# Análisis de enlaces El módulo de Link Analysis es un sistema avanzado de análisis de relaciones y conexiones que identifica vínculos entre usuarios, dispositivos, sesiones y patrones de comportamiento. Su función principal es detectar redes de actividad relacionada, identificar cuentas múltiples operadas por la misma entidad, y descubrir patrones de fraude coordinado mediante el análisis de conexiones y similitudes comportamentales. #### Objetivos Principales
ObjetivoDescripciónAplicación
**Detección de Redes de Fraude**Identificar grupos de cuentas operadas por la misma entidadPrevención de fraude masivo
**Análisis de Dispositivos Compartidos**Detectar múltiples identidades usando el mismo dispositivoControl de identidad única
**Identificación de Patrones Similares**Encontrar sesiones con comportamiento idéntico o muy similarDetección de automatización
**Mapeo de Conexiones**Visualizar relaciones entre usuarios, dispositivos y sesionesInvestigación forense
**Análisis de Familias de Dispositivos**Identificar dispositivos conocidos y sus relacionesControl de dispositivos autorizados
#### Arquitectura del Sistema #### Componentes Principales
ComponenteFunciónDescripción
**Graph View**Visualización gráfica de conexionesMuestra relaciones entre usuarios y dispositivos
**Sessions with Similar Behaviour**Tabla de sesiones relacionadasLista detallada de actividad vinculada
**Link Detection Engine**Motor de detección de vínculosAlgoritmos de correlación y análisis
**Relationship Mapping**Mapeo de relacionesSistema de identificación de patrones
#### Graph View - Vista Gráfica de Conexiones La vista gráfica proporciona una representación visual de las conexiones identificadas entre el usuario actual, sus dispositivos y otros elementos relacionados. Utiliza algoritmos de grafos para mostrar relaciones complejas de manera intuitiva. [![image.png](https://docs.ado-tech.com/uploads/images/gallery/2025-07/scaled-1680-/DFqPAiDzRKPNHh1M-image.png)](https://docs.ado-tech.com/uploads/images/gallery/2025-07/DFqPAiDzRKPNHh1M-image.png) #### Elementos del Grafo
ElementoRepresentación VisualDescripciónInformación Mostrada
**Current User**Icono de persona (amarillo)Usuario actual bajo análisisPunto central del análisis
**Current Device**Teléfono azulDispositivo utilizado en la sesión actualNúmero de sesiones activas
**Related Device**Teléfono negroDispositivos adicionales vinculados al usuarioIdentificador y conteo de sesiones
**Connections**Líneas conectorasRelaciones identificadas entre elementosTipo y fuerza de la conexión
#### Interpretación de Conexiones
Tipo de ConexiónDescripciónNivel de RiesgoInterpretación
**Usuario-Dispositivo Único**Un usuario conectado a un solo dispositivoBajoPatrón normal de uso
**Usuario-Múltiples Dispositivos**Un usuario conectado a varios dispositivosMedioPosible uso legítimo múltiple o cuenta compartida
**Múltiples Usuarios-Un Dispositivo**Varios usuarios usando el mismo dispositivoAltoPosible fraude o uso no autorizado
**Red Compleja**Múltiples conexiones entrecruzadasMuy AltoRed sospechosa de actividad coordinada
#### Métricas del Grafo
MétricaDescripciónEjemplo en ImagenInterpretación
**Device ID**Identificador único del dispositivo7e43Código de identificación del dispositivo relacionado
**Session Count**Número de sesiones por dispositivo(1 sessions)Cantidad de sesiones registradas en cada dispositivo
**Connection Type**Tipo de relación identificadaLínea directaRelación directa entre usuario y dispositivo
#### Sessions with Similar Behaviour - Sesiones con Comportamiento Similar Esta tabla presenta una lista detallada de todas las sesiones que han sido identificadas como relacionadas o similares a la sesión actual, basándose en algoritmos de análisis comportamental y detección de patrones. [![image.png](https://docs.ado-tech.com/uploads/images/gallery/2025-07/scaled-1680-/9EXw275mgfkzZv30-image.png)](https://docs.ado-tech.com/uploads/images/gallery/2025-07/9EXw275mgfkzZv30-image.png) ### Estructura de Datos de la Tabla
ColumnaDescripciónTipo de DatoFunción
**COUNTRY**País de origen de la sesiónBandera/Código paísIdentificación geográfica
**DATE**Fecha y hora de la sesiónDateTimeTimestamp de la actividad
**SCORE**Puntuación de similitud/riesgoNuméricoMedida de similitud comportamental
**USER**Identificador del usuarioStringID de usuario (enmascarado)
**REASON**Razón de la vinculaciónStringCriterio de similitud detectado
**KNOWN FAMILY**Dispositivo de familia conocidaBoolean (X/✓)Indica si el dispositivo es reconocido
**CSID**Identificador de sesión específicoString alfanuméricoID único de la sesión
**DURATION**Duración de la sesiónNumérico (segundos)Tiempo total de la sesión
**BRAND**Marca/Plataforma utilizadaStringIdentificación de la plataforma
**CHANNEL**Canal de accesoStringMétodo de acceso utilizado
**ISP**Proveedor de servicios de internetStringCompañía de internet utilizada
**KNOWN DEVICE**Dispositivo conocidoBoolean (X/✓)Indica si el dispositivo está registrado
**IP**Dirección IP (parcial)String numéricoIdentificación de red (enmascarada)
**UNKNOWN DEVICE**Estado de dispositivo desconocidoBoolean (X/✓)Marca dispositivos no registrados
**IP AGE**Edad de la dirección IP en díasNuméricoTiempo desde primer registro de la IP
**IP COUNTRY AGE**Edad de IP en el país específicoNuméricoTiempo de asociación IP-país
**USERS IN MUD LV**Usuarios en nivel MUDNuméricoContador de usuarios en mismo nivel de riesgo
**DEVICE AGE**Edad del dispositivo en díasNuméricoTiempo desde primer registro del dispositivo
**USER AGE**Edad del usuario en díasNuméricoTiempo desde creación de la cuenta
**CONTEXT**Contexto de navegación de la sesiónStringSecuencia de páginas/acciones realizadas
### Análisis de Datos de la Tabla #### Información de País y Ubicación
País DetectadoBanderaInterpretaciónNivel de Atención
**México**🇲🇽Todas las sesiones desde MéxicoConcentración geográfica sospechosa
**Consistencia de Ubicación**Misma banderaActividad coordinada desde misma regiónPosible red de fraude local
#### Análisis de Puntuaciones (SCORE)
Rango de ScoreEjemploInterpretaciónAcción Recomendada
**700-800**789, 770, 795, 772Similitud muy alta en comportamientoInvestigación inmediata
**500-600**569Similitud moderada-altaMonitoreo intensivo
**100-200**123Similitud baja-moderadaMonitoreo estándar
**0-50**20Similitud mínima detectadaRevisión periódica
#### Análisis de Usuarios
Patrón de UsuarioEjemploDescripciónImplicación
**UNPROTECTED\_3C00190012**Usuario tipo 1Cuenta sin protecciones adicionalesMayor vulnerabilidad
**UNPROTECTED\_100190011**Usuario tipo 2Diferentes variantes de cuentas desprotegidasPatrón de cuentas similares
**UNPROTECTED\_175534809**Usuario tipo 3Numeración secuencial o generadaPosibles cuentas automatizadas
#### Razón de Vinculación
RazónDescripciónAlgoritmo UtilizadoNivel de Confianza
**behaviour**Comportamiento similar detectadoAnálisis de patrones de interacciónAlto
**device**Mismo dispositivo utilizadoFingerprinting de hardwareMuy Alto
**network**Misma red o ISPAnálisis de infraestructuraMedio
**temporal**Patrones temporales similaresAnálisis de timingMedio-Alto
#### Estado de Dispositivos y Familias
CampoValorSignificadoImplicación de Seguridad
**KNOWN FAMILY**X (No)Dispositivo no pertenece a familia conocidaMayor riesgo de dispositivo nuevo/sospechoso
**KNOWN DEVICE**X (No)Dispositivo no registrado previamenteDispositivo potencialmente malicioso
**Combinación XX**Ambos negativosDispositivo completamente desconocidoRiesgo muy alto
#### Análisis de Infraestructura Técnica
Campo TécnicoValor DetectadoInterpretaciónNivel de Riesgo
**BRAND**SMPTodas las sesiones usan la misma plataformaConsistencia sospechosa
**CHANNEL**Emulator (IOS)Todas desde emulador de iOSUso de herramientas de automatización
**ISP**WI-NET TELECOM S.A.C.Mismo proveedor de internetConcentración geográfica/infraestructura
**IP Range**38.2.x.xMismo rango de direcciones IPRed coordinada
#### Análisis de Dispositivos y Edades
CampoValor ObservadoDescripciónInterpretación de Riesgo
**UNKNOWN DEVICE**X (Todos marcados)Todos los dispositivos son desconocidosMuy Alto - Dispositivos nuevos o temporales
**IP**38.25.16.17Misma dirección IP para todas las sesionesCrítico - Concentración de actividad
**IP AGE**290 días (mayoría), 0 díasIP conocida por 290 días, nueva actividadMedio - IP establecida con nuevo uso
**IP COUNTRY AGE**290-326 díasIP asociada al país por varios mesesBajo - Asociación geográfica estable
**USERS IN MUD LV**0 (Todos)Sin usuarios en mismo nivel MUDInformación - Nivel de riesgo único
**DEVICE AGE**0 días (Todos)Todos los dispositivos son completamente nuevosCrítico - Dispositivos creados específicamente
**USER AGE**290-326 díasUsuarios con diferentes antigüedadesMedio - Cuentas no recién creadas
#### Análisis de Contexto de Navegación
Patrón de ContextoSecuencia ObservadaInterpretaciónNivel de Automatización
**Flujo Completo**AUTH\_PAGE,LOGIN,LOGIN\_PASSWORD,OPERACIONES,TRANSFERENCIAS,TRANSPAC\_ORIGEN,TRANSPAC\_DESTINOProceso completo de transferenciaAlto - Secuencia muy específica
**Flujo Parcial**AUTH\_PAGE,LOGIN,LOGIN\_PASSWORD,OPERACIONES,SERVIC,SERVIC\_BUSC,SERVIC\_DATOS,SERVIC\_MONAcceso a servicios específicosAlto - Navegación dirigida
**Flujo Simplificado**AUTH\_PAGE,LOGIN,LOGIN\_PASSWORDSolo proceso de autenticaciónMedio - Acceso básico
**Consistencia**Patrones repetitivos exactosMismas secuencias de navegaciónCrítico - Comportamiento no humano
#### Patrones de Riesgo Identificados #### Patrón 1: Concentración Temporal
CaracterísticaValor ObservadoInterpretación
**Fecha**30/6/2025Todas las sesiones el mismo día
**Horario**17:15-17:28Ventana temporal de 13 minutos
**Frecuencia**7 sesionesAlta concentración de actividad
#### Patrón 2: Uniformidad Técnica
AspectoConsistenciaNivel de Sospecha
**Plataforma**100% SMPExtremadamente sospechoso
**Emulador**100% iOS EmulatorIndica automatización
**ISP**100% mismo proveedorRed coordinada
**Dispositivos**100% desconocidosDispositivos nuevos/temporales
#### Patrón 3: Similitud Comportamental
MétricaObservaciónImplicación
**Scores Altos**6 de 7 sesiones >500Comportamiento muy similar
**Duración Variable**0-86 segundosDiferentes tipos de actividad
**Razón Común**Todas por "behaviour"Algoritmo detecta patrones idénticos
#### Patrón 4: Infraestructura Centralizada (Nuevo Análisis)
FactorValor CríticoInterpretaciónNivel de Alerta
**IP Única**38.25.16.17Todas las sesiones desde la misma IPCRÍTICO
**Dispositivos Edad 0**100% dispositivos nuevosCreados específicamente para esta actividadCRÍTICO
**IP Age vs Device Age**IP: 290 días, Dispositivos: 0 díasIP conocida pero dispositivos nuevosALTO
**Contextos Repetitivos**Secuencias de navegación idénticasAutomatización confirmadaCRÍTICO
#### Patrón 5: Perfil de Usuario Sospechoso
CaracterísticaObservaciónSignificadoRiesgo
**País de Origen**OM (Omán)Concentración geográfica específicaMEDIO
**User Age Variado**290-326 díasCuentas no recién creadasBAJO
**MUD Level**Todos en 0Mismo nivel de clasificaciónINFORMACIÓN
**Unknown Device**100% marcadosNingún dispositivo reconocidoCRÍTICO
--- #### Interpretación de Resultados #### Matriz de Riesgo por Patrones
Combinación de FactoresNivel de RiesgoInterpretaciónAcción Recomendada
**Múltiples dispositivos + Scores altos + Misma infraestructura**CRÍTICORed de fraude coordinadaBloqueo inmediato de toda la red
**Dispositivos desconocidos + Emuladores + Concentración temporal**ALTOAtaque automatizado masivoInvestigación urgente
**Comportamiento similar + Misma ubicación + Usuarios secuenciales**ALTOFraude organizado localEscalación a equipo especializado
**Scores moderados + Infraestructura mixta + Timing normal**MEDIOPosible actividad coordinadaMonitoreo intensivo
**Dispositivos conocidos + Scores bajos + Patrones normales**BAJOActividad legítima relacionadaMonitoreo estándar
#### Algoritmos de Detección de Vínculos
AlgoritmoDescripciónFactores AnalizadosPeso en Decisión
**Behavioral Similarity**Compara patrones de interacciónTiming, secuencias, errores40%
**Device Fingerprinting**Identifica características únicas del dispositivoHardware, software, configuración35%
**Network Analysis**Analiza infraestructura de redIP, ISP, geolocalización15%
**Temporal Correlation**Busca patrones temporalesHorarios, frecuencia, duración10%
#### Métricas de Confianza
Nivel de ConfianzaRango de ScoreDescripciónAcción Automática
**Muy Alto**800-1000Vínculos casi certerosBloqueo automático
**Alto**600-799Vínculos muy probablesRevisión prioritaria
**Medio**400-599Vínculos probablesMonitoreo adicional
**Bajo**200-399Vínculos posiblesSeguimiento rutinario
**Mínimo**0-199Vínculos débilesSolo logging
#### Casos de Uso del Sistema #### Detección de Fraude Masivo
IndicadorDescripciónEjemplo de la Imagen
**Múltiples Cuentas**Varias cuentas UNPROTECTED creadas7 usuarios diferentes
**Misma Infraestructura**Mismo ISP y tipo de dispositivoWI-NET TELECOM, Emulator iOS
**Comportamiento Idéntico**Scores altos de similitud789, 770, 795, 772
**Concentración Temporal**Actividad en ventana corta13 minutos el 30/6/2025
#### Caso Crítico: Red de Fraude con IP Centralizada (Análisis de Nueva Imagen)
Factor CríticoEvidenciaInterpretaciónNivel de Alerta
**IP Única**38.25.16.17 para 7 sesiones diferentesTodos los ataques desde mismo puntoCRÍTICO
**Dispositivos Vírgenes**Device Age = 0 en todos los casosDispositivos creados específicamenteCRÍTICO
**Usuarios Comprometidos**User Age 290+ días pero dispositivos nuevosCuentas legítimas posiblemente comprometidasALTO
**Automatización Confirmada**Contextos de navegación idénticosBots siguiendo scripts predefinidosCRÍTICO
**Objetivos Específicos**Rutas directas a TRANSFERENCIASIntención clara de fraude financieroCRÍTICO
**Conclusión del Caso**: Red de fraude altamente organizada usando cuentas comprometidas, dispositivos desechables y automatización desde infraestructura centralizada para realizar transferencias bancarias fraudulentas. **Acción Inmediata Requerida**: 1. Bloqueo inmediato de IP 38.25.16.17 2. Suspensión de todas las cuentas identificadas 3. Investigación forense de las transferencias realizadas 4. Notificación a autoridades competentes 5. Actualización de algoritmos de detección #### Análisis de Dispositivos Compartidos
EscenarioIdentificaciónRiesgoAcción
**Familia Legítima**Dispositivos conocidos, usuarios relacionadosBajoPermitir con monitoreo
**Cuenta Corporativa**Múltiples empleados, mismo dispositivoMedioValidar políticas
**Fraude Coordinado**Usuarios no relacionados, dispositivos nuevosAltoBloquear e investigar
**Red Criminal (Nuevo)**Misma IP, dispositivos vírgenes, usuarios antiguosCRÍTICORespuesta de emergencia
#### Investigación Forense
CapacidadDescripciónBeneficio
**Reconstrucción de Redes**Mapea conexiones completasIdentifica toda la red criminal
**Análisis Temporal**Estudia evolución de patronesPredice futuros ataques
**Correlación de Evidencia**Vincula evidencia dispersaConstruye caso sólido
--- #### Beneficios del Sistema #### Para Equipos de Seguridad
BeneficioDescripciónImpacto
**Detección Temprana**Identifica redes antes de que causen dañoPrevención proactiva
**Análisis Masivo**Procesa miles de conexiones simultáneamenteEscalabilidad
**Evidencia Visual**Gráficos claros para presentaciónComunicación efectiva
**Automatización**Reduce trabajo manual de investigaciónEficiencia operativa
#### Para Prevención de Fraude
BeneficioDescripciónImpacto
**Detección de Patrones**Identifica nuevas técnicas de fraudeAdaptación rápida
**Análisis Predictivo**Anticipa comportamientos futurosPrevención proactiva
**Correlación Avanzada**Conecta eventos aparentemente aisladosDetección sofisticada
#### Para Compliance y Auditoría
BeneficioDescripciónImpacto
**Documentación Completa**Registra todas las conexiones identificadasCumplimiento regulatorio
**Trazabilidad**Rastrea origen y evolución de redesAuditoría forense
**Reportes Automáticos**Genera informes para reguladoresEficiencia de compliance