Métricas Principales (Top Row)

1. DASHBOARD PRINCIPAL

1.1 Visión General del Dashboard

El Dashboard Principal de ADO-STS actúa como el centro de comando central para el monitoreo integral de la seguridad digital y detección de fraude. Proporciona una vista panorámica y en tiempo real del estado de seguridad organizacional, permitiendo la toma de decisiones informadas y la respuesta rápida a amenazas emergentes.

1.1.1 Arquitectura de Información

El dashboard está estructurado en múltiples capas de información que se complementan para ofrecer una vista holística:

Capa	Componente	Propósito	Frecuencia de Actualización
Métricas Principales	KPIs Superiores	Monitoreo de volumen y actividad	Tiempo real (30 segundos)
Visualización Geográfica	Mapa Mundial	Distribución geográfica de riesgos	Tiempo real (60 segundos)
Análisis de Riesgos	Top Risk Indicators	Priorización de amenazas	Cada 5 minutos
Tendencias Temporales	Gráficos de Evolución	Análisis de patrones históricos	Cada 15 minutos

1.2 Métricas Principales (KPIs Críticos)

1.2.1 Unique Users Today

PropósitoDefinición Técnica: Esta métrica muestra el númeroConteo de usuarios únicos que han interactuado con la plataforma durante las últimas 24 horas.

Cálculo: Se basa en identificadores únicos de usuario (no dispositivos)UID) que han iniciadogenerado al menos una sesión en el período especificado.

Importancia:

• Permite monitorear el volumen de actividad de usuarios legítimos
• Ayuda a identificar picos o caídas inusuales en la actividad
• Sirve como línea base para calcular tasas de fraude
• En el ejemplo mostrado: 32 usuarios únicos

Unique Devices Today

Propósito: Contabiliza el número de dispositivos únicos utilizados para acceder a la plataformaválida en las últimas 24 horas.horas

DiferenciacióMatriz de Interpretación conde UsuariosValores:

• Un
usuariopuededispositivos (móvil, tablet, desktop)
• Un dispositivo puede ser utilizado por múltiples usuarios (dispositivos compartidos)
• La relació
ayudapatrones

Rango utilizarde múltiplesUsuarios	Interpretación usuario/dispositivoOperacional	Nivel ade identificarAlerta	Acciones anómalosRecomendadas
0-25	Muy baja actividad - Fuera de horario/Feriado	🟢 Verde	Monitoreo pasivo
26-100	Baja actividad - Horario no comercial	🟢 Verde	Verificar calendario comercial
101-500	Actividad normal - Horario comercial estándar	🟢 Verde	Operación estándar
501-1,500	Alta actividad - Pico comercial/Promociones	🟡 Amarillo	Monitoreo de capacidad
1,501-3,000	Muy alta actividad - Eventos especiales	🟠 Naranja	Activar escalamiento automático
>3,000	Actividad crítica - Posible ataque DDoS	🔴 Rojo	Protocolo de emergencia

AnálisisFactores deque Influencian la Métrica:

• RelaciónTemporales: altaHorarios dispositivos/usuarios:comerciales, Posibledías indicadorde la semana, estacionalidad
• Comerciales: Campañas promocionales, lanzamientos de productos
• Técnicos: Interrupciones de servicio, mantenimientos programados
• Maliciosos: Ataques de bots, campañas de fraude o dispositivos comprometidos
• Relación baja: Usuarios utilizando consistentemente los mismos dispositivos
• En el ejemplo mostrado: 67 dispositivos únicoscoordinadas

1.2.2 Unique Devices Today

Definición Técnica: Número de huellas digitales únicas de dispositivos (device fingerprints) registradas en interacciones válidas durante 24 horas.

Análisis de Ratio Dispositivos/Usuarios:

Ratio D/U	Escenario Típico	Nivel de Riesgo	Investigación Requerida
0.7-1.0	Usuarios con dispositivo único estable	🟢 Muy Bajo	No requerida
1.1-1.5	Usuarios multi-dispositivo legítimos	🟢 Bajo	Verificación de patrones BYOD
1.6-2.5	Uso intensivo multi-dispositivo	🟡 Moderado	Análisis de perfiles de usuario
2.6-4.0	Posible sharing no autorizado	🟠 Alto	Investigación de políticas de uso
4.1-8.0	Probable device farming	🔴 Muy Alto	Análisis forense inmediato
>8.0	Ataque automatizado confirmado	🔴 Crítico	Activación de contramedidas

Indicadores de Anomalías por Dispositivo:

Tipo de Anomalía	Descripción	Métrica de Detección	Umbral de Alerta
Device Velocity	Nuevos dispositivos por hora	Devices/hora	>50 dispositivos/hora
Geographic Scatter	Dispersión geográfica anómala	Países únicos	>10 países/hora
Hardware Diversity	Diversidad de hardware sospechosa	Modelos únicos	>100 modelos/día
OS Distribution	Distribución de OS anómala	Entropía de distribución	>3.5 bits

1.2.3 API Calls (T5)

T5 - Últimas 5 Horas)

PropósitoDefinición Técnica: Muestra el númeroVolumen total de llamadas a la API delal sistema de detección de fraudefraude, ensegmentadas elpor período especificado.

Interpretación:

• Cada interacción del usuario genera múltiples llamadas API
• Incluye validaciones en tiempo real, análisis de comportamientotipo y verificaciones de seguridad
• Ayuda a monitorear la carga del sistema y rendimiento
• En el ejemplo mostrado: 0 llamadas (posiblemente fuera de horario o sistema inactivo)

Fraud Attempts Today

Propósito: Contabiliza el número de intentos de fraude detectados y bloqueados en las últimas 24 horas.origen.

Categorización de API Calls:

• Fraude
confirmado:Actividadesclaramente
• Fraude
sospechoso:querequierenrevisió bloqueado:Intentosprevenidosautomáticamente

Categoría	Porcentaje maliciosasTípico	Descripción	Latencia ActividadesEsperada
Session Initialization	25-30%	Inicio de sesiones nuevas	<100ms
Behavioral Analysis	35-45%	Análisis en tiempo real	<200ms
Risk Assessment	15-20%	Evaluación adicionalde Frauderiesgo	<150ms
Data Enrichment	8-12%	Enriquecimiento contextual	<300ms
Administrative	2-5%	Operaciones de gestión	<500ms

ValorMatriz Estratégicode Performance y Capacidad:

• Demuestra
laefectividad

Volumen API/5h	Estado del sistemaSistema	Utilización CPU	Utilización Memoria	Acción Requerida
0-5,000	Muy bajo	<20%	<30%	Monitoreo normal
5,001-25,000	Bajo	20-40%	30-50%	Verificar tendencias
25,001-75,000	Normal	40-65%	50-70%	Operación estándar
75,001-150,000	Alto	65-80%	70-85%	Preparar escalamiento
150,001-300,000	Muy alto	80-90%	85-95%	Activar auto-scaling
>300,000	Crítico	>90%	>95%	Protocolo de deteccióemergencia

1.2.4 Fraud Attempts Today

Definición

• PermiteTécnica: identificarNúmero tendenciasde sesiones clasificadas como fraudulentas o altamente sospechosas basadas en ataques
• Ayuda a ajustar umbralesscores de sensibilidad
riesgo
• Eny elvalidación ejemplomanual.
  mostrado:

  Taxonomía de Fraude Detectado:

  detectados

  Tipo de Fraude	Score Range	Confianza	Acción Automática	Tiempo de Respuesta
  0Account intentosTakeover	850-1000	95-99%	Bloqueo inmediato	<5 segundos
  Synthetic Identity	800-950	85-95%	Verificación adicional	<30 segundos
  Device Spoofing	750-900	80-90%	Desafío de autenticación	<60 segundos
  Behavioral Anomaly	600-800	70-85%	Monitoreo intensivo	<300 segundos
  Geolocation Fraud	700-850	75-90%	Verificación geográfica	<120 segundos
  Bot Activity	900-1000	90-99%	Bloqueo CAPTCHA	<10 segundos

  1.3 Visualización Geográfica

  Avanzada

  1.3.1 Componentes del Mapa Mundial Interactivo

  Funcionalidad: El mapa central proporciona una representación visual geográfica de la actividad de usuarios y detecciones de fraude.

  Elementos Visuales y su Significado:

  Elemento Visual	Color/Forma	Significado	Datos Representados
  Puntos rojosSólidos	🔴 Rojo	Fraude confirmado	Sesiones bloqueadas
  Puntos Sólidos	🟠 Naranja	Alta sospecha	Scores 700-899
  Puntos Sólidos	🟡 Amarillo	Sospecha moderada	Scores 500-699
  Puntos Sólidos	🔵 Azul	Actividad legítima	Scores <500
  Clusters	🟣 Púrpura	Concentración anómala	>10 eventos/km²
  Líneas	Conectores	Viajes imposibles	Velocidad >1000 km/h

  1.3.2 Análisis de Patrones Geográficos

  Métricas de Concentración Geográfica:

  Ubicacionesconactividadfraudulentadetectada
  Indica cadaregión

  Métrica	Fórmula	Umbral de Alerta	Interpretación
  Densidad de puntosFraude:	Eventos_Fraude el/ volumenÁrea_km²	>5 eventos/100km²	Hotspot de actividad enmaliciosa
  CapacidadesVelocidad de Viaje	Distancia / Tiempo	>500 km/h	Imposibilidad física
  Dispersión Temporal	StdDev(timestamps)	<60 segundos	Actividad coordinada
  Entropía Geográfica	-Σ(p_i * log(p_i))	<2.0 bits	Concentración anómala

  1.3.3 Capacidades Analíticas del Mapa

  geográficos de fraude
  • Correlación entre ubicación geográfica y patrones de fraude
  • Detecció
  coordinadosdesdemúltiples
  • Análisis
  legítimos

  Funcionalidad	Descripción	Casos de Uso	Beneficio Operacional
  Zoom Dinámico	Análisis desde global a ciudad	Investigación detallada	Granularidad contextual
  Filtros Temporales:	Reproducción histórica	Análisis forense	Comprensión de evolución
  Overlay de Datos	Superposición de capas	Correlación multi-factor	Análisis holístico
  Heat Mapping	Mapas de calor de riesgo	Identificación de hotspots	Priorización de ataquesrecursos
  Export ubicacionesGeográfico	Exportación de distribuciócoordenadas	Reportes ejecutivos	Comunicación geográfica de usuariosriesgos

  1.4 Top Risk Indicators (ÚltimasAnálisis 24de horas)Riesgos Principales)

  1.4.1 Malware Risks

  Esta sección proporciona un rankingMetodología de losDetección:

  principalesindicadores detectados,ordenadosporfrecuencia.

  Malware

  Risks

  Técnica de riesgoDetección	Descripción	Precisión	Tiempo relevanciade yDetección
  Signature-based	Firmas conocidas de malware	95-99%	<1 segundo
  Heuristic Analysis	Comportamiento sospechoso	80-90%	1-5 segundos
  Machine Learning	Patrones anómalos	85-95%	2-10 segundos
  Sandbox Analysis	Ejecución controlada	90-98%	10-60 segundos
  Network Behavior	Comunicaciones maliciosas	75-85%	5-30 segundos

  DescripcióCategorización de Malware:

  Tipo de Malware	Características	Riesgo para Fraude	Contramedidas
  Banking Trojans	Interceptación de credenciales	🔴 Crítico	Bloqueo inmediato + limpieza
  Keyloggers	Registro de pulsaciones	🔴 Alto	Cifrado de comunicaciones
  Screen Scrapers	Captura de pantalla	🟠 Alto	Detección de captura
  Remote Access Tools	Control remoto	🔴 Crítico	Terminación de sesión
  Adware/PUP	Software no deseado	🟡 Moderado	Advertencia al usuario

  1.4.2 Emulator Risks

  Técnicas de Detección de softwareEmuladores:

  maliciosoendispositivos

  Método de usuarios.Detección	Descripción Técnica	Efectividad	Evasión Conocida
  Hardware Fingerprinting	Análisis de specs de hardware	90-95%	Hardware spoofing
  API Response Analysis	Respuestas de APIs del sistema	85-90%	API hooking
  Performance Patterns	Patrones de rendimiento	80-85%	Performance tuning
  Sensor Data	Datos de sensores físicos	95-99%	Sensor simulation
  Resource Utilization	Uso de recursos del sistema	75-80%	Resource masking

  Indicadores de Emulación:

  150 #1riesgo

  Indicador	Valor Típico Real	Valor Típico Emulador	Confianza de Detección
  SesionesCPU afectadasCores:	4-12 núcleos	1-2 núcleos	85%
  RankingRAM Total:	4-16 enGB	1-4 GB	80%
  AccióGPU Vendor	Nvidia/AMD/Intel	Generic/Virtual	90%
  Sensor Count	8-15 sensores	0-3 sensores	95%
  Battery Behavior	Degradación requerida:natural	Valores estáticos	90%

  1.4.3 Location Risks

  Factores de Análisis detalladoGeográfico:

  comprometidosRisks
  Detecció

  Factor de dispositivosRiesgo	Peso en EmulatorScore	Descripción	Método de Validación
  País de Alto Riesgo:	30%	Jurisdicciones problemáticas	Lista FATF + inteligencia
  Velocidad de Viaje	25%	Imposibilidad física	Cálculo de distancia/tiempo
  VPN/Proxy Detection	20%	Servicios de anonimización	IP reputation + características
  GPS Spoofing	15%	Manipulación de emuladorescoordenadas	Consistencia GPS vs IP
  Timezone Inconsistency	10%	Incoherencia temporal	Correlación hora local vs UTC

  Matriz de dispositivosRiesgo utilizadospor para simular hardware legítimo.País/Región:

  147 #2

  Nivel de Riesgo	Países/Regiones	Score Modifier	Verificaciones Adicionales
  SesionesMuy afectadasAlto:	Países sancionados	+300 puntos	Bloqueo automático
  RankingAlto:	Jurisdicciones no cooperativas	+200 puntos	Verificación reforzada
  Moderado	Países en riesgodesarrollo	+100 puntos	Monitoreo adicional
  ImplicacionesBajo	Países desarrollados	+50 puntos	Verificación estándar
  Muy Bajo	Países domésticos/aliados	+0 puntos	Procesamiento normal

  1.4.4 Behavioural Risks

  Dimensiones del Análisis Comportamental:

  Posiblesataquesautomatizados

  Location

  Risks

  Dimensión	Métricas Analizadas	Rango Normal	Umbral de Alerta
  Typing Dynamics	Velocidad, ritmo, pausas	40-120 WPM	<20 o testing>200 maliciosoWPM
  Mouse Patterns	Velocidad, aceleración, clicks	Orgánico	Mecánico/Repetitivo
  Touch Behavior	Presión, área, duración	0.2-0.8 unidades	<0.1 o >0.9
  Navigation Flow	Secuencia, timing, errores	Humano natural	Automatizado
  Session Duration	Tiempo total de actividad	2-45 minutos	<30s o >2 horas

  1.4.5 Link Analysis

  Descripción: Anomalías relacionadas con la ubicación geográficaTipos de losConexiones usuarios.Analizadas:

  • Sesiones
  afectadas:242 Viajesriesgo,detection

  Behavioural

  Risks
  se normalidad

  Tipo Ranking:de #3Conexión	Descripción	Algoritmo de Detección	Peso en riesgoScore Final
  FactoresUser-Device:	Múltiples imposibles,usuarios ubicacionesen demismo altodispositivo	Clustering VPNtemporal	25%
  Device-Network	Dispositivos en mismas redes	Graph analysis	20%
  DescripciónGeo-Temporal:	Ubicaciones/tiempos correlacionados	Space-time clustering	20%
  Behavioral	Patrones de comportamiento quesimilares	Similarity desvíanmetrics	15%
  Transactional	Flujos de latransacciones	Network establecida. flow analysis	20%

  Sesiones afectadas: 512

  • Ranking: #4 en riesgo
  • Análisis: Cambios en patronesMétricas de teclado, mouse, o interacción táctil

  Link Analysis

  DescripciónConectividad: Conexiones sospechosas entre usuarios, dispositivos o ubicaciones.

  • Sesiones
  afectadas:612
  • Ranking:
  #5en riesgo
  • Enfoque: Detección
  organizadas

  Interpretación

  yAccionesde
  Riesgo: Comparar el número de sesiones de riesgo con el total de actividad
  • Distribución geográfica: Identificar regiones problemáticas
  • Correlación temporal: Detectar patrones de tiempo en los ataques

  Acciones Recomendadas:

  1. Revisión inmediata de sesiones con múltiples indicadores de riesgo
  2. Análisis profundo de ubicaciones con alta concentración de actividad fraudulenta
  3. Ajuste de umbrales basado
  observada
  • Implementación
  específicasparalostipos de riesgo más prevalentes

  Métrica	Fórmula	Interpretación	Umbral de redesAlerta
  Clustering Coefficient	3×Triángulos/Triplas	Densidad local de fraudeconexiones	>0.7
  Betweenness AnálisisCentrality	Caminos Tendencias:más cortos	Importancia como intermediario	>0.1
  VolumenPageRank vs.Score	Importancia en la distribucióred	Influencia relativa	>0.01
  Community Modularity	Separación de riesgoscomunidades	Estructura de contramedidasgrupos	<0.3