Ado STS Manual

Este manual contiene toda la información relacionada con el uso de la solución, incluyendo filtros específicos, funcionamiento general y modos de operación.
Cualquier inquietud será atendida a través del correo de soporte: soporte@ado-tech.com.

Para temas relacionados con la integración, se encuentra disponible un manual complementario que detalla de manera exhaustiva el proceso de integración de la solución en las diferentes plataformas: iOS, Android y JavaScript

Acerca de este Manual

Este manual ha sido diseñado para proporcionar una comprensión integral del Módulo de Detección de Fraude (FDM), una solución tecnológica avanzada que protege las transacciones digitales y la integridad de las plataformas en línea. A través de este documento, los usuarios encontrarán información detallada sobre el funcionamiento, características y beneficios del sistema, así como guías prácticas para su implementación y uso efectivo.

Acerca de este Manual

Información de Contacto Importante

Para obtener información sobre esta API y otras soluciones de nuestro catálogo, por favor comuníquese con nuestra área financiera para su evaluación al correo julian@ado-tech.com.
Todas las claves de acceso, URLs de endpoints y demás elementos de acceso solo serán proporcionados una vez se haya alcanzado un acuerdo formal entre ambas partes.

Importante:
El alcance y los límites de la recolección de datos dependen en gran medida del tipo de implementación realizada durante la integración de nuestra solución, así como de los límites y capacidades definidos en la contratación actual.
Algunos módulos o soluciones podrían no estar activos. En caso de que se identifique alguna funcionalidad no disponible, se recomienda validar con nuestro equipo del área financiera, quien proporcionará toda la información necesaria sobre estas limitaciones.

Acerca de este Manual

Propósito del Sistema

image.png

El propósito fundamental del FDM es proporcionar una capa de seguridad invisible pero altamente efectiva que proteja tanto a las organizaciones como a sus usuarios finales. El sistema ha sido diseñado para:

  1. Detectar amenazas en tiempo real: Identificar intentos de fraude en el momento en que ocurren, permitiendo una respuesta inmediata que minimice el impacto potencial.
  2. Reducir falsos positivos: Mediante el análisis sofisticado de múltiples variables, el sistema distingue con precisión entre comportamientos legítimos inusuales y verdaderas amenazas de seguridad.
  3. Adaptarse continuamente: El sistema aprende constantemente de nuevos patrones y evoluciona para enfrentar amenazas emergentes sin requerir actualizaciones manuales frecuentes.
  4. Mantener la experiencia del usuario: Operar de manera transparente para los usuarios legítimos, evitando interrupciones innecesarias en sus actividades normales.
Acerca de este Manual

¿Qué es el Módulo de Detección de Fraude?

image.png

El Módulo de Detección de Fraude (FDM) es una plataforma integral de seguridad digital que utiliza tecnologías de vanguardia para identificar, prevenir y mitigar actividades fraudulentas en tiempo real. A diferencia de los sistemas tradicionales de seguridad que se basan únicamente en credenciales estáticas como contraseñas o tokens, el FDM implementa un enfoque multidimensional que analiza el comportamiento del usuario, las características ambientales y las relaciones contextuales para crear un perfil de seguridad dinámico y adaptativo.

Acerca de este Manual

Tipos de Datos Recolectados

Capacidad de Recolección de Datos según el Alcance del Servicio Contratado

La capacidad de recolección de datos depende directamente del tipo de servicio contratado y de lo establecido en el contrato. Todos los datos recolectados se obtienen a partir de una integración completa y eficiente con nuestra solución.

En caso de contar únicamente con una integración simple, el sistema seguirá siendo funcional; sin embargo, es posible que algunos datos no estén disponibles o no se reflejen en la información mostrada, debido a las limitaciones propias de ese tipo de implementación.

INFORMACIÓN DE BIOMETRÍA COMPORTAMENTAL

Esta categoría es fundamental porque permite identificar inmediatamente cuando una persona diferente al propietario legítimo está utilizando el dispositivo. Los patrones biométricos comportamentales son únicos como las huellas dactilares, pero más difíciles de falsificar porque son inconscientes y automáticos. El sistema puede detectar cambios en estos patrones desde los primeros segundos de interacción, proporcionando evaluación de riesgo en tiempo real.

Elemento Recolectado Descripción Aplicación Antifraude
Forma de uso del celular Patrón individual de interacción con el dispositivo, incluyendo forma de sostener, manipular y orientar el dispositivo durante el uso Detecta cuando una persona no familiarizada usa el dispositivo, generando movimientos compensatorios atípicos, cambios en la estabilidad del agarre y patrones de movimiento inconsistentes
Uso de la pantalla táctil Ritmo, presión, trayectorias al tocar o deslizar, patrones de gestos y área de contacto específica Identifica diferencias en la presión ejercida, patrones de deslizamiento únicos, y detecta variaciones en el tamaño del área de contacto que indican diferencias físicas entre usuarios
Uso del teclado Velocidad de tipeo, presión, combinación de teclas, patrones de pausas entre caracteres y dinámicas de escritura específicas Revela si el usuario está escribiendo información conocida (flujo natural) o consultando datos externos (pausas prolongadas superiores a 2 segundos, indicativo de búsqueda externa)
Uso del mouse Movimiento del cursor, velocidad, patrones de aceleración, clics y micro-movimientos naturales Distingue entre movimientos humanos naturales con entropía natural y patrones automatizados de bots que presentan consistencia temporal inhumana
Uso de atajos Detección de teclas rápidas, combinaciones comunes utilizadas y familiaridad con navegación avanzada Identifica si el usuario conoce los atajos habituales del sistema y navega con experiencia, o si muestra patrones de navegación inexpertos inconsistentes con el perfil del usuario
Tamaño del dedo y huella Dimensiones inferidas a partir de la interacción táctil, área de contacto y presión característica Detecta cambios físicos significativos que indican que otra persona está usando el dispositivo, con rangos típicos de 0.00-0.40 para usuarios legítimos vs. 0.50-1.00 para usuarios fraudulentos
Movimiento del dispositivo Análisis de estabilidad, inclinación, patrones de acelerómetro durante el uso y vibraciones características Revela nerviosismo, falta de familiaridad o situaciones de estrés durante el uso, detectando movimientos erráticos que indican manipulación por personas no autorizadas

INFORMACIÓN DE CONTEXTO Y PREFERENCIAS DEL USUARIO

Esta información permite identificar cuando el acceso proviene de un entorno tecnológico inconsistente con el perfil establecido del usuario legítimo. Los cambios súbitos en preferencias, contexto de uso o ecosistema tecnológico son indicadores altamente confiables de actividad fraudulenta, especialmente cuando se presentan múltiples discrepancias simultáneamente.

Elemento Recolectado Descripción Aplicación Antifraude
Preferencias del tema Configuraciones personalizadas como esquemas de color, fuente, tamaño de texto, contraste, modo claro/oscuro, y otras personalizaciones visuales del sistema Detecta accesos desde dispositivos que no han sido personalizados por el usuario legítimo, revelando uso de dispositivos genéricos o recién configurados por defraudadores
Tipo de dispositivo Sistema operativo específico (Android o iOS), fabricante, modelo exacto, versión de software y configuración de hardware Identifica cambios súbitos de ecosistema tecnológico que pueden indicar dispositivos robados, comprometidos o emulados para evadir otras medidas de seguridad
Navegador utilizado Navegador web predeterminado, versión específica, configuraciones de privacidad y extensiones instaladas Revela si el acceso proviene del navegador habitual y configurado del usuario, o de un navegador diferente que sugiere acceso desde dispositivo no autorizado
Operador móvil Proveedor de red celular específico, tipo de plan, configuraciones de red y características del servicio Detecta cambios de operador que pueden indicar uso de dispositivos clonados, SIM swapping, o tarjetas prepagadas utilizadas por defraudadores
Aplicaciones instaladas Lista completa de aplicaciones activas e instaladas, versiones específicas, patrones de actualización y configuraciones de aplicaciones Identifica dispositivos que no contienen el ecosistema personalizado de aplicaciones del usuario, revelando dispositivos genéricos o recientemente comprometidos
Ubicación de uso Entornos recurrentes y patrones geográficos desde los que se accede habitualmente (hogar, trabajo, ubicaciones frecuentes, rutas habituales) Detecta accesos desde ubicaciones geográficamente anómalas, físicamente imposibles en el tiempo transcurrido, o inconsistentes con los patrones de movilidad establecidos del usuario

INFORMACIÓN GENERAL DEL DISPOSITIVO

Permite identificar discrepancias significativas entre el dispositivo habitual del usuario y el dispositivo desde el cual se está intentando realizar el acceso. Los defraudadores raramente pueden replicar todas las configuraciones técnicas específicas y personalizaciones del dispositivo legítimo, especialmente las configuraciones internas y los permisos específicos que el usuario ha otorgado a lo largo del tiempo.

Elemento Recolectado Descripción Aplicación Antifraude
Zona horaria e idioma Configuración regional del sistema, preferencias de idioma principal y secundarios, formato de fecha y hora, y configuraciones de localización Detecta accesos desde ubicaciones geográficas inconsistentes con el perfil del usuario, identificando discrepancias entre la configuración del dispositivo y la ubicación real
Marca, modelo y sistema operativo Identificación técnica completa del hardware, versión específica del software, número de compilación y características técnicas del dispositivo Identifica cambios de dispositivo que pueden indicar robo, clonación, acceso no autorizado, o uso de emuladores para evadir otras medidas de seguridad
Configuraciones de usuario Personalizaciones específicas realizadas por el usuario a nivel del sistema operativo, preferencias de accesibilidad, configuraciones de pantalla y ajustes personales Revela si el dispositivo ha sido genuinamente personalizado por el usuario legítimo durante un período extenso, o si es un dispositivo genérico sin historial de personalización
Configuraciones internas Parámetros operativos internos del sistema, configuraciones de desarrollador, ajustes avanzados y modificaciones técnicas del dispositivo Detecta modificaciones técnicas, rooteo, jailbreak, o alteraciones que pueden indicar dispositivos comprometidos, emulados o preparados específicamente para actividades fraudulentas
Permisos otorgados Accesos específicos habilitados por el usuario para aplicaciones (ubicación, cámara, micrófono, contactos, almacenamiento), historial de decisiones de permisos Identifica patrones de permisos inconsistentes con el comportamiento y preferencias de privacidad habituales del usuario, detectando configuraciones atípicas
Fuentes instaladas Tipografías personalizadas presentes en el sistema operativo, paquetes de idiomas adicionales y recursos de localización instalados Detecta dispositivos que no han sido utilizados por el usuario legítimo durante tiempo suficiente para acumular personalizaciones típicas de uso prolongado

ESTADO DEL DISPOSITIVO

Esta información es crucial para identificar situaciones inusuales que pueden indicar fraude, como dispositivos utilizados de manera atípica, condiciones operativas anómalas, o patrones de uso que sugieren acceso no autorizado. Los defraudadores no pueden controlar fácilmente estos aspectos técnicos del dispositivo, especialmente cuando operan remotamente.

Elemento Recolectado Descripción Aplicación Antifraude
Estado y nivel de batería Carga actual del dispositivo, estado de carga activa, patrones históricos de carga y gestión de energía características del usuario Detecta patrones inusuales de uso de batería que pueden indicar actividad automatizada continua, uso prolongado anómalo por parte de defraudadores, o dispositivos manipulados
Tiempo de actividad Tiempo transcurrido desde el último reinicio o encendido del dispositivo, frecuencia de reinicios y patrones de uso continuo Identifica dispositivos recién reiniciados que pueden haber sido comprometidos, manipulados técnicamente, o que han sido objeto de modificaciones para evadir detección
Tamaño de pantalla Resolución específica, dimensiones físicas exactas del display, densidad de píxeles y características técnicas de la pantalla Detecta accesos desde dispositivos con características físicas diferentes al dispositivo habitual, identificando intentos de acceso desde emuladores o dispositivos clonados
Compartición de pantalla Estado activo de transmisión del contenido del dispositivo, aplicaciones de control remoto en ejecución y conexiones de pantalla externa Identifica posibles ataques de ingeniería social donde la pantalla está siendo compartida con defraudadores, o situaciones de control remoto no autorizado del dispositivo

SENSORES AMBIENTALES

Los datos ambientales son virtualmente imposibles de replicar artificialmente por defraudadores, lo que los convierte en indicadores extremadamente confiables de la ubicación y contexto real del dispositivo. Son especialmente valiosos para detectar fraudes que involucran cambios de ubicación geográfica, uso de emuladores, o accesos remotos que intentan enmascarar la ubicación real.

Elemento Recolectado Descripción Aplicación Antifraude
Cantidad de luz Nivel específico de luminosidad detectado en el ambiente inmediato, variaciones naturales de luz y patrones de iluminación característicos del entorno Detecta discrepancias críticas entre la ubicación geográfica declarada y las condiciones reales de iluminación (ejemplo: horario nocturno local vs. alta luminosidad detectada, indicando ubicación real diferente)
Presión barométrica Medición precisa de presión atmosférica útil para determinar altitud exacta, condiciones meteorológicas locales y características del entorno físico Identifica cambios súbitos e imposibles de altitud que revelan viajes no reportados, uso del dispositivo en ubicaciones geográficamente inconsistentes, o discrepancias con la ubicación declarada

INFORMACIÓN DE UBICACIÓN

La ubicación constituye uno de los indicadores más poderosos y definitivos de actividad fraudulenta, ya que permite detectar accesos desde ubicaciones físicamente imposibles de alcanzar, geográficamente improbables según los patrones históricos, o completamente inconsistentes con los patrones de movilidad y rutinas establecidas del usuario legítimo.

Elemento Recolectado Descripción Aplicación Antifraude
Ubicación aproximada Estimación geográfica basada en triangulación de redes móviles y Wi-Fi disponibles, proporcionando contexto regional general Proporciona validación inicial del contexto geográfico general para evaluar la coherencia básica del acceso y detectar discrepancias regionales significativas
Ubicación precisa Coordenadas exactas obtenidas mediante GPS de alta precisión y triangulación avanzada de múltiples redes, con precisión métrica Detecta ubicaciones específicas anómalas, identifica viajes físicamente imposibles en el tiempo transcurrido entre accesos, y valida la coherencia geográfica detallada
Ubicación basada en IP Geolocalización aproximada determinada mediante análisis de la dirección IP del dispositivo y rutas de red utilizadas Identifica discrepancias críticas entre la ubicación física real del dispositivo y la ubicación aparente de la conexión de red, detectando uso de VPN, proxies o redes comprometidas

INFORMACIÓN DE SIM Y TELEFONÍA

Esta categoría es crítica para detectar uno de los vectores más comunes y peligrosos de fraude móvil moderno: el SIM swapping, la clonación de tarjetas, y la manipulación de identidad telefónica. También permite identificar dispositivos que han sido técnicamente comprometidos o están siendo utilizados de manera deliberadamente anómala para actividades fraudulentas organizadas.

Elemento Recolectado Descripción Aplicación Antifraude
Número de teléfono Número telefónico actualmente asociado al dispositivo, verificando disponibilidad y consistencia en el sistema Verifica la consistencia crítica entre el número históricamente asociado al usuario y el número actual del dispositivo, detectando cambios no autorizados
ID de SIM y operador Identificación única técnica del chip SIM físico y información específica del proveedor de servicios asociado Detecta cambios de tarjeta SIM que pueden indicar SIM swapping exitoso, clonación de tarjetas, o transferencias fraudulentas de números telefónicos
Número de SIMs activas Cantidad total de tarjetas SIM funcionando simultáneamente en el dispositivo y configuración de conectividad múltiple Identifica configuraciones técnicas anómalas que pueden indicar dispositivos específicamente preparados para fraude masivo o actividades de phishing organizadas
Estado de llamadas Estado operativo actual del dispositivo en relación a llamadas telefónicas: activa, timbrando, o inactiva Detecta situaciones críticas donde el usuario puede estar siendo coercionado activamente durante una llamada telefónica por parte de ingenieros sociales o extorsionistas

CONECTIVIDAD DE RED

Las redes y la infraestructura de conectividad constituyen elementos que los defraudadores no pueden controlar ni manipular fácilmente, especialmente cuando operan remotamente desde ubicaciones diferentes. Esta información permite detectar accesos desde infraestructuras de red anómalas, proveedores no habituales, o configuraciones técnicas asociadas con actividades fraudulentas conocidas y documentadas.

Elemento Recolectado Descripción Aplicación Antifraude
Red celular y Wi-Fi actual Nombre específico, tipo técnico, configuración de seguridad y características de las redes actualmente conectadas Detecta conexiones desde redes desconocidas, no verificadas, o históricamente asociadas con actividades fraudulentas documentadas en bases de datos de amenazas
Historial de redes Wi-Fi Registro completo de redes utilizadas previamente por el dispositivo, incluyendo timestamps y duración de conexiones Identifica si el dispositivo ha sido utilizado consistentemente en ubicaciones coherentes con el perfil geográfico del usuario legítimo a lo largo del tiempo
Redes Wi-Fi escaneadas Lista completa de redes inalámbricas disponibles detectadas en el entorno inmediato durante el escaneo activo Proporciona contexto geográfico adicional altamente específico y detecta ubicaciones anómalas mediante análisis de la infraestructura de red local
Dirección MAC e IP Identificadores únicos de red del dispositivo a nivel de hardware y software, incluyendo configuraciones específicas Detecta cambios en identificadores fundamentales que pueden indicar dispositivos clonados, emulados, o que han sido objeto de manipulación técnica
Adaptadores y cifrado Información técnica detallada de adaptadores de conectividad, protocolos de seguridad utilizados y configuraciones de cifrado Identifica configuraciones de red técnicamente anómalas o inseguras que pueden indicar dispositivos comprometidos o preparados para actividades maliciosas
Encabezados de red y proveedor Información específica de protocolo de comunicación y datos del proveedor de servicios de Internet (ISP) utilizado Detecta proveedores de servicios geográficamente inconsistentes con el perfil del usuario, o ISPs asociados con actividades fraudulentas o servicios de anonimización

DISPOSITIVOS CERCANOS

Los dispositivos cercanos proporcionan validación adicional crítica de la ubicación real y el contexto auténtico del usuario. Los defraudadores que operan remotamente, desde ubicaciones diferentes, o utilizando dispositivos comprometidos no pueden replicar el ecosistema específico de dispositivos tecnológicos que caracteriza el entorno habitual del usuario legítimo.

Elemento Recolectado Descripción Aplicación Antifraude
Dispositivos Wi-Fi cercanos Equipos específicos visibles en la red inalámbrica del entorno, incluyendo routers, dispositivos IoT, y equipos conectados habituales Valida de manera definitiva si el usuario se encuentra en su entorno tecnológico habitual (hogar, oficina) mediante detección de dispositivos conocidos y familiares
Dispositivos Bluetooth cercanos Equipos con conectividad Bluetooth disponibles o emparejados previamente en proximidad física inmediata Detecta la presencia de dispositivos personales habituales del usuario (auriculares, smartwatch, dispositivos wearables) que confirman la identidad y ubicación real

METADATOS ADICIONALES DEL DISPOSITIVO

Estos datos técnicos adicionales proporcionan capas extra de verificación y validación que son especialmente útiles para detectar dispositivos emulados, clonados, modificados técnicamente, o que han sido específicamente preparados para evadir otros sistemas de detección de fraude más básicos.

Elemento Recolectado Descripción Aplicación Antifraude
Datos clave de configuración Información técnica adicional específica utilizada para identificación contextual avanzada y verificación de autenticidad Proporciona verificación técnica adicional y detallada para confirmar la autenticidad del dispositivo y detectar manipulaciones técnicas sofisticadas
Lista de redes Wi-Fi disponibles Inventario completo de redes inalámbricas detectadas durante escaneos activos del entorno Confirma la ubicación geográfica específica mediante verificación cruzada de redes características del entorno, detectando inconsistencias geográficas
Dirección MAC del dispositivo Identificador único de red del hardware a nivel físico (cuando está técnicamente disponible y no ha sido enmascarado) Detecta dispositivos clonados, emulados, o que utilizan identificadores duplicados o técnicamente falsificados para evadir detección

Gracias a la recopilación de estos datos nos ayuda a calcular nuestro sistema de puntuación unificado mediante el procesamiento inteligente de todas las variables mencionadas. La integración de estos múltiples vectores de información permite crear un perfil completo y único de cada usuario, estableciendo patrones de comportamiento normal que sirven como línea base para la detección de anomalías.

El sistema de recolección opera de manera completamente pasiva y transparente para el usuario, capturando información contextual sin interrumpir la experiencia de uso normal. Esta metodología de recolección continua permite la construcción de modelos de comportamiento robustos que se adaptan a los cambios legítimos en los patrones de uso del usuario a lo largo del tiempo, mientras mantienen la sensibilidad necesaria para detectar actividades fraudulentas.

La arquitectura de recolección está diseñada para operar en tiempo real, procesando y analizando los datos de manera simultánea durante cada interacción del usuario con el dispositivo. Esta capacidad de análisis en tiempo real es fundamental para proporcionar evaluaciones de riesgo inmediatas que permiten tomar decisiones de seguridad apropiadas sin demoras que puedan afectar la experiencia del usuario o permitir que actividades fraudulentas se completen exitosamente.

Acerca de este Manual

Modelos de análisis y detección

Este modelo crea un perfil único y personalizado para cada usuario, basado en su forma habitual de interactuar con el dispositivo. Al conocer sus patrones normales de uso, el sistema puede detectar cualquier comportamiento inusual que podría indicar que otra persona está accediendo al sistema sin autorización.

Información Recolectada del Usuario

Comportamiento del Usuario

Información de Ubicación

Información del Dispositivo

Análisis Biométrico Comportamental

Enfoque Estricto
Enfoque Amplio

Modelos Generales de Comportamiento

Contamos con modelos entrenados con millones de interacciones reales que ayudan a diferenciar entre comportamientos típicos de usuarios legítimos y aquellos que son característicos de acciones fraudulentas. Esto permite identificar comportamientos sospechosos, incluso si nunca antes se habían visto en el sistema.

Análisis Comparativo de Comportamientos

Patrón de Interacción Comportamiento Fraudulento Comportamiento de Usuario Legítimo
Alternar entre aplicaciones Múltiples veces Nunca
Ingreso de DNI/ID Pegar texto / Tipeo alternado Tipeo manual normal
Navegación en formularios Uso de teclado Uso de mouse

Ejemplo: Análisis de Pausas Durante Escritura

Gráfico de Pausas Máximas Durante Escritura del DNI

image.png

Interpretación:

Análisis de Uso de DNI con Pegar/Copiar

Gráfico de Detección de Pegado de DNI

image.png

Gráfico Izquierdo - "SSN Paste" (Pegado de SSN):

Gráfico Derecho - "SSN Paste - First time for an existing user" (Pegado de SSN - Primera vez para usuario existente):

Modelos de Comportamiento para Defraudadores Identificados

A través del análisis histórico, se han identificado patrones comunes en personas que previamente han intentado realizar fraudes. Estos modelos almacenan y actualizan de forma continua esta información, lo que permite detectar cuando un intento de acceso o transacción se asemeja al comportamiento de estos defraudadores conocidos.

Indicadores Específicos para Estafas de Transferencia

Indicador Valor Prevalencia Relativa Prevalencia en Fraude Fuerza de Indicación
Transferencia de cuenta limpia 0.4% 98.7% 67
Múltiples cambios posición teléfono-oído 1.5% 67.7% 58
Nuevo beneficiario 0.24% 98.7% 46
Estado de llamada durante login EN CURSO 2.3% 68.3% 35
Usuario senior Verdadero 17.2% 93.2% 18

Indicadores de Teléfono Robado

Indicador Valor Prevalencia Relativa Prevalencia en Fraude Fuerza de Indicación
Nombre Wi-Fi Azizi 423 0% 64.2% 999
Señal Bluetooth 46542342134 0% 34.7% 999
ID de ubicación 642547854652321 0.05% 34.2% 750
Nuevo ISP Verdadero 0.4% 88.3% 574
Estado SIM No SIM detectada 0.03% 64.7% 67
Nueva ubicación Verdadero 4% 66.7% 65
Nuevo beneficiario 0.24% 98.7% 46

Modelos Adicionales

Detección de Malware

Permite identificar comportamientos que podrían estar siendo generados por software malicioso instalado en el dispositivo.

Indicadores Técnicos:

Detección de Bots

Diferencia entre un humano y un sistema automático, lo que es clave para prevenir fraudes automatizados.

Características de Detección:

Análisis de Riesgo por Actividad

Evalúa el riesgo de una acción específica (como una transferencia o un inicio de sesión) considerando el contexto en el que se realiza.

Factores Contextuales:

Análisis de Conexiones

Analiza las relaciones entre usuarios, dispositivos y redes para detectar patrones organizados de fraude.

Métricas de Conexión:

 ANÁLISIS DE DIFERENCIAS EN TAMAÑO DE HUELLA DACTILAR

image.png

 El gráfico presenta un análisis de dispersión que mide el tamaño de la huella dactilar detectada durante el uso del dispositivo móvil. Esta métrica biométrica permite identificar si el usuario actual corresponde al propietario legítimo del dispositivo.

Características del Gráfico:

Interpretación de Patrones
Sesiones de Usuarios Legítimos (Puntos Naranjas)

Rango de valores: 0.00 - 0.40 Características observadas:

Significado: Los usuarios legítimos mantienen un tamaño de huella constante porque utilizan consistentemente los mismos dedos y con la misma presión habitual.

Sesiones Fraudulentas (Puntos Negros)

Rango de valores: 0.50 - 1.00 Características observadas:

Significado: Los defraudadores presentan huellas de tamaño diferente al usuario legítimo, lo que indica que se trata de una persona física distinta utilizando el dispositivo.

Aplicación Práctica

Detección de Uso No Autorizado: El sistema puede identificar inmediatamente cuando una persona diferente al propietario registrado está utilizando el dispositivo, basándose en las diferencias anatómicas naturales entre individuos.

Casos de Detección:

ANÁLISIS DE MOVIMIENTOS DEL CELULAR

image.png

image.png

La forma en que las personas sostienen y mueven sus dispositivos móviles durante el uso constituye una firma biométrica única y personal. Estos patrones de movimiento reflejan hábitos motores inconscientes que son extremadamente difíciles de replicar por personas no autorizadas.

Gráfico 1: Acelerómetro Durante Toque de Botón

Este gráfico analiza las lecturas del acelerómetro del dispositivo específicamente en los momentos cuando el usuario realiza toques en botones de la interfaz.

Estructura del Gráfico:

Usuarios Legítimos:

Usuarios Fraudulentos:

Gráfico 2: Pausa Máxima de Actividad Durante Sesión

Este análisis mide los intervalos de inactividad más prolongados que ocurren durante una sesión de uso del dispositivo, proporcionando información sobre los procesos cognitivos del usuario.

Estructura del Gráfico:

Análisis de Comportamientos Cognitivos

Usuarios Legítimos:

Usuarios Fraudulentos:

Casos Especiales y Excepciones
Situaciones Atípicas en Usuarios Legítimos

El sistema está diseñado para reconocer circunstancias excepcionales donde el propietario legítimo puede exhibir patrones anómalos:

Condiciones de Estrés:

Condiciones Físicas:

Condiciones Ambientales:

Detección Inmediata: El análisis de movimientos proporciona evaluación de riesgo en tiempo real desde los primeros segundos de interacción, sin requerir completar transacciones o procesos específicos.

Invisibilidad para el Usuario: La recopilación de datos biométricos de movimiento ocurre de manera transparente durante el uso normal, sin generar fricción adicional en la experiencia del usuario.

Resistencia a Falsificación: Los patrones de movimiento son resultado de años de desarrollo motor personal, haciéndolos extremadamente difíciles de replicar conscientemente por actores maliciosos.

Adaptabilidad Contextual: El sistema aprende y se adapta a las variaciones naturales del usuario legítimo, mejorando su precisión con el tiempo mientras mantiene sensibilidad para detectar uso no autorizado.

Acerca de este Manual

Cálculo del score de riesgo

Toda la información recolectada se integra en una arquitectura basada en inteligencia artificial que analiza tanto modelos individuales como patrones colectivos en tiempo real. Como resultado de este análisis, se genera un score unificado de riesgo, que va de 0 a 1000, e indica con alta precisión la probabilidad de que una sesión o acción sea legítima o fraudulenta. A mayor puntuación, mayor es el nivel de riesgo identificado.

Este score se convierte en un indicador clave para la toma de decisiones, ya sean automatizadas o asistidas, sobre accesos, transacciones o actividades dentro de plataformas digitales. De esta manera, se elevan los niveles de seguridad sin comprometer la experiencia del usuario.

image.png

Descripción: Este gráfico muestra la distribución de los scores de riesgo calculados por el sistema de IA que integra todos los modelos de detección de fraude.

Explicación detallada:

Interpretación: La mayoría de las sesiones (100 casos) tienen scores bajos (≥0), indicando comportamiento normal. Conforme aumenta el score, disminuye drasticamente el número de casos, siendo muy pocas las sesiones con scores altos (≥980, ≥990) que indican alto riesgo de fraude.

Rango Nivel de Riesgo Acción Recomendada
0 - 200 Muy bajo Monitoreo estándar
201 - 400 Bajo Monitoreo estándar
401 - 600 Medio Verificación
601 - 800 Alto Autenticación reforzada
801 - 1000 Muy alto Bloqueo/Revisión manual

Dashboard

El Dashboard principal de ADO-STS proporciona una vista consolidada y en tiempo real del estado de seguridad de la plataforma. Está diseñado para ofrecer información crítica de manera intuitiva y accionable.

Dashboard

Métricas Principales (Top Row)

El Dashboard ADO-STS está estructurado en 3 secciones principales que proporcionan una vista integral del estado de seguridad:

SECCIÓN 1: MÉTRICAS PRINCIPALES

Ubicación en Dashboard

Parte superior del dashboard - Cuatro indicadores principales mostrados como tarjetas de KPIs

1.1 Unique Users Today

image.png

¿Qué muestra? Número total de usuarios únicos que han iniciado sesión en el sistema durante las últimas 24 horas.

¿Para qué sirve?

¿Cómo interpretarlo?

Escenario Interpretación Acción Requerida
Valor muy bajo Posible problema técnico o día festivo Verificar sistema y calendario
Valor normal Operación estándar según patrones históricos Continuar monitoreo
Pico súbito Posible ataque DDoS o evento promocional Investigar causa y preparar escalamiento

Factores que influyen en esta métrica:

1.2 Unique Devices Today

image.png

¿Qué muestra? Cantidad de dispositivos únicos (identificados por device fingerprint) que han accedido al sistema en las últimas 24 horas.

¿Para qué sirve?

¿Cómo interpretarlo?

Relación Dispositivos/Usuarios Significado Nivel de Atención
Cerca de 1:1 Usuarios con dispositivo único Normal
Mayor a 2:1 Uso multi-dispositivo o sharing Monitoreo adicional
Muy alta (>5:1) Posible device farming o bots Investigación inmediata

Lo que nos ayuda a identificar:

1.3 Api Calls T5 min

image.png

¿Qué muestra? Número total de llamadas API realizadas al sistema ADO-STS en los últimos 5 minutos.

¿Para qué sirve?

¿Cómo interpretarlo?

Volumen de Calls Estado del Sistema Acción
0-1,000 Actividad baja Monitoreo normal
1,001-5,000 Actividad normal Operación estándar
5,001-15,000 Actividad alta Monitoreo de capacidad
>15,000 Sobrecarga potencial Activar auto-scaling

Tipos de llamadas que incluye:

1.4 Fraud Attempts Today

image.png

¿Qué muestra? Número de intentos de fraude detectados y bloqueados en las últimas 24 horas.

¿Para qué sirve?

¿Cómo interpretarlo?

Número de Intentos Evaluación Consideraciones
0-10 Día tranquilo o excelente detección Verificar que el sistema esté funcionando
11-50 Actividad fraudulenta normal Monitoreo estándar
51-200 Actividad alta Investigar patrones comunes
>200 Posible ataque coordinado Activar protocolos de emergencia

Lo que cuenta como "intento de fraude":

SECCIÓN 2: VISUALIZACIÓN GEOGRÁFICA

Ubicación en Dashboard

Centro del dashboard - Mapa mundial interactivo que ocupa la mayor parte de la pantalla

image.png

¿Qué muestra el mapa?

Representación visual de:

Elementos visuales en el mapa
Elemento Descripción Significado
Puntos de colores Marcadores en ubicaciones específicas Sesiones individuales con nivel de riesgo
Densidad de puntos Concentración de marcadores Volumen de actividad por zona
Líneas conectoras Conexiones entre ubicaciones Posibles viajes imposibles o conexiones sospechosas
¿Para qué sirve?

Análisis geográfico para:

¿Cómo interpretarlo?

Patrones normales:

Patrones anómalos:

Funcionalidades interactivas

Función Propósito Caso de Uso
Zoom Análisis detallado por región Investigar actividad específica de una ciudad
Filtros temporales Ver evolución histórica Analizar patrones de ataque en el tiempo
Capas de información Superponer diferentes tipos de datos Correlacionar riesgo con ubicación

SECCIÓN 3: TOP RISK INDICATORS (ÚLTIMAS 24 HORAS)

Ubicación en Dashboard

Panel lateral derecho - Lista de los principales indicadores de riesgo detectados

¿Qué muestra esta sección?

Lista priorizada de los principales riesgos detectados en las últimas 24 horas, incluyendo:

3.1 Malware Risks

image.png

¿Qué detecta? Presencia de software malicioso en los dispositivos de los usuarios que acceden al sistema.

¿Para qué sirve?

¿Cómo se presenta?

Información que proporciona:

3.2 Emulator Risks

image.png

¿Qué detecta? Dispositivos emulados o virtualizados que pueden estar siendo utilizados para actividades fraudulentas.

¿Para qué sirve?

¿Cómo se presenta?

Indicadores que analiza:

3.3 Location Risks

image.png

¿Qué detecta? Riesgos asociados con la ubicación geográfica y patrones de movimiento de los usuarios.

¿Para qué sirve?

¿Cómo se presenta?

Tipos de riesgos que identifica:

3.4 Behavioural Risks

image.png

¿Qué detecta? Patrones de comportamiento anómalos que no coinciden con el perfil normal del usuario o comportamiento humano típico.

¿Para qué sirve?

¿Cómo se presenta?

Aspectos que monitorea:

image.png

¿Qué detecta? Conexiones y relaciones sospechosas entre usuarios, dispositivos, ubicaciones y comportamientos.

¿Para qué sirve?

¿Cómo se presenta?

Tipos de conexiones que analiza:

Interpretación de cada indicador
Indicador Valor Normal Valor de Alerta Acción Recomendada
Malware Risks 0-5 detecciones/día >20 detecciones/día Investigar dispositivos afectados
Emulator Risks 0-10 detecciones/día >50 detecciones/día Reforzar validación de dispositivos
Location Risks 0-15 casos/día >100 casos/día Revisar reglas geográficas
Behavioural Risks 0-20 anomalías/día >200 anomalías/día Ajustar modelos de comportamiento
Link Analysis 0-5 redes/día >25 redes/día Investigación de fraude organizado
¿Cómo usar esta información?

Para priorización: Los indicadores se ordenan por:

Para investigación: Cada indicador puede expandirse para mostrar:

Para reportes: Esta sección proporciona un resumen ejecutivo de:

Navegación e Interacción
Funcionalidades del Dashboard
Elemento Interactividad Propósito
Métricas Principales Click para detalles expandidos Ver tendencias históricas y breakdowns
Mapa Geográfico Zoom, filtros, overlays Análisis geográfico detallado
Risk Indicators Click para lista detallada Investigar casos específicos
Actualizaciones automáticas
Sección Frecuencia de Actualización Indicador Visual
Métricas Principales Cada 30 segundos Timestamp en pantalla
Mapa Geográfico Cada 60 segundos Pulso en nuevos eventos
Risk Indicators Cada 5 minutos Badge de "actualizado"
Interpretación Integral del Dashboard
¿Qué nos dice un dashboard "saludable"?
¿Qué nos dice un dashboard "en alerta"?
Correlaciones importantes a observar
Correlación Interpretación Acción
Alto volumen de users + muchos emulators Posible ataque bot masivo Activar contramedidas automatizadas
Picos en API calls + location risks Ataques desde múltiples ubicaciones Revisar reglas geográficas
Behavioral risks + link analysis altos Red organizada de fraude Investigación profunda coordinada

Dashboard

Módulo Sessions

El Módulo de Sesiones constituye el núcleo operacional del sistema ADO-STS, proporcionando una interfaz completa para el monitoreo, análisis y gestión de todas las sesiones de usuario en tiempo real. Este módulo integra datos de múltiples fuentes para ofrecer una vista unificada del comportamiento del usuario y los riesgos asociados.

Sistema de Filtros Avanzados - Configuración Técnica

Filtros Primarios (Barra Superior)

image.png

Filtro Técnico Tipo de Datos Descripción Técnica Interpretación de Uso Algoritmo Subyacente
Brand Enum de fabricantes Filtrado por marca del dispositivo (Apple, Samsung, Google, etc.) Análisis de patrones por fabricante, detección de cambios abruptos de marca Matching exacto con base de datos de dispositivos
User Group Categoría segmentada Clasificación del tipo de usuario (Business, Personal, Premium, etc.) Segmentación de riesgo por tipo de usuario, aplicación de políticas específicas Clasificación basada en metadatos de cuenta
Device Source Origen de adquisición Fuente de donde proviene el dispositivo (Organic, Referral, Direct, etc.) Tracking de procedencia para detectar dispositivos comprometidos Análisis de cadena de referencia
IP Country ISO 3166-1 Alpha-2 Código de país basado en geolocalización IP Filtrado geográfico, detección de accesos desde países de riesgo GeoIP database con actualización diaria
Indicators Array de flags Tipos específicos de alertas e indicadores de riesgo activados Filtrado por señales específicas de fraude o comportamiento anómalo Bitmap de indicadores con OR lógico
AI Context Nivel de procesamiento Profundidad del análisis de IA aplicado (Basic, Standard, Advanced, Deep) Control del nivel de análisis, balance entre precisión y performance Configuración de pipelines de ML
IP ISP String del proveedor Proveedor de servicios de Internet específico Análisis por ISP, detección de granjas de bots o proxies comerciales Lookup en bases de datos ASN/WHOIS
MUID Hash único Machine Unique Identifier para búsqueda específica Tracking directo de dispositivos específicos SHA-256 hash de características hardware
Platform OS/Browser combo Combinación de sistema operativo y plataforma de acceso Análisis por plataforma, detección de emuladores User-Agent parsing con validación
UA Device Brand User-Agent parsing Marca del dispositivo extraída del User-Agent Comparación con brand real para detectare spoofing Cross-validation entre fuentes
IP City Geolocalización granular Ciudad específica basada en IP con precisión metropolitana Análisis local de patrones, detección micro-geográfica GeoIP con precisión de ciudad (95%+ accuracy)
Date Range Timestamp range Selector de rango temporal con precisión de minutos Análisis temporal de tendencias, investigación de incidentes Índices temporales optimizados

Filtros Secundarios (Chips/Tags Contextuales)

Filtro Contextual Descripción Técnica Casos de Uso Implementación
IP Location Risk Evaluación automática del riesgo geográfico Alto/Medio/Bajo basado en historial de fraude de la ubicación Modelo ML entrenado con datos geográficos de fraude
User Group Business Segmentación automática de usuarios corporativos Aplicación de políticas específicas para usuarios empresariales Clasificación basada en dominio de email y metadatos

Estructura de Columnas - Análisis Técnico Detallado

Columnas de Identificación y Control

Columna Tipo de Dato Descripción Técnica Interpretación de Riesgo Algoritmo de Análisis
TRY Integer (1-∞) Número secuencial de intentos de la sesión >3 intentos indican comportamiento sospechoso, >5 es crítico Contador incremental con timeout de reset
DATE Timestamp UTC Fecha y hora exacta de inicio de sesión con precisión de milisegundos Análisis de patrones temporales, detección de actividad fuera de horarios Índice temporal para consultas de rango
SCORE Float (0-1000) Puntuación de riesgo calculada por el motor de IA 0-199: Bajo, 200-499: Medio, 500-799: Alto, 800+: Crítico Ensemble de 12 modelos ML con weighted average
USER Hash/ID único Identificador único del usuario en el sistema Tracking de comportamiento histórico del usuario Hash irreversible de PII
CSID UUID v4 Client Session Identifier único por sesión Correlación de eventos dentro de la misma sesión UUID generado por cliente, validado por servidor

Columnas de Contexto Temporal y Operacional

Columna Tipo de Dato Descripción Técnica Interpretación de Riesgo Algoritmo de Análisis
DURATION Integer (segundos) Duración total de la sesión desde inicio hasta último evento <30s o >3600s son anómalos según el tipo de operación Análisis estadístico de distribución temporal
BRAND Enum normalizado Marca del dispositivo normalizada (Apple, Samsung, Xiaomi, etc.) Cambios frecuentes de marca (>1/semana) incrementan score Análisis de estabilidad de dispositivo
CHANNEL String categorizado Canal de acceso (Mobile App, Web, API, etc.) Canales inusuales para el perfil del usuario Análisis de consistencia de canal
CONTEXT JSON estructurado Información contextual adicional de la operación LOGIN, LOGOUT, TRANSFER, etc. afectan interpretación del riesgo Parsing de contexto operacional

Columnas de Análisis de Red e Infraestructura

Columna Tipo de Dato Descripción Técnica Interpretación de Riesgo Algoritmo de Análisis
ISP String del proveedor Nombre del proveedor de servicios de Internet Cambios frecuentes de ISP sin roaming legítimo Análisis de estabilidad de conectividad
IP IPv4/IPv6 Dirección IP pública desde la cual se origina la conexión IPs de TOR, VPN, proxies conocidos incrementan riesgo Blacklists y análisis de reputación IP
IP AGE Integer (días) Edad de la primera vez que esta IP fue vista en el sistema IPs nuevas (edad 0) tienen mayor riesgo inherente Tracking temporal de IPs
IP COUNTRY ISO Alpha-2 Código de país de dos letras basado en geolocalización IP Países en listas de riesgo incrementan score automáticamente GeoIP con validación de coherencia

Columnas de Análisis de Dispositivo y Usuario

Columna Tipo de Dato Descripción Técnica Interpretación de Riesgo Algoritmo de Análisis
KNOWN DEVICE Boolean/Enum Estado de reconocimiento del dispositivo (0=Nuevo, 1=Conocido) Dispositivos nuevos requieren verificación adicional Fingerprinting multi-dimensional
USERS ON DEVICE TW Integer Número de usuarios únicos que han usado este dispositivo en ventana temporal >1 usuario por dispositivo es indicador de riesgo Análisis de multiplicidad de usuarios
DEVICE USED Integer Número de veces que este dispositivo específico ha sido utilizado Muy poco uso (<5) o uso excesivo (>100/día) es sospechoso Análisis de frecuencia de uso
USER AGE Integer (días) Antigüedad del usuario en el sistema desde su primer registro Usuarios muy nuevos (<7 días) tienen score de riesgo elevado Cálculo de antigüedad con factor de confianza

Columnas de Identificadores Técnicos

Columna Tipo de Dato Descripción Técnica Interpretación de Riesgo Algoritmo de Análisis
MUID Hash SHA-256 Machine Unique Identifier basado en características hardware Cambios de MUID indican nuevo dispositivo o manipulación Hashing de componentes hardware únicos
SID UUID v4 Session Identifier único generado por el sistema Utilizado para correlación de eventos y debugging UUID generado server-side

Interpretación de Códigos de Color en el Dashboard

Sistema de Semáforo Visual

Color Rango de Score Interpretación Acción Automática Revisión Requerida
Verde 0-299 Riesgo Bajo - Comportamiento normal Procesamiento automático No
Amarillo 300-599 Riesgo Medio - Anomalías menores detectadas Logging adicional Revisión opcional
Naranja 600-799 Riesgo Alto - Múltiples indicadores sospechosos Verificación automática Revisión recomendada
Rojo 800-949 Riesgo Crítico - Patrón fraudulento probable Bloqueo temporal Revisión obligatoria
Rojo Intenso 950-1000 Riesgo Extremo - Fraude casi confirmado Bloqueo inmediato Escalamiento

Funcionalidades Avanzadas del Módulo

Sistema de Búsqueda y Filtrado

Motor de Búsqueda:

Filtros Combinados:

Exportación y Reporting

Formato Descripción Casos de Uso
CSV Datos tabulares para análisis en Excel/Python Análisis estadístico offline
JSON Estructura completa de datos para integración APIs y sistemas automatizados
PDF Reportes formateados para presentación Documentación de incidentes
Excel Hojas de cálculo con gráficos automáticos Análisis ejecutivo

Alertas y Notificaciones Configurables

Tipos de Alertas:

Canales de Notificación:

Interpretación de Casos Específicos Observados en el Dashboard

image.png

Análisis de Sesiones Mostradas

Sesión 1 (Score 935):

Sesión 2 (Score 972):

Sesión 3 (Score 868):

Optimización del Uso del Módulo

Mejores Prácticas Operacionales

  1. Monitoreo Proactivo: Revisar scores >600 en tiempo real
  2. Análisis de Tendencias: Usar filtros temporales para identificar patrones
  3. Correlación de Datos: Combinar múltiples filtros para investigaciones
  4. Documentación de Casos: Exportar evidencia para análisis forense

Configuraciones Recomendadas por Industria

Sector Bancario:

E-commerce:

Sector Gobierno:

Análisis Relacional

Grafos de Conexión

El sistema visualiza relaciones entre:

Indicadores de Alerta en Análisis Relacional

Parámetros de Filtrado

Filtros Temporales

Parámetro Opciones Uso Recomendado
Date Range Selector de fechas Análisis de tendencias y patrones temporales
Time of Day Franjas horarias Detección de actividad fuera de horarios normales

Filtros Geográficos

Parámetro Opciones Uso Recomendado
IP Country Lista de países Identificación de accesos desde países de riesgo
IP City Ciudades específicas Análisis local de patrones
Location Risk Alto, Medio, Bajo Filtrado por nivel de riesgo geográfico

Filtros de Dispositivo

Parámetro Opciones Uso Recomendado
Device Brand Apple, Samsung, etc. Análisis por fabricante
OS Family iOS, Android, Windows Segmentación por sistema operativo
Device Age Nuevo, Conocido, Frecuente Estado del dispositivo en el sistema
Device Source Orgánico, Referido, etc. Origen del dispositivo

Filtros de Red

Parámetro Opciones Uso Recomendado
ISP Proveedores específicos Análisis por proveedor de Internet
Connection Type Móvil, Wi-Fi, Ethernet Tipo de conexión utilizada
VPN Detection Sí, No, Probable Identificación de uso de VPN

Filtros de Comportamiento

Parámetro Opciones Uso Recomendado
User Behavior Normal, Sospechoso, Anómalo Filtrado por patrón comportamental
Session Duration Rangos de tiempo Identificación de sesiones atípicas
Activity Pattern Múltiples criterios Análisis de patrones de actividad

Filtros de Riesgo

Parámetro Opciones Uso Recomendado
Risk Score Rangos 0-1000 Filtrado por nivel de riesgo
Fraud Indicators Lista de indicadores Búsqueda por señales específicas
Alert Type Categorías de alertas Filtrado por tipo de alerta

Casos de Uso y Ejemplos

Caso 1: Detección de Fraude por Copiar/Pegar DNI

Indicadores Detectados:

Interpretación: Los usuarios legítimos escriben su DNI manualmente, mientras que los fraudadores suelen copiarlo y pegarlo.

Caso 2: Detección de Dispositivos Robados

Indicadores Clave:

Caso 3: Análisis de Usuario Múltiple en Dispositivo

Patrones Detectados:

Caso 4: Detección de Estafas (Account Move Scam)

Indicadores Específicos:

Caso 5: Análisis de Edad de Ubicación

Patrón Normal vs Fraudulento:

Dashboard

Módulo Live Sessions

El Módulo Live Sessions es el centro neurálgico de monitoreo en tiempo real de ADO-STS Technologies, diseñado para proporcionar visibilidad completa y control operacional sobre todas las sesiones activas en su plataforma digital. Este módulo integra inteligencia artificial avanzada, análisis biométrico comportamental y detección de fraude en tiempo real para ofrecer una solución de seguridad proactiva y preventiva.

Propósito Principal: Permitir a los equipos de seguridad y operaciones monitorear, analizar e intervenir en sesiones de usuario mientras están en curso, identificando amenazas potenciales antes de que se materialicen en pérdidas o compromisos de seguridad.

Parámetros y Columnas del Sistema
Tabla de Parámetros Principales
Parámetro Descripción Técnica Valores/Rango Significado Operacional
UID Identificador Único Universal de sesión Alfanumérico (formato: XXXXXXXX) Clave primaria para seguimiento y correlación de eventos
DATE Timestamp de inicio de sesión Formato: DD/MM/YYYY HH:MM Momento exacto de inicio para análisis temporal
ACTUAL TIME Tiempo real actual del sistema Formato: HH:MM:SS Sincronización para correlación de eventos
SCORE Puntuación de riesgo de fraude 0-1000 (escala logarítmica) Indicador principal de amenaza de seguridad
DEVICE SOURCE Origen y tipo de dispositivo Mobile/Desktop/Tablet + OS Contexto tecnológico de la sesión
DURATION Duración activa de la sesión HH:MM:SS Indicador de comportamiento y persistencia
ACTIVITIES Contador de actividades realizadas Numérico (0-∞) Métrica de intensidad de uso
Interpretación del Score de Riesgo
Rango de Score Nivel de Riesgo Color Indicador Acción Recomendada Descripción
0-200 Muy Bajo Verde Monitoreo pasivo Usuario legítimo con patrones normales
201-500 Bajo Amarillo claro Observación activa Comportamiento ligeramente atípico
501-700 Medio Naranja Verificación adicional Patrones sospechosos detectados
701-850 Alto Rojo Intervención inmediata Alta probabilidad de fraude
851-1000 Crítico Púrpura Bloqueo preventivo Amenaza confirmada - acción urgente
Funcionalidades Operacionales
Capacidades de Filtrado y Búsqueda
Tipo de Filtro Parámetros Uso Operacional
Búsqueda por UID Campo de texto libre Localización específica de sesiones
Filtro por Score Rango numérico (min-max) Focalización en niveles de riesgo
Filtro Temporal Ventana de tiempo Análisis de patrones temporales
Filtro por Dispositivo Tipo/OS/Modelo Segmentación tecnológica
Filtro Geográfico País/Región/Ciudad Análisis de ubicación y contexto
Indicadores de Comportamiento en Tiempo Real

El sistema analiza continuamente múltiples dimensiones de comportamiento:

Categoría Parámetros Monitoreados Alertas Generadas
Biometría Comportamental Velocidad de escritura, presión táctil, patrones de mouse Cambios súbitos en patrones establecidos
Contexto Ambiental Wi-Fi, Bluetooth, sensores, ubicación GPS Inconsistencias geográficas o ambientales
Análisis Relacional Dispositivos cercanos, redes compartidas Conexiones con entidades de riesgo
Actividad Transaccional Frecuencia, montos, tipos de operación Comportamientos financieros anómalos
Casos de Uso y Escenarios Operacionales
Detección de Amenazas Comunes
Escenario Indicadores Score Típico Respuesta Automática
Teléfono Robado Nueva ubicación + nuevo ISP + sin SIM 800-950 Bloqueo temporal + verificación OTP
Coacción/Extorsión Llamada activa durante transacción 600-750 Desafío de seguridad adicional
Cuenta Comprometida Cambio de contraseña reciente + nuevo dispositivo 700-850 Verificación de identidad completa
Bot/Automatización Patrones mecánicos de interacción 850-1000 Bloqueo inmediato + CAPTCHA
Fraude Organizado Múltiples usuarios mismo Wi-Fi 650-800 Análisis de red completa
Métricas de Rendimiento del Módulo
Métrica Valor Objetivo Descripción
Tiempo de Detección < 5 segundos Latencia desde evento hasta alerta
Tasa de Falsos Positivos < 2% Sesiones legítimas marcadas como fraudulentas
Tasa de Detección > 95% Fraudes identificados correctamente
Capacidad de Procesamiento 10,000+ sesiones simultáneas Escalabilidad del sistema
Disponibilidad 99.9% Tiempo de operación continua
Beneficios Operacionales y ROI
Ventajas Competitivas
Impacto en Métricas de Negocio
Área de Impacto Mejora Esperada Beneficio Cuantificable
Reducción de Fraude 85-95% Ahorro directo en pérdidas
Experiencia de Usuario Reducción 70% fricciones Mayor conversión y retención
Costos Operacionales Reducción 60% investigaciones manuales Optimización de recursos humanos
Tiempo de Respuesta De horas a segundos Prevención de escalamiento de amenazas
Cumplimiento Regulatorio 100% trazabilidad Reducción de riesgos legales


Dashboard

Módulo Profile

El Módulo Profile constituye el centro neurálgico del sistema ADO STS, proporcionando una plataforma integral para la gestión, monitoreo y análisis de casos de fraude. Este módulo centraliza todas las herramientas especializadas necesarias para combatir el fraude digital, integrando tecnologías avanzadas de biometría comportamental, inteligencia ambiental y análisis relacional.

Arquitectura del Módulo

El Módulo Profile está diseñado como una solución modular que permite a los analistas de seguridad acceder a diferentes funcionalidades especializadas desde una interfaz unificada:

Blocklist

Blocklist es un sistema de prevención proactivo que permite gestionar y mantener listas dinámicas de elementos identificados como fraudulentos o potencialmente riesgosos. Este módulo actúa como la primera línea de defensa del sistema, bloqueando automáticamente accesos desde fuentes conocidamente comprometidas, el módulo Blocklist implementa un sistema de filtrado multicapa que categoriza amenazas según diferentes vectores de ataque. Utiliza algoritmos de machine learning para actualizar automáticamente las listas de bloqueo basándose en patrones de comportamiento fraudulento detectados en tiempo real.

Categorías de Filtros Disponibles:

Filtro Descripción Aplicación
Phishing Detecta elementos relacionados con ataques de suplantación de identidad Bloqueo de dominios, IPs y patrones maliciosos
ATO Fraud Account Takeover - Casos de toma de cuentas no autorizadas Prevención de accesos desde dispositivos comprometidos
Remote Access Fraud Fraudes ejecutados mediante acceso remoto no autorizado Detección de herramientas de acceso remoto maliciosas
Cell Phone Theft Dispositivos móviles reportados como robados Bloqueo basado en IMEI y características del dispositivo
Confirmed Fraud Checked Casos de fraude confirmados y verificados por analistas Lista definitiva de elementos fraudulentos
Suspected Fraud Checked Casos bajo investigación con alta probabilidad de fraude Lista de elementos en observación
Digital Fraud Fraudes digitales de naturaleza general Patrones de comportamiento anómalo en transacciones
Social Engineering Fraud Casos de manipulación psicológica para obtener información Detección de patrones de ingeniería social
Session Is GPS Enabled Control de sesiones con geolocalización activa Validación de ubicación geográfica
Sim Swap Casos de intercambio fraudulento de tarjetas SIM Prevención de ataques de SIM swapping
Malware Fraud Dispositivos infectados con software malicioso Detección de firmas de malware y comportamiento anómalo
Is New Device Dispositivos no reconocidos en el perfil del usuario Control de acceso desde dispositivos nuevos
Is Owner Device Verificación de propiedad legítima del dispositivo Validación de autenticidad del propietario

Casos de Uso Principales:

Fraud Cases

Fraud Cases es el centro de comando para la gestión activa de casos de fraude, proporcionando herramientas completas para el seguimiento, investigación y resolución de incidentes de seguridad en tiempo real, este módulo implementa un sistema de gestión de casos (Case Management System) especializado en fraude, que permite la coordinación eficiente entre equipos de análisis, la priorización inteligente de casos y el seguimiento completo del ciclo de vida de cada incidente desde su detección hasta su resolución.

Dashboard de Alertas:

Métricas en Tiempo Real (24h):

Estados de Clasificación:

Estado Descripción Acción Requerida
Confirmed Genuine Actividad confirmada como legítima Cierre de caso - Sin acción
New No Answer Casos nuevos sin respuesta del usuario Investigación adicional requerida
Reviewed Casos revisados pendientes de decisión final Escalamiento o cierre
Suspected Fraud Alta probabilidad de actividad fraudulenta Investigación profunda

Sistema de Tracking Completo:

Filtros y Herramientas de Análisis:

Aplicaciones Operacionales:

Fraud History

Fraud History mantiene un repositorio histórico completo y analítico de todos los casos de fraude procesados por el sistema, proporcionando capacidades avanzadas de análisis retrospectivo, identificación de tendencias y generación de inteligencia operacional. este módulo implementa un sistema de Business Intelligence especializado en seguridad, que transforma los datos históricos de fraude en insights accionables para la toma de decisiones estratégicas y la optimización continua de los sistemas de prevención.

Ventanas Temporales de Análisis:

Métricas Comparativas:

Categorización Estadística:

Métrica Definición Valor Estratégico
Total Cases Volumen total de casos procesados Indicador de carga operacional
Confirmed Fraud Casos definitivamente fraudulentos Tasa de efectividad de detección
Confirmed Genuine Casos confirmados como legítimos Medición de falsos positivos
Suspected Fraud Casos en investigación Pipeline de casos pendientes
No Answer Casos sin respuesta del usuario Métrica de engagement
New Casos nuevos en el período Tendencia de nuevas amenazas
Percent New Sessions Porcentaje de sesiones nuevas Indicador de crecimiento
Percent Approve Tasa de aprobación Eficiencia del sistema

Aplicaciones Analíticas:

Graph

Graph proporciona capacidades avanzadas de visualización y análisis relacional, transformando datos complejos de fraude en representaciones gráficas interactivas que revelan conexiones ocultas, patrones de comportamiento y estructuras de fraude organizadas, este módulo implementa tecnologías de análisis de grafos y network analysis para crear representaciones visuales multidimensionales de las relaciones entre entidades (usuarios, dispositivos, ubicaciones, redes). Utiliza algoritmos de clustering y detección de comunidades para identificar grupos de fraude coordinados y patrones de comportamiento anómalo.

image.png

Sistema de Visualización:

image.png

Node Legend (Leyenda de Nodos):

Tipos de Conexiones Relacionales:

Tipo de Relación Descripción Aplicación
User-Device Vínculos entre usuarios y dispositivos Detección de device sharing anómalo
Device-Network Conexiones entre dispositivos y redes Wi-Fi Análisis de ubicación y contexto
User-Location Relaciones geográficas de usuarios Detección de imposibilidad geográfica
Behavioral Patterns Similitudes en patrones de comportamiento Identificación de automatización
Network Infrastructure Conexiones de infraestructura de red Análisis de ISP y routing

Algoritmos de Análisis:

Algoritmo Descripción Aplicación Específica
Cluster Detection Identificación automática de grupos relacionados Agrupa entidades con comportamientos similares o conexiones frecuentes
Community Analysis Detección de comunidades de fraude organizadas Identifica redes estructuradas de fraude con múltiples participantes
Centrality Measures Identificación de nodos críticos en redes de fraude Encuentra elementos centrales que coordinan actividades fraudulentas
Anomaly Detection Detección de conexiones anómalas o sospechosas Identifica relaciones inusuales que no siguen patrones normales
Temporal Analysis Evolución de conexiones a lo largo del tiempo Analiza cómo se desarrollan y cambian las relaciones fraudulentas

Casos de Uso Especializados:

Tipo de Análisis Caso de Uso Descripción Técnica Indicadores de Fraude
Detección de Fraude Familiar Múltiples usuarios - Mismo dispositivo Análisis de patrones de uso compartido legítimo vs. fraudulento Cambios drásticos en biometría comportamental, horarios de uso inconsistentes
Análisis de Ubicación Geográfica Usuarios diferentes - Misma red Wi-Fi Detección de call centers fraudulentos o farm operations Alta concentración de usuarios sospechosos en misma ubicación física
Patrones de Dispositivos Mismo comportamiento - Dispositivos diferentes Identificación de automatización y bot networks Biometría comportamental idéntica en múltiples dispositivos
Análisis de ISP y Infraestructura Múltiples cuentas - Mismo proveedor Detección de infraestructura compartida para operaciones fraudulentas Clustering de actividad sospechosa por proveedor de internet

Herramientas Interactivas:

Herramienta Funcionalidad Beneficio Operacional
Filtros Temporales Análisis por períodos específicos Permite análisis histórico y identificación de patrones estacionales
Control de Visualización Ajuste de profundidad y densidad del grafo Optimiza la visualización según complejidad de la red analizada
Node Interaction Exploración detallada mediante clicks en nodos Facilita la investigación forense de entidades específicas
Export Capabilities Generación de reportes visuales para presentaciones Permite documentación y comunicación efectiva de hallazgos

 

Interpretación Session


Interpretación Session

Resumen

El Módulo de Resumen es el apartado principal que presenta una evaluación completa y consolidada de todos los riesgos asociados a una sesión específica. Proporciona una vista integral que combina múltiples análisis para determinar la autenticidad y nivel de riesgo de la interacción del usuario.

image.png

image.png

DEVICE RISKS

Qué significa: Evalúa todos los riesgos relacionados con el dispositivo físico utilizado para acceder a la plataforma.

Valor mostrado: 85/845 Fraud

Parámetros que analiza:

Cómo contribuye al Integrated Score: Aporta aproximadamente 25-30% del peso total al score final. Un dispositivo con alto riesgo puede elevar significativamente el score integrado.

LOCATION RISKS

Qué significa: Analiza todos los aspectos relacionados con la ubicación geográfica y contexto de red desde donde se realiza el acceso.

Valor mostrado: 87/865 Fraud

Parámetros que analiza:

Cómo contribuye al Integrated Score: Representa aproximadamente 20-25% del peso en el cálculo final. Ubicaciones anómalas o de alto riesgo incrementan el score integrado.

BEHAVIOURAL RISKS

Qué significa: Mide los patrones de comportamiento del usuario durante la interacción con la plataforma para detectar anomalías.

Valor mostrado: 68/684 Data collection phase

Parámetros que analiza:

Cómo contribuye al Integrated Score: Aporta aproximadamente 20-25% del peso total. Comportamientos que no coinciden con el perfil del usuario legítimo aumentan el score de riesgo.

INTEGRATED SCORE

Qué significa: Es el score final consolidado que combina todos los análisis anteriores mediante algoritmos de inteligencia artificial para proporcionar una evaluación unificada del riesgo.

Valor mostrado: 99/994

Cómo se calcula el Integrated Score:

Componentes principales (75-80% del peso):

Componentes adicionales (20-25% del peso):

Proceso de cálculo:

  1. Cada componente genera su score individual
  2. La IA aplica pesos dinámicos según el contexto
  3. Se ejecutan modelos adicionales especializados
  4. Se realiza análisis relacional con otras sesiones
  5. Se aplica el modelo de machine learning final
  6. Se genera el score integrado unificado

Escalas de interpretación: Cálculo del score de riesgo

image.png

INFORMACIÓN DE SESIÓN COMPLEMENTARIA

Contexto operacional:

Tipo de operación: AUTH,LOGIN,LOGIN_PASSWORD

UserID: UNPROTECTED_3CE8800337

Session ID: 1751297457

Device age: 0 (dispositivo completamente nuevo)

Users on this device: 0 (primer usuario en este dispositivo)

Características técnicas:

Device type: iOS-Device

Browser: Interbank%20UAT (altamente sospechoso)

Timezone: America/Lima

Platform: iOS 0

Brand: SMP

Device First appearance: 2025-06-30,15:30:57

image.png

TABLA DE INDICADORES DETALLADOS

Estructura y significado de cada columna:

NAME: Nombre del indicador específico analizado VALUE: Valor detectado para ese indicador AGE: Número de días desde la primera aparición de este valor COUNTER: Cantidad de veces que se ha observado este valor RELATIVE PREVALENCE: Porcentaje de frecuencia en la población total INDICATION STRENGTH: Fuerza del indicador de riesgo (0-1000)

Interpretación de colores:

Ejemplo del caso mostrado:

ua_browser_family: "Interbank%20UAT"

Este indicador muestra un navegador altamente sospechoso que imita la aplicación bancaria oficial pero con características técnicas anómalas.

Interpretación Session

Riesgos

El apartado de Riesgos es un módulo de validación y verificación que ejecuta múltiples controles de seguridad en tiempo real durante una sesión. Su función principal es validar la autenticidad de tres componentes críticos:

  1. Device Risks: Validar que el dispositivo es legítimo y seguro
  2. Location Risks: Verificar que la ubicación es coherente y permitida
  3. Behavioural Risks: Confirmar que el comportamiento corresponde al usuario real

Estados de Validación

Estado Color Significado Interpretación
VERDE Verde Validación Exitosa El parámetro fue verificado correctamente. Los controles de seguridad pasaron satisfactoriamente. El elemento cumple con los criterios de seguridad establecidos
ROJO Rojo Validación Fallida El parámetro no pudo ser validado positivamente. Los controles de seguridad detectaron problemas. El elemento presenta características que generan alertas de seguridad
MORADO Morado Validación Indeterminada El parámetro no se pudo validar completamente. Los controles no pudieron obtener información suficiente. El estado del elemento es incierto o ambiguo

DEVICE RISKS - RIESGOS DEL DISPOSITIVO

image.png

Parámetros de Alto Riesgo (ROJO)

Parámetro Descripción Interpretación Nivel de Riesgo
Unknown device El dispositivo no existe en la base de datos de dispositivos conocidos Es la primera vez que este dispositivo accede a la plataforma Dispositivos nuevos pueden ser utilizados específicamente para fraude
Suspicious device characteristics Las características técnicas del dispositivo presentan anomalías Hardware, software o configuraciones que no son típicas o han sido modificadas Dispositivo alterado para evadir controles de seguridad
Emulator Se detectó que se está usando un emulador de dispositivo móvil Software que simula un teléfono/tablet en una computadora Herramienta común para automatizar fraudes masivos
VPN Se detectó una conexión VPN activa El usuario está ocultando su ubicación real mediante una red privada virtual Evasión de controles geográficos y ocultamiento de identidad

Parámetros de Riesgo Indeterminado (MORADO)

Parámetro Descripción Razón del Estado Morado Interpretación
VPN installed? Hay indicios de software VPN instalado pero no confirmación total El sistema detecta patrones de VPN pero no puede acceder completamente a la lista de aplicaciones Posible capacidad de ocultar ubicación
Compromised Device El dispositivo muestra algunos signos de haber sido comprometido Algunos indicadores sugieren compromiso pero el análisis no es concluyente Posible infección de malware o acceso no autorizado

Parámetros Validados - Bajo Riesgo (VERDE)

Parámetro Descripción Estado Actual Interpretación
Active malware (42) Sistema de detección de malware funcionando, 42 indica nivel de análisis completado No se detectó software malicioso activo Dispositivo limpio
Device properties consistency for identity Las propiedades del dispositivo coinciden con el perfil del usuario El dispositivo es consistente con el historial del usuario legítimo Validación positiva de autenticidad
Bot Análisis para detectar comportamiento automatizado o scripts No se detectó actividad de bots Interacción humana confirmada
Identities accessed by this device Registro de cuántas identidades diferentes han usado este dispositivo Patrón normal de uso del dispositivo Sin uso sospechoso por múltiples identidades
Device is in blocklist Verificación contra listas negras de dispositivos conocidos como maliciosos El dispositivo no está reportado como peligroso No está en listas de bloqueo
Remote Access Detección de software de acceso remoto activo No se detectaron herramientas de control remoto Usuario en control directo del dispositivo
Rooted Device Verificación si el dispositivo tiene permisos de root/jailbreak Sistema operativo sin modificaciones peligrosas Dispositivo con seguridad íntegra

LOCATION RISKS - RIESGOS DE UBICACIÓN

image.png

Parámetros de Alto Riesgo (ROJO)

Parámetro Descripción Interpretación Nivel de Riesgo
Unknown location for identity La ubicación actual no coincide con ninguna ubicación conocida del usuario Usuario accediendo desde un lugar completamente nuevo Posible acceso no autorizado desde ubicación comprometida
Suspicious location attributes La ubicación geográfica tiene características asociadas con fraude Área conocida por actividades fraudulentas o bloqueada Zona de alto riesgo para transacciones
GPS enabled? El GPS del dispositivo está deshabilitado No se puede verificar la ubicación real del dispositivo Imposibilidad de validar ubicación precisa
New IP country? La dirección IP pertenece a un país diferente al habitual del usuario Acceso desde país no característico del usuario Posible uso de VPN o acceso comprometido

Parámetros de Riesgo Indeterminado (MORADO)

Parámetro Descripción Razón del Estado Morado Interpretación
GPS location mismatch La ubicación GPS no coincide con la ubicación determinada por IP Ambas fuentes proporcionan ubicaciones diferentes pero válidas Discrepancia que requiere análisis adicional

Parámetros Validados - Bajo Riesgo (VERDE)

Parámetro Descripción Estado Actual Interpretación
Location change velocity La velocidad de cambio entre ubicaciones es físicamente posible El desplazamiento es coherente con medios de transporte reales Patrón normal de movilidad
Location is in blocklist Verificación contra listas de ubicaciones prohibidas La ubicación no está en zonas bloqueadas Ubicación permitida para transacciones

BEHAVIOURAL RISKS - RIESGOS COMPORTAMENTALES

image.png

Parámetros Validados - Bajo Riesgo (VERDE)

Parámetro Descripción Estado Actual Interpretación
Risky keyboard event Análisis de patrones de escritura, velocidad y ritmo de tecleo Los patrones de teclado coinciden con la biometría del usuario legítimo Comportamiento de escritura normal y auténtico
Risky mouse event Evaluación de movimientos, clicks y patrones del mouse Los movimientos del mouse son característicos del usuario real Interacción natural sin automatización
Use of autocomplete Detección del uso normal de funciones de autocompletado Uso típico de herramientas del navegador Comportamiento humano normal

Parámetros Informativos

Parámetro Estado Descripción Razón
Form navigation N/A Datos sobre navegación en formularios no disponibles Este análisis no aplica para el tipo de sesión actual

Interpretación de Resultados

Matriz de Decisión por Combinación de Estados

Combinación de Colores Nivel de Riesgo Descripción Acción Sugerida
Todo Verde BAJO Todos los parámetros pasaron las validaciones Proceder con confianza total
Verde + Morado MEDIO-BAJO Mayoría de validaciones exitosas con algunas indeterminadas Proceder con monitoreo adicional
Verde + 1-2 Rojos MEDIO Validaciones mixtas con algunos problemas detectados Requiere intervención manual o bloqueo automático
Múltiples Morados MEDIO-ALTO Múltiples validaciones incompletas Análisis manual recomendado
Múltiples Rojos ALTO Múltiples problemas de seguridad detectados Bloqueo inmediato, investigación
Todo Rojo CRÍTICO Fallas generalizadas en validaciones Bloqueo total, escalación inmediata

Algoritmo de Puntuación

Color del Parámetro Valor Numérico Peso en Cálculo
Verde +10 puntos Positivo
Morado 0 puntos Neutro
Rojo -15 puntos Negativo

Distribución de Peso por Categoría

Categoría Peso en Score Total Justificación
Device Risks 40% Fundamental para validar legitimidad del acceso
Location Risks 35% Crítico para detectar accesos geográficamente anómalos
Behavioural Risks 25% Importante para distinguir humanos de automatización


Interpretación Session

Historia

Interpretación Session

Reconstrucción de video

El módulo de Reconstrucción de Video es un sistema avanzado de análisis forense que permite recrear y analizar paso a paso las acciones realizadas por un usuario durante una sesión. Este sistema captura, almacena y reproduce de manera secuencial todas las interacciones del usuario con la aplicación, proporcionando una herramienta invaluable para análisis de seguridad, debugging, investigación de fraude y validación de procesos.

Objetivos Principales

Objetivo Descripción Beneficio
Análisis Forense Reconstruir sesiones sospechosas para investigación Identificación de patrones fraudulentos
Debugging Avanzado Reproducir errores exactos en el flujo de usuario Resolución rápida de problemas técnicos
Validación de Seguridad Verificar cumplimiento de protocolos de seguridad Detección de vulnerabilidades
Análisis de UX Estudiar comportamiento real del usuario Optimización de experiencia de usuario
Compliance Documentar procesos para auditorías Cumplimiento regulatorio

Arquitectura del Sistema

Componentes Principales

Componente Función Tecnología
Video Player Reproduce la sesión de manera visual Renderizado en tiempo real
Input Table Tabla detallada de eventos capturados Base de datos de eventos
Timeline Controller Control de navegación temporal Interfaz de usuario interactiva
Event Tracker Sistema de captura de eventos SDK de monitoreo

Video Player - Reproductor de Sesión

El Video Player es la interfaz visual principal que muestra la reconstrucción exacta de la sesión del usuario en un dispositivo simulado. Permite visualizar cómo el usuario interactuó con la aplicación, incluyendo toques, deslizamientos, entrada de texto y navegación entre pantallas.

image.png

Características del Reproductor

Característica Descripción Funcionalidad
Simulación de Dispositivo Replica el dispositivo exacto usado por el usuario iPhone, Android, tablet según el caso
Renderizado de Pantallas Muestra las pantallas exactas vistas por el usuario Interfaz idéntica a la sesión original
Indicadores Visuales Muestra puntos de interacción y gestos Toques, deslizamientos, entrada de texto
Sincronización Temporal Reproduce eventos en tiempo real o modificado Control de velocidad de reproducción

Controles de Reproducción

Control Función Opciones Disponibles
Timer Muestra tiempo transcurrido de sesión Formato MM:SS.MS
Speed Controla velocidad de reproducción X0.5, X1, X2, X4, X8
Play/Pause Control de reproducción Botones estándar
Timeline Navegación temporal directa Barra de progreso interactiva

Input Table - Tabla de Eventos Detallada

La Input Table es una tabla comprehensiva que registra cada evento de interacción capturado durante la sesión del usuario. Proporciona una vista granular y técnica de todas las acciones realizadas, con timestamps precisos y metadata asociada.

image.png

Columna Descripción Tipo de Dato Ejemplo
INPUT TYPE Tipo de entrada o acción realizada Numérico/Categórico 1, 8, 12
ACTIVITY START TIME Fecha y hora exacta del evento DateTime 30/8/2025, 10:31:15
ACTIVITY START HOUR Hora específica en formato HH:MM:SS Time 15:31:15
DURATION (S) Duración del evento en segundos Decimal 2.253, 0.5, 0.514
INTERACTIONS Número de interacciones en el evento Entero 2, 10, 11, 21
FINAL VALUE Valor final ingresado o resultado String Asteriscos (datos sensibles), ABC
LENGTH Longitud del valor ingresado Entero 0, 9, 10, 23
VALUE TYPE Tipo de dato del valor String ABC, mixed
TIME DIFFS Diferencias de tiempo entre eventos String Asteriscos (metadata)
TIME DIFFS CHART Gráfico visual de diferencias temporales Gráfico Barras y líneas temporales
TIME SINCE LAST ACTIVITY Tiempo desde la actividad anterior Decimal 18.33, 2.579, 1.348
TIME SINCE SESSION START Tiempo desde inicio de sesión Decimal 18.33, 23.16, 25.01

Tipos de INPUT TYPE

Código Tipo de Evento Descripción Ejemplo de Uso
1 Entrada de Texto Ingreso de datos en campos de formulario Escribir usuario, contraseña
8 Navegación/Click Clicks en botones o elementos de navegación Botón "Siguiente", "Confirmar"
12 Evento de Sistema Eventos automáticos o del sistema Validaciones, carga de página

Interpretación de VALUE TYPE

Tipo Descripción Seguridad Interpretación
ABC Texto alfabético Datos no sensibles Nombres, texto general
mixed Texto alfanumérico Potencialmente sensible Usuarios, códigos, referencias
Asteriscos (*) Datos enmascarados Altamente sensible Contraseñas, números de cuenta

Timeline de Eventos - Panel Lateral

El panel lateral muestra una línea de tiempo cronológica de todos los eventos de la sesión, organizada secuencialmente con timestamps precisos y códigos de evento específicos.

Eventos del Timeline

Timestamp Código de Evento Descripción Categoría
10:30:56 INIT_SDK_CBID Inicialización del SDK Sistema
10:31:08 SMP_AUTH Proceso de autenticación Autenticación
10:31:28 SET_CBID Configuración de identificador Sistema
10:31:28 SMP_LOGIN Inicio de sesión Autenticación
10:31:28 SMP_LOGIN.PASSW Ingreso de contraseña Autenticación
10:31:28 SET_LID Configuración de identificador local Sistema
10:32:01 Operaciones Acceso a módulo de operaciones Navegación
10:32:02 Transferencias Acceso a transferencias Transaccional
10:32:03 Operaciones.Tra Operación de transferencia Transaccional
10:32:04 Operaciones.Tra Continuación de transferencia Transaccional
10:32:10 Operaciones.Tra Finalización de transferencia Transaccional

Categorización de Eventos

Categoría Color Indicador Descripción Ejemplos
Sistema Verde Eventos automáticos del sistema INIT_SDK, SET_CBID, SET_LID
Autenticación Verde Procesos de login y verificación SMP_AUTH, SMP_LOGIN
Navegación Verde Movimiento entre secciones Operaciones, Transferencias
Transaccional Verde Operaciones financieras o críticas Operaciones.Tra

Funcionalidades del Sistema

Capacidades de Análisis

Funcionalidad Descripción Aplicación
Reproducción Exacta Recrea la sesión tal como ocurrió originalmente Análisis forense, debugging
Análisis Temporal Estudia patrones de tiempo entre acciones Detección de automatización
Correlación de Eventos Relaciona eventos de different fuentes Investigación de seguridad
Exportación de Datos Genera reportes y evidencia Auditorías, compliance

Casos de Uso Principales

Caso de Uso Descripción Beneficio
Investigación de Fraude Analizar sesiones sospechosas paso a paso Identificación de patrones maliciosos
Análisis de Errores Reproducir bugs reportados por usuarios Resolución rápida de problemas
Auditoría de Seguridad Verificar cumplimiento de protocolos Validación de controles
Optimización de UX Estudiar comportamiento real del usuario Mejora de experiencia
Training y Capacitación Mostrar ejemplos reales de uso Educación del equipo

Métricas y Análisis Disponibles

Métrica Descripción Valor para Análisis
Tiempo de Sesión Total Duración completa de la sesión Identificar sesiones anormalmente largas/cortas
Velocidad de Interacción Tiempo entre acciones consecutivas Detectar automatización o comportamiento humano
Patrones de Navegación Secuencia de pantallas visitadas Identificar flujos anómalos
Frecuencia de Errores Número de intentos fallidos o correcciones Evaluar dificultad de UX o comportamiento sospechoso

Interpretación de Datos

Análisis de Patrones Temporales

Patrón Indicador Interpretación Acción Recomendada
Intervalos Regulares Tiempos exactamente consistentes entre acciones Posible automatización Investigar origen de la sesión
Intervalos Variables Variación natural en tiempos de respuesta Comportamiento humano normal Proceder normalmente
Intervalos Extremos Pausas muy largas o acciones muy rápidas Comportamiento anómalo Análisis manual detallado

Validación de Autenticidad

Factor Indicador Positivo Indicador Negativo Interpretación
Patrones de Tecleo Variabilidad natural, errores ocasionales Velocidad perfecta, sin errores Humano vs Bot
Navegación Exploratory, ocasionales retrocesos Directa sin hesitación Usuario real vs automatizado
Tiempo de Respuesta Variable según complejidad Constante independiente de tarea Comportamiento auténtico

Detección de Anomalías

Anomalía Descripción Nivel de Riesgo Acción
Velocidad Sobrehumana Acciones más rápidas que capacidad humana Alto Bloqueo inmediato
Patrones Repetitivos Secuencias idénticas múltiples veces Medio-Alto Investigación
Navegación Atípica Acceso a funciones en orden no intuitivo Medio Monitoreo adicional
Inconsistencia Temporal Cambios abruptos en patrones de tiempo Medio Análisis contextual

Beneficios del Sistema

Para Equipos de Seguridad

Beneficio Descripción Impacto
Evidencia Forense Documentación completa de actividad sospechosa Legal y compliance
Detección de Patrones Identificación de nuevas técnicas de fraude Prevención proactiva
Validación de Controles Verificación de efectividad de medidas de seguridad Mejora continua

Para Equipos de Desarrollo

Beneficio Descripción Impacto
Debugging Preciso Reproducción exacta de errores reportados Resolución rápida de bugs
Análisis de UX Comprensión real del comportamiento del usuario Optimización de interfaces
Testing en Producción Validación de funcionalidades en ambiente real Calidad mejorada

Para Compliance y Auditoría

Beneficio Descripción Impacto
Trazabilidad Completa Registro detallado de todas las transacciones Cumplimiento regulatorio
Evidencia Auditable Documentación que cumple estándares legales Protección legal
Reportes Automáticos Generación de informes para auditores Eficiencia operativa
Interpretación Session

Eventos

Interpretación Session

Eventos de video

Interpretación Session

Análisis de enlaces

Objetivos Principales

Objetivo Descripción Aplicación
Detección de Redes de Fraude Identificar grupos de cuentas operadas por la misma entidad Prevención de fraude masivo
Análisis de Dispositivos Compartidos Detectar múltiples identidades usando el mismo dispositivo Control de identidad única
Identificación de Patrones Similares Encontrar sesiones con comportamiento idéntico o muy similar Detección de automatización
Mapeo de Conexiones Visualizar relaciones entre usuarios, dispositivos y sesiones Investigación forense
Análisis de Familias de Dispositivos Identificar dispositivos conocidos y sus relaciones Control de dispositivos autorizados

Arquitectura del Sistema

Componentes Principales

Componente Función Descripción
Graph View Visualización gráfica de conexiones Muestra relaciones entre usuarios y dispositivos
Sessions with Similar Behaviour Tabla de sesiones relacionadas Lista detallada de actividad vinculada
Link Detection Engine Motor de detección de vínculos Algoritmos de correlación y análisis
Relationship Mapping Mapeo de relaciones Sistema de identificación de patrones

Graph View - Vista Gráfica de Conexiones

La vista gráfica proporciona una representación visual de las conexiones identificadas entre el usuario actual, sus dispositivos y otros elementos relacionados. Utiliza algoritmos de grafos para mostrar relaciones complejas de manera intuitiva.

image.png

Elementos del Grafo

Elemento Representación Visual Descripción Información Mostrada
Current User Icono de persona (amarillo) Usuario actual bajo análisis Punto central del análisis
Current Device Teléfono azul Dispositivo utilizado en la sesión actual Número de sesiones activas
Related Device Teléfono negro Dispositivos adicionales vinculados al usuario Identificador y conteo de sesiones
Connections Líneas conectoras Relaciones identificadas entre elementos Tipo y fuerza de la conexión

Interpretación de Conexiones

Tipo de Conexión Descripción Nivel de Riesgo Interpretación
Usuario-Dispositivo Único Un usuario conectado a un solo dispositivo Bajo Patrón normal de uso
Usuario-Múltiples Dispositivos Un usuario conectado a varios dispositivos Medio Posible uso legítimo múltiple o cuenta compartida
Múltiples Usuarios-Un Dispositivo Varios usuarios usando el mismo dispositivo Alto Posible fraude o uso no autorizado
Red Compleja Múltiples conexiones entrecruzadas Muy Alto Red sospechosa de actividad coordinada

Métricas del Grafo

Métrica Descripción Ejemplo en Imagen Interpretación
Device ID Identificador único del dispositivo 7e43 Código de identificación del dispositivo relacionado
Session Count Número de sesiones por dispositivo (1 sessions) Cantidad de sesiones registradas en cada dispositivo
Connection Type Tipo de relación identificada Línea directa Relación directa entre usuario y dispositivo

Sessions with Similar Behaviour - Sesiones con Comportamiento Similar

Esta tabla presenta una lista detallada de todas las sesiones que han sido identificadas como relacionadas o similares a la sesión actual, basándose en algoritmos de análisis comportamental y detección de patrones.

image.png

Estructura de Datos de la Tabla

Columna Descripción Tipo de Dato Función
COUNTRY País de origen de la sesión Bandera/Código país Identificación geográfica
DATE Fecha y hora de la sesión DateTime Timestamp de la actividad
SCORE Puntuación de similitud/riesgo Numérico Medida de similitud comportamental
USER Identificador del usuario String ID de usuario (enmascarado)
REASON Razón de la vinculación String Criterio de similitud detectado
KNOWN FAMILY Dispositivo de familia conocida Boolean (X/✓) Indica si el dispositivo es reconocido
CSID Identificador de sesión específico String alfanumérico ID único de la sesión
DURATION Duración de la sesión Numérico (segundos) Tiempo total de la sesión
BRAND Marca/Plataforma utilizada String Identificación de la plataforma
CHANNEL Canal de acceso String Método de acceso utilizado
ISP Proveedor de servicios de internet String Compañía de internet utilizada
KNOWN DEVICE Dispositivo conocido Boolean (X/✓) Indica si el dispositivo está registrado
IP Dirección IP (parcial) String numérico Identificación de red (enmascarada)
UNKNOWN DEVICE Estado de dispositivo desconocido Boolean (X/✓) Marca dispositivos no registrados
IP AGE Edad de la dirección IP en días Numérico Tiempo desde primer registro de la IP
IP COUNTRY AGE Edad de IP en el país específico Numérico Tiempo de asociación IP-país
USERS IN MUD LV Usuarios en nivel MUD Numérico Contador de usuarios en mismo nivel de riesgo
DEVICE AGE Edad del dispositivo en días Numérico Tiempo desde primer registro del dispositivo
USER AGE Edad del usuario en días Numérico Tiempo desde creación de la cuenta
CONTEXT Contexto de navegación de la sesión String Secuencia de páginas/acciones realizadas

Análisis de Datos de la Tabla

Información de País y Ubicación

País Detectado Bandera Interpretación Nivel de Atención
México 🇲🇽 Todas las sesiones desde México Concentración geográfica sospechosa
Consistencia de Ubicación Misma bandera Actividad coordinada desde misma región Posible red de fraude local

Análisis de Puntuaciones (SCORE)

Rango de Score Ejemplo Interpretación Acción Recomendada
700-800 789, 770, 795, 772 Similitud muy alta en comportamiento Investigación inmediata
500-600 569 Similitud moderada-alta Monitoreo intensivo
100-200 123 Similitud baja-moderada Monitoreo estándar
0-50 20 Similitud mínima detectada Revisión periódica

Análisis de Usuarios

Patrón de Usuario Ejemplo Descripción Implicación
UNPROTECTED_3C00190012 Usuario tipo 1 Cuenta sin protecciones adicionales Mayor vulnerabilidad
UNPROTECTED_100190011 Usuario tipo 2 Diferentes variantes de cuentas desprotegidas Patrón de cuentas similares
UNPROTECTED_175534809 Usuario tipo 3 Numeración secuencial o generada Posibles cuentas automatizadas

Razón de Vinculación

Razón Descripción Algoritmo Utilizado Nivel de Confianza
behaviour Comportamiento similar detectado Análisis de patrones de interacción Alto
device Mismo dispositivo utilizado Fingerprinting de hardware Muy Alto
network Misma red o ISP Análisis de infraestructura Medio
temporal Patrones temporales similares Análisis de timing Medio-Alto

Estado de Dispositivos y Familias

Campo Valor Significado Implicación de Seguridad
KNOWN FAMILY X (No) Dispositivo no pertenece a familia conocida Mayor riesgo de dispositivo nuevo/sospechoso
KNOWN DEVICE X (No) Dispositivo no registrado previamente Dispositivo potencialmente malicioso
Combinación XX Ambos negativos Dispositivo completamente desconocido Riesgo muy alto

Análisis de Infraestructura Técnica

Campo Técnico Valor Detectado Interpretación Nivel de Riesgo
BRAND SMP Todas las sesiones usan la misma plataforma Consistencia sospechosa
CHANNEL Emulator (IOS) Todas desde emulador de iOS Uso de herramientas de automatización
ISP WI-NET TELECOM S.A.C. Mismo proveedor de internet Concentración geográfica/infraestructura
IP Range 38.2.x.x Mismo rango de direcciones IP Red coordinada

Análisis de Dispositivos y Edades

Campo Valor Observado Descripción Interpretación de Riesgo
UNKNOWN DEVICE X (Todos marcados) Todos los dispositivos son desconocidos Muy Alto - Dispositivos nuevos o temporales
IP 38.25.16.17 Misma dirección IP para todas las sesiones Crítico - Concentración de actividad
IP AGE 290 días (mayoría), 0 días IP conocida por 290 días, nueva actividad Medio - IP establecida con nuevo uso
IP COUNTRY AGE 290-326 días IP asociada al país por varios meses Bajo - Asociación geográfica estable
USERS IN MUD LV 0 (Todos) Sin usuarios en mismo nivel MUD Información - Nivel de riesgo único
DEVICE AGE 0 días (Todos) Todos los dispositivos son completamente nuevos Crítico - Dispositivos creados específicamente
USER AGE 290-326 días Usuarios con diferentes antigüedades Medio - Cuentas no recién creadas

Análisis de Contexto de Navegación

Patrón de Contexto Secuencia Observada Interpretación Nivel de Automatización
Flujo Completo AUTH_PAGE,LOGIN,LOGIN_PASSWORD,OPERACIONES,TRANSFERENCIAS,TRANSPAC_ORIGEN,TRANSPAC_DESTINO Proceso completo de transferencia Alto - Secuencia muy específica
Flujo Parcial AUTH_PAGE,LOGIN,LOGIN_PASSWORD,OPERACIONES,SERVIC,SERVIC_BUSC,SERVIC_DATOS,SERVIC_MON Acceso a servicios específicos Alto - Navegación dirigida
Flujo Simplificado AUTH_PAGE,LOGIN,LOGIN_PASSWORD Solo proceso de autenticación Medio - Acceso básico
Consistencia Patrones repetitivos exactos Mismas secuencias de navegación Crítico - Comportamiento no humano

Patrones de Riesgo Identificados

Patrón 1: Concentración Temporal

Característica Valor Observado Interpretación
Fecha 30/6/2025 Todas las sesiones el mismo día
Horario 17:15-17:28 Ventana temporal de 13 minutos
Frecuencia 7 sesiones Alta concentración de actividad

Patrón 2: Uniformidad Técnica

Aspecto Consistencia Nivel de Sospecha
Plataforma 100% SMP Extremadamente sospechoso
Emulador 100% iOS Emulator Indica automatización
ISP 100% mismo proveedor Red coordinada
Dispositivos 100% desconocidos Dispositivos nuevos/temporales

Patrón 3: Similitud Comportamental

Métrica Observación Implicación
Scores Altos 6 de 7 sesiones >500 Comportamiento muy similar
Duración Variable 0-86 segundos Diferentes tipos de actividad
Razón Común Todas por "behaviour" Algoritmo detecta patrones idénticos

Patrón 4: Infraestructura Centralizada (Nuevo Análisis)

Factor Valor Crítico Interpretación Nivel de Alerta
IP Única 38.25.16.17 Todas las sesiones desde la misma IP CRÍTICO
Dispositivos Edad 0 100% dispositivos nuevos Creados específicamente para esta actividad CRÍTICO
IP Age vs Device Age IP: 290 días, Dispositivos: 0 días IP conocida pero dispositivos nuevos ALTO
Contextos Repetitivos Secuencias de navegación idénticas Automatización confirmada CRÍTICO

Patrón 5: Perfil de Usuario Sospechoso

Característica Observación Significado Riesgo
País de Origen OM (Omán) Concentración geográfica específica MEDIO
User Age Variado 290-326 días Cuentas no recién creadas BAJO
MUD Level Todos en 0 Mismo nivel de clasificación INFORMACIÓN
Unknown Device 100% marcados Ningún dispositivo reconocido CRÍTICO

Interpretación de Resultados

Matriz de Riesgo por Patrones

Combinación de Factores Nivel de Riesgo Interpretación Acción Recomendada
Múltiples dispositivos + Scores altos + Misma infraestructura CRÍTICO Red de fraude coordinada Bloqueo inmediato de toda la red
Dispositivos desconocidos + Emuladores + Concentración temporal ALTO Ataque automatizado masivo Investigación urgente
Comportamiento similar + Misma ubicación + Usuarios secuenciales ALTO Fraude organizado local Escalación a equipo especializado
Scores moderados + Infraestructura mixta + Timing normal MEDIO Posible actividad coordinada Monitoreo intensivo
Dispositivos conocidos + Scores bajos + Patrones normales BAJO Actividad legítima relacionada Monitoreo estándar

Algoritmos de Detección de Vínculos

Algoritmo Descripción Factores Analizados Peso en Decisión
Behavioral Similarity Compara patrones de interacción Timing, secuencias, errores 40%
Device Fingerprinting Identifica características únicas del dispositivo Hardware, software, configuración 35%
Network Analysis Analiza infraestructura de red IP, ISP, geolocalización 15%
Temporal Correlation Busca patrones temporales Horarios, frecuencia, duración 10%

Métricas de Confianza

Nivel de Confianza Rango de Score Descripción Acción Automática
Muy Alto 800-1000 Vínculos casi certeros Bloqueo automático
Alto 600-799 Vínculos muy probables Revisión prioritaria
Medio 400-599 Vínculos probables Monitoreo adicional
Bajo 200-399 Vínculos posibles Seguimiento rutinario
Mínimo 0-199 Vínculos débiles Solo logging

Casos de Uso del Sistema

Detección de Fraude Masivo

Indicador Descripción Ejemplo de la Imagen
Múltiples Cuentas Varias cuentas UNPROTECTED creadas 7 usuarios diferentes
Misma Infraestructura Mismo ISP y tipo de dispositivo WI-NET TELECOM, Emulator iOS
Comportamiento Idéntico Scores altos de similitud 789, 770, 795, 772
Concentración Temporal Actividad en ventana corta 13 minutos el 30/6/2025

Caso Crítico: Red de Fraude con IP Centralizada (Análisis de Nueva Imagen)

Factor Crítico Evidencia Interpretación Nivel de Alerta
IP Única 38.25.16.17 para 7 sesiones diferentes Todos los ataques desde mismo punto CRÍTICO
Dispositivos Vírgenes Device Age = 0 en todos los casos Dispositivos creados específicamente CRÍTICO
Usuarios Comprometidos User Age 290+ días pero dispositivos nuevos Cuentas legítimas posiblemente comprometidas ALTO
Automatización Confirmada Contextos de navegación idénticos Bots siguiendo scripts predefinidos CRÍTICO
Objetivos Específicos Rutas directas a TRANSFERENCIAS Intención clara de fraude financiero CRÍTICO

Conclusión del Caso: Red de fraude altamente organizada usando cuentas comprometidas, dispositivos desechables y automatización desde infraestructura centralizada para realizar transferencias bancarias fraudulentas.

Acción Inmediata Requerida:

  1. Bloqueo inmediato de IP 38.25.16.17
  2. Suspensión de todas las cuentas identificadas
  3. Investigación forense de las transferencias realizadas
  4. Notificación a autoridades competentes
  5. Actualización de algoritmos de detección

Análisis de Dispositivos Compartidos

Escenario Identificación Riesgo Acción
Familia Legítima Dispositivos conocidos, usuarios relacionados Bajo Permitir con monitoreo
Cuenta Corporativa Múltiples empleados, mismo dispositivo Medio Validar políticas
Fraude Coordinado Usuarios no relacionados, dispositivos nuevos Alto Bloquear e investigar
Red Criminal (Nuevo) Misma IP, dispositivos vírgenes, usuarios antiguos CRÍTICO Respuesta de emergencia

Investigación Forense

Capacidad Descripción Beneficio
Reconstrucción de Redes Mapea conexiones completas Identifica toda la red criminal
Análisis Temporal Estudia evolución de patrones Predice futuros ataques
Correlación de Evidencia Vincula evidencia dispersa Construye caso sólido

Beneficios del Sistema

Para Equipos de Seguridad

Beneficio Descripción Impacto
Detección Temprana Identifica redes antes de que causen daño Prevención proactiva
Análisis Masivo Procesa miles de conexiones simultáneamente Escalabilidad
Evidencia Visual Gráficos claros para presentación Comunicación efectiva
Automatización Reduce trabajo manual de investigación Eficiencia operativa

Para Prevención de Fraude

Beneficio Descripción Impacto
Detección de Patrones Identifica nuevas técnicas de fraude Adaptación rápida
Análisis Predictivo Anticipa comportamientos futuros Prevención proactiva
Correlación Avanzada Conecta eventos aparentemente aislados Detección sofisticada

Para Compliance y Auditoría

Beneficio Descripción Impacto
Documentación Completa Registra todas las conexiones identificadas Cumplimiento regulatorio
Trazabilidad Rastrea origen y evolución de redes Auditoría forense
Reportes Automáticos Genera informes para reguladores Eficiencia de compliance
Interpretación Session

Datos del mapa

El mapa interactivo proporciona una representación visual en tiempo real de las ubicaciones de usuarios, utilizando Google Maps como base cartográfica. Permite identificar patrones geográficos, concentraciones de actividad y anomalías de ubicación de manera intuitiva.

Elementos del Mapa

Elemento Representación Visual Descripción Información Mostrada
Marcador Principal Pin azul con círculo Ubicación actual del usuario bajo análisis Punto geográfico exacto
Área de Concentración Círculo sombreado Zona de alta actividad detectada Radio de confianza de ubicación
Marcadores Secundarios Pins adicionales de colores Ubicaciones relacionadas o históricas Contexto geográfico adicional
Controles de Navegación Botones de zoom y vista Herramientas de navegación estándar Exploración detallada del mapa

Información Geográfica Mostrada

Dato Valor Observado Descripción Interpretación
Ubicación Principal Región de Lima, Perú Punto de actividad detectado Concentración en capital peruana
Precisión del Marcador Área metropolitana Nivel de precisión de geolocalización Precisión a nivel de ciudad
Contexto Geográfico Zona costera del Pacífico Ubicación en geografía específica Coherencia con infraestructura de red

Mapa Interactivo - Visualización Geográfica

El mapa interactivo proporciona una representación visual en tiempo real de las ubicaciones de usuarios, utilizando Google Maps como base cartográfica. Permite identificar patrones geográficos, concentraciones de actividad y anomalías de ubicación de manera intuitiva.

image.png

Elementos del Mapa

Elemento Representación Visual Descripción Información Mostrada
Marcador Principal Pin azul con círculo Ubicación actual del usuario bajo análisis Punto geográfico exacto
Área de Concentración Círculo sombreado Zona de alta actividad detectada Radio de confianza de ubicación
Marcadores Secundarios Pins adicionales de colores Ubicaciones relacionadas o históricas Contexto geográfico adicional
Controles de Navegación Botones de zoom y vista Herramientas de navegación estándar Exploración detallada del mapa

Información Geográfica Mostrada

Dato Valor Observado Descripción Interpretación
Ubicación Principal Región de Lima, Perú Punto de actividad detectado Concentración en capital peruana
Precisión del Marcador Área metropolitana Nivel de precisión de geolocalización Precisión a nivel de ciudad
Contexto Geográfico Zona costera del Pacífico Ubicación en geografía específica Coherencia con infraestructura de red

Panel de Estadísticas - Distribución por Países

El panel de estadísticas presenta una distribución porcentual de la actividad detectada por países, proporcionando un análisis cuantitativo de la concentración geográfica de las sesiones analizadas.

image.png

Análisis de Distribución

País Bandera Porcentaje Interpretación Nivel de Atención
Perú 🇵🇪 92.31% Concentración extrema de actividad Alto - Concentración sospechosa
United States 🇺🇸 7.69% Actividad minoritaria Medio - Requiere verificación

Análisis de Patrones de Distribución

Patrón Descripción Nivel de Riesgo Interpretación
Concentración Extrema >90% de actividad en un solo país Alto Posible red localizada de fraude
Distribución Dual Solo 2 países con actividad Medio-Alto Operación limitada geográficamente
Discrepancia USA-Perú Combinación de países distantes Medio Posible uso de VPN o infraestructura distribuida

Panel de Información de Ubicación - Datos Técnicos Detallados

Este panel proporciona información técnica granular sobre todos los aspectos de la geolocalización del usuario, incluyendo datos de GPS, IP, infraestructura de red y verificaciones de coherencia.

image.png

Estructura de Datos de Ubicación

Campo Valor Observado Tipo de Dato Función
GPS longitude 38.25.16.17 IPv4/IPv6 Dirección IP reportada como coordenada
GPS latitude -76.45 Coordenada geográfica Latitud GPS real
GPS enabled? No Boolean Estado del sistema GPS del dispositivo
Is ip-gps locations match? N/A Comparación Coherencia entre fuentes de ubicación
Country Peru String País determinado por geolocalización
City Lima region String Ciudad/región específica
Isp WI-NET TELECOM S.A.C. String Proveedor de servicios de internet
Organization WI-NET TELECOM S.A.C. String Organización propietaria de la red

Análisis Técnico de Datos

Discrepancias Detectadas

Campo Valor Esperado Valor Observado Nivel de Anomalía Interpretación
GPS longitude Coordenada (-76.xx) 38.25.16.17 (IP) CRÍTICO Confusión entre IP y coordenada GPS
GPS latitude Coordenada (-12.xx para Lima) -76.45 ALTO Coordenada fuera del rango de Lima
GPS enabled Esperado: Sí No MEDIO GPS deshabilitado impide verificación
IP-GPS match Comparación válida N/A MEDIO Imposibilidad de verificar coherencia

Análisis de Infraestructura de Red

Aspecto Información Descripción Nivel de Riesgo
ISP Identificado WI-NET TELECOM S.A.C. Proveedor peruano específico Bajo - ISP legítimo
Organización Misma que ISP Coherencia en propiedad de red Bajo - Estructura normal
Ubicación de Red Lima, Perú Coherencia con país detectado Bajo - Geolocalización consistente
Tipo de Conexión Comercial/Residencial Basado en rango de IP Información - Uso estándar

Estado de Geolocalización

Fuente Estado Precisión Confiabilidad Acción Requerida
GPS Deshabilitado N/A No disponible Solicitar activación
IP Geolocation Activa Ciudad/Región Media Fuente principal actual
Network Location Activa ISP/Organización Alta Fuente de respaldo
Correlación Cruzada No disponible N/A No posible Requiere GPS activo

Interpretación de Resultados

Matriz de Riesgo Geográfico

Combinación de Factores Nivel de Riesgo Interpretación Acción Recomendada
GPS deshabilitado + IP coherente + ISP legítimo MEDIO Usuario con privacidad de ubicación Monitoreo adicional
Concentración país >90% + GPS off + Datos confusos ALTO Posible evasión de geolocalización Investigación detallada
Discrepancia coordenadas + Múltiples países CRÍTICO Posible spoofing de ubicación Bloqueo preventivo
ISP coherente + Ciudad correcta + GPS deshabilitado BAJO-MEDIO Configuración de privacidad normal Monitoreo estándar

Algoritmos de Validación Geográfica

Algoritmo Descripción Factores Analizados Peso en Decisión
IP Geolocation Ubicación basada en dirección IP Rango IP, ISP, base de datos geográfica 40%
GPS Validation Verificación de coordenadas GPS Latitud, longitud, precisión reportada 35%
Network Analysis Análisis de infraestructura de red ISP, organización, tipo de conexión 15%
Cross-Reference Correlación entre fuentes Coherencia entre GPS, IP y red 10%

Detección de Anomalías Geográficas

Tipo de Anomalía Indicador Descripción Nivel de Alerta
Coordinate Confusion IP en campo GPS Valores IP donde deberían ir coordenadas CRÍTICO
GPS Disabled GPS enabled = No Sistema GPS deshabilitado intencionalmente MEDIO
Location Mismatch Discrepancia fuentes GPS y IP reportan ubicaciones diferentes ALTO
Impossible Coordinates Coordenadas fuera de rango Valores geográficos imposibles para la región CRÍTICO

Casos de Uso del Sistema

Análisis de Concentración Geográfica Sospechosa

Indicador Evidencia Observada Interpretación Nivel de Riesgo
Concentración Extrema 92.31% actividad en Perú Actividad altamente localizada Alto
Distribución Limitada Solo 2 países activos Operación geográficamente restringida Medio-Alto
ISP Específico WI-NET TELECOM S.A.C. Concentración en un proveedor Medio
GPS Consistentemente Deshabilitado GPS enabled = No Evasión sistemática de geolocalización precisa Alto

Detección de Evasión de Geolocalización

Técnica de Evasión Evidencia Descripción Contramedida
GPS Spoofing Coordenadas imposibles Manipulación de datos GPS Verificación cruzada con IP
GPS Disabled Sistema GPS apagado Prevenir tracking preciso Requerir activación GPS
IP Masking Discrepancia IP-ubicación Uso de VPN o proxies Análisis de infraestructura de red
Data Confusion IP en campos GPS Manipulación de campos de datos Validación de formato de datos

Investigación de Infraestructura de Red

Aspecto Información Disponible Análisis Conclusión
ISP Legitimacy WI-NET TELECOM S.A.C. registrado Proveedor legítimo en Perú Bajo riesgo de ISP malicioso
Network Ownership Organización = ISP Estructura de propiedad normal Sin indicios de red comprometida
Geographic Consistency Lima, Perú coherente Ubicación de red coherente con país Geolocalización probable auténtica
Connection Type Comercial/residencial Tipo de conexión estándar Sin indicios de infraestructura especializada
Interpretación Session

Revisar

El módulo de Review es un sistema de análisis manual que permite a los asesores y analistas de seguridad del banco evaluar, clasificar y proporcionar retroalimentación sobre sesiones que han sido reportadas por clientes o escaladas por los sistemas automáticos. Su función principal es realizar una investigación humana detallada de casos sospechosos, confirmar o descartar alertas de fraude, y documentar hallazgos para mejorar los algoritmos de detección automática.

Objetivos Principales

Objetivo Descripción Aplicación
Clasificación Manual de Casos Permitir evaluación humana experta de sesiones sospechosas Confirmación de fraude o falsos positivos
Retroalimentación al Sistema Proporcionar datos de entrenamiento para algoritmos ML Mejora continua de detección automática
Investigación Detallada Análisis profundo de casos complejos Identificación de nuevos vectores de ataque
Documentación de Hallazgos Registro detallado de evidencia y conclusiones Soporte legal y auditoría
Escalación de Casos Identificar casos que requieren intervención especializada Gestión de incidentes críticos

Arquitectura del Sistema

Componentes Principales

Componente Función Descripción
Panel de Clasificación Selección de tipo de caso Opciones predefinidas de categorización
Área de Comentarios Documentación detallada Campo de texto libre para observaciones
Sistema de Envío Procesamiento de decisiones Botón de confirmación y envío
Base de Conocimiento Referencia de tipos de fraude Guías para clasificación consistente

Panel de Clasificación - Tipos de Casos

El panel de clasificación presenta una lista comprehensiva de categorías predefinidas que cubren todos los tipos posibles de actividad, desde casos legítimos hasta diferentes variantes de fraude. Permite selección múltiple para casos que involucran varios vectores de ataque simultáneamente.

Categorías de Clasificación

Categoría Descripción Nivel de Riesgo Acción Posterior
Unknown Caso sin clasificar o información insuficiente N/A Requiere investigación adicional
Confirmed Genuine Actividad legítima confirmada Ninguno Marcar como falso positivo
Suspected Fraud Indicios de fraude sin confirmación total Medio-Alto Monitoreo intensivo
Confirmed Fraud Fraude confirmado con evidencia Crítico Bloqueo inmediato y escalación

Tipos Específicos de Fraude

Tipo de Fraude Descripción Técnica Indicadores Típicos Acción Recomendada
ATO Fraud Account Take Over - Compromiso de cuenta Cambio de patrones, nueva ubicación, dispositivo desconocido Bloqueo de cuenta, verificación de identidad
Malware Fraud Fraude mediante software malicioso Comportamiento automatizado, keyloggers, RATs Limpieza de dispositivo, cambio de credenciales
Social Engineering Fraud Ingeniería social y manipulación Usuario reporta presión externa, transferencias inusuales Educación del usuario, revisión de transacciones
Remote Access Fraud Acceso remoto no autorizado Software de control remoto, actividad desde múltiples ubicaciones Verificación de dispositivos autorizados
Digital Fraud Fraude mediante canales digitales Manipulación de aplicaciones, bypass de controles Fortalecimiento de seguridad digital
Phishing Suplantación de identidad digital Links maliciosos, sitios falsos, credenciales comprometidas Educación, cambio de contraseñas
Cell Phone Theft Robo de dispositivo móvil Acceso desde dispositivo robado Bloqueo de dispositivo, verificación de identidad
SIM Swap Intercambio fraudulento de tarjeta SIM Pérdida de control del número telefónico Verificación con operadora, método alternativo
New Device Actividad desde dispositivo nuevo Primer acceso desde dispositivo desconocido Verificación adicional de identidad
Owner Device Dispositivo propio del usuario Actividad desde dispositivo registrado Monitoreo estándar

 

image.pngEl área de comentarios proporciona un espacio de texto libre donde los analistas pueden documentar sus hallazgos, evidencias específicas, metodología de investigación y recomendaciones detalladas.

Estructura de Documentación Recomendada

Sección Contenido Propósito Ejemplo
Resumen del Caso Descripción breve del incidente Contexto inicial "Usuario reporta transferencias no autorizadas desde dispositivo conocido"
Evidencia Encontrada Datos específicos que apoyan la clasificación Sustento técnico "Detectado keylogger en análisis de dispositivo, logs muestran captura de credenciales"
Metodología de Análisis Pasos seguidos en la investigación Reproducibilidad "Análisis de logs de sesión, verificación cruzada con datos de ubicación"
Conclusiones Determinación final del analista Decisión fundamentada "Confirmo compromiso por malware, dispositivo requiere limpieza completa"
Recomendaciones Acciones sugeridas Pasos siguientes "Bloqueo temporal, educación sobre seguridad, instalación de antivirus"

 

 

 

Integración Avanzada de SDK

En esta sección se describen los campos adicionales necesarios para mejorar significativamente el rendimiento de la detección de fraudes, reducir los falsos positivos y fortalecer la capacidad de identificar actividades fraudulentas donde los atacantes no utilizan aplicaciones legítimas. Esta implementación representa una evolución crítica en la arquitectura de seguridad, proporcionando mayor granularidad en el análisis de comportamiento y patrones de uso.

Campos Requeridos

Para optimizar la eficacia del sistema de detección de fraudes, se deben agregar los siguientes campos a las llamadas de API:

Campo Tipo Descripción Propósito de Seguridad Ejemplo
Dirección IP String Dirección IP de origen de la sesión Geolocalización, detección de VPN/Proxy, análisis de patrones geográficos 192.168.1.100
Fuente del dispositivo Enum Tipo de plataforma desde la cual se origina la petición Identificación de canales no autorizados, detección de automatización android, ios, js, web
ID del dispositivo String Identificador único y persistente del dispositivo Tracking de dispositivos, detección de device spoofing abc123def456
Beneficiario String (Hash) Objetivo de transferencia hasheado por seguridad Análisis de patrones de transferencia, detección de mulas SHA256(account_id)
Monto Decimal Cantidad de la transacción en moneda local Detección de patrones de monto, análisis de velocidad 1500.50
Motivo de la API Enum Propósito específico de la llamada API Contextualización del riesgo por tipo de operación login, transfer, register
Tipo de transferencia Enum Categoría de operación financiera Aplicación de reglas específicas por tipo de transferencia local, plin, international

Beneficios de la Implementación

Esta integración avanzada proporcionará mejoras sustanciales en múltiples aspectos:

1. Detección de Scripts Automatizados

  • Identificación precisa de sesiones que no provienen de aplicaciones legítimas
  • Análisis de patrones de comportamiento no humano
  • Reducción de ataques de fuerza bruta y automatización maliciosa

2. Resolución de Problemas de CSID

  • Mejora significativa en la identificación de sesiones no encontradas
  • Reducción de errores de tracking y seguimiento
  • Mayor precisión en la correlación de eventos

3. Reducción Drástica de Falsos Positivos

  • Mayor precisión en la detección mediante análisis contextual
  • Refinamiento de modelos de machine learning con datos enriquecidos
  • Optimización de umbrales de riesgo basados en contexto

4. Identificación de Cuentas de Riesgo

  • Capacidad para detectar patrones sospechosos cross-account
  • Análisis de redes de cuentas relacionadas
  • Identificación temprana de esquemas de lavado de dinero

5. Mejora en Debugging y Monitoreo

  • Facilita la resolución de problemas de integración
  • Trazabilidad completa de transacciones
  • Análisis forense mejorado para investigaciones

Funcionalidades Avanzadas de Detección de Fraudes

1. Detección de Cuentas Mula

Requiere añadir dos parámetros a las solicitudes que ya se envían al servidor: el monto de la transacción y el destino de la transacción (así como el tipo de transacción – transferencia nacional, internacional, P2P, etc.).

El resultado incluye:

  • Una tabla de cuentas de alto riesgo
  • Un gráfico 3D que muestra las conexiones entre las transferencias
Parámetro Tipo Descripción Impacto
Monto de transacción Decimal Valor monetario de la operación Detección de patrones de lavado
Destino de transacción String (Hash) Cuenta beneficiaria hasheada Identificación de redes de mulas
Tipo de transacción Enum Categoría de operación financiera Aplicación de reglas específicas

2. Estafa por Voz

Sistema que permite identificar si la llamada que recibió el cliente es del banco o no. Requiere integración con el servidor del banco.

Características:

  • Verificación en tiempo real de llamadas entrantes
  • Validación de números autorizados del banco
  • Alertas inmediatas sobre llamadas sospechosas

3. Detección de Malware Mediante Métodos Adicionales

Objetivo: Reducir los falsos positivos

a. Detección de software malicioso que ya se ha comprobado que ha afectado al banco

b. Integración con un servicio verificado de Google para la detección de virus

Método Descripción Precisión Esperada
Firma conocida Detección de malware previamente identificado 95-98%
Google Safe Browsing Integración con servicio de Google 92-95%
Análisis comportamental Detección de patrones maliciosos 85-90%

4. Recepción de Información desde Redes Sociales

Requiere que el banco agregue en algún lugar de la aplicación una opción como "Compartir por WhatsApp". Entonces, Google acepta recibir información sobre la cuenta de WhatsApp del usuario. Esto puede ayudar a detectar ataques de una persona específica con una tasa baja de falsos positivos.

Ventajas:

  • Correlación cross-platform de identidades
  • Reducción significativa de falsos positivos
  • Detección de ataques de ingeniería social

5. Sistema de Alertas

Envía una alerta inmediata cuando hay un fraude confirmado (Falsos Positivos = 0)

La alerta puede enviarse por:

Canal Tipo Tiempo de Respuesta Casos de Uso
A. Push Notification Tiempo real < 1 segundo Monitoreo activo
B. Grupo WhatsApp Inmediato < 5 segundos Equipos de respuesta
C. Correo electrónico Inmediato < 30 segundos Documentación
D. Microsoft Teams Tiempo real < 3 segundos Colaboración

Métricas de Impacto Esperadas

Antes vs Después de la Implementación

Métrica Antes Después Mejora
Falsos Positivos 15-20% 5-8% 60-70% reducción
Detección de Fraudes 75-80% 90-95% 15-20% mejora
Tiempo de Respuesta 24-48 horas 1-5 minutos 99% mejora
Precisión General 82% 94% 12% mejora