Análisis de enlaces El módulo de Link Analysis es un sistema avanzado de análisis de relaciones y conexiones que identifica vínculos entre usuarios, dispositivos, sesiones y patrones de comportamiento. Su función principal es detectar redes de actividad relacionada, identificar cuentas múltiples operadas por la misma entidad, y descubrir patrones de fraude coordinado mediante el análisis de conexiones y similitudes comportamentales. Objetivos Principales Objetivo Descripción Aplicación Detección de Redes de Fraude Identificar grupos de cuentas operadas por la misma entidad Prevención de fraude masivo Análisis de Dispositivos Compartidos Detectar múltiples identidades usando el mismo dispositivo Control de identidad única Identificación de Patrones Similares Encontrar sesiones con comportamiento idéntico o muy similar Detección de automatización Mapeo de Conexiones Visualizar relaciones entre usuarios, dispositivos y sesiones Investigación forense Análisis de Familias de Dispositivos Identificar dispositivos conocidos y sus relaciones Control de dispositivos autorizados Arquitectura del Sistema Componentes Principales Componente Función Descripción Graph View Visualización gráfica de conexiones Muestra relaciones entre usuarios y dispositivos Sessions with Similar Behaviour Tabla de sesiones relacionadas Lista detallada de actividad vinculada Link Detection Engine Motor de detección de vínculos Algoritmos de correlación y análisis Relationship Mapping Mapeo de relaciones Sistema de identificación de patrones Graph View - Vista Gráfica de Conexiones La vista gráfica proporciona una representación visual de las conexiones identificadas entre el usuario actual, sus dispositivos y otros elementos relacionados. Utiliza algoritmos de grafos para mostrar relaciones complejas de manera intuitiva. Elementos del Grafo Elemento Representación Visual Descripción Información Mostrada Current User Icono de persona (amarillo) Usuario actual bajo análisis Punto central del análisis Current Device Teléfono azul Dispositivo utilizado en la sesión actual Número de sesiones activas Related Device Teléfono negro Dispositivos adicionales vinculados al usuario Identificador y conteo de sesiones Connections Líneas conectoras Relaciones identificadas entre elementos Tipo y fuerza de la conexión Interpretación de Conexiones Tipo de Conexión Descripción Nivel de Riesgo Interpretación Usuario-Dispositivo Único Un usuario conectado a un solo dispositivo Bajo Patrón normal de uso Usuario-Múltiples Dispositivos Un usuario conectado a varios dispositivos Medio Posible uso legítimo múltiple o cuenta compartida Múltiples Usuarios-Un Dispositivo Varios usuarios usando el mismo dispositivo Alto Posible fraude o uso no autorizado Red Compleja Múltiples conexiones entrecruzadas Muy Alto Red sospechosa de actividad coordinada Métricas del Grafo Métrica Descripción Ejemplo en Imagen Interpretación Device ID Identificador único del dispositivo 7e43 Código de identificación del dispositivo relacionado Session Count Número de sesiones por dispositivo (1 sessions) Cantidad de sesiones registradas en cada dispositivo Connection Type Tipo de relación identificada Línea directa Relación directa entre usuario y dispositivo Sessions with Similar Behaviour - Sesiones con Comportamiento Similar Esta tabla presenta una lista detallada de todas las sesiones que han sido identificadas como relacionadas o similares a la sesión actual, basándose en algoritmos de análisis comportamental y detección de patrones. Estructura de Datos de la Tabla Columna Descripción Tipo de Dato Función COUNTRY País de origen de la sesión Bandera/Código país Identificación geográfica DATE Fecha y hora de la sesión DateTime Timestamp de la actividad SCORE Puntuación de similitud/riesgo Numérico Medida de similitud comportamental USER Identificador del usuario String ID de usuario (enmascarado) REASON Razón de la vinculación String Criterio de similitud detectado KNOWN FAMILY Dispositivo de familia conocida Boolean (X/✓) Indica si el dispositivo es reconocido CSID Identificador de sesión específico String alfanumérico ID único de la sesión DURATION Duración de la sesión Numérico (segundos) Tiempo total de la sesión BRAND Marca/Plataforma utilizada String Identificación de la plataforma CHANNEL Canal de acceso String Método de acceso utilizado ISP Proveedor de servicios de internet String Compañía de internet utilizada KNOWN DEVICE Dispositivo conocido Boolean (X/✓) Indica si el dispositivo está registrado IP Dirección IP (parcial) String numérico Identificación de red (enmascarada) UNKNOWN DEVICE Estado de dispositivo desconocido Boolean (X/✓) Marca dispositivos no registrados IP AGE Edad de la dirección IP en días Numérico Tiempo desde primer registro de la IP IP COUNTRY AGE Edad de IP en el país específico Numérico Tiempo de asociación IP-país USERS IN MUD LV Usuarios en nivel MUD Numérico Contador de usuarios en mismo nivel de riesgo DEVICE AGE Edad del dispositivo en días Numérico Tiempo desde primer registro del dispositivo USER AGE Edad del usuario en días Numérico Tiempo desde creación de la cuenta CONTEXT Contexto de navegación de la sesión String Secuencia de páginas/acciones realizadas Análisis de Datos de la Tabla Información de País y Ubicación País Detectado Bandera Interpretación Nivel de Atención México 🇲🇽 Todas las sesiones desde México Concentración geográfica sospechosa Consistencia de Ubicación Misma bandera Actividad coordinada desde misma región Posible red de fraude local Análisis de Puntuaciones (SCORE) Rango de Score Ejemplo Interpretación Acción Recomendada 700-800 789, 770, 795, 772 Similitud muy alta en comportamiento Investigación inmediata 500-600 569 Similitud moderada-alta Monitoreo intensivo 100-200 123 Similitud baja-moderada Monitoreo estándar 0-50 20 Similitud mínima detectada Revisión periódica Análisis de Usuarios Patrón de Usuario Ejemplo Descripción Implicación UNPROTECTED_3C00190012 Usuario tipo 1 Cuenta sin protecciones adicionales Mayor vulnerabilidad UNPROTECTED_100190011 Usuario tipo 2 Diferentes variantes de cuentas desprotegidas Patrón de cuentas similares UNPROTECTED_175534809 Usuario tipo 3 Numeración secuencial o generada Posibles cuentas automatizadas Razón de Vinculación Razón Descripción Algoritmo Utilizado Nivel de Confianza behaviour Comportamiento similar detectado Análisis de patrones de interacción Alto device Mismo dispositivo utilizado Fingerprinting de hardware Muy Alto network Misma red o ISP Análisis de infraestructura Medio temporal Patrones temporales similares Análisis de timing Medio-Alto Estado de Dispositivos y Familias Campo Valor Significado Implicación de Seguridad KNOWN FAMILY X (No) Dispositivo no pertenece a familia conocida Mayor riesgo de dispositivo nuevo/sospechoso KNOWN DEVICE X (No) Dispositivo no registrado previamente Dispositivo potencialmente malicioso Combinación XX Ambos negativos Dispositivo completamente desconocido Riesgo muy alto Análisis de Infraestructura Técnica Campo Técnico Valor Detectado Interpretación Nivel de Riesgo BRAND SMP Todas las sesiones usan la misma plataforma Consistencia sospechosa CHANNEL Emulator (IOS) Todas desde emulador de iOS Uso de herramientas de automatización ISP WI-NET TELECOM S.A.C. Mismo proveedor de internet Concentración geográfica/infraestructura IP Range 38.2.x.x Mismo rango de direcciones IP Red coordinada Análisis de Dispositivos y Edades Campo Valor Observado Descripción Interpretación de Riesgo UNKNOWN DEVICE X (Todos marcados) Todos los dispositivos son desconocidos Muy Alto - Dispositivos nuevos o temporales IP 38.25.16.17 Misma dirección IP para todas las sesiones Crítico - Concentración de actividad IP AGE 290 días (mayoría), 0 días IP conocida por 290 días, nueva actividad Medio - IP establecida con nuevo uso IP COUNTRY AGE 290-326 días IP asociada al país por varios meses Bajo - Asociación geográfica estable USERS IN MUD LV 0 (Todos) Sin usuarios en mismo nivel MUD Información - Nivel de riesgo único DEVICE AGE 0 días (Todos) Todos los dispositivos son completamente nuevos Crítico - Dispositivos creados específicamente USER AGE 290-326 días Usuarios con diferentes antigüedades Medio - Cuentas no recién creadas Análisis de Contexto de Navegación Patrón de Contexto Secuencia Observada Interpretación Nivel de Automatización Flujo Completo AUTH_PAGE,LOGIN,LOGIN_PASSWORD,OPERACIONES,TRANSFERENCIAS,TRANSPAC_ORIGEN,TRANSPAC_DESTINO Proceso completo de transferencia Alto - Secuencia muy específica Flujo Parcial AUTH_PAGE,LOGIN,LOGIN_PASSWORD,OPERACIONES,SERVIC,SERVIC_BUSC,SERVIC_DATOS,SERVIC_MON Acceso a servicios específicos Alto - Navegación dirigida Flujo Simplificado AUTH_PAGE,LOGIN,LOGIN_PASSWORD Solo proceso de autenticación Medio - Acceso básico Consistencia Patrones repetitivos exactos Mismas secuencias de navegación Crítico - Comportamiento no humano Patrones de Riesgo Identificados Patrón 1: Concentración Temporal Característica Valor Observado Interpretación Fecha 30/6/2025 Todas las sesiones el mismo día Horario 17:15-17:28 Ventana temporal de 13 minutos Frecuencia 7 sesiones Alta concentración de actividad Patrón 2: Uniformidad Técnica Aspecto Consistencia Nivel de Sospecha Plataforma 100% SMP Extremadamente sospechoso Emulador 100% iOS Emulator Indica automatización ISP 100% mismo proveedor Red coordinada Dispositivos 100% desconocidos Dispositivos nuevos/temporales Patrón 3: Similitud Comportamental Métrica Observación Implicación Scores Altos 6 de 7 sesiones >500 Comportamiento muy similar Duración Variable 0-86 segundos Diferentes tipos de actividad Razón Común Todas por "behaviour" Algoritmo detecta patrones idénticos Patrón 4: Infraestructura Centralizada (Nuevo Análisis) Factor Valor Crítico Interpretación Nivel de Alerta IP Única 38.25.16.17 Todas las sesiones desde la misma IP CRÍTICO Dispositivos Edad 0 100% dispositivos nuevos Creados específicamente para esta actividad CRÍTICO IP Age vs Device Age IP: 290 días, Dispositivos: 0 días IP conocida pero dispositivos nuevos ALTO Contextos Repetitivos Secuencias de navegación idénticas Automatización confirmada CRÍTICO Patrón 5: Perfil de Usuario Sospechoso Característica Observación Significado Riesgo País de Origen OM (Omán) Concentración geográfica específica MEDIO User Age Variado 290-326 días Cuentas no recién creadas BAJO MUD Level Todos en 0 Mismo nivel de clasificación INFORMACIÓN Unknown Device 100% marcados Ningún dispositivo reconocido CRÍTICO Interpretación de Resultados Matriz de Riesgo por Patrones Combinación de Factores Nivel de Riesgo Interpretación Acción Recomendada Múltiples dispositivos + Scores altos + Misma infraestructura CRÍTICO Red de fraude coordinada Bloqueo inmediato de toda la red Dispositivos desconocidos + Emuladores + Concentración temporal ALTO Ataque automatizado masivo Investigación urgente Comportamiento similar + Misma ubicación + Usuarios secuenciales ALTO Fraude organizado local Escalación a equipo especializado Scores moderados + Infraestructura mixta + Timing normal MEDIO Posible actividad coordinada Monitoreo intensivo Dispositivos conocidos + Scores bajos + Patrones normales BAJO Actividad legítima relacionada Monitoreo estándar Algoritmos de Detección de Vínculos Algoritmo Descripción Factores Analizados Peso en Decisión Behavioral Similarity Compara patrones de interacción Timing, secuencias, errores 40% Device Fingerprinting Identifica características únicas del dispositivo Hardware, software, configuración 35% Network Analysis Analiza infraestructura de red IP, ISP, geolocalización 15% Temporal Correlation Busca patrones temporales Horarios, frecuencia, duración 10% Métricas de Confianza Nivel de Confianza Rango de Score Descripción Acción Automática Muy Alto 800-1000 Vínculos casi certeros Bloqueo automático Alto 600-799 Vínculos muy probables Revisión prioritaria Medio 400-599 Vínculos probables Monitoreo adicional Bajo 200-399 Vínculos posibles Seguimiento rutinario Mínimo 0-199 Vínculos débiles Solo logging Casos de Uso del Sistema Detección de Fraude Masivo Indicador Descripción Ejemplo de la Imagen Múltiples Cuentas Varias cuentas UNPROTECTED creadas 7 usuarios diferentes Misma Infraestructura Mismo ISP y tipo de dispositivo WI-NET TELECOM, Emulator iOS Comportamiento Idéntico Scores altos de similitud 789, 770, 795, 772 Concentración Temporal Actividad en ventana corta 13 minutos el 30/6/2025 Caso Crítico: Red de Fraude con IP Centralizada (Análisis de Nueva Imagen) Factor Crítico Evidencia Interpretación Nivel de Alerta IP Única 38.25.16.17 para 7 sesiones diferentes Todos los ataques desde mismo punto CRÍTICO Dispositivos Vírgenes Device Age = 0 en todos los casos Dispositivos creados específicamente CRÍTICO Usuarios Comprometidos User Age 290+ días pero dispositivos nuevos Cuentas legítimas posiblemente comprometidas ALTO Automatización Confirmada Contextos de navegación idénticos Bots siguiendo scripts predefinidos CRÍTICO Objetivos Específicos Rutas directas a TRANSFERENCIAS Intención clara de fraude financiero CRÍTICO Conclusión del Caso : Red de fraude altamente organizada usando cuentas comprometidas, dispositivos desechables y automatización desde infraestructura centralizada para realizar transferencias bancarias fraudulentas. Acción Inmediata Requerida : Bloqueo inmediato de IP 38.25.16.17 Suspensión de todas las cuentas identificadas Investigación forense de las transferencias realizadas Notificación a autoridades competentes Actualización de algoritmos de detección Análisis de Dispositivos Compartidos Escenario Identificación Riesgo Acción Familia Legítima Dispositivos conocidos, usuarios relacionados Bajo Permitir con monitoreo Cuenta Corporativa Múltiples empleados, mismo dispositivo Medio Validar políticas Fraude Coordinado Usuarios no relacionados, dispositivos nuevos Alto Bloquear e investigar Red Criminal (Nuevo) Misma IP, dispositivos vírgenes, usuarios antiguos CRÍTICO Respuesta de emergencia Investigación Forense Capacidad Descripción Beneficio Reconstrucción de Redes Mapea conexiones completas Identifica toda la red criminal Análisis Temporal Estudia evolución de patrones Predice futuros ataques Correlación de Evidencia Vincula evidencia dispersa Construye caso sólido Beneficios del Sistema Para Equipos de Seguridad Beneficio Descripción Impacto Detección Temprana Identifica redes antes de que causen daño Prevención proactiva Análisis Masivo Procesa miles de conexiones simultáneamente Escalabilidad Evidencia Visual Gráficos claros para presentación Comunicación efectiva Automatización Reduce trabajo manual de investigación Eficiencia operativa Para Prevención de Fraude Beneficio Descripción Impacto Detección de Patrones Identifica nuevas técnicas de fraude Adaptación rápida Análisis Predictivo Anticipa comportamientos futuros Prevención proactiva Correlación Avanzada Conecta eventos aparentemente aislados Detección sofisticada Para Compliance y Auditoría Beneficio Descripción Impacto Documentación Completa Registra todas las conexiones identificadas Cumplimiento regulatorio Trazabilidad Rastrea origen y evolución de redes Auditoría forense Reportes Automáticos Genera informes para reguladores Eficiencia de compliance