportamiento real del usuario Optimización de experiencia de usuario Compliance Documentar procesos para auditorías Cumplimiento regulatorio Arquitectura del Sistema Componentes Principales Componente Función Tecnología Video Player Reproduce la sesión de manera visual Renderizado en tiempo real Input Table Tabla detallada de eventos capturados Base de datos de eventos Timeline Controller Control de navegación temporal Interfaz de usuario interactiva Event Tracker Sistema de captura de eventos SDK de monitoreo Video Player - Reproductor de Sesión El Video Player es la interfaz visual principal que muestra la reconstrucción exacta de la sesión del usuario en un dispositivo simulado. Permite visualizar cómo el usuario interactuó con la aplicación, incluyendo toques, deslizamientos, entrada de texto y navegación entre pantallas. Características del Reproductor Característica Descripción Funcionalidad Simulación de Dispositivo Replica el dispositivo exacto usado por el usuario iPhone, Android, tablet según el caso Renderizado de Pantallas Muestra las pantallas exactas vistas por el usuario Interfaz idéntica a la sesión original Indicadores Visuales Muestra puntos de interacción y gestos Toques, deslizamientos, entrada de texto Sincronización Temporal Reproduce eventos en tiempo real o modificado Control de velocidad de reproducción Controles de Reproducción Control Función Opciones Disponibles Timer Muestra tiempo transcurrido de sesión Formato MM:SS.MS Speed Controla velocidad de reproducción X0.5, X1, X2, X4, X8 Play/Pause Control de reproducción Botones estándar Timeline Navegación temporal directa Barra de progreso interactiva Input Table - Tabla de Eventos Detallada La Input Table es una tabla comprehensiva que registra cada evento de interacción capturado durante la sesión del usuario. Proporciona una vista granular y técnica de todas las acciones realizadas, con timestamps precisos y metadata asociada. Columna Descripción Tipo de Dato Ejemplo INPUT TYPE Tipo de entrada o acción realizada Numérico/Categórico 1, 8, 12 ACTIVITY START TIME Fecha y hora exacta del evento DateTime 30/8/2025, 10:31:15 ACTIVITY START HOUR Hora específica en formato HH:MM:SS Time 15:31:15 DURATION (S) Duración del evento en segundos Decimal 2.253, 0.5, 0.514 INTERACTIONS Número de interacciones en el evento Entero 2, 10, 11, 21 FINAL VALUE Valor final ingresado o resultado String Asteriscos (datos sensibles), ABC LENGTH Longitud del valor ingresado Entero 0, 9, 10, 23 VALUE TYPE Tipo de dato del valor String ABC, mixed TIME DIFFS Diferencias de tiempo entre eventos String Asteriscos (metadata) TIME DIFFS CHART Gráfico visual de diferencias temporales Gráfico Barras y líneas temporales TIME SINCE LAST ACTIVITY Tiempo desde la actividad anterior Decimal 18.33, 2.579, 1.348 TIME SINCE SESSION START Tiempo desde inicio de sesión Decimal 18.33, 23.16, 25.01 Tipos de INPUT TYPE Código Tipo de Evento Descripción Ejemplo de Uso 1 Entrada de Texto Ingreso de datos en campos de formulario Escribir usuario, contraseña 8 Navegación/Click Clicks en botones o elementos de navegación Botón "Siguiente", "Confirmar" 12 Evento de Sistema Eventos automáticos o del sistema Validaciones, carga de página Interpretación de VALUE TYPE Tipo Descripción Seguridad Interpretación ABC Texto alfabético Datos no sensibles Nombres, texto general mixed Texto alfanumérico Potencialmente sensible Usuarios, códigos, referencias Asteriscos ( * ) Datos enmascarados Altamente sensible Contraseñas, números de cuenta Timeline de Eventos - Panel Lateral El panel lateral muestra una línea de tiempo cronológica de todos los eventos de la sesión, organizada secuencialmente con timestamps precisos y códigos de evento específicos. Eventos del Timeline Timestamp Código de Evento Descripción Categoría 10:30:56 INIT_SDK_CBID Inicialización del SDK Sistema 10:31:08 SMP_AUTH Proceso de autenticación Autenticación 10:31:28 SET_CBID Configuración de identificador Sistema 10:31:28 SMP_LOGIN Inicio de sesión Autenticación 10:31:28 SMP_LOGIN.PASSW Ingreso de contraseña Autenticación 10:31:28 SET_LID Configuración de identificador local Sistema 10:32:01 Operaciones Acceso a módulo de operaciones Navegación 10:32:02 Transferencias Acceso a transferencias Transaccional 10:32:03 Operaciones.Tra Operación de transferencia Transaccional 10:32:04 Operaciones.Tra Continuación de transferencia Transaccional 10:32:10 Operaciones.Tra Finalización de transferencia Transaccional Categorización de Eventos Categoría Color Indicador Descripción Ejemplos Sistema Verde Eventos automáticos del sistema INIT_SDK, SET_CBID, SET_LID Autenticación Verde Procesos de login y verificación SMP_AUTH, SMP_LOGIN Navegación Verde Movimiento entre secciones Operaciones, Transferencias Transaccional Verde Operaciones financieras o críticas Operaciones.Tra Funcionalidades del Sistema Capacidades de Análisis Funcionalidad Descripción Aplicación Reproducción Exacta Recrea la sesión tal como ocurrió originalmente Análisis forense, debugging Análisis Temporal Estudia patrones de tiempo entre acciones Detección de automatización Correlación de Eventos Relaciona eventos de different fuentes Investigación de seguridad Exportación de Datos Genera reportes y evidencia Auditorías, compliance Casos de Uso Principales Caso de Uso Descripción Beneficio Investigación de Fraude Analizar sesiones sospechosas paso a paso Identificación de patrones maliciosos Análisis de Errores Reproducir bugs reportados por usuarios Resolución rápida de problemas Auditoría de Seguridad Verificar cumplimiento de protocolos Validación de controles Optimización de UX Estudiar comportamiento real del usuario Mejora de experiencia Training y Capacitación Mostrar ejemplos reales de uso Educación del equipo Métricas y Análisis Disponibles Métrica Descripción Valor para Análisis Tiempo de Sesión Total Duración completa de la sesión Identificar sesiones anormalmente largas/cortas Velocidad de Interacción Tiempo entre acciones consecutivas Detectar automatización o comportamiento humano Patrones de Navegación Secuencia de pantallas visitadas Identificar flujos anómalos Frecuencia de Errores Número de intentos fallidos o correcciones Evaluar dificultad de UX o comportamiento sospechoso Interpretación de Datos Análisis de Patrones Temporales Patrón Indicador Interpretación Acción Recomendada Intervalos Regulares Tiempos exactamente consistentes entre acciones Posible automatización Investigar origen de la sesión Intervalos Variables Variación natural en tiempos de respuesta Comportamiento humano normal Proceder normalmente Intervalos Extremos Pausas muy largas o acciones muy rápidas Comportamiento anómalo Análisis manual detallado Validación de Autenticidad Factor Indicador Positivo Indicador Negativo Interpretación Patrones de Tecleo Variabilidad natural, errores ocasionales Velocidad perfecta, sin errores Humano vs Bot Navegación Exploratory, ocasionales retrocesos Directa sin hesitación Usuario real vs automatizado Tiempo de Respuesta Variable según complejidad Constante independiente de tarea Comportamiento auténtico Detección de Anomalías Anomalía Descripción Nivel de Riesgo Acción Velocidad Sobrehumana Acciones más rápidas que capacidad humana Alto Bloqueo inmediato Patrones Repetitivos Secuencias idénticas múltiples veces Medio-Alto Investigación Navegación Atípica Acceso a funciones en orden no intuitivo Medio Monitoreo adicional Inconsistencia Temporal Cambios abruptos en patrones de tiempo Medio Análisis contextual Beneficios del Sistema Para Equipos de Seguridad Beneficio Descripción Impacto Evidencia Forense Documentación completa de actividad sospechosa Legal y compliance Detección de Patrones Identificación de nuevas técnicas de fraude Prevención proactiva Validación de Controles Verificación de efectividad de medidas de seguridad Mejora continua Para Equipos de Desarrollo Beneficio Descripción Impacto Debugging Preciso Reproducción exacta de errores reportados Resolución rápida de bugs Análisis de UX Comprensión real del comportamiento del usuario Optimización de interfaces Testing en Producción Validación de funcionalidades en ambiente real Calidad mejorada Para Compliance y Auditoría Beneficio Descripción Impacto Trazabilidad Completa Registro detallado de todas las transacciones Cumplimiento regulatorio Evidencia Auditable Documentación que cumple estándares legales Protección legal Reportes Automáticos Generación de informes para auditores Eficiencia operativa Análisis de enlaces El módulo de Link Analysis es un sistema avanzado de análisis de relaciones y conexiones que identifica vínculos entre usuarios, dispositivos, sesiones y patrones de comportamiento. Su función principal es detectar redes de actividad relacionada, identificar cuentas múltiples operadas por la misma entidad, y descubrir patrones de fraude coordinado mediante el análisis de conexiones y similitudes comportamentales. Objetivos Principales Objetivo Descripción Aplicación Detección de Redes de Fraude Identificar grupos de cuentas operadas por la misma entidad Prevención de fraude masivo Análisis de Dispositivos Compartidos Detectar múltiples identidades usando el mismo dispositivo Control de identidad única Identificación de Patrones Similares Encontrar sesiones con comportamiento idéntico o muy similar Detección de automatización Mapeo de Conexiones Visualizar relaciones entre usuarios, dispositivos y sesiones Investigación forense Análisis de Familias de Dispositivos Identificar dispositivos conocidos y sus relaciones Control de dispositivos autorizados Arquitectura del Sistema Componentes Principales Componente Función Descripción Graph View Visualización gráfica de conexiones Muestra relaciones entre usuarios y dispositivos Sessions with Similar Behaviour Tabla de sesiones relacionadas Lista detallada de actividad vinculada Link Detection Engine Motor de detección de vínculos Algoritmos de correlación y análisis Relationship Mapping Mapeo de relaciones Sistema de identificación de patrones Graph View - Vista Gráfica de Conexiones La vista gráfica proporciona una representación visual de las conexiones identificadas entre el usuario actual, sus dispositivos y otros elementos relacionados. Utiliza algoritmos de grafos para mostrar relaciones complejas de manera intuitiva. Elementos del Grafo Elemento Representación Visual Descripción Información Mostrada Current User Icono de persona (amarillo) Usuario actual bajo análisis Punto central del análisis Current Device Teléfono azul Dispositivo utilizado en la sesión actual Número de sesiones activas Related Device Teléfono negro Dispositivos adicionales vinculados al usuario Identificador y conteo de sesiones Connections Líneas conectoras Relaciones identificadas entre elementos Tipo y fuerza de la conexión Interpretación de Conexiones Tipo de Conexión Descripción Nivel de Riesgo Interpretación Usuario-Dispositivo Único Un usuario conectado a un solo dispositivo Bajo Patrón normal de uso Usuario-Múltiples Dispositivos Un usuario conectado a varios dispositivos Medio Posible uso legítimo múltiple o cuenta compartida Múltiples Usuarios-Un Dispositivo Varios usuarios usando el mismo dispositivo Alto Posible fraude o uso no autorizado Red Compleja Múltiples conexiones entrecruzadas Muy Alto Red sospechosa de actividad coordinada Métricas del Grafo Métrica Descripción Ejemplo en Imagen Interpretación Device ID Identificador único del dispositivo 7e43 Código de identificación del dispositivo relacionado Session Count Número de sesiones por dispositivo (1 sessions) Cantidad de sesiones registradas en cada dispositivo Connection Type Tipo de relación identificada Línea directa Relación directa entre usuario y dispositivo Sessions with Similar Behaviour - Sesiones con Comportamiento Similar Esta tabla presenta una lista detallada de todas las sesiones que han sido identificadas como relacionadas o similares a la sesión actual, basándose en algoritmos de análisis comportamental y detección de patrones. Estructura de Datos de la Tabla Columna Descripción Tipo de Dato Función COUNTRY País de origen de la sesión Bandera/Código país Identificación geográfica DATE Fecha y hora de la sesión DateTime Timestamp de la actividad SCORE Puntuación de similitud/riesgo Numérico Medida de similitud comportamental USER Identificador del usuario String ID de usuario (enmascarado) REASON Razón de la vinculación String Criterio de similitud detectado KNOWN FAMILY Dispositivo de familia conocida Boolean (X/✓) Indica si el dispositivo es reconocido CSID Identificador de sesión específico String alfanumérico ID único de la sesión DURATION Duración de la sesión Numérico (segundos) Tiempo total de la sesión BRAND Marca/Plataforma utilizada String Identificación de la plataforma CHANNEL Canal de acceso String Método de acceso utilizado ISP Proveedor de servicios de internet String Compañía de internet utilizada KNOWN DEVICE Dispositivo conocido Boolean (X/✓) Indica si el dispositivo está registrado IP Dirección IP (parcial) String numérico Identificación de red (enmascarada) UNKNOWN DEVICE Estado de dispositivo desconocido Boolean (X/✓) Marca dispositivos no registrados IP AGE Edad de la dirección IP en días Numérico Tiempo desde primer registro de la IP IP COUNTRY AGE Edad de IP en el país específico Numérico Tiempo de asociación IP-país USERS IN MUD LV Usuarios en nivel MUD Numérico Contador de usuarios en mismo nivel de riesgo DEVICE AGE Edad del dispositivo en días Numérico Tiempo desde primer registro del dispositivo USER AGE Edad del usuario en días Numérico Tiempo desde creación de la cuenta CONTEXT Contexto de navegación de la sesión String Secuencia de páginas/acciones realizadas Análisis de Datos de la Tabla Información de País y Ubicación País Detectado Bandera Interpretación Nivel de Atención México 🇲🇽 Todas las sesiones desde México Concentración geográfica sospechosa Consistencia de Ubicación Misma bandera Actividad coordinada desde misma región Posible red de fraude local Análisis de Puntuaciones (SCORE) Rango de Score Ejemplo Interpretación Acción Recomendada 700-800 789, 770, 795, 772 Similitud muy alta en comportamiento Investigación inmediata 500-600 569 Similitud moderada-alta Monitoreo intensivo 100-200 123 Similitud baja-moderada Monitoreo estándar 0-50 20 Similitud mínima detectada Revisión periódica Análisis de Usuarios Patrón de Usuario Ejemplo Descripción Implicación UNPROTECTED_3C00190012 Usuario tipo 1 Cuenta sin protecciones adicionales Mayor vulnerabilidad UNPROTECTED_100190011 Usuario tipo 2 Diferentes variantes de cuentas desprotegidas Patrón de cuentas similares UNPROTECTED_175534809 Usuario tipo 3 Numeración secuencial o generada Posibles cuentas automatizadas Razón de Vinculación Razón Descripción Algoritmo Utilizado Nivel de Confianza behaviour Comportamiento similar detectado Análisis de patrones de interacción Alto device Mismo dispositivo utilizado Fingerprinting de hardware Muy Alto network Misma red o ISP Análisis de infraestructura Medio temporal Patrones temporales similares Análisis de timing Medio-Alto Estado de Dispositivos y Familias Campo Valor Significado Implicación de Seguridad KNOWN FAMILY X (No) Dispositivo no pertenece a familia conocida Mayor riesgo de dispositivo nuevo/sospechoso KNOWN DEVICE X (No) Dispositivo no registrado previamente Dispositivo potencialmente malicioso Combinación XX Ambos negativos Dispositivo completamente desconocido Riesgo muy alto Análisis de Infraestructura Técnica Campo Técnico Valor Detectado Interpretación Nivel de Riesgo BRAND SMP Todas las sesiones usan la misma plataforma Consistencia sospechosa CHANNEL Emulator (IOS) Todas desde emulador de iOS Uso de herramientas de automatización ISP WI-NET TELECOM S.A.C. Mismo proveedor de internet Concentración geográfica/infraestructura IP Range 38.2.x.x Mismo rango de direcciones IP Red coordinada Análisis de Dispositivos y Edades Campo Valor Observado Descripción Interpretación de Riesgo UNKNOWN DEVICE X (Todos marcados) Todos los dispositivos son desconocidos Muy Alto - Dispositivos nuevos o temporales IP 38.25.16.17 Misma dirección IP para todas las sesiones Crítico - Concentración de actividad IP AGE 290 días (mayoría), 0 días IP conocida por 290 días, nueva actividad Medio - IP establecida con nuevo uso IP COUNTRY AGE 290-326 días IP asociada al país por varios meses Bajo - Asociación geográfica estable USERS IN MUD LV 0 (Todos) Sin usuarios en mismo nivel MUD Información - Nivel de riesgo único DEVICE AGE 0 días (Todos) Todos los dispositivos son completamente nuevos Crítico - Dispositivos creados específicamente USER AGE 290-326 días Usuarios con diferentes antigüedades Medio - Cuentas no recién creadas Análisis de Contexto de Navegación Patrón de Contexto Secuencia Observada Interpretación Nivel de Automatización Flujo Completo AUTH_PAGE,LOGIN,LOGIN_PASSWORD,OPERACIONES,TRANSFERENCIAS,TRANSPAC_ORIGEN,TRANSPAC_DESTINO Proceso completo de transferencia Alto - Secuencia muy específica Flujo Parcial AUTH_PAGE,LOGIN,LOGIN_PASSWORD,OPERACIONES,SERVIC,SERVIC_BUSC,SERVIC_DATOS,SERVIC_MON Acceso a servicios específicos Alto - Navegación dirigida Flujo Simplificado AUTH_PAGE,LOGIN,LOGIN_PASSWORD Solo proceso de autenticación Medio - Acceso básico Consistencia Patrones repetitivos exactos Mismas secuencias de navegación Crítico - Comportamiento no humano Patrones de Riesgo Identificados Patrón 1: Concentración Temporal Característica Valor Observado Interpretación Fecha 30/6/2025 Todas las sesiones el mismo día Horario 17:15-17:28 Ventana temporal de 13 minutos Frecuencia 7 sesiones Alta concentración de actividad Patrón 2: Uniformidad Técnica Aspecto Consistencia Nivel de Sospecha Plataforma 100% SMP Extremadamente sospechoso Emulador 100% iOS Emulator Indica automatización ISP 100% mismo proveedor Red coordinada Dispositivos 100% desconocidos Dispositivos nuevos/temporales Patrón 3: Similitud Comportamental Métrica Observación Implicación Scores Altos 6 de 7 sesiones >500 Comportamiento muy similar Duración Variable 0-86 segundos Diferentes tipos de actividad Razón Común Todas por "behaviour" Algoritmo detecta patrones idénticos Patrón 4: Infraestructura Centralizada (Nuevo Análisis) Factor Valor Crítico Interpretación Nivel de Alerta IP Única 38.25.16.17 Todas las sesiones desde la misma IP CRÍTICO Dispositivos Edad 0 100% dispositivos nuevos Creados específicamente para esta actividad CRÍTICO IP Age vs Device Age IP: 290 días, Dispositivos: 0 días IP conocida pero dispositivos nuevos ALTO Contextos Repetitivos Secuencias de navegación idénticas Automatización confirmada CRÍTICO Patrón 5: Perfil de Usuario Sospechoso Característica Observación Significado Riesgo País de Origen OM (Omán) Concentración geográfica específica MEDIO User Age Variado 290-326 días Cuentas no recién creadas BAJO MUD Level Todos en 0 Mismo nivel de clasificación INFORMACIÓN Unknown Device 100% marcados Ningún dispositivo reconocido CRÍTICO Interpretación de Resultados Matriz de Riesgo por Patrones Combinación de Factores Nivel de Riesgo Interpretación Acción Recomendada Múltiples dispositivos + Scores altos + Misma infraestructura CRÍTICO Red de fraude coordinada Bloqueo inmediato de toda la red Dispositivos desconocidos + Emuladores + Concentración temporal ALTO Ataque automatizado masivo Investigación urgente Comportamiento similar + Misma ubicación + Usuarios secuenciales ALTO Fraude organizado local Escalación a equipo especializado Scores moderados + Infraestructura mixta + Timing normal MEDIO Posible actividad coordinada Monitoreo intensivo Dispositivos conocidos + Scores bajos + Patrones normales BAJO Actividad legítima relacionada Monitoreo estándar Algoritmos de Detección de Vínculos Algoritmo Descripción Factores Analizados Peso en Decisión Behavioral Similarity Compara patrones de interacción Timing, secuencias, errores 40% Device Fingerprinting Identifica características únicas del dispositivo Hardware, software, configuración 35% Network Analysis Analiza infraestructura de red IP, ISP, geolocalización 15% Temporal Correlation Busca patrones temporales Horarios, frecuencia, duración 10% Métricas de Confianza Nivel de Confianza Rango de Score Descripción Acción Automática Muy Alto 800-1000 Vínculos casi certeros Bloqueo automático Alto 600-799 Vínculos muy probables Revisión prioritaria Medio 400-599 Vínculos probables Monitoreo adicional Bajo 200-399 Vínculos posibles Seguimiento rutinario Mínimo 0-199 Vínculos débiles Solo logging Casos de Uso del Sistema Detección de Fraude Masivo Indicador Descripción Ejemplo de la Imagen Múltiples Cuentas Varias cuentas UNPROTECTED creadas 7 usuarios diferentes Misma Infraestructura Mismo ISP y tipo de dispositivo WI-NET TELECOM, Emulator iOS Comportamiento Idéntico Scores altos de similitud 789, 770, 795, 772 Concentración Temporal Actividad en ventana corta 13 minutos el 30/6/2025 Caso Crítico: Red de Fraude con IP Centralizada (Análisis de Nueva Imagen) Factor Crítico Evidencia Interpretación Nivel de Alerta IP Única 38.25.16.17 para 7 sesiones diferentes Todos los ataques desde mismo punto CRÍTICO Dispositivos Vírgenes Device Age = 0 en todos los casos Dispositivos creados específicamente CRÍTICO Usuarios Comprometidos User Age 290+ días pero dispositivos nuevos Cuentas legítimas posiblemente comprometidas ALTO Automatización Confirmada Contextos de navegación idénticos Bots siguiendo scripts predefinidos CRÍTICO Objetivos Específicos Rutas directas a TRANSFERENCIAS Intención clara de fraude financiero CRÍTICO Conclusión del Caso : Red de fraude altamente organizada usando cuentas comprometidas, dispositivos desechables y automatización desde infraestructura centralizada para realizar transferencias bancarias fraudulentas. Acción Inmediata Requerida : Bloqueo inmediato de IP 38.25.16.17 Suspensión de todas las cuentas identificadas Investigación forense de las transferencias realizadas Notificación a autoridades competentes Actualización de algoritmos de detección Análisis de Dispositivos Compartidos Escenario Identificación Riesgo Acción Familia Legítima Dispositivos conocidos, usuarios relacionados Bajo Permitir con monitoreo Cuenta Corporativa Múltiples empleados, mismo dispositivo Medio Validar políticas Fraude Coordinado Usuarios no relacionados, dispositivos nuevos Alto Bloquear e investigar Red Criminal (Nuevo) Misma IP, dispositivos vírgenes, usuarios antiguos CRÍTICO Respuesta de emergencia Investigación Forense Capacidad Descripción Beneficio Reconstrucción de Redes Mapea conexiones completas Identifica toda la red criminal Análisis Temporal Estudia evolución de patrones Predice futuros ataques Correlación de Evidencia Vincula evidencia dispersa Construye caso sólido Beneficios del Sistema Para Equipos de Seguridad Beneficio Descripción Impacto Detección Temprana Identifica redes antes de que causen daño Prevención proactiva Análisis Masivo Procesa miles de conexiones simultáneamente Escalabilidad Evidencia Visual Gráficos claros para presentación Comunicación efectiva Automatización Reduce trabajo manual de investigación Eficiencia operativa Para Prevención de Fraude Beneficio Descripción Impacto Detección de Patrones Identifica nuevas técnicas de fraude Adaptación rápida Análisis Predictivo Anticipa comportamientos futuros Prevención proactiva Correlación Avanzada Conecta eventos aparentemente aislados Detección sofisticada Para Compliance y Auditoría Beneficio Descripción Impacto Documentación Completa Registra todas las conexiones identificadas Cumplimiento regulatorio Trazabilidad Rastrea origen y evolución de redes Auditoría forense Reportes Automáticos Genera informes para reguladores Eficiencia de compliance Datos del mapa El mapa interactivo proporciona una representación visual en tiempo real de las ubicaciones de usuarios, utilizando Google Maps como base cartográfica. Permite identificar patrones geográficos, concentraciones de actividad y anomalías de ubicación de manera intuitiva. Elementos del Mapa Elemento Representación Visual Descripción Información Mostrada Marcador Principal Pin azul con círculo Ubicación actual del usuario bajo análisis Punto geográfico exacto Área de Concentración Círculo sombreado Zona de alta actividad detectada Radio de confianza de ubicación Marcadores Secundarios Pins adicionales de colores Ubicaciones relacionadas o históricas Contexto geográfico adicional Controles de Navegación Botones de zoom y vista Herramientas de navegación estándar Exploración detallada del mapa Información Geográfica Mostrada Dato Valor Observado Descripción Interpretación Ubicación Principal Región de Lima, Perú Punto de actividad detectado Concentración en capital peruana Precisión del Marcador Área metropolitana Nivel de precisión de geolocalización Precisión a nivel de ciudad Contexto Geográfico Zona costera del Pacífico Ubicación en geografía específica Coherencia con infraestructura de red Mapa Interactivo - Visualización Geográfica El mapa interactivo proporciona una representación visual en tiempo real de las ubicaciones de usuarios, utilizando Google Maps como base cartográfica. Permite identificar patrones geográficos, concentraciones de actividad y anomalías de ubicación de manera intuitiva. Elementos del Mapa Elemento Representación Visual Descripción Información Mostrada Marcador Principal Pin azul con círculo Ubicación actual del usuario bajo análisis Punto geográfico exacto Área de Concentración Círculo sombreado Zona de alta actividad detectada Radio de confianza de ubicación Marcadores Secundarios Pins adicionales de colores Ubicaciones relacionadas o históricas Contexto geográfico adicional Controles de Navegación Botones de zoom y vista Herramientas de navegación estándar Exploración detallada del mapa Información Geográfica Mostrada Dato Valor Observado Descripción Interpretación Ubicación Principal Región de Lima, Perú Punto de actividad detectado Concentración en capital peruana Precisión del Marcador Área metropolitana Nivel de precisión de geolocalización Precisión a nivel de ciudad Contexto Geográfico Zona costera del Pacífico Ubicación en geografía específica Coherencia con infraestructura de red Panel de Estadísticas - Distribución por Países El panel de estadísticas presenta una distribución porcentual de la actividad detectada por países, proporcionando un análisis cuantitativo de la concentración geográfica de las sesiones analizadas. Análisis de Distribución País Bandera Porcentaje Interpretación Nivel de Atención Perú 🇵🇪 100.31% Concentración extrema de actividad Alto - Concentración sospechosa           Análisis de Patrones de Distribución Patrón Descripción Nivel de Riesgo Interpretación Concentración Extrema >90% de actividad en un solo país Alto Posible red localizada de fraude Distribución Dual Solo 2 países con actividad Medio-Alto Operación limitada geográficamente         Panel de Información de Ubicación - Datos Técnicos Detallados Este panel proporciona información técnica granular sobre todos los aspectos de la geolocalización del usuario, incluyendo datos de GPS, IP, infraestructura de red y verificaciones de coherencia. Estructura de Datos de Ubicación Campo Valor Observado Tipo de Dato Función GPS longitude 38.25.16.17 IPv4/IPv6 Dirección IP reportada como coordenada GPS latitude -76.45 Coordenada geográfica Latitud GPS real GPS enabled? No Boolean Estado del sistema GPS del dispositivo Is ip-gps locations match? N/A Comparación Coherencia entre fuentes de ubicación Country Peru String País determinado por geolocalización City Lima region String Ciudad/región específica Isp WI-NET TELECOM S.A.C. String Proveedor de servicios de internet Organization WI-NET TELECOM S.A.C. String Organización propietaria de la red Análisis Técnico de Datos Discrepancias Detectadas Campo Valor Esperado Valor Observado Nivel de Anomalía Interpretación GPS longitude Coordenada (-76.xx) 38.25.16.17 (IP) CRÍTICO Confusión entre IP y coordenada GPS GPS latitude Coordenada (-12.xx para Lima) -76.45 ALTO Coordenada fuera del rango de Lima GPS enabled Esperado: Sí No MEDIO GPS deshabilitado impide verificación IP-GPS match Comparación válida N/A MEDIO Imposibilidad de verificar coherencia Análisis de Infraestructura de Red Aspecto Información Descripción Nivel de Riesgo ISP Identificado WI-NET TELECOM S.A.C. Proveedor peruano específico Bajo - ISP legítimo Organización Misma que ISP Coherencia en propiedad de red Bajo - Estructura normal Ubicación de Red Lima, Perú Coherencia con país detectado Bajo - Geolocalización consistente Tipo de Conexión Comercial/Residencial Basado en rango de IP Información - Uso estándar Estado de Geolocalización Fuente Estado Precisión Confiabilidad Acción Requerida GPS Deshabilitado N/A No disponible Solicitar activación IP Geolocation Activa Ciudad/Región Media Fuente principal actual Network Location Activa ISP/Organización Alta Fuente de respaldo Correlación Cruzada No disponible N/A No posible Requiere GPS activo Interpretación de Resultados Matriz de Riesgo Geográfico Combinación de Factores Nivel de Riesgo Interpretación Acción Recomendada GPS deshabilitado + IP coherente + ISP legítimo MEDIO Usuario con privacidad de ubicación Monitoreo adicional Concentración país >90% + GPS off + Datos confusos ALTO Posible evasión de geolocalización Investigación detallada Discrepancia coordenadas + Múltiples países CRÍTICO Posible spoofing de ubicación Bloqueo preventivo ISP coherente + Ciudad correcta + GPS deshabilitado BAJO-MEDIO Configuración de privacidad normal Monitoreo estándar Algoritmos de Validación Geográfica Algoritmo Descripción Factores Analizados Peso en Decisión IP Geolocation Ubicación basada en dirección IP Rango IP, ISP, base de datos geográfica 40% GPS Validation Verificación de coordenadas GPS Latitud, longitud, precisión reportada 35% Network Analysis Análisis de infraestructura de red ISP, organización, tipo de conexión 15% Cross-Reference Correlación entre fuentes Coherencia entre GPS, IP y red 10% Detección de Anomalías Geográficas Tipo de Anomalía Indicador Descripción Nivel de Alerta Coordinate Confusion IP en campo GPS Valores IP donde deberían ir coordenadas CRÍTICO GPS Disabled GPS enabled = No Sistema GPS deshabilitado intencionalmente MEDIO Location Mismatch Discrepancia fuentes GPS y IP reportan ubicaciones diferentes ALTO Impossible Coordinates Coordenadas fuera de rango Valores geográficos imposibles para la región CRÍTICO Casos de Uso del Sistema Análisis de Concentración Geográfica Sospechosa Indicador Evidencia Observada Interpretación Nivel de Riesgo Concentración Extrema 92.31% actividad en Perú Actividad altamente localizada Alto Distribución Limitada Solo 2 países activos Operación geográficamente restringida Medio-Alto ISP Específico WI-NET TELECOM S.A.C. Concentración en un proveedor Medio GPS Consistentemente Deshabilitado GPS enabled = No Evasión sistemática de geolocalización precisa Alto Detección de Evasión de Geolocalización Técnica de Evasión Evidencia Descripción Contramedida GPS Spoofing Coordenadas imposibles Manipulación de datos GPS Verificación cruzada con IP GPS Disabled Sistema GPS apagado Prevenir tracking preciso Requerir activación GPS IP Masking Discrepancia IP-ubicación Uso de VPN o proxies Análisis de infraestructura de red Data Confusion IP en campos GPS Manipulación de campos de datos Validación de formato de datos Investigación de Infraestructura de Red Aspecto Información Disponible Análisis Conclusión ISP Legitimacy WI-NET TELECOM S.A.C. registrado Proveedor legítimo en Perú Bajo riesgo de ISP malicioso Network Ownership Organización = ISP Estructura de propiedad normal Sin indicios de red comprometida Geographic Consistency Lima, Perú coherente Ubicación de red coherente con país Geolocalización probable auténtica Connection Type Comercial/residencial Tipo de conexión estándar Sin indicios de infraestructura especializada Revisar El módulo de Review es un sistema de análisis manual que permite a los asesores y analistas de seguridad del banco evaluar, clasificar y proporcionar retroalimentación sobre sesiones que han sido reportadas por clientes o escaladas por los sistemas automáticos. Su función principal es realizar una investigación humana detallada de casos sospechosos, confirmar o descartar alertas de fraude, y documentar hallazgos para mejorar los algoritmos de detección automática. Objetivos Principales Objetivo Descripción Aplicación Clasificación Manual de Casos Permitir evaluación humana experta de sesiones sospechosas Confirmación de fraude o falsos positivos Retroalimentación al Sistema Proporcionar datos de entrenamiento para algoritmos ML Mejora continua de detección automática Investigación Detallada Análisis profundo de casos complejos Identificación de nuevos vectores de ataque Documentación de Hallazgos Registro detallado de evidencia y conclusiones Soporte legal y auditoría Escalación de Casos Identificar casos que requieren intervención especializada Gestión de incidentes críticos Arquitectura del Sistema Componentes Principales Componente Función Descripción Panel de Clasificación Selección de tipo de caso Opciones predefinidas de categorización Área de Comentarios Documentación detallada Campo de texto libre para observaciones Sistema de Envío Procesamiento de decisiones Botón de confirmación y envío Base de Conocimiento Referencia de tipos de fraude Guías para clasificación consistente Panel de Clasificación - Tipos de Casos El panel de clasificación presenta una lista comprehensiva de categorías predefinidas que cubren todos los tipos posibles de actividad, desde casos legítimos hasta diferentes variantes de fraude. Permite selección múltiple para casos que involucran varios vectores de ataque simultáneamente. Categorías de Clasificación Categoría Descripción Nivel de Riesgo Acción Posterior Unknown Caso sin clasificar o información insuficiente N/A Requiere investigación adicional Confirmed Genuine Actividad legítima confirmada Ninguno Marcar como falso positivo Suspected Fraud Indicios de fraude sin confirmación total Medio-Alto Monitoreo intensivo Confirmed Fraud Fraude confirmado con evidencia Crítico Bloqueo inmediato y escalación Tipos Específicos de Fraude Tipo de Fraude Descripción Técnica Indicadores Típicos Acción Recomendada ATO Fraud Account Take Over - Compromiso de cuenta Cambio de patrones, nueva ubicación, dispositivo desconocido Bloqueo de cuenta, verificación de identidad Malware Fraud Fraude mediante software malicioso Comportamiento automatizado, keyloggers, RATs Limpieza de dispositivo, cambio de credenciales Social Engineering Fraud Ingeniería social y manipulación Usuario reporta presión externa, transferencias inusuales Educación del usuario, revisión de transacciones Remote Access Fraud Acceso remoto no autorizado Software de control remoto, actividad desde múltiples ubicaciones Verificación de dispositivos autorizados Digital Fraud Fraude mediante canales digitales Manipulación de aplicaciones, bypass de controles Fortalecimiento de seguridad digital Phishing Suplantación de identidad digital Links maliciosos, sitios falsos, credenciales comprometidas Educación, cambio de contraseñas Cell Phone Theft Robo de dispositivo móvil Acceso desde dispositivo robado Bloqueo de dispositivo, verificación de identidad SIM Swap Intercambio fraudulento de tarjeta SIM Pérdida de control del número telefónico Verificación con operadora, método alternativo New Device Actividad desde dispositivo nuevo Primer acceso desde dispositivo desconocido Verificación adicional de identidad Owner Device Dispositivo propio del usuario Actividad desde dispositivo registrado Monitoreo estándar El área de comentarios proporciona un espacio de texto libre donde los analistas pueden documentar sus hallazgos, evidencias específicas, metodología de investigación y recomendaciones detalladas. Estructura de Documentación Recomendada Sección Contenido Propósito Ejemplo Resumen del Caso Descripción breve del incidente Contexto inicial "Usuario reporta transferencias no autorizadas desde dispositivo conocido" Evidencia Encontrada Datos específicos que apoyan la clasificación Sustento técnico "Detectado keylogger en análisis de dispositivo, logs muestran captura de credenciales" Metodología de Análisis Pasos seguidos en la investigación Reproducibilidad "Análisis de logs de sesión, verificación cruzada con datos de ubicación" Conclusiones Determinación final del analista Decisión fundamentada "Confirmo compromiso por malware, dispositivo requiere limpieza completa" Recomendaciones Acciones sugeridas Pasos siguientes "Bloqueo temporal, educación sobre seguridad, instalación de antivirus"