Ado STS Manual Este manual contiene toda la información relacionada con el uso de la solución, incluyendo filtros específicos, funcionamiento general y modos de operación.Cualquier inquietud será atendida a través del correo de soporte: soporte@ado-tech.com. Para temas relacionados con la integración, se encuentra disponible un manual complementario que detalla de manera exhaustiva el proceso de integración de la solución en las diferentes plataformas: iOS, Android y JavaScript.  Acerca de este Manual Este manual ha sido diseñado para proporcionar una comprensión integral del Módulo de Detección de Fraude (FDM), una solución tecnológica avanzada que protege las transacciones digitales y la integridad de las plataformas en línea. A través de este documento, los usuarios encontrarán información detallada sobre el funcionamiento, características y beneficios del sistema, así como guías prácticas para su implementación y uso efectivo. Información de Contacto Importante Para obtener información sobre esta API y otras soluciones de nuestro catálogo, por favor comuníquese con nuestra área financiera para su evaluación al correo julian@ado-tech.com . Todas las claves de acceso, URLs de endpoints y demás elementos de acceso solo serán proporcionados una vez se haya alcanzado un acuerdo formal entre ambas partes. Importante: El alcance y los límites de la recolección de datos dependen en gran medida del tipo de implementación realizada durante la integración de nuestra solución, así como de los límites y capacidades definidos en la contratación actual. Algunos módulos o soluciones podrían no estar activos. En caso de que se identifique alguna funcionalidad no disponible, se recomienda validar con nuestro equipo del área financiera, quien proporcionará toda la información necesaria sobre estas limitaciones. Propósito del Sistema El propósito fundamental del FDM es proporcionar una capa de seguridad invisible pero altamente efectiva que proteja tanto a las organizaciones como a sus usuarios finales. El sistema ha sido diseñado para: Detectar amenazas en tiempo real: Identificar intentos de fraude en el momento en que ocurren, permitiendo una respuesta inmediata que minimice el impacto potencial. Reducir falsos positivos: Mediante el análisis sofisticado de múltiples variables, el sistema distingue con precisión entre comportamientos legítimos inusuales y verdaderas amenazas de seguridad. Adaptarse continuamente: El sistema aprende constantemente de nuevos patrones y evoluciona para enfrentar amenazas emergentes sin requerir actualizaciones manuales frecuentes. Mantener la experiencia del usuario: Operar de manera transparente para los usuarios legítimos, evitando interrupciones innecesarias en sus actividades normales. ¿Qué es el Módulo de Detección de Fraude? El Módulo de Detección de Fraude (FDM) es una plataforma integral de seguridad digital que utiliza tecnologías de vanguardia para identificar, prevenir y mitigar actividades fraudulentas en tiempo real. A diferencia de los sistemas tradicionales de seguridad que se basan únicamente en credenciales estáticas como contraseñas o tokens, el FDM implementa un enfoque multidimensional que analiza el comportamiento del usuario, las características ambientales y las relaciones contextuales para crear un perfil de seguridad dinámico y adaptativo. Tipos de Datos Recolectados Capacidad de Recolección de Datos según el Alcance del Servicio Contratado La capacidad de recolección de datos depende directamente del tipo de servicio contratado y de lo establecido en el contrato. Todos los datos recolectados se obtienen a partir de una integración completa y eficiente con nuestra solución. En caso de contar únicamente con una integración simple , el sistema seguirá siendo funcional; sin embargo, es posible que algunos datos no estén disponibles o no se reflejen en la información mostrada, debido a las limitaciones propias de ese tipo de implementación. INFORMACIÓN DE BIOMETRÍA COMPORTAMENTAL Esta categoría es fundamental porque permite identificar inmediatamente cuando una persona diferente al propietario legítimo está utilizando el dispositivo. Los patrones biométricos comportamentales son únicos como las huellas dactilares, pero más difíciles de falsificar porque son inconscientes y automáticos. El sistema puede detectar cambios en estos patrones desde los primeros segundos de interacción, proporcionando evaluación de riesgo en tiempo real. Elemento Recolectado Descripción Aplicación Antifraude Forma de uso del celular Patrón individual de interacción con el dispositivo, incluyendo forma de sostener, manipular y orientar el dispositivo durante el uso Detecta cuando una persona no familiarizada usa el dispositivo, generando movimientos compensatorios atípicos, cambios en la estabilidad del agarre y patrones de movimiento inconsistentes Uso de la pantalla táctil Ritmo, presión, trayectorias al tocar o deslizar, patrones de gestos y área de contacto específica Identifica diferencias en la presión ejercida, patrones de deslizamiento únicos, y detecta variaciones en el tamaño del área de contacto que indican diferencias físicas entre usuarios Uso del teclado Velocidad de tipeo, presión, combinación de teclas, patrones de pausas entre caracteres y dinámicas de escritura específicas Revela si el usuario está escribiendo información conocida (flujo natural) o consultando datos externos (pausas prolongadas superiores a 2 segundos, indicativo de búsqueda externa) Uso del mouse Movimiento del cursor, velocidad, patrones de aceleración, clics y micro-movimientos naturales Distingue entre movimientos humanos naturales con entropía natural y patrones automatizados de bots que presentan consistencia temporal inhumana Uso de atajos Detección de teclas rápidas, combinaciones comunes utilizadas y familiaridad con navegación avanzada Identifica si el usuario conoce los atajos habituales del sistema y navega con experiencia, o si muestra patrones de navegación inexpertos inconsistentes con el perfil del usuario Tamaño del dedo y huella Dimensiones inferidas a partir de la interacción táctil, área de contacto y presión característica Detecta cambios físicos significativos que indican que otra persona está usando el dispositivo, con rangos típicos de 0.00-0.40 para usuarios legítimos vs. 0.50-1.00 para usuarios fraudulentos Movimiento del dispositivo Análisis de estabilidad, inclinación, patrones de acelerómetro durante el uso y vibraciones características Revela nerviosismo, falta de familiaridad o situaciones de estrés durante el uso, detectando movimientos erráticos que indican manipulación por personas no autorizadas INFORMACIÓN DE CONTEXTO Y PREFERENCIAS DEL USUARIO Esta información permite identificar cuando el acceso proviene de un entorno tecnológico inconsistente con el perfil establecido del usuario legítimo. Los cambios súbitos en preferencias, contexto de uso o ecosistema tecnológico son indicadores altamente confiables de actividad fraudulenta, especialmente cuando se presentan múltiples discrepancias simultáneamente. Elemento Recolectado Descripción Aplicación Antifraude Preferencias del tema Configuraciones personalizadas como esquemas de color, fuente, tamaño de texto, contraste, modo claro/oscuro, y otras personalizaciones visuales del sistema Detecta accesos desde dispositivos que no han sido personalizados por el usuario legítimo, revelando uso de dispositivos genéricos o recién configurados por defraudadores Tipo de dispositivo Sistema operativo específico (Android o iOS), fabricante, modelo exacto, versión de software y configuración de hardware Identifica cambios súbitos de ecosistema tecnológico que pueden indicar dispositivos robados, comprometidos o emulados para evadir otras medidas de seguridad Navegador utilizado Navegador web predeterminado, versión específica, configuraciones de privacidad y extensiones instaladas Revela si el acceso proviene del navegador habitual y configurado del usuario, o de un navegador diferente que sugiere acceso desde dispositivo no autorizado Operador móvil Proveedor de red celular específico, tipo de plan, configuraciones de red y características del servicio Detecta cambios de operador que pueden indicar uso de dispositivos clonados, SIM swapping, o tarjetas prepagadas utilizadas por defraudadores Aplicaciones instaladas Lista completa de aplicaciones activas e instaladas, versiones específicas, patrones de actualización y configuraciones de aplicaciones Identifica dispositivos que no contienen el ecosistema personalizado de aplicaciones del usuario, revelando dispositivos genéricos o recientemente comprometidos Ubicación de uso Entornos recurrentes y patrones geográficos desde los que se accede habitualmente (hogar, trabajo, ubicaciones frecuentes, rutas habituales) Detecta accesos desde ubicaciones geográficamente anómalas, físicamente imposibles en el tiempo transcurrido, o inconsistentes con los patrones de movilidad establecidos del usuario INFORMACIÓN GENERAL DEL DISPOSITIVO Permite identificar discrepancias significativas entre el dispositivo habitual del usuario y el dispositivo desde el cual se está intentando realizar el acceso. Los defraudadores raramente pueden replicar todas las configuraciones técnicas específicas y personalizaciones del dispositivo legítimo, especialmente las configuraciones internas y los permisos específicos que el usuario ha otorgado a lo largo del tiempo. Elemento Recolectado Descripción Aplicación Antifraude Zona horaria e idioma Configuración regional del sistema, preferencias de idioma principal y secundarios, formato de fecha y hora, y configuraciones de localización Detecta accesos desde ubicaciones geográficas inconsistentes con el perfil del usuario, identificando discrepancias entre la configuración del dispositivo y la ubicación real Marca, modelo y sistema operativo Identificación técnica completa del hardware, versión específica del software, número de compilación y características técnicas del dispositivo Identifica cambios de dispositivo que pueden indicar robo, clonación, acceso no autorizado, o uso de emuladores para evadir otras medidas de seguridad Configuraciones de usuario Personalizaciones específicas realizadas por el usuario a nivel del sistema operativo, preferencias de accesibilidad, configuraciones de pantalla y ajustes personales Revela si el dispositivo ha sido genuinamente personalizado por el usuario legítimo durante un período extenso, o si es un dispositivo genérico sin historial de personalización Configuraciones internas Parámetros operativos internos del sistema, configuraciones de desarrollador, ajustes avanzados y modificaciones técnicas del dispositivo Detecta modificaciones técnicas, rooteo, jailbreak, o alteraciones que pueden indicar dispositivos comprometidos, emulados o preparados específicamente para actividades fraudulentas Permisos otorgados Accesos específicos habilitados por el usuario para aplicaciones (ubicación, cámara, micrófono, contactos, almacenamiento), historial de decisiones de permisos Identifica patrones de permisos inconsistentes con el comportamiento y preferencias de privacidad habituales del usuario, detectando configuraciones atípicas Fuentes instaladas Tipografías personalizadas presentes en el sistema operativo, paquetes de idiomas adicionales y recursos de localización instalados Detecta dispositivos que no han sido utilizados por el usuario legítimo durante tiempo suficiente para acumular personalizaciones típicas de uso prolongado ESTADO DEL DISPOSITIVO Esta información es crucial para identificar situaciones inusuales que pueden indicar fraude, como dispositivos utilizados de manera atípica, condiciones operativas anómalas, o patrones de uso que sugieren acceso no autorizado. Los defraudadores no pueden controlar fácilmente estos aspectos técnicos del dispositivo, especialmente cuando operan remotamente. Elemento Recolectado Descripción Aplicación Antifraude Estado y nivel de batería Carga actual del dispositivo, estado de carga activa, patrones históricos de carga y gestión de energía características del usuario Detecta patrones inusuales de uso de batería que pueden indicar actividad automatizada continua, uso prolongado anómalo por parte de defraudadores, o dispositivos manipulados Tiempo de actividad Tiempo transcurrido desde el último reinicio o encendido del dispositivo, frecuencia de reinicios y patrones de uso continuo Identifica dispositivos recién reiniciados que pueden haber sido comprometidos, manipulados técnicamente, o que han sido objeto de modificaciones para evadir detección Tamaño de pantalla Resolución específica, dimensiones físicas exactas del display, densidad de píxeles y características técnicas de la pantalla Detecta accesos desde dispositivos con características físicas diferentes al dispositivo habitual, identificando intentos de acceso desde emuladores o dispositivos clonados Compartición de pantalla Estado activo de transmisión del contenido del dispositivo, aplicaciones de control remoto en ejecución y conexiones de pantalla externa Identifica posibles ataques de ingeniería social donde la pantalla está siendo compartida con defraudadores, o situaciones de control remoto no autorizado del dispositivo SENSORES AMBIENTALES Los datos ambientales son virtualmente imposibles de replicar artificialmente por defraudadores, lo que los convierte en indicadores extremadamente confiables de la ubicación y contexto real del dispositivo. Son especialmente valiosos para detectar fraudes que involucran cambios de ubicación geográfica, uso de emuladores, o accesos remotos que intentan enmascarar la ubicación real. Elemento Recolectado Descripción Aplicación Antifraude Cantidad de luz Nivel específico de luminosidad detectado en el ambiente inmediato, variaciones naturales de luz y patrones de iluminación característicos del entorno Detecta discrepancias críticas entre la ubicación geográfica declarada y las condiciones reales de iluminación (ejemplo: horario nocturno local vs. alta luminosidad detectada, indicando ubicación real diferente) Presión barométrica Medición precisa de presión atmosférica útil para determinar altitud exacta, condiciones meteorológicas locales y características del entorno físico Identifica cambios súbitos e imposibles de altitud que revelan viajes no reportados, uso del dispositivo en ubicaciones geográficamente inconsistentes, o discrepancias con la ubicación declarada INFORMACIÓN DE UBICACIÓN La ubicación constituye uno de los indicadores más poderosos y definitivos de actividad fraudulenta, ya que permite detectar accesos desde ubicaciones físicamente imposibles de alcanzar, geográficamente improbables según los patrones históricos, o completamente inconsistentes con los patrones de movilidad y rutinas establecidas del usuario legítimo. Elemento Recolectado Descripción Aplicación Antifraude Ubicación aproximada Estimación geográfica basada en triangulación de redes móviles y Wi-Fi disponibles, proporcionando contexto regional general Proporciona validación inicial del contexto geográfico general para evaluar la coherencia básica del acceso y detectar discrepancias regionales significativas Ubicación precisa Coordenadas exactas obtenidas mediante GPS de alta precisión y triangulación avanzada de múltiples redes, con precisión métrica Detecta ubicaciones específicas anómalas, identifica viajes físicamente imposibles en el tiempo transcurrido entre accesos, y valida la coherencia geográfica detallada Ubicación basada en IP Geolocalización aproximada determinada mediante análisis de la dirección IP del dispositivo y rutas de red utilizadas Identifica discrepancias críticas entre la ubicación física real del dispositivo y la ubicación aparente de la conexión de red, detectando uso de VPN, proxies o redes comprometidas INFORMACIÓN DE SIM Y TELEFONÍA Esta categoría es crítica para detectar uno de los vectores más comunes y peligrosos de fraude móvil moderno: el SIM swapping, la clonación de tarjetas, y la manipulación de identidad telefónica. También permite identificar dispositivos que han sido técnicamente comprometidos o están siendo utilizados de manera deliberadamente anómala para actividades fraudulentas organizadas. Elemento Recolectado Descripción Aplicación Antifraude Número de teléfono Número telefónico actualmente asociado al dispositivo, verificando disponibilidad y consistencia en el sistema Verifica la consistencia crítica entre el número históricamente asociado al usuario y el número actual del dispositivo, detectando cambios no autorizados ID de SIM y operador Identificación única técnica del chip SIM físico y información específica del proveedor de servicios asociado Detecta cambios de tarjeta SIM que pueden indicar SIM swapping exitoso, clonación de tarjetas, o transferencias fraudulentas de números telefónicos Número de SIMs activas Cantidad total de tarjetas SIM funcionando simultáneamente en el dispositivo y configuración de conectividad múltiple Identifica configuraciones técnicas anómalas que pueden indicar dispositivos específicamente preparados para fraude masivo o actividades de phishing organizadas Estado de llamadas Estado operativo actual del dispositivo en relación a llamadas telefónicas: activa, timbrando, o inactiva Detecta situaciones críticas donde el usuario puede estar siendo coercionado activamente durante una llamada telefónica por parte de ingenieros sociales o extorsionistas CONECTIVIDAD DE RED Las redes y la infraestructura de conectividad constituyen elementos que los defraudadores no pueden controlar ni manipular fácilmente, especialmente cuando operan remotamente desde ubicaciones diferentes. Esta información permite detectar accesos desde infraestructuras de red anómalas, proveedores no habituales, o configuraciones técnicas asociadas con actividades fraudulentas conocidas y documentadas. Elemento Recolectado Descripción Aplicación Antifraude Red celular y Wi-Fi actual Nombre específico, tipo técnico, configuración de seguridad y características de las redes actualmente conectadas Detecta conexiones desde redes desconocidas, no verificadas, o históricamente asociadas con actividades fraudulentas documentadas en bases de datos de amenazas Historial de redes Wi-Fi Registro completo de redes utilizadas previamente por el dispositivo, incluyendo timestamps y duración de conexiones Identifica si el dispositivo ha sido utilizado consistentemente en ubicaciones coherentes con el perfil geográfico del usuario legítimo a lo largo del tiempo Redes Wi-Fi escaneadas Lista completa de redes inalámbricas disponibles detectadas en el entorno inmediato durante el escaneo activo Proporciona contexto geográfico adicional altamente específico y detecta ubicaciones anómalas mediante análisis de la infraestructura de red local Dirección MAC e IP Identificadores únicos de red del dispositivo a nivel de hardware y software, incluyendo configuraciones específicas Detecta cambios en identificadores fundamentales que pueden indicar dispositivos clonados, emulados, o que han sido objeto de manipulación técnica Adaptadores y cifrado Información técnica detallada de adaptadores de conectividad, protocolos de seguridad utilizados y configuraciones de cifrado Identifica configuraciones de red técnicamente anómalas o inseguras que pueden indicar dispositivos comprometidos o preparados para actividades maliciosas Encabezados de red y proveedor Información específica de protocolo de comunicación y datos del proveedor de servicios de Internet (ISP) utilizado Detecta proveedores de servicios geográficamente inconsistentes con el perfil del usuario, o ISPs asociados con actividades fraudulentas o servicios de anonimización DISPOSITIVOS CERCANOS Los dispositivos cercanos proporcionan validación adicional crítica de la ubicación real y el contexto auténtico del usuario. Los defraudadores que operan remotamente, desde ubicaciones diferentes, o utilizando dispositivos comprometidos no pueden replicar el ecosistema específico de dispositivos tecnológicos que caracteriza el entorno habitual del usuario legítimo. Elemento Recolectado Descripción Aplicación Antifraude Dispositivos Wi-Fi cercanos Equipos específicos visibles en la red inalámbrica del entorno, incluyendo routers, dispositivos IoT, y equipos conectados habituales Valida de manera definitiva si el usuario se encuentra en su entorno tecnológico habitual (hogar, oficina) mediante detección de dispositivos conocidos y familiares Dispositivos Bluetooth cercanos Equipos con conectividad Bluetooth disponibles o emparejados previamente en proximidad física inmediata Detecta la presencia de dispositivos personales habituales del usuario (auriculares, smartwatch, dispositivos wearables) que confirman la identidad y ubicación real METADATOS ADICIONALES DEL DISPOSITIVO Estos datos técnicos adicionales proporcionan capas extra de verificación y validación que son especialmente útiles para detectar dispositivos emulados, clonados, modificados técnicamente, o que han sido específicamente preparados para evadir otros sistemas de detección de fraude más básicos. Elemento Recolectado Descripción Aplicación Antifraude Datos clave de configuración Información técnica adicional específica utilizada para identificación contextual avanzada y verificación de autenticidad Proporciona verificación técnica adicional y detallada para confirmar la autenticidad del dispositivo y detectar manipulaciones técnicas sofisticadas Lista de redes Wi-Fi disponibles Inventario completo de redes inalámbricas detectadas durante escaneos activos del entorno Confirma la ubicación geográfica específica mediante verificación cruzada de redes características del entorno, detectando inconsistencias geográficas Dirección MAC del dispositivo Identificador único de red del hardware a nivel físico (cuando está técnicamente disponible y no ha sido enmascarado) Detecta dispositivos clonados, emulados, o que utilizan identificadores duplicados o técnicamente falsificados para evadir detección Gracias a la recopilación de estos datos nos ayuda a calcular nuestro  sistema de puntuación unificado mediante el procesamiento inteligente de todas las variables mencionadas. La integración de estos múltiples vectores de información permite crear un perfil completo y único de cada usuario, estableciendo patrones de comportamiento normal que sirven como línea base para la detección de anomalías. El sistema de recolección opera de manera completamente pasiva y transparente para el usuario, capturando información contextual sin interrumpir la experiencia de uso normal. Esta metodología de recolección continua permite la construcción de modelos de comportamiento robustos que se adaptan a los cambios legítimos en los patrones de uso del usuario a lo largo del tiempo, mientras mantienen la sensibilidad necesaria para detectar actividades fraudulentas. La arquitectura de recolección está diseñada para operar en tiempo real, procesando y analizando los datos de manera simultánea durante cada interacción del usuario con el dispositivo. Esta capacidad de análisis en tiempo real es fundamental para proporcionar evaluaciones de riesgo inmediatas que permiten tomar decisiones de seguridad apropiadas sin demoras que puedan afectar la experiencia del usuario o permitir que actividades fraudulentas se completen exitosamente. Modelos de análisis y detección Este modelo crea un perfil único y personalizado para cada usuario, basado en su forma habitual de interactuar con el dispositivo. Al conocer sus patrones normales de uso, el sistema puede detectar cualquier comportamiento inusual que podría indicar que otra persona está accediendo al sistema sin autorización. Información Recolectada del Usuario Comportamiento del Usuario Uso del dispositivo celular: Forma específica de manipulación Forma de sostener el celular: Patrones únicos de agarre Uso del teclado: Velocidad, ritmo y presión de escritura Información de Ubicación Ubicación del usuario: Coordenadas GPS y ubicación aproximada Red utilizada: Conectividad celular y Wi-Fi Redes Wi-Fi: Historial y redes cercanas disponibles Información del Dispositivo Tamaño de pantalla: Resolución y configuración Preferencias de tema: Color, tamaño de fuente, configuraciones visuales Modelo y marca: Especificaciones técnicas del dispositivo Identificadores únicos: Metadatos del dispositivo Análisis Biométrico Comportamental Enfoque Estricto Uso de pantalla táctil: Patrones de deslizamiento y presión Uso del mouse: Movimientos y clics característicos Uso del teclado: Dinámicas de escritura y atajos Velocidad de escritura: Ritmo y pausas personalizadas Uso de atajos: Preferencias de navegación Tamaño de huella dactilar: Biometría física única Tamaño del dedo: Área de contacto en pantalla Movimiento del celular: Patrones de acelerómetro durante uso Enfoque Amplio Preferencias de tema: Configuraciones de color y tamaño de fuente Ubicación de uso: Patrones geográficos habituales Tipo de dispositivo: Android o iOS, preferencias de ecosistema Navegador utilizado: Preferencias de software Operador celular: Proveedor de servicios habitual Aplicaciones instaladas: Ecosistema de software personal Modelos Generales de Comportamiento Contamos con modelos entrenados con millones de interacciones reales que ayudan a diferenciar entre comportamientos típicos de usuarios legítimos y aquellos que son característicos de acciones fraudulentas. Esto permite identificar comportamientos sospechosos, incluso si nunca antes se habían visto en el sistema. Análisis Comparativo de Comportamientos Patrón de Interacción Comportamiento Fraudulento Comportamiento de Usuario Legítimo Alternar entre aplicaciones Múltiples veces Nunca Ingreso de DNI/ID Pegar texto / Tipeo alternado Tipeo manual normal Navegación en formularios Uso de teclado Uso de mouse Ejemplo: Análisis de Pausas Durante Escritura Gráfico de Pausas Máximas Durante Escritura del DNI Interpretación: Usuarios Legítimos: Pausas distribuidas naturalmente Usuarios Fraudulentos: 95% presenta pausas extremas (>2 segundos), indicativo de consulta externa Análisis de Uso de DNI con Pegar/Copiar Gráfico de Detección de Pegado de DNI Gráfico Izquierdo - "SSN Paste" (Pegado de SSN): Fraud (Fraude): 99.7% - Representado en color rojo oscuro Genuine (Genuino): 0.3% - Representado en color rojo claro/rosado Muestra que cuando se detecta pegado de número de identificación, casi la totalidad de los casos (99.7%) son fraudulentos Gráfico Derecho - "SSN Paste - First time for an existing user" (Pegado de SSN - Primera vez para usuario existente): Fraud (Fraude): 100.0% - Representado completamente en color rojo Genuine (Genuino): 0.0% - Sin representación visual Muestra que cuando un usuario existente utiliza "pegar" por primera vez, el 100% de los casos son fraudulentos Modelos de Comportamiento para Defraudadores Identificados A través del análisis histórico, se han identificado patrones comunes en personas que previamente han intentado realizar fraudes. Estos modelos almacenan y actualizan de forma continua esta información, lo que permite detectar cuando un intento de acceso o transacción se asemeja al comportamiento de estos defraudadores conocidos. Indicadores Específicos para Estafas de Transferencia Indicador Valor Prevalencia Relativa Prevalencia en Fraude Fuerza de Indicación Transferencia de cuenta limpia Sí 0.4% 98.7% 67 Múltiples cambios posición teléfono-oído Sí 1.5% 67.7% 58 Nuevo beneficiario Sí 0.24% 98.7% 46 Estado de llamada durante login EN CURSO 2.3% 68.3% 35 Usuario senior Verdadero 17.2% 93.2% 18 Indicadores de Teléfono Robado Indicador Valor Prevalencia Relativa Prevalencia en Fraude Fuerza de Indicación Nombre Wi-Fi Azizi 423 0% 64.2% 999 Señal Bluetooth 46542342134 0% 34.7% 999 ID de ubicación 642547854652321 0.05% 34.2% 750 Nuevo ISP Verdadero 0.4% 88.3% 574 Estado SIM No SIM detectada 0.03% 64.7% 67 Nueva ubicación Verdadero 4% 66.7% 65 Nuevo beneficiario Sí 0.24% 98.7% 46 Modelos Adicionales Detección de Malware Permite identificar comportamientos que podrían estar siendo generados por software malicioso instalado en el dispositivo. Indicadores Técnicos: Patrones de automatización perfecta Timing inhumano en interacciones Secuencias repetitivas de acciones Acceso a recursos del sistema sin intervención del usuario Detección de Bots Diferencia entre un humano y un sistema automático, lo que es clave para prevenir fraudes automatizados. Características de Detección: Análisis de entropía en movimientos Patrones de timing demasiado consistentes Ausencia de micro-movimientos naturales Secuencias de acciones predecibles Análisis de Riesgo por Actividad Evalúa el riesgo de una acción específica (como una transferencia o un inicio de sesión) considerando el contexto en el que se realiza. Factores Contextuales: Horario de la transacción Monto involucrado Tipo de beneficiario Historial de transacciones similares Análisis de Conexiones Analiza las relaciones entre usuarios, dispositivos y redes para detectar patrones organizados de fraude. Métricas de Conexión: Usuarios compartiendo infraestructura de red Dispositivos utilizados por múltiples identidades Patrones temporales coordinados Ubicaciones físicas compartidas  ANÁLISIS DE DIFERENCIAS EN TAMAÑO DE HUELLA DACTILAR  El gráfico presenta un análisis de dispersión que mide el tamaño de la huella dactilar detectada durante el uso del dispositivo móvil. Esta métrica biométrica permite identificar si el usuario actual corresponde al propietario legítimo del dispositivo. Características del Gráfico: Título: "Finger size" Eje X: Secuencia temporal de mediciones (escala de 2 a 10) Eje Y: Tamaño relativo de la huella dactilar (escala de 0.00 a 1.00) Puntos Negros: Representan sesiones identificadas como fraudulentas Puntos Naranjas: Representan sesiones de usuarios legítimos Interpretación de Patrones Sesiones de Usuarios Legítimos (Puntos Naranjas) Rango de valores: 0.00 - 0.40 Características observadas: Consistencia en el tamaño de huella a lo largo de toda la sesión Variación mínima entre mediciones sucesivas Agrupación de valores en rangos específicos que corresponden al usuario registrado Estabilidad temporal que refleja el uso natural del dispositivo Significado: Los usuarios legítimos mantienen un tamaño de huella constante porque utilizan consistentemente los mismos dedos y con la misma presión habitual. Sesiones Fraudulentas (Puntos Negros) Rango de valores: 0.50 - 1.00 Características observadas: Mayor variabilidad en el tamaño de huella Valores significativamente diferentes al perfil biométrico registrado Inconsistencia entre mediciones dentro de la misma sesión Tendencia hacia valores más altos que sugieren diferencias físicas Significado: Los defraudadores presentan huellas de tamaño diferente al usuario legítimo, lo que indica que se trata de una persona física distinta utilizando el dispositivo. Aplicación Práctica Detección de Uso No Autorizado: El sistema puede identificar inmediatamente cuando una persona diferente al propietario registrado está utilizando el dispositivo, basándose en las diferencias anatómicas naturales entre individuos. Casos de Detección: Dispositivos robados siendo utilizados por terceros Acceso no autorizado por familiares o conocidos Uso fraudulento después de pérdida del dispositivo Suplantación de identidad con dispositivos comprometidos ANÁLISIS DE MOVIMIENTOS DEL CELULAR La forma en que las personas sostienen y mueven sus dispositivos móviles durante el uso constituye una firma biométrica única y personal. Estos patrones de movimiento reflejan hábitos motores inconscientes que son extremadamente difíciles de replicar por personas no autorizadas. Gráfico 1: Acelerómetro Durante Toque de Botón Este gráfico analiza las lecturas del acelerómetro del dispositivo específicamente en los momentos cuando el usuario realiza toques en botones de la interfaz. Estructura del Gráfico: Medición: Intensidad de movimiento captada por sensores de aceleración Eje Temporal: Secuencia de eventos de toque (2 a 10) Eje de Intensidad: Magnitud del movimiento (0.00 a 1.00) Diferenciación: Puntos negros para fraude, naranjas para usuarios legítimos Usuarios Legítimos: Rango de movimiento: 0.00 - 0.50 Patrón característico: Movimientos controlados y predecibles Estabilidad: Variaciones mínimas entre toques sucesivos Explicación: Los usuarios familiares con su dispositivo desarrollan patrones motores automáticos que resultan en movimientos económicos y precisos Usuarios Fraudulentos: Rango de movimiento: 0.50 - 1.00 Patrón característico: Movimientos erráticos e impredecibles Inestabilidad: Gran variación entre diferentes acciones Explicación: La falta de familiaridad con el dispositivo genera movimientos compensatorios, nerviosismo y patrones motores atípicos Gráfico 2: Pausa Máxima de Actividad Durante Sesión Este análisis mide los intervalos de inactividad más prolongados que ocurren durante una sesión de uso del dispositivo, proporcionando información sobre los procesos cognitivos del usuario. Estructura del Gráfico: Medición: Duración de pausas en segundos Eje Temporal: Progresión de la sesión (2 a 10) Eje de Duración: Tiempo de pausa máxima (0 a 6 segundos) Diferenciación: Puntos negros para fraude, naranjas para usuarios legítimos Análisis de Comportamientos Cognitivos Usuarios Legítimos: Rango de pausas: 0 - 1.5 segundos Características: Flujo continuo y natural de interacción Procesamiento: Acceso inmediato a información personal memorizada Navegación: Conocimiento intuitivo de la interfaz y procesos Usuarios Fraudulentos: Rango de pausas: 1.5 - 6+ segundos Características: Interrupciones prolongadas y frecuentes Procesamiento: Necesidad de búsqueda, verificación o consulta externa Navegación: Incertidumbre sobre procedimientos y datos requeridos Casos Especiales y Excepciones Situaciones Atípicas en Usuarios Legítimos El sistema está diseñado para reconocer circunstancias excepcionales donde el propietario legítimo puede exhibir patrones anómalos: Condiciones de Estrés: Situaciones de emergencia que alteran comportamiento motor Presión temporal que afecta patrones habituales Circunstancias de riesgo que generan nerviosismo Condiciones Físicas: Lesiones temporales en manos o dedos Efectos de medicación que afectan coordinación Fatiga extrema que altera precisión motora Condiciones Ambientales: Uso durante transporte que introduce vibraciones externas Condiciones climáticas que afectan manipulación del dispositivo Iluminación deficiente que requiere mayor concentración Detección Inmediata: El análisis de movimientos proporciona evaluación de riesgo en tiempo real desde los primeros segundos de interacción, sin requerir completar transacciones o procesos específicos. Invisibilidad para el Usuario: La recopilación de datos biométricos de movimiento ocurre de manera transparente durante el uso normal, sin generar fricción adicional en la experiencia del usuario. Resistencia a Falsificación: Los patrones de movimiento son resultado de años de desarrollo motor personal, haciéndolos extremadamente difíciles de replicar conscientemente por actores maliciosos. Adaptabilidad Contextual: El sistema aprende y se adapta a las variaciones naturales del usuario legítimo, mejorando su precisión con el tiempo mientras mantiene sensibilidad para detectar uso no autorizado. Cálculo del score de riesgo Toda la información recolectada se integra en una arquitectura basada en inteligencia artificial que analiza tanto modelos individuales como patrones colectivos en tiempo real. Como resultado de este análisis, se genera un score unificado de riesgo , que va de 0 a 1000 , e indica con alta precisión la probabilidad de que una sesión o acción sea legítima o fraudulenta . A mayor puntuación, mayor es el nivel de riesgo identificado. Este score se convierte en un indicador clave para la toma de decisiones, ya sean automatizadas o asistidas , sobre accesos, transacciones o actividades dentro de plataformas digitales. De esta manera, se elevan los niveles de seguridad sin comprometer la experiencia del usuario . Descripción: Este gráfico muestra la distribución de los scores de riesgo calculados por el sistema de IA que integra todos los modelos de detección de fraude. Explicación detallada: Eje X: Rangos de scores de riesgo (≥0, ≥200, ≥500, ≥800, ≥900, ≥950, ≥980, ≥990) Eje Y izquierdo: Cantidad de casos (hasta 120) Eje Y derecho: Porcentaje acumulativo (hasta 100%) Barras naranjas: Muestran la cantidad de sesiones en cada rango de score Línea naranja: Representa el porcentaje acumulativo Interpretación: La mayoría de las sesiones (100 casos) tienen scores bajos (≥0), indicando comportamiento normal. Conforme aumenta el score, disminuye drasticamente el número de casos, siendo muy pocas las sesiones con scores altos (≥980, ≥990) que indican alto riesgo de fraude. Rango Nivel de Riesgo Acción Recomendada 0 - 200 Muy bajo Monitoreo estándar 201 - 400 Bajo Monitoreo estándar 401 - 600 Medio Verificación 601 - 800 Alto Autenticación reforzada 801 - 1000 Muy alto Bloqueo/Revisión manual Dashboard El Dashboard principal de ADO-STS proporciona una vista consolidada y en tiempo real del estado de seguridad de la plataforma. Está diseñado para ofrecer información crítica de manera intuitiva y accionable. Métricas Principales (Top Row) El Dashboard ADO-STS está estructurado en  3 secciones principales que proporcionan una vista integral del estado de seguridad: SECCIÓN 1: MÉTRICAS PRINCIPALES Ubicación en Dashboard Parte superior del dashboard - Cuatro indicadores principales mostrados como tarjetas de KPIs 1.1 Unique Users Today ¿Qué muestra? Número total de usuarios únicos que han iniciado sesión en el sistema durante las últimas 24 horas. ¿Para qué sirve? Monitorear el volumen de actividad diaria de usuarios Detectar picos anómalos de actividad que podrían indicar ataques masivos Establecer líneas base de actividad normal ¿Cómo interpretarlo? Escenario Interpretación Acción Requerida Valor muy bajo Posible problema técnico o día festivo Verificar sistema y calendario Valor normal Operación estándar según patrones históricos Continuar monitoreo Pico súbito Posible ataque DDoS o evento promocional Investigar causa y preparar escalamiento Factores que influyen en esta métrica: Horarios comerciales y días de la semana Campañas promocionales o marketing Eventos especiales o lanzamientos Ataques coordinados o actividad bot 1.2 Unique Devices Today ¿Qué muestra? Cantidad de dispositivos únicos (identificados por device fingerprint) que han accedido al sistema en las últimas 24 horas. ¿Para qué sirve? Identificar el uso de múltiples dispositivos por usuario Detectar device farming (granjas de dispositivos) Monitorear la diversidad tecnológica de los usuarios ¿Cómo interpretarlo? Relación Dispositivos/Usuarios Significado Nivel de Atención Cerca de 1:1 Usuarios con dispositivo único Normal Mayor a 2:1 Uso multi-dispositivo o sharing Monitoreo adicional Muy alta (>5:1) Posible device farming o bots Investigación inmediata Lo que nos ayuda a identificar: Usuarios que comparten dispositivos Actividad de bots usando múltiples dispositivos emulados Patrones de uso legítimo multi-dispositivo (BYOD) 1.3 Api Calls T5 min ¿Qué muestra? Número total de llamadas API realizadas al sistema ADO-STS en los últimos 5 minutos. ¿Para qué sirve? Monitorear la carga del sistema en tiempo real Detectar picos de actividad automatizada Evaluar el performance del sistema ¿Cómo interpretarlo? Volumen de Calls Estado del Sistema Acción 0-1,000 Actividad baja Monitoreo normal 1,001-5,000 Actividad normal Operación estándar 5,001-15,000 Actividad alta Monitoreo de capacidad >15,000 Sobrecarga potencial Activar auto-scaling Tipos de llamadas que incluye: Inicialización de sesiones Análisis de comportamiento en tiempo real Evaluaciones de riesgo Enriquecimiento de datos 1.4 Fraud Attempts Today ¿Qué muestra? Número de intentos de fraude detectados y bloqueados en las últimas 24 horas. ¿Para qué sirve? Medir la efectividad del sistema de detección Identificar tendencias de actividad fraudulenta Evaluar el nivel de amenaza diario ¿Cómo interpretarlo? Número de Intentos Evaluación Consideraciones 0-10 Día tranquilo o excelente detección Verificar que el sistema esté funcionando 11-50 Actividad fraudulenta normal Monitoreo estándar 51-200 Actividad alta Investigar patrones comunes >200 Posible ataque coordinado Activar protocolos de emergencia Lo que cuenta como "intento de fraude": Sesiones con score de riesgo alto (>800) Actividad bloqueada automáticamente Casos confirmados manualmente por analistas SECCIÓN 2: VISUALIZACIÓN GEOGRÁFICA Ubicación en Dashboard Centro del dashboard - Mapa mundial interactivo que ocupa la mayor parte de la pantalla ¿Qué muestra el mapa? Representación visual de: Ubicación geográfica de todas las sesiones activas Distribución global de la actividad del sistema Concentraciones de riesgo por regiones Patrones de movimiento anómalos Elementos visuales en el mapa Elemento Descripción Significado Puntos de colores Marcadores en ubicaciones específicas Sesiones individuales con nivel de riesgo Densidad de puntos Concentración de marcadores Volumen de actividad por zona Líneas conectoras Conexiones entre ubicaciones Posibles viajes imposibles o conexiones sospechosas ¿Para qué sirve? Análisis geográfico para: Detectar viajes imposibles: Usuarios que aparecen en ubicaciones muy distantes en poco tiempo Identificar hotspots de fraude: Concentraciones anómalas de actividad sospechosa Validar coherencia geográfica: Verificar que la ubicación sea consistente con otros datos Monitorear actividad global: Tener vista panorámica de la operación mundial ¿Cómo interpretarlo? Patrones normales: Distribución uniforme según la base de usuarios Concentraciones en centros urbanos principales Actividad coherente con zonas horarias Patrones anómalos: Concentraciones súbitas en ubicaciones inusuales Múltiples sesiones desde coordenadas idénticas Saltos geográficos imposibles en tiempos cortos Funcionalidades interactivas Función Propósito Caso de Uso Zoom Análisis detallado por región Investigar actividad específica de una ciudad Filtros temporales Ver evolución histórica Analizar patrones de ataque en el tiempo Capas de información Superponer diferentes tipos de datos Correlacionar riesgo con ubicación SECCIÓN 3: TOP RISK INDICATORS (ÚLTIMAS 24 HORAS) Ubicación en Dashboard Panel lateral derecho - Lista de los principales indicadores de riesgo detectados ¿Qué muestra esta sección? Lista priorizada de los principales riesgos detectados en las últimas 24 horas, incluyendo: 3.1 Malware Risks ¿Qué detecta? Presencia de software malicioso en los dispositivos de los usuarios que acceden al sistema. ¿Para qué sirve? Identificar dispositivos comprometidos Prevenir el uso de credentials robadas Detectar keyloggers y screen scrapers ¿Cómo se presenta? Número de dispositivos con malware detectado Ranking por nivel de peligrosidad Tipos de malware más frecuentes Información que proporciona: Cantidad de detecciones de malware Tipos específicos encontrados (trojans bancarios, keyloggers, etc.) Dispositivos afectados y usuarios en riesgo 3.2 Emulator Risks ¿Qué detecta? Dispositivos emulados o virtualizados que pueden estar siendo utilizados para actividades fraudulentas. ¿Para qué sirve? Detectar device farming automatizado Identificar bots sofisticados Prevenir ataques masivos coordinados ¿Cómo se presenta? Número de emuladores detectados Nivel de confianza en la detección Patrones de uso sospechosos Indicadores que analiza: Inconsistencias en hardware reportado Patrones de sensores anómalos Características de virtualización 3.3 Location Risks ¿Qué detecta? Riesgos asociados con la ubicación geográfica y patrones de movimiento de los usuarios. ¿Para qué sirve? Detectar viajes imposibles Identificar ubicaciones de alto riesgo Validar coherencia geográfica ¿Cómo se presenta? Número de ubicaciones sospechosas Casos de viajes imposibles detectados Concentraciones anómalas por región Tipos de riesgos que identifica: Velocidades de viaje físicamente imposibles Ubicaciones en países de alto riesgo Inconsistencias entre IP y GPS Uso de VPNs o proxies para enmascarar ubicación 3.4 Behavioural Risks ¿Qué detecta? Patrones de comportamiento anómalos que no coinciden con el perfil normal del usuario o comportamiento humano típico. ¿Para qué sirve? Detectar account takeover (toma de cuentas) Identificar actividad automatizada (bots) Reconocer cambios súbitos en patrones de uso ¿Cómo se presenta? Número de anomalías comportamentales Usuarios con cambios significativos en patrones Actividad que sugiere automatización Aspectos que monitorea: Cambios en velocidad de escritura Patrones de movimiento del mouse/touch anómalos Secuencias de navegación inconsistentes Timing no humano entre acciones 3.5 Link Analysis ¿Qué detecta? Conexiones y relaciones sospechosas entre usuarios, dispositivos, ubicaciones y comportamientos. ¿Para qué sirve? Identificar redes de fraude organizadas Detectar dispositivos compartidos sospechosamente Encontrar patrones ocultos de coordinación ¿Cómo se presenta? Número de conexiones sospechosas identificadas Redes de usuarios/dispositivos relacionados Patrones de coordinación detectados Tipos de conexiones que analiza: Múltiples usuarios usando el mismo dispositivo Dispositivos conectados a las mismas redes WiFi/Bluetooth Patrones de comportamiento idénticos entre usuarios diferentes Secuencias de acceso coordinadas temporalmente Interpretación de cada indicador Indicador Valor Normal Valor de Alerta Acción Recomendada Malware Risks 0-5 detecciones/día >20 detecciones/día Investigar dispositivos afectados Emulator Risks 0-10 detecciones/día >50 detecciones/día Reforzar validación de dispositivos Location Risks 0-15 casos/día >100 casos/día Revisar reglas geográficas Behavioural Risks 0-20 anomalías/día >200 anomalías/día Ajustar modelos de comportamiento Link Analysis 0-5 redes/día >25 redes/día Investigación de fraude organizado ¿Cómo usar esta información? Para priorización: Los indicadores se ordenan por: Número de casos detectados Nivel de riesgo promedio Tendencia de crecimiento en las últimas horas Para investigación: Cada indicador puede expandirse para mostrar: Casos específicos más relevantes Detalles de los usuarios/dispositivos afectados Recomendaciones de acción específicas Para reportes: Esta sección proporciona un resumen ejecutivo de: Los principales tipos de amenaza del día Volumen de cada tipo de riesgo Tendencias comparativas con días anteriores Navegación e Interacción Funcionalidades del Dashboard Elemento Interactividad Propósito Métricas Principales Click para detalles expandidos Ver tendencias históricas y breakdowns Mapa Geográfico Zoom, filtros, overlays Análisis geográfico detallado Risk Indicators Click para lista detallada Investigar casos específicos Actualizaciones automáticas Sección Frecuencia de Actualización Indicador Visual Métricas Principales Cada 30 segundos Timestamp en pantalla Mapa Geográfico Cada 60 segundos Pulso en nuevos eventos Risk Indicators Cada 5 minutos Badge de "actualizado" Interpretación Integral del Dashboard ¿Qué nos dice un dashboard "saludable"? Métricas principales: Valores dentro de rangos históricos normales Mapa geográfico: Distribución esperada según base de usuarios Risk indicators: Números bajos y consistentes con tendencias históricas ¿Qué nos dice un dashboard "en alerta"? Métricas principales: Picos súbitos o valores inusualmente bajos Mapa geográfico: Concentraciones anómalas o patrones irregulares Risk indicators: Incrementos significativos en cualquier categoría Correlaciones importantes a observar Correlación Interpretación Acción Alto volumen de users + muchos emulators Posible ataque bot masivo Activar contramedidas automatizadas Picos en API calls + location risks Ataques desde múltiples ubicaciones Revisar reglas geográficas Behavioral risks + link analysis altos Red organizada de fraude Investigación profunda coordinada Módulo Sessions El  Módulo de Sesiones constituye el núcleo operacional del sistema ADO-STS, proporcionando una interfaz completa para el monitoreo, análisis y gestión de todas las sesiones de usuario en tiempo real. Este módulo integra datos de múltiples fuentes para ofrecer una vista unificada del comportamiento del usuario y los riesgos asociados. Sistema de Filtros Avanzados - Configuración Técnica Filtros Primarios (Barra Superior) Filtro Técnico Tipo de Datos Descripción Técnica Interpretación de Uso Algoritmo Subyacente Brand Enum de fabricantes Filtrado por marca del dispositivo (Apple, Samsung, Google, etc.) Análisis de patrones por fabricante, detección de cambios abruptos de marca Matching exacto con base de datos de dispositivos User Group Categoría segmentada Clasificación del tipo de usuario (Business, Personal, Premium, etc.) Segmentación de riesgo por tipo de usuario, aplicación de políticas específicas Clasificación basada en metadatos de cuenta Device Source Origen de adquisición Fuente de donde proviene el dispositivo (Organic, Referral, Direct, etc.) Tracking de procedencia para detectar dispositivos comprometidos Análisis de cadena de referencia IP Country ISO 3166-1 Alpha-2 Código de país basado en geolocalización IP Filtrado geográfico, detección de accesos desde países de riesgo GeoIP database con actualización diaria Indicators Array de flags Tipos específicos de alertas e indicadores de riesgo activados Filtrado por señales específicas de fraude o comportamiento anómalo Bitmap de indicadores con OR lógico AI Context Nivel de procesamiento Profundidad del análisis de IA aplicado (Basic, Standard, Advanced, Deep) Control del nivel de análisis, balance entre precisión y performance Configuración de pipelines de ML IP ISP String del proveedor Proveedor de servicios de Internet específico Análisis por ISP, detección de granjas de bots o proxies comerciales Lookup en bases de datos ASN/WHOIS MUID Hash único Machine Unique Identifier para búsqueda específica Tracking directo de dispositivos específicos SHA-256 hash de características hardware Platform OS/Browser combo Combinación de sistema operativo y plataforma de acceso Análisis por plataforma, detección de emuladores User-Agent parsing con validación UA Device Brand User-Agent parsing Marca del dispositivo extraída del User-Agent Comparación con brand real para detectare spoofing Cross-validation entre fuentes IP City Geolocalización granular Ciudad específica basada en IP con precisión metropolitana Análisis local de patrones, detección micro-geográfica GeoIP con precisión de ciudad (95%+ accuracy) Date Range Timestamp range Selector de rango temporal con precisión de minutos Análisis temporal de tendencias, investigación de incidentes Índices temporales optimizados Filtros Secundarios (Chips/Tags Contextuales) Filtro Contextual Descripción Técnica Casos de Uso Implementación IP Location Risk Evaluación automática del riesgo geográfico Alto/Medio/Bajo basado en historial de fraude de la ubicación Modelo ML entrenado con datos geográficos de fraude User Group Business Segmentación automática de usuarios corporativos Aplicación de políticas específicas para usuarios empresariales Clasificación basada en dominio de email y metadatos Estructura de Columnas - Análisis Técnico Detallado Columnas de Identificación y Control Columna Tipo de Dato Descripción Técnica Interpretación de Riesgo Algoritmo de Análisis TRY Integer (1-∞) Número secuencial de intentos de la sesión >3 intentos indican comportamiento sospechoso, >5 es crítico Contador incremental con timeout de reset DATE Timestamp UTC Fecha y hora exacta de inicio de sesión con precisión de milisegundos Análisis de patrones temporales, detección de actividad fuera de horarios Índice temporal para consultas de rango SCORE Float (0-1000) Puntuación de riesgo calculada por el motor de IA 0-199: Bajo, 200-499: Medio, 500-799: Alto, 800+: Crítico Ensemble de 12 modelos ML con weighted average USER Hash/ID único Identificador único del usuario en el sistema Tracking de comportamiento histórico del usuario Hash irreversible de PII CSID UUID v4 Client Session Identifier único por sesión Correlación de eventos dentro de la misma sesión UUID generado por cliente, validado por servidor Columnas de Contexto Temporal y Operacional Columna Tipo de Dato Descripción Técnica Interpretación de Riesgo Algoritmo de Análisis DURATION Integer (segundos) Duración total de la sesión desde inicio hasta último evento <30s o >3600s son anómalos según el tipo de operación Análisis estadístico de distribución temporal BRAND Enum normalizado Marca del dispositivo normalizada (Apple, Samsung, Xiaomi, etc.) Cambios frecuentes de marca (>1/semana) incrementan score Análisis de estabilidad de dispositivo CHANNEL String categorizado Canal de acceso (Mobile App, Web, API, etc.) Canales inusuales para el perfil del usuario Análisis de consistencia de canal CONTEXT JSON estructurado Información contextual adicional de la operación LOGIN, LOGOUT, TRANSFER, etc. afectan interpretación del riesgo Parsing de contexto operacional Columnas de Análisis de Red e Infraestructura Columna Tipo de Dato Descripción Técnica Interpretación de Riesgo Algoritmo de Análisis ISP String del proveedor Nombre del proveedor de servicios de Internet Cambios frecuentes de ISP sin roaming legítimo Análisis de estabilidad de conectividad IP IPv4/IPv6 Dirección IP pública desde la cual se origina la conexión IPs de TOR, VPN, proxies conocidos incrementan riesgo Blacklists y análisis de reputación IP IP AGE Integer (días) Edad de la primera vez que esta IP fue vista en el sistema IPs nuevas (edad 0) tienen mayor riesgo inherente Tracking temporal de IPs IP COUNTRY ISO Alpha-2 Código de país de dos letras basado en geolocalización IP Países en listas de riesgo incrementan score automáticamente GeoIP con validación de coherencia Columnas de Análisis de Dispositivo y Usuario Columna Tipo de Dato Descripción Técnica Interpretación de Riesgo Algoritmo de Análisis KNOWN DEVICE Boolean/Enum Estado de reconocimiento del dispositivo (0=Nuevo, 1=Conocido) Dispositivos nuevos requieren verificación adicional Fingerprinting multi-dimensional USERS ON DEVICE TW Integer Número de usuarios únicos que han usado este dispositivo en ventana temporal >1 usuario por dispositivo es indicador de riesgo Análisis de multiplicidad de usuarios DEVICE USED Integer Número de veces que este dispositivo específico ha sido utilizado Muy poco uso (<5) o uso excesivo (>100/día) es sospechoso Análisis de frecuencia de uso USER AGE Integer (días) Antigüedad del usuario en el sistema desde su primer registro Usuarios muy nuevos (<7 días) tienen score de riesgo elevado Cálculo de antigüedad con factor de confianza Columnas de Identificadores Técnicos Columna Tipo de Dato Descripción Técnica Interpretación de Riesgo Algoritmo de Análisis MUID Hash SHA-256 Machine Unique Identifier basado en características hardware Cambios de MUID indican nuevo dispositivo o manipulación Hashing de componentes hardware únicos SID UUID v4 Session Identifier único generado por el sistema Utilizado para correlación de eventos y debugging UUID generado server-side Interpretación de Códigos de Color en el Dashboard Sistema de Semáforo Visual Color Rango de Score Interpretación Acción Automática Revisión Requerida Verde 0-299 Riesgo Bajo - Comportamiento normal Procesamiento automático No Amarillo 300-599 Riesgo Medio - Anomalías menores detectadas Logging adicional Revisión opcional Naranja 600-799 Riesgo Alto - Múltiples indicadores sospechosos Verificación automática Revisión recomendada Rojo 800-949 Riesgo Crítico - Patrón fraudulento probable Bloqueo temporal Revisión obligatoria Rojo Intenso 950-1000 Riesgo Extremo - Fraude casi confirmado Bloqueo inmediato Escalamiento Funcionalidades Avanzadas del Módulo Sistema de Búsqueda y Filtrado Motor de Búsqueda: Elasticsearch backend para consultas complejas Índices optimizados por timestamp, score, usuario e IP Búsqueda fuzzy para identificadores parciales Agregaciones en tiempo real para estadísticas dinámicas Filtros Combinados: Operadores lógicos (AND, OR, NOT) entre filtros Filtros temporales relativos (última hora, último día, última semana) Filtros geográficos con mapas interactivos Filtros por rangos para scores y métricas numéricas Exportación y Reporting Formato Descripción Casos de Uso CSV Datos tabulares para análisis en Excel/Python Análisis estadístico offline JSON Estructura completa de datos para integración APIs y sistemas automatizados PDF Reportes formateados para presentación Documentación de incidentes Excel Hojas de cálculo con gráficos automáticos Análisis ejecutivo Alertas y Notificaciones Configurables Tipos de Alertas: Threshold alerts cuando score supera límites configurados Pattern alerts cuando se detectan patrones específicos Velocity alerts cuando aumenta la frecuencia de eventos Geographic alerts para accesos desde ubicaciones inusuales Canales de Notificación: Email con plantillas personalizables SMS para alertas críticas Webhooks para integración con sistemas externos Dashboard notifications en tiempo real Interpretación de Casos Específicos Observados en el Dashboard Análisis de Sesiones Mostradas Sesión 1 (Score 935): Interpretación : Riesgo medio por ser dispositivo nuevo (KNOWN DEVICE = 0) Factores : Apple/JavaScript, BIE channel, IP alemana (98.98.26.149) Recomendación : Monitoreo adicional pero no bloqueo Sesión 2 (Score 972): Interpretación : Riesgo crítico - múltiples factores sospechosos Factores : Score muy alto, posible cambio de dispositivo Recomendación : Bloqueo inmediato y revisión manual Sesión 3 (Score 868): Interpretación : Riesgo alto - patrón fraudulento probable Factores : Duración 380 segundos (inusual), contexto LOGIN_LOGIN_LOGOUT Recomendación : Verificación adicional requerida Optimización del Uso del Módulo Mejores Prácticas Operacionales Monitoreo Proactivo : Revisar scores >600 en tiempo real Análisis de Tendencias : Usar filtros temporales para identificar patrones Correlación de Datos : Combinar múltiples filtros para investigaciones Documentación de Casos : Exportar evidencia para análisis forense Configuraciones Recomendadas por Industria Sector Bancario: Threshold de alerta: 400 Revisión manual obligatoria: 600+ Bloqueo automático: 800+ E-commerce: Threshold de alerta: 500 Revisión manual obligatoria: 700+ Bloqueo automático: 850+ Sector Gobierno: Threshold de alerta: 300 Revisión manual obligatoria: 500+ Bloqueo automático: 700+ Análisis Relacional Grafos de Conexión El sistema visualiza relaciones entre: Usuarios → Dispositivos Dispositivos → Ubicaciones Ubicaciones → Redes Redes → ISPs Usuarios → Patrones de Comportamiento Indicadores de Alerta en Análisis Relacional Mismo Wi-Fi → Distintos Usuarios : Posible uso compartido malicioso Mismo Patrón de Comportamiento → Distintos Dispositivos : Posible bot Mismos Dispositivos BT → Diferentes Ubicaciones : Dispositivo móvil sospechoso Mismo ISP → Diferentes Cuentas : Granjas de fraude Parámetros de Filtrado Filtros Temporales Parámetro Opciones Uso Recomendado Date Range Selector de fechas Análisis de tendencias y patrones temporales Time of Day Franjas horarias Detección de actividad fuera de horarios normales Filtros Geográficos Parámetro Opciones Uso Recomendado IP Country Lista de países Identificación de accesos desde países de riesgo IP City Ciudades específicas Análisis local de patrones Location Risk Alto, Medio, Bajo Filtrado por nivel de riesgo geográfico Filtros de Dispositivo Parámetro Opciones Uso Recomendado Device Brand Apple, Samsung, etc. Análisis por fabricante OS Family iOS, Android, Windows Segmentación por sistema operativo Device Age Nuevo, Conocido, Frecuente Estado del dispositivo en el sistema Device Source Orgánico, Referido, etc. Origen del dispositivo Filtros de Red Parámetro Opciones Uso Recomendado ISP Proveedores específicos Análisis por proveedor de Internet Connection Type Móvil, Wi-Fi, Ethernet Tipo de conexión utilizada VPN Detection Sí, No, Probable Identificación de uso de VPN Filtros de Comportamiento Parámetro Opciones Uso Recomendado User Behavior Normal, Sospechoso, Anómalo Filtrado por patrón comportamental Session Duration Rangos de tiempo Identificación de sesiones atípicas Activity Pattern Múltiples criterios Análisis de patrones de actividad Filtros de Riesgo Parámetro Opciones Uso Recomendado Risk Score Rangos 0-1000 Filtrado por nivel de riesgo Fraud Indicators Lista de indicadores Búsqueda por señales específicas Alert Type Categorías de alertas Filtrado por tipo de alerta Casos de Uso y Ejemplos Caso 1: Detección de Fraude por Copiar/Pegar DNI Indicadores Detectados: Patrón de escritura: Paste vs Manual typing Pausas máximas durante el tecleo >2 segundos Navegación por teclado vs mouse Interpretación: Los usuarios legítimos escriben su DNI manualmente, mientras que los fraudadores suelen copiarlo y pegarlo. Caso 2: Detección de Dispositivos Robados Indicadores Clave: Wi-Fi Name : Cambio abrupto de red doméstica BT Sign : Dispositivos Bluetooth desconocidos Location ID : Nueva ubicación sin patrón de viaje New ISP : Cambio de proveedor de Internet SIM Status : "No SIM detected" New Location : Ubicación nunca antes vista Caso 3: Análisis de Usuario Múltiple en Dispositivo Patrones Detectados: Diferentes tamaños de huella dactilar Variaciones en movimientos del acelerómetro Pausas máximas en actividad inconsistentes Múltiples usuarios en ventana de 4 horas Caso 4: Detección de Estafas (Account Move Scam) Indicadores Específicos: Is clean account money transfer : 98.7% prevalencia en fraude Multiple switch phone position ear-eye : Comportamiento nervioso Is new payee : 98.7% prevalencia en fraude Call status during login : "ON GOING" - llamada activa durante login Is senior user : Target demográfico común para estafas Caso 5: Análisis de Edad de Ubicación Patrón Normal vs Fraudulento: Usuarios Legítimos : Consistencia en ubicaciones (edad >14 días) Sesiones Fraudulentas : Concentración en ubicaciones nuevas (edad 0-1 días) Módulo Live Sessions El Módulo Live Sessions es el centro neurálgico de monitoreo en tiempo real de ADO-STS Technologies, diseñado para proporcionar visibilidad completa y control operacional sobre todas las sesiones activas en su plataforma digital. Este módulo integra inteligencia artificial avanzada, análisis biométrico comportamental y detección de fraude en tiempo real para ofrecer una solución de seguridad proactiva y preventiva. Propósito Principal: Permitir a los equipos de seguridad y operaciones monitorear, analizar e intervenir en sesiones de usuario mientras están en curso, identificando amenazas potenciales antes de que se materialicen en pérdidas o compromisos de seguridad. Parámetros y Columnas del Sistema Tabla de Parámetros Principales Parámetro Descripción Técnica Valores/Rango Significado Operacional UID Identificador Único Universal de sesión Alfanumérico (formato: XXXXXXXX) Clave primaria para seguimiento y correlación de eventos DATE Timestamp de inicio de sesión Formato: DD/MM/YYYY HH:MM Momento exacto de inicio para análisis temporal ACTUAL TIME Tiempo real actual del sistema Formato: HH:MM:SS Sincronización para correlación de eventos SCORE Puntuación de riesgo de fraude 0-1000 (escala logarítmica) Indicador principal de amenaza de seguridad DEVICE SOURCE Origen y tipo de dispositivo Mobile/Desktop/Tablet + OS Contexto tecnológico de la sesión DURATION Duración activa de la sesión HH:MM:SS Indicador de comportamiento y persistencia ACTIVITIES Contador de actividades realizadas Numérico (0-∞) Métrica de intensidad de uso Interpretación del Score de Riesgo Rango de Score Nivel de Riesgo Color Indicador Acción Recomendada Descripción 0-200 Muy Bajo Verde Monitoreo pasivo Usuario legítimo con patrones normales 201-500 Bajo Amarillo claro Observación activa Comportamiento ligeramente atípico 501-700 Medio Naranja Verificación adicional Patrones sospechosos detectados 701-850 Alto Rojo Intervención inmediata Alta probabilidad de fraude 851-1000 Crítico Púrpura Bloqueo preventivo Amenaza confirmada - acción urgente Funcionalidades Operacionales Capacidades de Filtrado y Búsqueda Tipo de Filtro Parámetros Uso Operacional Búsqueda por UID Campo de texto libre Localización específica de sesiones Filtro por Score Rango numérico (min-max) Focalización en niveles de riesgo Filtro Temporal Ventana de tiempo Análisis de patrones temporales Filtro por Dispositivo Tipo/OS/Modelo Segmentación tecnológica Filtro Geográfico País/Región/Ciudad Análisis de ubicación y contexto Indicadores de Comportamiento en Tiempo Real El sistema analiza continuamente múltiples dimensiones de comportamiento: Categoría Parámetros Monitoreados Alertas Generadas Biometría Comportamental Velocidad de escritura, presión táctil, patrones de mouse Cambios súbitos en patrones establecidos Contexto Ambiental Wi-Fi, Bluetooth, sensores, ubicación GPS Inconsistencias geográficas o ambientales Análisis Relacional Dispositivos cercanos, redes compartidas Conexiones con entidades de riesgo Actividad Transaccional Frecuencia, montos, tipos de operación Comportamientos financieros anómalos Casos de Uso y Escenarios Operacionales Detección de Amenazas Comunes Escenario Indicadores Score Típico Respuesta Automática Teléfono Robado Nueva ubicación + nuevo ISP + sin SIM 800-950 Bloqueo temporal + verificación OTP Coacción/Extorsión Llamada activa durante transacción 600-750 Desafío de seguridad adicional Cuenta Comprometida Cambio de contraseña reciente + nuevo dispositivo 700-850 Verificación de identidad completa Bot/Automatización Patrones mecánicos de interacción 850-1000 Bloqueo inmediato + CAPTCHA Fraude Organizado Múltiples usuarios mismo Wi-Fi 650-800 Análisis de red completa Métricas de Rendimiento del Módulo Métrica Valor Objetivo Descripción Tiempo de Detección < 5 segundos Latencia desde evento hasta alerta Tasa de Falsos Positivos < 2% Sesiones legítimas marcadas como fraudulentas Tasa de Detección > 95% Fraudes identificados correctamente Capacidad de Procesamiento 10,000+ sesiones simultáneas Escalabilidad del sistema Disponibilidad 99.9% Tiempo de operación continua Beneficios Operacionales y ROI Ventajas Competitivas Prevención Proactiva: Intercepta fraudes antes de completarse, reduciendo pérdidas en 85-95% Visibilidad Total: Conocimiento completo del estado de seguridad en tiempo real Respuesta Inmediata: Capacidad de intervención en menos de 10 segundos Análisis Contextual: Cada sesión evaluada en su contexto ambiental y relacional completo Escalabilidad Ilimitada: Arquitectura cloud-native que crece con su negocio Impacto en Métricas de Negocio Área de Impacto Mejora Esperada Beneficio Cuantificable Reducción de Fraude 85-95% Ahorro directo en pérdidas Experiencia de Usuario Reducción 70% fricciones Mayor conversión y retención Costos Operacionales Reducción 60% investigaciones manuales Optimización de recursos humanos Tiempo de Respuesta De horas a segundos Prevención de escalamiento de amenazas Cumplimiento Regulatorio 100% trazabilidad Reducción de riesgos legales Módulo Profile El Módulo Profile constituye el centro neurálgico del sistema ADO STS, proporcionando una plataforma integral para la gestión, monitoreo y análisis de casos de fraude. Este módulo centraliza todas las herramientas especializadas necesarias para combatir el fraude digital, integrando tecnologías avanzadas de biometría comportamental, inteligencia ambiental y análisis relacional. Arquitectura del Módulo El Módulo Profile está diseñado como una solución modular que permite a los analistas de seguridad acceder a diferentes funcionalidades especializadas desde una interfaz unificada: Blocklist : Sistema de prevención mediante listas de bloqueo Fraud Cases : Gestión activa de casos de fraude Fraud History : Análisis histórico y tendencias Graph : Visualización de análisis relacional Change Password : Gestión de credenciales de usuario Blocklist Blocklist es un sistema de prevención proactivo que permite gestionar y mantener listas dinámicas de elementos identificados como fraudulentos o potencialmente riesgosos. Este módulo actúa como la primera línea de defensa del sistema, bloqueando automáticamente accesos desde fuentes conocidamente comprometidas, el módulo Blocklist implementa un sistema de filtrado multicapa que categoriza amenazas según diferentes vectores de ataque. Utiliza algoritmos de machine learning para actualizar automáticamente las listas de bloqueo basándose en patrones de comportamiento fraudulento detectados en tiempo real. Categorías de Filtros Disponibles: Filtro Descripción Aplicación Phishing Detecta elementos relacionados con ataques de suplantación de identidad Bloqueo de dominios, IPs y patrones maliciosos ATO Fraud Account Takeover - Casos de toma de cuentas no autorizadas Prevención de accesos desde dispositivos comprometidos Remote Access Fraud Fraudes ejecutados mediante acceso remoto no autorizado Detección de herramientas de acceso remoto maliciosas Cell Phone Theft Dispositivos móviles reportados como robados Bloqueo basado en IMEI y características del dispositivo Confirmed Fraud Checked Casos de fraude confirmados y verificados por analistas Lista definitiva de elementos fraudulentos Suspected Fraud Checked Casos bajo investigación con alta probabilidad de fraude Lista de elementos en observación Digital Fraud Fraudes digitales de naturaleza general Patrones de comportamiento anómalo en transacciones Social Engineering Fraud Casos de manipulación psicológica para obtener información Detección de patrones de ingeniería social Session Is GPS Enabled Control de sesiones con geolocalización activa Validación de ubicación geográfica Sim Swap Casos de intercambio fraudulento de tarjetas SIM Prevención de ataques de SIM swapping Malware Fraud Dispositivos infectados con software malicioso Detección de firmas de malware y comportamiento anómalo Is New Device Dispositivos no reconocidos en el perfil del usuario Control de acceso desde dispositivos nuevos Is Owner Device Verificación de propiedad legítima del dispositivo Validación de autenticidad del propietario Casos de Uso Principales: Prevención Automatizada : Bloqueo inmediato de amenazas conocidas sin intervención manual Gestión de Riesgos : Creación de políticas personalizadas de prevención según el perfil de riesgo Inteligencia de Amenazas : Mantenimiento de bases de datos actualizadas de vectores de ataque Cumplimiento Regulatorio : Documentación de medidas preventivas para auditorías Fraud Cases Fraud Cases es el centro de comando para la gestión activa de casos de fraude, proporcionando herramientas completas para el seguimiento, investigación y resolución de incidentes de seguridad en tiempo real, este módulo implementa un sistema de gestión de casos (Case Management System) especializado en fraude, que permite la coordinación eficiente entre equipos de análisis, la priorización inteligente de casos y el seguimiento completo del ciclo de vida de cada incidente desde su detección hasta su resolución. Dashboard de Alertas: Métricas en Tiempo Real (24h): Total Alerts : Volumen total de alertas generadas Assigned to Me : Casos asignados al analista actual Pending Alerts : Casos pendientes de revisión New Alerts : Nuevas detecciones no procesadas Confirmed Fraud : Casos confirmados como fraudulentos Estados de Clasificación: Estado Descripción Acción Requerida Confirmed Genuine Actividad confirmada como legítima Cierre de caso - Sin acción New No Answer Casos nuevos sin respuesta del usuario Investigación adicional requerida Reviewed Casos revisados pendientes de decisión final Escalamiento o cierre Suspected Fraud Alta probabilidad de actividad fraudulenta Investigación profunda Sistema de Tracking Completo: CSID : Identificador único de sesión de cliente UID : Identificador único de usuario Brand : Marca o entidad asociada al caso Session Time : Duración y timing de la sesión sospechosa Actions : Registro de acciones tomadas Priority : Nivel de prioridad asignado Status : Estado actual del caso Filtros y Herramientas de Análisis: Filtros Dinámicos : New, Reason, User Group, Brand Búsqueda Avanzada : Por UID, dispositivo, ubicación Análisis Temporal : Created On, Last Update, Last Call Time Clasificación Detallada : Decision, Assigned To, Fraud Type, Report Type Aplicaciones Operacionales: Investigación Forense : Análisis detallado de patrones de comportamiento sospechoso Gestión de Workload : Distribución eficiente de casos entre analistas Escalamiento Automático : Priorización basada en nivel de riesgo Reporting Ejecutivo : Generación de reportes para management Coordinación de Respuesta : Sincronización de acciones entre departamentos Fraud History Fraud History mantiene un repositorio histórico completo y analítico de todos los casos de fraude procesados por el sistema, proporcionando capacidades avanzadas de análisis retrospectivo, identificación de tendencias y generación de inteligencia operacional. este módulo implementa un sistema de Business Intelligence especializado en seguridad, que transforma los datos históricos de fraude en insights accionables para la toma de decisiones estratégicas y la optimización continua de los sistemas de prevención. Ventanas Temporales de Análisis: Métricas Comparativas: Past 24 Hours : Análisis de actividad reciente y detección de patrones emergentes Past 7 Days : Tendencias semanales y variaciones operacionales Past 30 Days : Análisis mensual para planificación estratégica Categorización Estadística: Métrica Definición Valor Estratégico Total Cases Volumen total de casos procesados Indicador de carga operacional Confirmed Fraud Casos definitivamente fraudulentos Tasa de efectividad de detección Confirmed Genuine Casos confirmados como legítimos Medición de falsos positivos Suspected Fraud Casos en investigación Pipeline de casos pendientes No Answer Casos sin respuesta del usuario Métrica de engagement New Casos nuevos en el período Tendencia de nuevas amenazas Percent New Sessions Porcentaje de sesiones nuevas Indicador de crecimiento Percent Approve Tasa de aprobación Eficiencia del sistema Aplicaciones Analíticas: Trend Analysis : Identificación de patrones temporales y estacionales Performance Metrics : Evaluación de efectividad de medidas preventivas Predictive Analytics : Modelado de tendencias futuras basado en datos históricos Compliance Reporting : Generación automatizada de reportes regulatorios Risk Assessment : Evaluación continua del landscape de amenazas ROI Analysis : Medición del retorno de inversión en medidas de seguridad Graph Graph proporciona capacidades avanzadas de visualización y análisis relacional, transformando datos complejos de fraude en representaciones gráficas interactivas que revelan conexiones ocultas, patrones de comportamiento y estructuras de fraude organizadas, este módulo implementa tecnologías de análisis de grafos y network analysis para crear representaciones visuales multidimensionales de las relaciones entre entidades (usuarios, dispositivos, ubicaciones, redes). Utiliza algoritmos de clustering y detección de comunidades para identificar grupos de fraude coordinados y patrones de comportamiento anómalo. Sistema de Visualización: Node Legend (Leyenda de Nodos): 🔴 Confirmed Fraud : Entidades confirmadas como fraudulentas 🟠 Suspected Fraud : Entidades bajo sospecha de fraude 🟢 Confirmed Genuine : Entidades verificadas como legítimas ⚪ Pending Review : Entidades pendientes de clasificación Tipos de Conexiones Relacionales: Tipo de Relación Descripción Aplicación User-Device Vínculos entre usuarios y dispositivos Detección de device sharing anómalo Device-Network Conexiones entre dispositivos y redes Wi-Fi Análisis de ubicación y contexto User-Location Relaciones geográficas de usuarios Detección de imposibilidad geográfica Behavioral Patterns Similitudes en patrones de comportamiento Identificación de automatización Network Infrastructure Conexiones de infraestructura de red Análisis de ISP y routing Algoritmos de Análisis: Algoritmo Descripción Aplicación Específica Cluster Detection Identificación automática de grupos relacionados Agrupa entidades con comportamientos similares o conexiones frecuentes Community Analysis Detección de comunidades de fraude organizadas Identifica redes estructuradas de fraude con múltiples participantes Centrality Measures Identificación de nodos críticos en redes de fraude Encuentra elementos centrales que coordinan actividades fraudulentas Anomaly Detection Detección de conexiones anómalas o sospechosas Identifica relaciones inusuales que no siguen patrones normales Temporal Analysis Evolución de conexiones a lo largo del tiempo Analiza cómo se desarrollan y cambian las relaciones fraudulentas Casos de Uso Especializados: Tipo de Análisis Caso de Uso Descripción Técnica Indicadores de Fraude Detección de Fraude Familiar Múltiples usuarios - Mismo dispositivo Análisis de patrones de uso compartido legítimo vs. fraudulento Cambios drásticos en biometría comportamental, horarios de uso inconsistentes Análisis de Ubicación Geográfica Usuarios diferentes - Misma red Wi-Fi Detección de call centers fraudulentos o farm operations Alta concentración de usuarios sospechosos en misma ubicación física Patrones de Dispositivos Mismo comportamiento - Dispositivos diferentes Identificación de automatización y bot networks Biometría comportamental idéntica en múltiples dispositivos Análisis de ISP y Infraestructura Múltiples cuentas - Mismo proveedor Detección de infraestructura compartida para operaciones fraudulentas Clustering de actividad sospechosa por proveedor de internet Herramientas Interactivas: Herramienta Funcionalidad Beneficio Operacional Filtros Temporales Análisis por períodos específicos Permite análisis histórico y identificación de patrones estacionales Control de Visualización Ajuste de profundidad y densidad del grafo Optimiza la visualización según complejidad de la red analizada Node Interaction Exploración detallada mediante clicks en nodos Facilita la investigación forense de entidades específicas Export Capabilities Generación de reportes visuales para presentaciones Permite documentación y comunicación efectiva de hallazgos   Interpretación Session Resumen El Módulo de Resumen es el apartado principal que presenta una evaluación completa y consolidada de todos los riesgos asociados a una sesión específica. Proporciona una vista integral que combina múltiples análisis para determinar la autenticidad y nivel de riesgo de la interacción del usuario. DEVICE RISKS Qué significa: Evalúa todos los riesgos relacionados con el dispositivo físico utilizado para acceder a la plataforma. Valor mostrado: 731/781 Fraud 731: Score de riesgo del dispositivo en escala 0-1000 781: Número total de casos de fraude detectados previamente con características de dispositivo similares Parámetros que analiza: Modelo, marca y especificaciones del dispositivo Sistema operativo y versión Configuraciones de seguridad del dispositivo Identificadores únicos (IMEI, MAC address, etc.) Historial de actividad fraudulenta del dispositivo Configuraciones sospechosas o modificaciones Presencia de software malicioso o herramientas de hacking Edad del dispositivo en la plataforma Cómo contribuye al Integrated Score: Aporta aproximadamente 25-30% del peso total al score final. Un dispositivo con alto riesgo puede elevar significativamente el score integrado. LOCATION RISKS Qué significa: Analiza todos los aspectos relacionados con la ubicación geográfica y contexto de red desde donde se realiza el acceso. Valor mostrado: 524/781 Fraud 524: Score de riesgo geográfico en escala 0-1000 781: Casos de fraude asociados a patrones de ubicación similares Parámetros que analiza: Coordenadas GPS versus geolocalización por IP Zona horaria configurada versus zona horaria real Proveedor de servicio de Internet (ISP) Tipo de red (celular, WiFi, VPN) Velocidad de desplazamiento imposible entre sesiones Ubicaciones inusuales para el usuario Países o regiones de alto riesgo Consistencia entre ubicación declarada y técnica Historial de ubicaciones del usuario Cómo contribuye al Integrated Score: Representa aproximadamente 20-25% del peso en el cálculo final. Ubicaciones anómalas o de alto riesgo incrementan el score integrado. BEHAVIOURAL RISKS Qué significa: Mide los patrones de comportamiento del usuario durante la interacción con la plataforma para detectar anomalías. Valor mostrado: 982/781 Data collection phase 982: Score de riesgo comportamental en escala 0-1000 781: Indica que está en fase de recolección de datos comportamentales Parámetros que analiza: Velocidad y ritmo de escritura (keystroke dynamics) Patrones de movimiento del mouse o gestos táctiles Presión aplicada en pantallas táctiles Tamaño del área de contacto del dedo Tiempo entre acciones y clicks Patrones de navegación únicos del usuario Secuencia de interacciones con la interfaz Movimientos del dispositivo durante el uso (acelerómetro) Comparación con perfil comportamental histórico del usuario Cómo contribuye al Integrated Score: Aporta aproximadamente 20-25% del peso total. Comportamientos que no coinciden con el perfil del usuario legítimo aumentan el score de riesgo. INTEGRATED SCORE Qué significa: Es el score final consolidado que combina todos los análisis anteriores mediante algoritmos de inteligencia artificial para proporcionar una evaluación unificada del riesgo. Valor mostrado: 781/781 781: Score simplificado en escala 0-1000 781: Score detallado en escala extendida 0-1000 Cómo se calcula el Integrated Score: Componentes principales (75-80% del peso): Device Risks: 25-30% Location Risks: 20-25% Behavioural Risks: 20-25% Componentes adicionales (20-25% del peso): Modelos de detección de malware: 5-8% Detección de bots: 5-8% Análisis de riesgo por actividad: 5-7% Análisis relacional y conexiones: 5-7% Proceso de cálculo: Cada componente genera su score individual La IA aplica pesos dinámicos según el contexto Se ejecutan modelos adicionales especializados Se realiza análisis relacional con otras sesiones Se aplica el modelo de machine learning final Se genera el score integrado unificado Escalas de interpretación: Cálculo del score de riesgo INFORMACIÓN DE SESIÓN COMPLEMENTARIA Ejemplo contexto operacional: Tipo de operación: AUTH,LOGIN,LOGIN_PASSWORD UserID: UNPROTECTED_3CE8800337 Session ID: 1751297457 Device age: 0 (dispositivo completamente nuevo) Users on this device: 0 (primer usuario en este dispositivo) Características técnicas: Device type: iOS-Device Browser: Interbank%20UAT (altamente sospechoso) Timezone: America/Lima Platform: iOS 0 Brand: SMP Device First appearance: 2025-06-30,15:30:57 TABLA DE INDICADORES DETALLADOS Estructura y significado de cada columna: NAME: Nombre del indicador específico analizado  VALUE: Valor detectado para ese indicador AGE: Número de días desde la primera aparición de este valor COUNTER: Cantidad de veces que se ha observado este valor RELATIVE PREVALENCE: Porcentaje de frecuencia en la población total INDICATION STRENGTH: Fuerza del indicador de riesgo (0-1000) Interpretación de colores: Verde: Indicadores normales con baja indication strength Amarillo/Naranja: Indicadores moderadamente sospechosos Rojo: Indicadores altamente sospechosos con alta indication strength Ejemplo del caso mostrado: ua_browser_family: "Interbank%20UAT" VALUE: Interbank%20UAT AGE: 214 días desde primera detección COUNTER: 1 (solo visto una vez) RELATIVE PREVALENCE: 0.0% (nunca visto en población normal) INDICATION STRENGTH: 1000 (máximo nivel de sospecha) Este indicador muestra un navegador altamente sospechoso que imita la aplicación bancaria oficial pero con características técnicas anómalas. Riesgos El apartado de Riesgos es un módulo de validación y verificación que ejecuta múltiples controles de seguridad en tiempo real durante una sesión. Su función principal es validar la autenticidad de tres componentes críticos: Device Risks : Validar que el dispositivo es legítimo y seguro Location Risks : Verificar que la ubicación es coherente y permitida Behavioural Risks : Confirmar que el comportamiento corresponde al usuario real Estados de Validación Estado Color Significado Interpretación VERDE Verde Validación Exitosa El parámetro fue verificado correctamente. Los controles de seguridad pasaron satisfactoriamente. El elemento cumple con los criterios de seguridad establecidos ROJO Rojo Validación Fallida El parámetro no pudo ser validado positivamente. Los controles de seguridad detectaron problemas. El elemento presenta características que generan alertas de seguridad AMARILLO Amarillo Validación Indeterminada El parámetro no se pudo validar completamente. Los controles no pudieron obtener información suficiente. El estado del elemento es incierto o ambiguo DEVICE RISKS - RIESGOS DEL DISPOSITIVO Parámetros de Alto Riesgo (ROJO) Parámetro Descripción Interpretación Nivel de Riesgo Unknown device El dispositivo no existe en la base de datos de dispositivos conocidos Es la primera vez que este dispositivo accede a la plataforma Dispositivos nuevos pueden ser utilizados específicamente para fraude Suspicious device characteristics Las características técnicas del dispositivo presentan anomalías Hardware, software o configuraciones que no son típicas o han sido modificadas Dispositivo alterado para evadir controles de seguridad Emulator Se detectó que se está usando un emulador de dispositivo móvil Software que simula un teléfono/tablet en una computadora Herramienta común para automatizar fraudes masivos VPN Se detectó una conexión VPN activa El usuario está ocultando su ubicación real mediante una red privada virtual Evasión de controles geográficos y ocultamiento de identidad Parámetros de Riesgo Indeterminado (MORADO) Parámetro Descripción Razón del Estado Morado Interpretación VPN installed? Hay indicios de software VPN instalado pero no confirmación total El sistema detecta patrones de VPN pero no puede acceder completamente a la lista de aplicaciones Posible capacidad de ocultar ubicación Compromised Device El dispositivo muestra algunos signos de haber sido comprometido Algunos indicadores sugieren compromiso pero el análisis no es concluyente Posible infección de malware o acceso no autorizado Parámetros Validados - Bajo Riesgo (VERDE) Parámetro Descripción Estado Actual Interpretación Active malware (42) Sistema de detección de malware funcionando, 42 indica nivel de análisis completado No se detectó software malicioso activo Dispositivo limpio Device properties consistency for identity Las propiedades del dispositivo coinciden con el perfil del usuario El dispositivo es consistente con el historial del usuario legítimo Validación positiva de autenticidad Bot Análisis para detectar comportamiento automatizado o scripts No se detectó actividad de bots Interacción humana confirmada Identities accessed by this device Registro de cuántas identidades diferentes han usado este dispositivo Patrón normal de uso del dispositivo Sin uso sospechoso por múltiples identidades Device is in blocklist Verificación contra listas negras de dispositivos conocidos como maliciosos El dispositivo no está reportado como peligroso No está en listas de bloqueo Remote Access Detección de software de acceso remoto activo No se detectaron herramientas de control remoto Usuario en control directo del dispositivo Rooted Device Verificación si el dispositivo tiene permisos de root/jailbreak Sistema operativo sin modificaciones peligrosas Dispositivo con seguridad íntegra LOCATION RISKS - RIESGOS DE UBICACIÓN Parámetros de Alto Riesgo (ROJO) Parámetro Descripción Interpretación Nivel de Riesgo Unknown location for identity La ubicación actual no coincide con ninguna ubicación conocida del usuario Usuario accediendo desde un lugar completamente nuevo Posible acceso no autorizado desde ubicación comprometida Suspicious location attributes La ubicación geográfica tiene características asociadas con fraude Área conocida por actividades fraudulentas o bloqueada Zona de alto riesgo para transacciones GPS enabled? El GPS del dispositivo está deshabilitado No se puede verificar la ubicación real del dispositivo Imposibilidad de validar ubicación precisa New IP country? La dirección IP pertenece a un país diferente al habitual del usuario Acceso desde país no característico del usuario Posible uso de VPN o acceso comprometido Parámetros de Riesgo Indeterminado (MORADO) Parámetro Descripción Razón del Estado Morado Interpretación GPS location mismatch La ubicación GPS no coincide con la ubicación determinada por IP Ambas fuentes proporcionan ubicaciones diferentes pero válidas Discrepancia que requiere análisis adicional Parámetros Validados - Bajo Riesgo (VERDE) Parámetro Descripción Estado Actual Interpretación Location change velocity La velocidad de cambio entre ubicaciones es físicamente posible El desplazamiento es coherente con medios de transporte reales Patrón normal de movilidad Location is in blocklist Verificación contra listas de ubicaciones prohibidas La ubicación no está en zonas bloqueadas Ubicación permitida para transacciones BEHAVIOURAL RISKS - RIESGOS COMPORTAMENTALES Parámetros Validados - Bajo Riesgo (VERDE) Parámetro Descripción Estado Actual Interpretación Risky keyboard event Análisis de patrones de escritura, velocidad y ritmo de tecleo Los patrones de teclado coinciden con la biometría del usuario legítimo Comportamiento de escritura normal y auténtico Risky mouse event Evaluación de movimientos, clicks y patrones del mouse Los movimientos del mouse son característicos del usuario real Interacción natural sin automatización Use of autocomplete Detección del uso normal de funciones de autocompletado Uso típico de herramientas del navegador Comportamiento humano normal Parámetros Informativos Parámetro Estado Descripción Razón Form navigation N/A Datos sobre navegación en formularios no disponibles Este análisis no aplica para el tipo de sesión actual Interpretación de Resultados Matriz de Decisión por Combinación de Estados Combinación de Colores Nivel de Riesgo Descripción Acción Sugerida Todo Verde BAJO Todos los parámetros pasaron las validaciones Proceder con confianza total Verde + Morado MEDIO-BAJO Mayoría de validaciones exitosas con algunas indeterminadas Proceder con monitoreo adicional Verde + 1-2 Rojos MEDIO Validaciones mixtas con algunos problemas detectados Requiere intervención manual o bloqueo automático Múltiples Morados MEDIO-ALTO Múltiples validaciones incompletas Análisis manual recomendado Múltiples Rojos ALTO Múltiples problemas de seguridad detectados Bloqueo inmediato, investigación Todo Rojo CRÍTICO Fallas generalizadas en validaciones Bloqueo total, escalación inmediata Algoritmo de Puntuación Color del Parámetro Valor Numérico Peso en Cálculo Verde +10 puntos Positivo Morado 0 puntos Neutro Rojo -15 puntos Negativo Distribución de Peso por Categoría Categoría Peso en Score Total Justificación Device Risks 40% Fundamental para validar legitimidad del acceso Location Risks 35% Crítico para detectar accesos geográficamente anómalos Behavioural Risks 25% Importante para distinguir humanos de automatización Reconstrucción de video El módulo de Reconstrucción de Video es un sistema avanzado de análisis forense que permite recrear y analizar paso a paso las acciones realizadas por un usuario durante una sesión. Este sistema captura, almacena y reproduce de manera secuencial todas las interacciones del usuario con la aplicación, proporcionando una herramienta invaluable para análisis de seguridad, debugging, investigación de fraude y validación de procesos. Objetivos Principales Objetivo Descripción Beneficio Análisis Forense Reconstruir sesiones sospechosas para investigación Identificación de patrones fraudulentos Debugging Avanzado Reproducir errores exactos en el flujo de usuario Resolución rápida de problemas técnicos Validación de Seguridad Verificar cumplimiento de protocolos de seguridad Detección de vulnerabilidades Análisis de UX Estudiar comportamiento real del usuario Optimización de experiencia de usuario Compliance Documentar procesos para auditorías Cumplimiento regulatorio Arquitectura del Sistema Componentes Principales Componente Función Tecnología Video Player Reproduce la sesión de manera visual Renderizado en tiempo real Input Table Tabla detallada de eventos capturados Base de datos de eventos Timeline Controller Control de navegación temporal Interfaz de usuario interactiva Event Tracker Sistema de captura de eventos SDK de monitoreo Video Player - Reproductor de Sesión El Video Player es la interfaz visual principal que muestra la reconstrucción exacta de la sesión del usuario en un dispositivo simulado. Permite visualizar cómo el usuario interactuó con la aplicación, incluyendo toques, deslizamientos, entrada de texto y navegación entre pantallas. Características del Reproductor Característica Descripción Funcionalidad Simulación de Dispositivo Replica el dispositivo exacto usado por el usuario iPhone, Android, tablet según el caso Renderizado de Pantallas Muestra las pantallas exactas vistas por el usuario Interfaz idéntica a la sesión original Indicadores Visuales Muestra puntos de interacción y gestos Toques, deslizamientos, entrada de texto Sincronización Temporal Reproduce eventos en tiempo real o modificado Control de velocidad de reproducción Controles de Reproducción Control Función Opciones Disponibles Timer Muestra tiempo transcurrido de sesión Formato MM:SS.MS Speed Controla velocidad de reproducción X0.5, X1, X2, X4, X8 Play/Pause Control de reproducción Botones estándar Timeline Navegación temporal directa Barra de progreso interactiva Input Table - Tabla de Eventos Detallada La Input Table es una tabla comprehensiva que registra cada evento de interacción capturado durante la sesión del usuario. Proporciona una vista granular y técnica de todas las acciones realizadas, con timestamps precisos y metadata asociada. Columna Descripción Tipo de Dato Ejemplo INPUT TYPE Tipo de entrada o acción realizada Numérico/Categórico 1, 8, 12 ACTIVITY START TIME Fecha y hora exacta del evento DateTime 30/8/2025, 10:31:15 ACTIVITY START HOUR Hora específica en formato HH:MM:SS Time 15:31:15 DURATION (S) Duración del evento en segundos Decimal 2.253, 0.5, 0.514 INTERACTIONS Número de interacciones en el evento Entero 2, 10, 11, 21 FINAL VALUE Valor final ingresado o resultado String Asteriscos (datos sensibles), ABC LENGTH Longitud del valor ingresado Entero 0, 9, 10, 23 VALUE TYPE Tipo de dato del valor String ABC, mixed TIME DIFFS Diferencias de tiempo entre eventos String Asteriscos (metadata) TIME DIFFS CHART Gráfico visual de diferencias temporales Gráfico Barras y líneas temporales TIME SINCE LAST ACTIVITY Tiempo desde la actividad anterior Decimal 18.33, 2.579, 1.348 TIME SINCE SESSION START Tiempo desde inicio de sesión Decimal 18.33, 23.16, 25.01 Tipos de INPUT TYPE Código Tipo de Evento Descripción Ejemplo de Uso 1 Entrada de Texto Ingreso de datos en campos de formulario Escribir usuario, contraseña 8 Navegación/Click Clicks en botones o elementos de navegación Botón "Siguiente", "Confirmar" 12 Evento de Sistema Eventos automáticos o del sistema Validaciones, carga de página Interpretación de VALUE TYPE Tipo Descripción Seguridad Interpretación ABC Texto alfabético Datos no sensibles Nombres, texto general mixed Texto alfanumérico Potencialmente sensible Usuarios, códigos, referencias Asteriscos ( * ) Datos enmascarados Altamente sensible Contraseñas, números de cuenta Timeline de Eventos - Panel Lateral El panel lateral muestra una línea de tiempo cronológica de todos los eventos de la sesión, organizada secuencialmente con timestamps precisos y códigos de evento específicos. Eventos del Timeline Timestamp Código de Evento Descripción Categoría 10:30:56 INIT_SDK_CBID Inicialización del SDK Sistema 10:31:08 SMP_AUTH Proceso de autenticación Autenticación 10:31:28 SET_CBID Configuración de identificador Sistema 10:31:28 SMP_LOGIN Inicio de sesión Autenticación 10:31:28 SMP_LOGIN.PASSW Ingreso de contraseña Autenticación 10:31:28 SET_LID Configuración de identificador local Sistema 10:32:01 Operaciones Acceso a módulo de operaciones Navegación 10:32:02 Transferencias Acceso a transferencias Transaccional 10:32:03 Operaciones.Tra Operación de transferencia Transaccional 10:32:04 Operaciones.Tra Continuación de transferencia Transaccional 10:32:10 Operaciones.Tra Finalización de transferencia Transaccional Categorización de Eventos Categoría Color Indicador Descripción Ejemplos Sistema Verde Eventos automáticos del sistema INIT_SDK, SET_CBID, SET_LID Autenticación Verde Procesos de login y verificación SMP_AUTH, SMP_LOGIN Navegación Verde Movimiento entre secciones Operaciones, Transferencias Transaccional Verde Operaciones financieras o críticas Operaciones.Tra Funcionalidades del Sistema Capacidades de Análisis Funcionalidad Descripción Aplicación Reproducción Exacta Recrea la sesión tal como ocurrió originalmente Análisis forense, debugging Análisis Temporal Estudia patrones de tiempo entre acciones Detección de automatización Correlación de Eventos Relaciona eventos de different fuentes Investigación de seguridad Exportación de Datos Genera reportes y evidencia Auditorías, compliance Casos de Uso Principales Caso de Uso Descripción Beneficio Investigación de Fraude Analizar sesiones sospechosas paso a paso Identificación de patrones maliciosos Análisis de Errores Reproducir bugs reportados por usuarios Resolución rápida de problemas Auditoría de Seguridad Verificar cumplimiento de protocolos Validación de controles Optimización de UX Estudiar comportamiento real del usuario Mejora de experiencia Training y Capacitación Mostrar ejemplos reales de uso Educación del equipo Métricas y Análisis Disponibles Métrica Descripción Valor para Análisis Tiempo de Sesión Total Duración completa de la sesión Identificar sesiones anormalmente largas/cortas Velocidad de Interacción Tiempo entre acciones consecutivas Detectar automatización o comportamiento humano Patrones de Navegación Secuencia de pantallas visitadas Identificar flujos anómalos Frecuencia de Errores Número de intentos fallidos o correcciones Evaluar dificultad de UX o comportamiento sospechoso Interpretación de Datos Análisis de Patrones Temporales Patrón Indicador Interpretación Acción Recomendada Intervalos Regulares Tiempos exactamente consistentes entre acciones Posible automatización Investigar origen de la sesión Intervalos Variables Variación natural en tiempos de respuesta Comportamiento humano normal Proceder normalmente Intervalos Extremos Pausas muy largas o acciones muy rápidas Comportamiento anómalo Análisis manual detallado Validación de Autenticidad Factor Indicador Positivo Indicador Negativo Interpretación Patrones de Tecleo Variabilidad natural, errores ocasionales Velocidad perfecta, sin errores Humano vs Bot Navegación Exploratory, ocasionales retrocesos Directa sin hesitación Usuario real vs automatizado Tiempo de Respuesta Variable según complejidad Constante independiente de tarea Comportamiento auténtico Detección de Anomalías Anomalía Descripción Nivel de Riesgo Acción Velocidad Sobrehumana Acciones más rápidas que capacidad humana Alto Bloqueo inmediato Patrones Repetitivos Secuencias idénticas múltiples veces Medio-Alto Investigación Navegación Atípica Acceso a funciones en orden no intuitivo Medio Monitoreo adicional Inconsistencia Temporal Cambios abruptos en patrones de tiempo Medio Análisis contextual Beneficios del Sistema Para Equipos de Seguridad Beneficio Descripción Impacto Evidencia Forense Documentación completa de actividad sospechosa Legal y compliance Detección de Patrones Identificación de nuevas técnicas de fraude Prevención proactiva Validación de Controles Verificación de efectividad de medidas de seguridad Mejora continua Para Equipos de Desarrollo Beneficio Descripción Impacto Debugging Preciso Reproducción exacta de errores reportados Resolución rápida de bugs Análisis de UX Comprensión real del comportamiento del usuario Optimización de interfaces Testing en Producción Validación de funcionalidades en ambiente real Calidad mejorada Para Compliance y Auditoría Beneficio Descripción Impacto Trazabilidad Completa Registro detallado de todas las transacciones Cumplimiento regulatorio Evidencia Auditable Documentación que cumple estándares legales Protección legal Reportes Automáticos Generación de informes para auditores Eficiencia operativa Análisis de enlaces El módulo de Link Analysis es un sistema avanzado de análisis de relaciones y conexiones que identifica vínculos entre usuarios, dispositivos, sesiones y patrones de comportamiento. Su función principal es detectar redes de actividad relacionada, identificar cuentas múltiples operadas por la misma entidad, y descubrir patrones de fraude coordinado mediante el análisis de conexiones y similitudes comportamentales. Objetivos Principales Objetivo Descripción Aplicación Detección de Redes de Fraude Identificar grupos de cuentas operadas por la misma entidad Prevención de fraude masivo Análisis de Dispositivos Compartidos Detectar múltiples identidades usando el mismo dispositivo Control de identidad única Identificación de Patrones Similares Encontrar sesiones con comportamiento idéntico o muy similar Detección de automatización Mapeo de Conexiones Visualizar relaciones entre usuarios, dispositivos y sesiones Investigación forense Análisis de Familias de Dispositivos Identificar dispositivos conocidos y sus relaciones Control de dispositivos autorizados Arquitectura del Sistema Componentes Principales Componente Función Descripción Graph View Visualización gráfica de conexiones Muestra relaciones entre usuarios y dispositivos Sessions with Similar Behaviour Tabla de sesiones relacionadas Lista detallada de actividad vinculada Link Detection Engine Motor de detección de vínculos Algoritmos de correlación y análisis Relationship Mapping Mapeo de relaciones Sistema de identificación de patrones Graph View - Vista Gráfica de Conexiones La vista gráfica proporciona una representación visual de las conexiones identificadas entre el usuario actual, sus dispositivos y otros elementos relacionados. Utiliza algoritmos de grafos para mostrar relaciones complejas de manera intuitiva. Elementos del Grafo Elemento Representación Visual Descripción Información Mostrada Current User Icono de persona (amarillo) Usuario actual bajo análisis Punto central del análisis Current Device Teléfono azul Dispositivo utilizado en la sesión actual Número de sesiones activas Related Device Teléfono negro Dispositivos adicionales vinculados al usuario Identificador y conteo de sesiones Connections Líneas conectoras Relaciones identificadas entre elementos Tipo y fuerza de la conexión Interpretación de Conexiones Tipo de Conexión Descripción Nivel de Riesgo Interpretación Usuario-Dispositivo Único Un usuario conectado a un solo dispositivo Bajo Patrón normal de uso Usuario-Múltiples Dispositivos Un usuario conectado a varios dispositivos Medio Posible uso legítimo múltiple o cuenta compartida Múltiples Usuarios-Un Dispositivo Varios usuarios usando el mismo dispositivo Alto Posible fraude o uso no autorizado Red Compleja Múltiples conexiones entrecruzadas Muy Alto Red sospechosa de actividad coordinada Métricas del Grafo Métrica Descripción Ejemplo en Imagen Interpretación Device ID Identificador único del dispositivo 7e43 Código de identificación del dispositivo relacionado Session Count Número de sesiones por dispositivo (1 sessions) Cantidad de sesiones registradas en cada dispositivo Connection Type Tipo de relación identificada Línea directa Relación directa entre usuario y dispositivo Sessions with Similar Behaviour - Sesiones con Comportamiento Similar Esta tabla presenta una lista detallada de todas las sesiones que han sido identificadas como relacionadas o similares a la sesión actual, basándose en algoritmos de análisis comportamental y detección de patrones. Estructura de Datos de la Tabla Columna Descripción Tipo de Dato Función COUNTRY País de origen de la sesión Bandera/Código país Identificación geográfica DATE Fecha y hora de la sesión DateTime Timestamp de la actividad SCORE Puntuación de similitud/riesgo Numérico Medida de similitud comportamental USER Identificador del usuario String ID de usuario (enmascarado) REASON Razón de la vinculación String Criterio de similitud detectado KNOWN FAMILY Dispositivo de familia conocida Boolean (X/✓) Indica si el dispositivo es reconocido CSID Identificador de sesión específico String alfanumérico ID único de la sesión DURATION Duración de la sesión Numérico (segundos) Tiempo total de la sesión BRAND Marca/Plataforma utilizada String Identificación de la plataforma CHANNEL Canal de acceso String Método de acceso utilizado ISP Proveedor de servicios de internet String Compañía de internet utilizada KNOWN DEVICE Dispositivo conocido Boolean (X/✓) Indica si el dispositivo está registrado IP Dirección IP (parcial) String numérico Identificación de red (enmascarada) UNKNOWN DEVICE Estado de dispositivo desconocido Boolean (X/✓) Marca dispositivos no registrados IP AGE Edad de la dirección IP en días Numérico Tiempo desde primer registro de la IP IP COUNTRY AGE Edad de IP en el país específico Numérico Tiempo de asociación IP-país USERS IN MUD LV Usuarios en nivel MUD Numérico Contador de usuarios en mismo nivel de riesgo DEVICE AGE Edad del dispositivo en días Numérico Tiempo desde primer registro del dispositivo USER AGE Edad del usuario en días Numérico Tiempo desde creación de la cuenta CONTEXT Contexto de navegación de la sesión String Secuencia de páginas/acciones realizadas Análisis de Datos de la Tabla Información de País y Ubicación País Detectado Bandera Interpretación Nivel de Atención México 🇲🇽 Todas las sesiones desde México Concentración geográfica sospechosa Consistencia de Ubicación Misma bandera Actividad coordinada desde misma región Posible red de fraude local Análisis de Puntuaciones (SCORE) Rango de Score Ejemplo Interpretación Acción Recomendada 700-800 789, 770, 795, 772 Similitud muy alta en comportamiento Investigación inmediata 500-600 569 Similitud moderada-alta Monitoreo intensivo 100-200 123 Similitud baja-moderada Monitoreo estándar 0-50 20 Similitud mínima detectada Revisión periódica Análisis de Usuarios Patrón de Usuario Ejemplo Descripción Implicación UNPROTECTED_3C00190012 Usuario tipo 1 Cuenta sin protecciones adicionales Mayor vulnerabilidad UNPROTECTED_100190011 Usuario tipo 2 Diferentes variantes de cuentas desprotegidas Patrón de cuentas similares UNPROTECTED_175534809 Usuario tipo 3 Numeración secuencial o generada Posibles cuentas automatizadas Razón de Vinculación Razón Descripción Algoritmo Utilizado Nivel de Confianza behaviour Comportamiento similar detectado Análisis de patrones de interacción Alto device Mismo dispositivo utilizado Fingerprinting de hardware Muy Alto network Misma red o ISP Análisis de infraestructura Medio temporal Patrones temporales similares Análisis de timing Medio-Alto Estado de Dispositivos y Familias Campo Valor Significado Implicación de Seguridad KNOWN FAMILY X (No) Dispositivo no pertenece a familia conocida Mayor riesgo de dispositivo nuevo/sospechoso KNOWN DEVICE X (No) Dispositivo no registrado previamente Dispositivo potencialmente malicioso Combinación XX Ambos negativos Dispositivo completamente desconocido Riesgo muy alto Análisis de Infraestructura Técnica Campo Técnico Valor Detectado Interpretación Nivel de Riesgo BRAND SMP Todas las sesiones usan la misma plataforma Consistencia sospechosa CHANNEL Emulator (IOS) Todas desde emulador de iOS Uso de herramientas de automatización ISP WI-NET TELECOM S.A.C. Mismo proveedor de internet Concentración geográfica/infraestructura IP Range 38.2.x.x Mismo rango de direcciones IP Red coordinada Análisis de Dispositivos y Edades Campo Valor Observado Descripción Interpretación de Riesgo UNKNOWN DEVICE X (Todos marcados) Todos los dispositivos son desconocidos Muy Alto - Dispositivos nuevos o temporales IP 38.25.16.17 Misma dirección IP para todas las sesiones Crítico - Concentración de actividad IP AGE 290 días (mayoría), 0 días IP conocida por 290 días, nueva actividad Medio - IP establecida con nuevo uso IP COUNTRY AGE 290-326 días IP asociada al país por varios meses Bajo - Asociación geográfica estable USERS IN MUD LV 0 (Todos) Sin usuarios en mismo nivel MUD Información - Nivel de riesgo único DEVICE AGE 0 días (Todos) Todos los dispositivos son completamente nuevos Crítico - Dispositivos creados específicamente USER AGE 290-326 días Usuarios con diferentes antigüedades Medio - Cuentas no recién creadas Análisis de Contexto de Navegación Patrón de Contexto Secuencia Observada Interpretación Nivel de Automatización Flujo Completo AUTH_PAGE,LOGIN,LOGIN_PASSWORD,OPERACIONES,TRANSFERENCIAS,TRANSPAC_ORIGEN,TRANSPAC_DESTINO Proceso completo de transferencia Alto - Secuencia muy específica Flujo Parcial AUTH_PAGE,LOGIN,LOGIN_PASSWORD,OPERACIONES,SERVIC,SERVIC_BUSC,SERVIC_DATOS,SERVIC_MON Acceso a servicios específicos Alto - Navegación dirigida Flujo Simplificado AUTH_PAGE,LOGIN,LOGIN_PASSWORD Solo proceso de autenticación Medio - Acceso básico Consistencia Patrones repetitivos exactos Mismas secuencias de navegación Crítico - Comportamiento no humano Patrones de Riesgo Identificados Patrón 1: Concentración Temporal Característica Valor Observado Interpretación Fecha 30/6/2025 Todas las sesiones el mismo día Horario 17:15-17:28 Ventana temporal de 13 minutos Frecuencia 7 sesiones Alta concentración de actividad Patrón 2: Uniformidad Técnica Aspecto Consistencia Nivel de Sospecha Plataforma 100% SMP Extremadamente sospechoso Emulador 100% iOS Emulator Indica automatización ISP 100% mismo proveedor Red coordinada Dispositivos 100% desconocidos Dispositivos nuevos/temporales Patrón 3: Similitud Comportamental Métrica Observación Implicación Scores Altos 6 de 7 sesiones >500 Comportamiento muy similar Duración Variable 0-86 segundos Diferentes tipos de actividad Razón Común Todas por "behaviour" Algoritmo detecta patrones idénticos Patrón 4: Infraestructura Centralizada (Nuevo Análisis) Factor Valor Crítico Interpretación Nivel de Alerta IP Única 38.25.16.17 Todas las sesiones desde la misma IP CRÍTICO Dispositivos Edad 0 100% dispositivos nuevos Creados específicamente para esta actividad CRÍTICO IP Age vs Device Age IP: 290 días, Dispositivos: 0 días IP conocida pero dispositivos nuevos ALTO Contextos Repetitivos Secuencias de navegación idénticas Automatización confirmada CRÍTICO Patrón 5: Perfil de Usuario Sospechoso Característica Observación Significado Riesgo País de Origen OM (Omán) Concentración geográfica específica MEDIO User Age Variado 290-326 días Cuentas no recién creadas BAJO MUD Level Todos en 0 Mismo nivel de clasificación INFORMACIÓN Unknown Device 100% marcados Ningún dispositivo reconocido CRÍTICO Interpretación de Resultados Matriz de Riesgo por Patrones Combinación de Factores Nivel de Riesgo Interpretación Acción Recomendada Múltiples dispositivos + Scores altos + Misma infraestructura CRÍTICO Red de fraude coordinada Bloqueo inmediato de toda la red Dispositivos desconocidos + Emuladores + Concentración temporal ALTO Ataque automatizado masivo Investigación urgente Comportamiento similar + Misma ubicación + Usuarios secuenciales ALTO Fraude organizado local Escalación a equipo especializado Scores moderados + Infraestructura mixta + Timing normal MEDIO Posible actividad coordinada Monitoreo intensivo Dispositivos conocidos + Scores bajos + Patrones normales BAJO Actividad legítima relacionada Monitoreo estándar Algoritmos de Detección de Vínculos Algoritmo Descripción Factores Analizados Peso en Decisión Behavioral Similarity Compara patrones de interacción Timing, secuencias, errores 40% Device Fingerprinting Identifica características únicas del dispositivo Hardware, software, configuración 35% Network Analysis Analiza infraestructura de red IP, ISP, geolocalización 15% Temporal Correlation Busca patrones temporales Horarios, frecuencia, duración 10% Métricas de Confianza Nivel de Confianza Rango de Score Descripción Acción Automática Muy Alto 800-1000 Vínculos casi certeros Bloqueo automático Alto 600-799 Vínculos muy probables Revisión prioritaria Medio 400-599 Vínculos probables Monitoreo adicional Bajo 200-399 Vínculos posibles Seguimiento rutinario Mínimo 0-199 Vínculos débiles Solo logging Casos de Uso del Sistema Detección de Fraude Masivo Indicador Descripción Ejemplo de la Imagen Múltiples Cuentas Varias cuentas UNPROTECTED creadas 7 usuarios diferentes Misma Infraestructura Mismo ISP y tipo de dispositivo WI-NET TELECOM, Emulator iOS Comportamiento Idéntico Scores altos de similitud 789, 770, 795, 772 Concentración Temporal Actividad en ventana corta 13 minutos el 30/6/2025 Caso Crítico: Red de Fraude con IP Centralizada (Análisis de Nueva Imagen) Factor Crítico Evidencia Interpretación Nivel de Alerta IP Única 38.25.16.17 para 7 sesiones diferentes Todos los ataques desde mismo punto CRÍTICO Dispositivos Vírgenes Device Age = 0 en todos los casos Dispositivos creados específicamente CRÍTICO Usuarios Comprometidos User Age 290+ días pero dispositivos nuevos Cuentas legítimas posiblemente comprometidas ALTO Automatización Confirmada Contextos de navegación idénticos Bots siguiendo scripts predefinidos CRÍTICO Objetivos Específicos Rutas directas a TRANSFERENCIAS Intención clara de fraude financiero CRÍTICO Conclusión del Caso : Red de fraude altamente organizada usando cuentas comprometidas, dispositivos desechables y automatización desde infraestructura centralizada para realizar transferencias bancarias fraudulentas. Acción Inmediata Requerida : Bloqueo inmediato de IP 38.25.16.17 Suspensión de todas las cuentas identificadas Investigación forense de las transferencias realizadas Notificación a autoridades competentes Actualización de algoritmos de detección Análisis de Dispositivos Compartidos Escenario Identificación Riesgo Acción Familia Legítima Dispositivos conocidos, usuarios relacionados Bajo Permitir con monitoreo Cuenta Corporativa Múltiples empleados, mismo dispositivo Medio Validar políticas Fraude Coordinado Usuarios no relacionados, dispositivos nuevos Alto Bloquear e investigar Red Criminal (Nuevo) Misma IP, dispositivos vírgenes, usuarios antiguos CRÍTICO Respuesta de emergencia Investigación Forense Capacidad Descripción Beneficio Reconstrucción de Redes Mapea conexiones completas Identifica toda la red criminal Análisis Temporal Estudia evolución de patrones Predice futuros ataques Correlación de Evidencia Vincula evidencia dispersa Construye caso sólido Beneficios del Sistema Para Equipos de Seguridad Beneficio Descripción Impacto Detección Temprana Identifica redes antes de que causen daño Prevención proactiva Análisis Masivo Procesa miles de conexiones simultáneamente Escalabilidad Evidencia Visual Gráficos claros para presentación Comunicación efectiva Automatización Reduce trabajo manual de investigación Eficiencia operativa Para Prevención de Fraude Beneficio Descripción Impacto Detección de Patrones Identifica nuevas técnicas de fraude Adaptación rápida Análisis Predictivo Anticipa comportamientos futuros Prevención proactiva Correlación Avanzada Conecta eventos aparentemente aislados Detección sofisticada Para Compliance y Auditoría Beneficio Descripción Impacto Documentación Completa Registra todas las conexiones identificadas Cumplimiento regulatorio Trazabilidad Rastrea origen y evolución de redes Auditoría forense Reportes Automáticos Genera informes para reguladores Eficiencia de compliance Datos del mapa El mapa interactivo proporciona una representación visual en tiempo real de las ubicaciones de usuarios, utilizando Google Maps como base cartográfica. Permite identificar patrones geográficos, concentraciones de actividad y anomalías de ubicación de manera intuitiva. Elementos del Mapa Elemento Representación Visual Descripción Información Mostrada Marcador Principal Pin azul con círculo Ubicación actual del usuario bajo análisis Punto geográfico exacto Área de Concentración Círculo sombreado Zona de alta actividad detectada Radio de confianza de ubicación Marcadores Secundarios Pins adicionales de colores Ubicaciones relacionadas o históricas Contexto geográfico adicional Controles de Navegación Botones de zoom y vista Herramientas de navegación estándar Exploración detallada del mapa Información Geográfica Mostrada Dato Valor Observado Descripción Interpretación Ubicación Principal Región de Lima, Perú Punto de actividad detectado Concentración en capital peruana Precisión del Marcador Área metropolitana Nivel de precisión de geolocalización Precisión a nivel de ciudad Contexto Geográfico Zona costera del Pacífico Ubicación en geografía específica Coherencia con infraestructura de red Mapa Interactivo - Visualización Geográfica El mapa interactivo proporciona una representación visual en tiempo real de las ubicaciones de usuarios, utilizando Google Maps como base cartográfica. Permite identificar patrones geográficos, concentraciones de actividad y anomalías de ubicación de manera intuitiva. Elementos del Mapa Elemento Representación Visual Descripción Información Mostrada Marcador Principal Pin azul con círculo Ubicación actual del usuario bajo análisis Punto geográfico exacto Área de Concentración Círculo sombreado Zona de alta actividad detectada Radio de confianza de ubicación Marcadores Secundarios Pins adicionales de colores Ubicaciones relacionadas o históricas Contexto geográfico adicional Controles de Navegación Botones de zoom y vista Herramientas de navegación estándar Exploración detallada del mapa Información Geográfica Mostrada Dato Valor Observado Descripción Interpretación Ubicación Principal Región de Lima, Perú Punto de actividad detectado Concentración en capital peruana Precisión del Marcador Área metropolitana Nivel de precisión de geolocalización Precisión a nivel de ciudad Contexto Geográfico Zona costera del Pacífico Ubicación en geografía específica Coherencia con infraestructura de red Panel de Estadísticas - Distribución por Países El panel de estadísticas presenta una distribución porcentual de la actividad detectada por países, proporcionando un análisis cuantitativo de la concentración geográfica de las sesiones analizadas. Análisis de Distribución País Bandera Porcentaje Interpretación Nivel de Atención Perú 🇵🇪 100.31% Concentración extrema de actividad Alto - Concentración sospechosa           Análisis de Patrones de Distribución Patrón Descripción Nivel de Riesgo Interpretación Concentración Extrema >90% de actividad en un solo país Alto Posible red localizada de fraude Distribución Dual Solo 2 países con actividad Medio-Alto Operación limitada geográficamente         Panel de Información de Ubicación - Datos Técnicos Detallados Este panel proporciona información técnica granular sobre todos los aspectos de la geolocalización del usuario, incluyendo datos de GPS, IP, infraestructura de red y verificaciones de coherencia. Estructura de Datos de Ubicación Campo Valor Observado Tipo de Dato Función GPS longitude 38.25.16.17 IPv4/IPv6 Dirección IP reportada como coordenada GPS latitude -76.45 Coordenada geográfica Latitud GPS real GPS enabled? No Boolean Estado del sistema GPS del dispositivo Is ip-gps locations match? N/A Comparación Coherencia entre fuentes de ubicación Country Peru String País determinado por geolocalización City Lima region String Ciudad/región específica Isp WI-NET TELECOM S.A.C. String Proveedor de servicios de internet Organization WI-NET TELECOM S.A.C. String Organización propietaria de la red Análisis Técnico de Datos Discrepancias Detectadas Campo Valor Esperado Valor Observado Nivel de Anomalía Interpretación GPS longitude Coordenada (-76.xx) 38.25.16.17 (IP) CRÍTICO Confusión entre IP y coordenada GPS GPS latitude Coordenada (-12.xx para Lima) -76.45 ALTO Coordenada fuera del rango de Lima GPS enabled Esperado: Sí No MEDIO GPS deshabilitado impide verificación IP-GPS match Comparación válida N/A MEDIO Imposibilidad de verificar coherencia Análisis de Infraestructura de Red Aspecto Información Descripción Nivel de Riesgo ISP Identificado WI-NET TELECOM S.A.C. Proveedor peruano específico Bajo - ISP legítimo Organización Misma que ISP Coherencia en propiedad de red Bajo - Estructura normal Ubicación de Red Lima, Perú Coherencia con país detectado Bajo - Geolocalización consistente Tipo de Conexión Comercial/Residencial Basado en rango de IP Información - Uso estándar Estado de Geolocalización Fuente Estado Precisión Confiabilidad Acción Requerida GPS Deshabilitado N/A No disponible Solicitar activación IP Geolocation Activa Ciudad/Región Media Fuente principal actual Network Location Activa ISP/Organización Alta Fuente de respaldo Correlación Cruzada No disponible N/A No posible Requiere GPS activo Interpretación de Resultados Matriz de Riesgo Geográfico Combinación de Factores Nivel de Riesgo Interpretación Acción Recomendada GPS deshabilitado + IP coherente + ISP legítimo MEDIO Usuario con privacidad de ubicación Monitoreo adicional Concentración país >90% + GPS off + Datos confusos ALTO Posible evasión de geolocalización Investigación detallada Discrepancia coordenadas + Múltiples países CRÍTICO Posible spoofing de ubicación Bloqueo preventivo ISP coherente + Ciudad correcta + GPS deshabilitado BAJO-MEDIO Configuración de privacidad normal Monitoreo estándar Algoritmos de Validación Geográfica Algoritmo Descripción Factores Analizados Peso en Decisión IP Geolocation Ubicación basada en dirección IP Rango IP, ISP, base de datos geográfica 40% GPS Validation Verificación de coordenadas GPS Latitud, longitud, precisión reportada 35% Network Analysis Análisis de infraestructura de red ISP, organización, tipo de conexión 15% Cross-Reference Correlación entre fuentes Coherencia entre GPS, IP y red 10% Detección de Anomalías Geográficas Tipo de Anomalía Indicador Descripción Nivel de Alerta Coordinate Confusion IP en campo GPS Valores IP donde deberían ir coordenadas CRÍTICO GPS Disabled GPS enabled = No Sistema GPS deshabilitado intencionalmente MEDIO Location Mismatch Discrepancia fuentes GPS y IP reportan ubicaciones diferentes ALTO Impossible Coordinates Coordenadas fuera de rango Valores geográficos imposibles para la región CRÍTICO Casos de Uso del Sistema Análisis de Concentración Geográfica Sospechosa Indicador Evidencia Observada Interpretación Nivel de Riesgo Concentración Extrema 92.31% actividad en Perú Actividad altamente localizada Alto Distribución Limitada Solo 2 países activos Operación geográficamente restringida Medio-Alto ISP Específico WI-NET TELECOM S.A.C. Concentración en un proveedor Medio GPS Consistentemente Deshabilitado GPS enabled = No Evasión sistemática de geolocalización precisa Alto Detección de Evasión de Geolocalización Técnica de Evasión Evidencia Descripción Contramedida GPS Spoofing Coordenadas imposibles Manipulación de datos GPS Verificación cruzada con IP GPS Disabled Sistema GPS apagado Prevenir tracking preciso Requerir activación GPS IP Masking Discrepancia IP-ubicación Uso de VPN o proxies Análisis de infraestructura de red Data Confusion IP en campos GPS Manipulación de campos de datos Validación de formato de datos Investigación de Infraestructura de Red Aspecto Información Disponible Análisis Conclusión ISP Legitimacy WI-NET TELECOM S.A.C. registrado Proveedor legítimo en Perú Bajo riesgo de ISP malicioso Network Ownership Organización = ISP Estructura de propiedad normal Sin indicios de red comprometida Geographic Consistency Lima, Perú coherente Ubicación de red coherente con país Geolocalización probable auténtica Connection Type Comercial/residencial Tipo de conexión estándar Sin indicios de infraestructura especializada Revisar El módulo de Review es un sistema de análisis manual que permite a los asesores y analistas de seguridad del banco evaluar, clasificar y proporcionar retroalimentación sobre sesiones que han sido reportadas por clientes o escaladas por los sistemas automáticos. Su función principal es realizar una investigación humana detallada de casos sospechosos, confirmar o descartar alertas de fraude, y documentar hallazgos para mejorar los algoritmos de detección automática. Objetivos Principales Objetivo Descripción Aplicación Clasificación Manual de Casos Permitir evaluación humana experta de sesiones sospechosas Confirmación de fraude o falsos positivos Retroalimentación al Sistema Proporcionar datos de entrenamiento para algoritmos ML Mejora continua de detección automática Investigación Detallada Análisis profundo de casos complejos Identificación de nuevos vectores de ataque Documentación de Hallazgos Registro detallado de evidencia y conclusiones Soporte legal y auditoría Escalación de Casos Identificar casos que requieren intervención especializada Gestión de incidentes críticos Arquitectura del Sistema Componentes Principales Componente Función Descripción Panel de Clasificación Selección de tipo de caso Opciones predefinidas de categorización Área de Comentarios Documentación detallada Campo de texto libre para observaciones Sistema de Envío Procesamiento de decisiones Botón de confirmación y envío Base de Conocimiento Referencia de tipos de fraude Guías para clasificación consistente Panel de Clasificación - Tipos de Casos El panel de clasificación presenta una lista comprehensiva de categorías predefinidas que cubren todos los tipos posibles de actividad, desde casos legítimos hasta diferentes variantes de fraude. Permite selección múltiple para casos que involucran varios vectores de ataque simultáneamente. Categorías de Clasificación Categoría Descripción Nivel de Riesgo Acción Posterior Unknown Caso sin clasificar o información insuficiente N/A Requiere investigación adicional Confirmed Genuine Actividad legítima confirmada Ninguno Marcar como falso positivo Suspected Fraud Indicios de fraude sin confirmación total Medio-Alto Monitoreo intensivo Confirmed Fraud Fraude confirmado con evidencia Crítico Bloqueo inmediato y escalación Tipos Específicos de Fraude Tipo de Fraude Descripción Técnica Indicadores Típicos Acción Recomendada ATO Fraud Account Take Over - Compromiso de cuenta Cambio de patrones, nueva ubicación, dispositivo desconocido Bloqueo de cuenta, verificación de identidad Malware Fraud Fraude mediante software malicioso Comportamiento automatizado, keyloggers, RATs Limpieza de dispositivo, cambio de credenciales Social Engineering Fraud Ingeniería social y manipulación Usuario reporta presión externa, transferencias inusuales Educación del usuario, revisión de transacciones Remote Access Fraud Acceso remoto no autorizado Software de control remoto, actividad desde múltiples ubicaciones Verificación de dispositivos autorizados Digital Fraud Fraude mediante canales digitales Manipulación de aplicaciones, bypass de controles Fortalecimiento de seguridad digital Phishing Suplantación de identidad digital Links maliciosos, sitios falsos, credenciales comprometidas Educación, cambio de contraseñas Cell Phone Theft Robo de dispositivo móvil Acceso desde dispositivo robado Bloqueo de dispositivo, verificación de identidad SIM Swap Intercambio fraudulento de tarjeta SIM Pérdida de control del número telefónico Verificación con operadora, método alternativo New Device Actividad desde dispositivo nuevo Primer acceso desde dispositivo desconocido Verificación adicional de identidad Owner Device Dispositivo propio del usuario Actividad desde dispositivo registrado Monitoreo estándar El área de comentarios proporciona un espacio de texto libre donde los analistas pueden documentar sus hallazgos, evidencias específicas, metodología de investigación y recomendaciones detalladas. Estructura de Documentación Recomendada Sección Contenido Propósito Ejemplo Resumen del Caso Descripción breve del incidente Contexto inicial "Usuario reporta transferencias no autorizadas desde dispositivo conocido" Evidencia Encontrada Datos específicos que apoyan la clasificación Sustento técnico "Detectado keylogger en análisis de dispositivo, logs muestran captura de credenciales" Metodología de Análisis Pasos seguidos en la investigación Reproducibilidad "Análisis de logs de sesión, verificación cruzada con datos de ubicación" Conclusiones Determinación final del analista Decisión fundamentada "Confirmo compromiso por malware, dispositivo requiere limpieza completa" Recomendaciones Acciones sugeridas Pasos siguientes "Bloqueo temporal, educación sobre seguridad, instalación de antivirus" Integración Avanzada de SDK En esta sección se describen los campos adicionales necesarios para mejorar significativamente el rendimiento de la detección de fraudes, reducir los falsos positivos y fortalecer la capacidad de identificar actividades fraudulentas donde los atacantes no utilizan aplicaciones legítimas. Esta implementación representa una evolución crítica en la arquitectura de seguridad, proporcionando mayor granularidad en el análisis de comportamiento y patrones de uso. Campos Requeridos Para optimizar la eficacia del sistema de detección de fraudes, se deben agregar los siguientes campos a las llamadas de API: Campo Tipo Descripción Propósito de Seguridad Ejemplo Dirección IP String Dirección IP de origen de la sesión Geolocalización, detección de VPN/Proxy, análisis de patrones geográficos 192.168.1.100 Fuente del dispositivo Enum Tipo de plataforma desde la cual se origina la petición Identificación de canales no autorizados, detección de automatización android , ios , js , web ID del dispositivo String Identificador único y persistente del dispositivo Tracking de dispositivos, detección de device spoofing abc123def456 Beneficiario String (Hash) Objetivo de transferencia hasheado por seguridad Análisis de patrones de transferencia, detección de mulas SHA256(account_id) Monto Decimal Cantidad de la transacción en moneda local Detección de patrones de monto, análisis de velocidad 1500.50 Motivo de la API Enum Propósito específico de la llamada API Contextualización del riesgo por tipo de operación login , transfer , register Tipo de transferencia Enum Categoría de operación financiera Aplicación de reglas específicas por tipo de transferencia local , plin , international Beneficios de la Implementación Esta integración avanzada proporcionará mejoras sustanciales en múltiples aspectos: 1. Detección de Scripts Automatizados Identificación precisa de sesiones que no provienen de aplicaciones legítimas Análisis de patrones de comportamiento no humano Reducción de ataques de fuerza bruta y automatización maliciosa 2. Resolución de Problemas de CSID Mejora significativa en la identificación de sesiones no encontradas Reducción de errores de tracking y seguimiento Mayor precisión en la correlación de eventos 3. Reducción Drástica de Falsos Positivos Mayor precisión en la detección mediante análisis contextual Refinamiento de modelos de machine learning con datos enriquecidos Optimización de umbrales de riesgo basados en contexto 4. Identificación de Cuentas de Riesgo Capacidad para detectar patrones sospechosos cross-account Análisis de redes de cuentas relacionadas Identificación temprana de esquemas de lavado de dinero 5. Mejora en Debugging y Monitoreo Facilita la resolución de problemas de integración Trazabilidad completa de transacciones Análisis forense mejorado para investigaciones Funcionalidades Avanzadas de Detección de Fraudes 1. Detección de Cuentas Mula Requiere añadir dos parámetros a las solicitudes que ya se envían al servidor: el monto de la transacción y el destino de la transacción (así como el tipo de transacción – transferencia nacional, internacional, P2P, etc.). El resultado incluye: Una tabla de cuentas de alto riesgo Un gráfico 3D que muestra las conexiones entre las transferencias Parámetro Tipo Descripción Impacto Monto de transacción Decimal Valor monetario de la operación Detección de patrones de lavado Destino de transacción String (Hash) Cuenta beneficiaria hasheada Identificación de redes de mulas Tipo de transacción Enum Categoría de operación financiera Aplicación de reglas específicas 2. Estafa por Voz Sistema que permite identificar si la llamada que recibió el cliente es del banco o no. Requiere integración con el servidor del banco. Características: Verificación en tiempo real de llamadas entrantes Validación de números autorizados del banco Alertas inmediatas sobre llamadas sospechosas 3. Detección de Malware Mediante Métodos Adicionales Objetivo: Reducir los falsos positivos a. Detección de software malicioso que ya se ha comprobado que ha afectado al banco b. Integración con un servicio verificado de Google para la detección de virus Método Descripción Precisión Esperada Firma conocida Detección de malware previamente identificado 95-98% Google Safe Browsing Integración con servicio de Google 92-95% Análisis comportamental Detección de patrones maliciosos 85-90% 4. Recepción de Información desde Redes Sociales Requiere que el banco agregue en algún lugar de la aplicación una opción como "Compartir por WhatsApp". Entonces, Google acepta recibir información sobre la cuenta de WhatsApp del usuario. Esto puede ayudar a detectar ataques de una persona específica con una tasa baja de falsos positivos. Ventajas: Correlación cross-platform de identidades Reducción significativa de falsos positivos Detección de ataques de ingeniería social 5. Sistema de Alertas Envía una alerta inmediata cuando hay un fraude confirmado (Falsos Positivos = 0) La alerta puede enviarse por: Canal Tipo Tiempo de Respuesta Casos de Uso A. Push Notification Tiempo real < 1 segundo Monitoreo activo B. Grupo WhatsApp Inmediato < 5 segundos Equipos de respuesta C. Correo electrónico Inmediato < 30 segundos Documentación D. Microsoft Teams Tiempo real < 3 segundos Colaboración Métricas de Impacto Esperadas Antes vs Después de la Implementación Métrica Antes Después Mejora Falsos Positivos 15-20% 5-8% 60-70% reducción Detección de Fraudes 75-80% 90-95% 15-20% mejora Tiempo de Respuesta 24-48 horas 1-5 minutos 99% mejora Precisión General 82% 94% 12% mejora