Métricas Principales (Top Row)

Visión General

Componentes del Dashboard ADO-STS

Descripción Operacional de los Elementos del Dashboard Principal

El Dashboard ~~Principal de~~ ADO-STS ~~actúa~~está ~~como~~estructurado elen ~~centro~~3 desecciones ~~comando~~principales ~~central~~que ~~para el monitoreo integral de la seguridad digital y detección de fraude. Proporciona~~proporcionan una vista ~~panorámica y en tiempo real~~integral del estado de ~~seguridad~~seguridad:

~~organizacional,~~

~~permitiendo~~

SECCIÓN la1: tomaMÉTRICAS PRINCIPALES

Ubicación en Dashboard

Parte superior del dashboard - Cuatro indicadores principales mostrados como tarjetas de ~~decisiones informadas y la respuesta rápida a amenazas emergentes.~~KPIs

Arquitectura1.1 Unique Users Today

¿Qué muestra? Número total de ~~Informació~~usuarios únicos que han iniciado sesión

~~El dashboard está estructurado~~ en ~~múltiples~~el ~~capas~~sistema durante las últimas 24 horas.

¿Para qué sirve?

Monitorear el volumen de ~~información~~actividad diaria de usuarios

Detectar picos anómalos de actividad que sepodrían ~~complementan~~indicar ~~para~~ataques ~~ofrecer~~masivos

~~una~~

Establecer ~~vista~~líneas ~~holística:~~base de actividad normal

¿Cómo interpretarlo?

~~Capa~~Escenario	~~Componente~~Interpretación	~~Propósito~~Acción Requerida
Valor muy bajo	Posible problema técnico o día festivo	Verificar sistema y calendario
Valor normal	Operación estándar según patrones históricos	Continuar monitoreo
Pico súbito	Posible ataque DDoS o evento promocional	Investigar causa y preparar escalamiento

Factores que influyen en esta métrica:

Horarios comerciales y días de la semana

Campañas promocionales o marketing

Eventos especiales o lanzamientos

Ataques coordinados o actividad bot

1.2 Unique Devices Today

¿Qué muestra? Cantidad de dispositivos únicos (identificados por device fingerprint) que han accedido al sistema en las últimas 24 horas.

¿Para qué sirve?

Identificar el uso de múltiples dispositivos por usuario

Detectar device farming (granjas de dispositivos)

Monitorear la diversidad tecnológica de los usuarios

¿Cómo interpretarlo?

Relación Dispositivos/Usuarios	~~Frecuencia~~Significado	Nivel de ~~Actualizació~~Atención
Cerca de 1:1	Usuarios con dispositivo único	Normal
Mayor a 2:1	Uso multi-dispositivo o sharing	Monitoreo adicional
Muy alta (>5:1)	Posible device farming o bots	Investigación inmediata

Lo que nos ayuda a identificar:

Usuarios que comparten dispositivos

Actividad de bots usando múltiples dispositivos emulados

Patrones de uso legítimo multi-dispositivo (BYOD)

1.3 Api Calls T5 min

¿Qué muestra? Número total de llamadas API realizadas al sistema ADO-STS en los últimos 5 minutos.

¿Para qué sirve?

Monitorear la carga del sistema en tiempo real

Detectar picos de actividad automatizada

Evaluar el performance del sistema

¿Cómo interpretarlo?

Volumen de Calls	Estado del Sistema	Acción
0-1,000	Actividad baja	Monitoreo normal
1,001-5,000	Actividad normal	Operación estándar
5,001-15,000	Actividad alta	Monitoreo de capacidad
>15,000	Sobrecarga potencial	Activar auto-scaling

Tipos de llamadas que incluye:

Inicialización de sesiones

Análisis de comportamiento en tiempo real

Evaluaciones de riesgo

Enriquecimiento de datos

1.4 Fraud Attempts Today

¿Qué muestra? Número de intentos de fraude detectados y bloqueados en las últimas 24 horas.

¿Para qué sirve?

Medir la efectividad del sistema de detección

Identificar tendencias de actividad fraudulenta

Evaluar el nivel de amenaza diario

¿Cómo interpretarlo?

Número de Intentos	Evaluación	Consideraciones
0-10	Día tranquilo o excelente detección	Verificar que el sistema esté funcionando
11-50	Actividad fraudulenta normal	Monitoreo estándar
51-200	Actividad alta	Investigar patrones comunes
>200	Posible ataque coordinado	Activar protocolos de emergencia

Lo que cuenta como "intento de fraude":

Sesiones con score de riesgo alto (>800)

Actividad bloqueada automáticamente

Casos confirmados manualmente por analistas

SECCIÓN 2: VISUALIZACIÓN GEOGRÁFICA

Ubicación en Dashboard

Centro del dashboard - Mapa mundial interactivo que ocupa la mayor parte de la pantalla

¿Qué muestra el mapa?

Representación visual de:

Ubicación geográfica de todas las sesiones activas

Distribución global de la actividad del sistema

Concentraciones de riesgo por regiones

Patrones de movimiento anómalos

Elementos visuales en el mapa

Elemento	Descripción	Significado
Puntos de colores	Marcadores en ubicaciones específicas	Sesiones individuales con nivel de riesgo
Densidad de puntos	Concentración de marcadores	Volumen de actividad por zona
Líneas conectoras	Conexiones entre ubicaciones	Posibles viajes imposibles o conexiones sospechosas

¿Para qué sirve?

Análisis geográfico para:

Detectar viajes imposibles: Usuarios que aparecen en ubicaciones muy distantes en poco tiempo

Identificar hotspots de fraude: Concentraciones anómalas de actividad sospechosa

Validar coherencia geográfica: Verificar que la ubicación sea consistente con otros datos

Monitorear actividad global: Tener vista panorámica de la operación mundial

¿Cómo interpretarlo?

Patrones normales:

Distribución uniforme según la base de usuarios

Concentraciones en centros urbanos principales

Actividad coherente con zonas horarias

Patrones anómalos:

Concentraciones súbitas en ubicaciones inusuales

Múltiples sesiones desde coordenadas idénticas

Saltos geográficos imposibles en tiempos cortos

Funcionalidades interactivas

Función	Propósito	Caso de Uso
Zoom	Análisis detallado por región	Investigar actividad específica de una ciudad
Filtros temporales	Ver evolución histórica	Analizar patrones de ataque en el tiempo
Capas de información	Superponer diferentes tipos de datos	Correlacionar riesgo con ubicación

SECCIÓN 3: TOP RISK INDICATORS (ÚLTIMAS 24 HORAS)

Ubicación en Dashboard

Panel lateral derecho - Lista de los principales indicadores de riesgo detectados

¿Qué muestra esta sección?

Lista priorizada de los principales riesgos detectados en las últimas 24 horas, incluyendo:

3.1 Malware Risks

¿Qué detecta? Presencia de software malicioso en los dispositivos de los usuarios que acceden al sistema.

¿Para qué sirve?

Identificar dispositivos comprometidos

Prevenir el uso de credentials robadas

Detectar keyloggers y screen scrapers

¿Cómo se presenta?

Número de dispositivos con malware detectado

Ranking por nivel de peligrosidad

Tipos de malware más frecuentes

Información que proporciona:

Cantidad de detecciones de malware

Tipos específicos encontrados (trojans bancarios, keyloggers, etc.)

Dispositivos afectados y usuarios en riesgo

3.2 Emulator Risks

¿Qué detecta? Dispositivos emulados o virtualizados que pueden estar siendo utilizados para actividades fraudulentas.

¿Para qué sirve?

Detectar device farming automatizado

Identificar bots sofisticados

Prevenir ataques masivos coordinados

¿Cómo se presenta?

Número de emuladores detectados

Nivel de confianza en la detección

Patrones de uso sospechosos

Indicadores que analiza:

Inconsistencias en hardware reportado

Patrones de sensores anómalos

Características de virtualización

3.3 Location Risks

¿Qué detecta? Riesgos asociados con la ubicación geográfica y patrones de movimiento de los usuarios.

¿Para qué sirve?

Detectar viajes imposibles

Identificar ubicaciones de alto riesgo

Validar coherencia geográfica

¿Cómo se presenta?

Número de ubicaciones sospechosas

Casos de viajes imposibles detectados

Concentraciones anómalas por región

Tipos de riesgos que identifica:

Velocidades de viaje físicamente imposibles

Ubicaciones en países de alto riesgo

Inconsistencias entre IP y GPS

Uso de VPNs o proxies para enmascarar ubicación

3.4 Behavioural Risks

¿Qué detecta? Patrones de comportamiento anómalos que no coinciden con el perfil normal del usuario o comportamiento humano típico.

¿Para qué sirve?

Detectar account takeover (toma de cuentas)

Identificar actividad automatizada (bots)

Reconocer cambios súbitos en patrones de uso

¿Cómo se presenta?

Número de anomalías comportamentales

Usuarios con cambios significativos en patrones

Actividad que sugiere automatización

Aspectos que monitorea:

Cambios en velocidad de escritura

Patrones de movimiento del mouse/touch anómalos

Secuencias de navegación inconsistentes

Timing no humano entre acciones

3.5 Link Analysis

¿Qué detecta? Conexiones y relaciones sospechosas entre usuarios, dispositivos, ubicaciones y comportamientos.

¿Para qué sirve?

Identificar redes de fraude organizadas

Detectar dispositivos compartidos sospechosamente

Encontrar patrones ocultos de coordinación

¿Cómo se presenta?

Número de conexiones sospechosas identificadas

Redes de usuarios/dispositivos relacionados

Patrones de coordinación detectados

Tipos de conexiones que analiza:

Múltiples usuarios usando el mismo dispositivo

Dispositivos conectados a las mismas redes WiFi/Bluetooth

Patrones de comportamiento idénticos entre usuarios diferentes

Secuencias de acceso coordinadas temporalmente

Interpretación de cada indicador

Indicador	Valor Normal	Valor de Alerta	Acción Recomendada
Malware Risks	0-5 detecciones/día	>20 detecciones/día	Investigar dispositivos afectados
Emulator Risks	0-10 detecciones/día	>50 detecciones/día	Reforzar validación de dispositivos
Location Risks	0-15 casos/día	>100 casos/día	Revisar reglas geográficas
Behavioural Risks	0-20 anomalías/día	>200 anomalías/día	Ajustar modelos de comportamiento
Link Analysis	0-5 redes/día	>25 redes/día	Investigación de fraude organizado

¿Cómo usar esta información?

Para priorización: Los indicadores se ordenan por:

Número de casos detectados

Nivel de riesgo promedio

Tendencia de crecimiento en las últimas horas

Para investigación: Cada indicador puede expandirse para mostrar:

Casos específicos más relevantes

Detalles de los usuarios/dispositivos afectados

Recomendaciones de acción específicas

Para reportes: Esta sección proporciona un resumen ejecutivo de:

Los principales tipos de amenaza del día

Volumen de cada tipo de riesgo

Tendencias comparativas con días anteriores

Navegación e Interacción

Funcionalidades del Dashboard

Elemento	Interactividad	Propósito
Métricas Principales	~~KPIs~~Click ~~Superiores~~para detalles expandidos	~~Monitoreo~~Ver detendencias ~~volumen~~históricas y ~~actividad~~	~~Tiempo real (30 segundos)~~breakdowns
~~Visualización~~Mapa Geográ~~fica~~fico	~~Mapa~~Zoom, ~~Mundial~~filtros, overlays	~~Distribución~~Análisis geográ~~fica~~fico ~~de riesgos~~	~~Tiempo real (60 segundos)~~detallado
~~Análisis~~Risk ~~de Riesgos~~Indicators	~~Top~~Click ~~Risk~~para ~~Indicators~~lista detallada	~~Priorización~~Investigar decasos ~~amenazas~~	~~Cada 5 minutos~~
~~Tendencias Temporales~~	~~Grá~~específicos ~~de Evolución~~	~~Análisis de patrones históricos~~	~~Cada 15 minutos~~

Métricas

Actualizaciones Principales (KPIs Críticos)

Unique Users Todayautomáticas

~~Definición Técnica~~~~: Conteo de identificadores únicos de usuario (UID) que han generado al menos una sesión válida en las últimas 24 horas~~

~~Matriz de Interpretación de Valores~~:

~~Rango~~Sección	Frecuencia de ~~Usuarios~~Actualización	~~Interpretación~~Indicador ~~Operacional~~	~~Nivel de Alerta~~
~~0-25~~	~~Muy baja actividad - Fuera de horario/Feriado~~	~~🟢 Verde~~	~~Monitoreo pasivo~~
~~26-100~~	~~Baja actividad - Horario no comercial~~	~~🟢 Verde~~	~~Verificar calendario comercial~~
~~101-500~~	~~Actividad normal - Horario comercial estándar~~	~~🟢 Verde~~	~~Operación estándar~~
~~501-1,500~~	~~Alta actividad - Pico comercial/Promociones~~	~~🟡 Amarillo~~	~~Monitoreo de capacidad~~
~~1,501-3,000~~	~~Muy alta actividad - Eventos especiales~~	~~🟠 Naranja~~	~~Activar escalamiento automático~~
~~>3,000~~	~~Actividad crítica - Posible ataque DDoS~~	~~🔴 Rojo~~	~~Protocolo de emergencia~~

~~Factores que Influencian la Métrica~~Visual:

~~Temporales~~~~: Horarios comerciales, días de la semana, estacionalidad~~

~~Comerciales~~~~: Campañas promocionales, lanzamientos de productos~~

~~Técnicos~~~~: Interrupciones de servicio, mantenimientos programados~~

~~Maliciosos~~~~: Ataques de bots, campañas de fraude coordinadas~~

Unique Devices Today

~~Definición Técnica~~~~: Número de huellas digitales únicas de dispositivos (device fingerprints) registradas en interacciones válidas durante 24 horas.~~

~~Análisis de Ratio Dispositivos/Usuarios~~:

~~Ratio D/U~~	~~Escenario Típico~~	~~Nivel de Riesgo~~	~~Investigación Requerida~~
~~0.7-1.0~~	~~Usuarios con dispositivo único estable~~	~~🟢 Muy Bajo~~	~~No requerida~~
~~1.1-1.5~~	~~Usuarios multi-dispositivo legítimos~~	~~🟢 Bajo~~	~~Verificación de patrones BYOD~~
~~1.6-2.5~~	~~Uso intensivo multi-dispositivo~~	~~🟡 Moderado~~	~~Análisis de perfiles de usuario~~
~~2.6-4.0~~	~~Posible sharing no autorizado~~	~~🟠 Alto~~	~~Investigación de políticas de uso~~
~~4.1-8.0~~	~~Probable device farming~~	~~🔴 Muy Alto~~	~~Análisis forense inmediato~~
~~>8.0~~	~~Ataque automatizado confirmado~~	~~🔴 Crítico~~	~~Activación de contramedidas~~

~~Indicadores de Anomalías por Dispositivo~~:

Timestampen

~~Tipo de Anomalía~~	~~Descripción~~	~~Métrica de Detección~~	~~Umbral de Alerta~~
~~Device~~Métricas ~~Velocity~~Principales	~~Nuevos~~Cada ~~dispositivos~~30 ~~por hora~~segundos	~~Devices/hora~~	~~>50~~en ~~dispositivos/hora~~pantalla
~~Geographic~~Mapa ~~Scatter~~Geográfico	~~Dispersión~~Cada ~~geográfica~~60 ~~anómala~~segundos	~~Países~~Pulso ~~únicos~~	~~>10~~nuevos ~~países/hora~~eventos
~~Hardware~~Risk ~~Diversity~~Indicators	~~Diversidad~~Cada 5 minutos	Badge de ~~hardware sospechosa~~	~~Modelos únicos~~	~~>100 modelos/día~~
~~OS Distribution~~	~~Distribución de OS anómala~~	~~Entropía de distribución~~	~~>3.5 bits~~"actualizado"

Interpretación Integral del Dashboard

API¿Qué Callsnos (T5dice -un Últimasdashboard 5 Horas)"saludable"?

~~Definición~~Métricas ~~Técnica~~principales:: ~~Volumen~~Valores ~~total~~dentro de ~~llamadas~~rangos ~~API~~históricos alnormales

~~sistema~~

Mapa geográfico: Distribución esperada según base de ~~detección~~usuarios

Risk ~~fraude,~~indicators: ~~segmentadas~~Números ~~por tipo~~bajos y ~~origen.~~
consistentes
con tendencias históricas

¿Qué nos dice un dashboard "en alerta"?

~~Categorización~~Métricas deprincipales: ~~API~~Picos ~~Calls~~súbitos o valores inusualmente bajos

Mapa geográfico::
Concentraciones anómalas o patrones irregulares

Risk indicators: Incrementos significativos en cualquier categoría

Correlaciones importantes a observar

~~nuevas~~

~~Categoría~~Correlación	~~Porcentaje Típico~~Interpretación	~~Descripció~~Acción	~~Latencia Esperada~~
~~Session~~Alto ~~Initialization~~volumen de users + muchos emulators	~~25-30%~~Posible ataque bot masivo	~~Inicio~~Activar decontramedidas ~~sesiones~~automatizadas
Picos en API calls + location risks	~~<100ms~~Ataques desde múltiples ubicaciones	Revisar reglas geográficas
Behavioral ~~Analysis~~risks + link analysis altos	~~35-45%~~Red organizada de fraude	~~Análisis en tiempo real~~	~~<200ms~~
~~Risk Assessment~~	~~15-20%~~	~~Evaluació~~Investigación deprofunda ~~riesgo~~	~~<150ms~~
~~Data Enrichment~~	~~8-12%~~	~~Enriquecimiento contextual~~	~~<300ms~~
~~Administrative~~	~~2-5%~~	~~Operaciones de gestión~~	~~<500ms~~coordinada

~~Matriz~~ ~~de Performance y Capacidad~~:

~~Volumen API/5h~~	~~Estado del Sistema~~	~~Utilización CPU~~	~~Utilización Memoria~~	~~Acción Requerida~~
~~0-5,000~~	~~Muy bajo~~	~~<20%~~	~~<30%~~	~~Monitoreo normal~~
~~5,001-25,000~~	~~Bajo~~	~~20-40%~~	~~30-50%~~	~~Verificar tendencias~~
~~25,001-75,000~~	~~Normal~~	~~40-65%~~	~~50-70%~~	~~Operación estándar~~
~~75,001-150,000~~	~~Alto~~	~~65-80%~~	~~70-85%~~	~~Preparar escalamiento~~
~~150,001-300,000~~	~~Muy alto~~	~~80-90%~~	~~85-95%~~	~~Activar auto-scaling~~
~~>300,000~~	~~Crítico~~	~~>90%~~	~~>95%~~	~~Protocolo de emergencia~~

Fraud Attempts Today

~~Definición Técnica~~~~: Número de sesiones clasificadas como fraudulentas o altamente sospechosas basadas en scores de riesgo y validación manual.~~

~~Taxonomía de Fraude Detectado~~:

~~Tipo de Fraude~~	~~Score Range~~	~~Confianza~~	~~Acción Automática~~	~~Tiempo de Respuesta~~
~~Account Takeover~~	~~850-1000~~	~~95-99%~~	~~Bloqueo inmediato~~	~~<5 segundos~~
~~Synthetic Identity~~	~~800-950~~	~~85-95%~~	~~Verificación adicional~~	~~<30 segundos~~
~~Device Spoofing~~	~~750-900~~	~~80-90%~~	~~Desafío de autenticación~~	~~<60 segundos~~
~~Behavioral Anomaly~~	~~600-800~~	~~70-85%~~	~~Monitoreo intensivo~~	~~<300 segundos~~
~~Geolocation Fraud~~	~~700-850~~	~~75-90%~~	~~Verificación geográfica~~	~~<120 segundos~~
~~Bot Activity~~	~~900-1000~~	~~90-99%~~	~~Bloqueo CAPTCHA~~	~~<10 segundos~~

Visualización Geográfica Avanzada

Componentes del Mapa Mundial

~~Elementos Visuales y su Significado~~:

~~Elemento Visual~~	~~Color/Forma~~	~~Significado~~	~~Datos Representados~~
~~Puntos Sólidos~~	~~🔴 Rojo~~	~~Fraude confirmado~~	~~Sesiones bloqueadas~~
~~Puntos Sólidos~~	~~🟠 Naranja~~	~~Alta sospecha~~	~~Scores 700-899~~
~~Puntos Sólidos~~	~~🟡 Amarillo~~	~~Sospecha moderada~~	~~Scores 500-699~~
~~Puntos Sólidos~~	~~🔵 Azul~~	~~Actividad legítima~~	~~Scores <500~~
~~Clusters~~	~~🟣 Púrpura~~	~~Concentración anómala~~	~~>10 eventos/km²~~
~~Líneas~~	~~Conectores~~	~~Viajes imposibles~~	~~Velocidad >1000 km/h~~

Análisis de Patrones Geográficos

~~Métricas de Concentración Geográfica~~:

~~Métrica~~	~~Fórmula~~	~~Umbral de Alerta~~	~~Interpretación~~
~~Densidad de Fraude~~	~~Eventos_Fraude / Área_km²~~	~~>5 eventos/100km²~~	~~Hotspot de actividad maliciosa~~
~~Velocidad de Viaje~~	~~Distancia / Tiempo~~	~~>500 km/h~~	~~Imposibilidad física~~
~~Dispersión Temporal~~	~~StdDev(timestamps)~~	~~<60 segundos~~	~~Actividad coordinada~~
~~Entropía Geográfica~~	~~-Σ(p_i * log(p_i))~~	~~<2.0 bits~~	~~Concentración anómala~~

Capacidades Analíticas del Mapa

~~Funcionalidad~~	~~Descripción~~	~~Casos de Uso~~	~~Beneficio Operacional~~
~~Zoom Dinámico~~	~~Análisis desde global a ciudad~~	~~Investigación detallada~~	~~Granularidad contextual~~
~~Filtros Temporales~~	~~Reproducción histórica~~	~~Análisis forense~~	~~Comprensión de evolución~~
~~Overlay de Datos~~	~~Superposición de capas~~	~~Correlación multi-factor~~	~~Análisis holístico~~
~~Heat Mapping~~	~~Mapas de calor de riesgo~~	~~Identificación de hotspots~~	~~Priorización de recursos~~
~~Export Geográfico~~	~~Exportación de coordenadas~~	~~Reportes ejecutivos~~	~~Comunicación de riesgos~~

Top Risk Indicators (Análisis de Riesgos Principales)

Malware Risks

~~Metodología de Detección~~:

~~Técnica de Detección~~	~~Descripción~~	~~Precisión~~	~~Tiempo de Detección~~
~~Signature-based~~	~~Firmas conocidas de malware~~	~~95-99%~~	~~<1 segundo~~
~~Heuristic Analysis~~	~~Comportamiento sospechoso~~	~~80-90%~~	~~1-5 segundos~~
~~Machine Learning~~	~~Patrones anómalos~~	~~85-95%~~	~~2-10 segundos~~
~~Sandbox Analysis~~	~~Ejecución controlada~~	~~90-98%~~	~~10-60 segundos~~
~~Network Behavior~~	~~Comunicaciones maliciosas~~	~~75-85%~~	~~5-30 segundos~~

~~Categorización de Malware~~:

~~Tipo de Malware~~	~~Características~~	~~Riesgo para Fraude~~	~~Contramedidas~~
~~Banking Trojans~~	~~Interceptación de credenciales~~	~~🔴 Crítico~~	~~Bloqueo inmediato + limpieza~~
~~Keyloggers~~	~~Registro de pulsaciones~~	~~🔴 Alto~~	~~Cifrado de comunicaciones~~
~~Screen Scrapers~~	~~Captura de pantalla~~	~~🟠 Alto~~	~~Detección de captura~~
~~Remote Access Tools~~	~~Control remoto~~	~~🔴 Crítico~~	~~Terminación de sesión~~
~~Adware/PUP~~	~~Software no deseado~~	~~🟡 Moderado~~	~~Advertencia al usuario~~

Emulator Risks

~~Técnicas de Detección de Emuladores~~:

~~Método de Detección~~	~~Descripción Técnica~~	~~Efectividad~~	~~Evasión Conocida~~
~~Hardware Fingerprinting~~	~~Análisis de specs de hardware~~	~~90-95%~~	~~Hardware spoofing~~
~~API Response Analysis~~	~~Respuestas de APIs del sistema~~	~~85-90%~~	~~API hooking~~
~~Performance Patterns~~	~~Patrones de rendimiento~~	~~80-85%~~	~~Performance tuning~~
~~Sensor Data~~	~~Datos de sensores físicos~~	~~95-99%~~	~~Sensor simulation~~
~~Resource Utilization~~	~~Uso de recursos del sistema~~	~~75-80%~~	~~Resource masking~~

~~Indicadores de Emulación~~:

~~Indicador~~	~~Valor Típico Real~~	~~Valor Típico Emulador~~	~~Confianza de Detección~~
~~CPU Cores~~	~~4-12 núcleos~~	~~1-2 núcleos~~	~~85%~~
~~RAM Total~~	~~4-16 GB~~	~~1-4 GB~~	~~80%~~
~~GPU Vendor~~	~~Nvidia/AMD/Intel~~	~~Generic/Virtual~~	~~90%~~
~~Sensor Count~~	~~8-15 sensores~~	~~0-3 sensores~~	~~95%~~
~~Battery Behavior~~	~~Degradación natural~~	~~Valores estáticos~~	~~90%~~

Location Risks

~~Factores de Análisis Geográfico~~:

~~Factor de Riesgo~~	~~Peso en Score~~	~~Descripción~~	~~Método de Validación~~
~~País de Alto Riesgo~~	~~30%~~	~~Jurisdicciones problemáticas~~	~~Lista FATF + inteligencia~~
~~Velocidad de Viaje~~	~~25%~~	~~Imposibilidad física~~	~~Cálculo de distancia/tiempo~~
~~VPN/Proxy Detection~~	~~20%~~	~~Servicios de anonimización~~	~~IP reputation + características~~
~~GPS Spoofing~~	~~15%~~	~~Manipulación de coordenadas~~	~~Consistencia GPS vs IP~~
~~Timezone Inconsistency~~	~~10%~~	~~Incoherencia temporal~~	~~Correlación hora local vs UTC~~

~~Matriz de Riesgo por País/Región~~:

~~Nivel de Riesgo~~	~~Países/Regiones~~	~~Score Modifier~~	~~Verificaciones Adicionales~~
~~Muy Alto~~	~~Países sancionados~~	~~+300 puntos~~	~~Bloqueo automático~~
~~Alto~~	~~Jurisdicciones no cooperativas~~	~~+200 puntos~~	~~Verificación reforzada~~
~~Moderado~~	~~Países en desarrollo~~	~~+100 puntos~~	~~Monitoreo adicional~~
~~Bajo~~	~~Países desarrollados~~	~~+50 puntos~~	~~Verificación estándar~~
~~Muy Bajo~~	~~Países domésticos/aliados~~	~~+0 puntos~~	~~Procesamiento normal~~

Behavioural Risks

~~Dimensiones del Análisis Comportamental~~:

~~Dimensión~~	~~Métricas Analizadas~~	~~Rango Normal~~	~~Umbral de Alerta~~
~~Typing Dynamics~~	~~Velocidad, ritmo, pausas~~	~~40-120 WPM~~	~~<20 o >200 WPM~~
~~Mouse Patterns~~	~~Velocidad, aceleración, clicks~~	~~Orgánico~~	~~Mecánico/Repetitivo~~
~~Touch Behavior~~	~~Presión, área, duración~~	~~0.2-0.8 unidades~~	~~<0.1 o >0.9~~
~~Navigation Flow~~	~~Secuencia, timing, errores~~	~~Humano natural~~	~~Automatizado~~
~~Session Duration~~	~~Tiempo total de actividad~~	~~2-45 minutos~~	~~<30s o >2 horas~~

Link Analysis

~~Tipos de Conexiones Analizadas~~:

~~Tipo de Conexión~~	~~Descripción~~	~~Algoritmo de Detección~~	~~Peso en Score Final~~
~~User-Device~~	~~Múltiples usuarios en mismo dispositivo~~	~~Clustering temporal~~	~~25%~~
~~Device-Network~~	~~Dispositivos en mismas redes~~	~~Graph analysis~~	~~20%~~
~~Geo-Temporal~~	~~Ubicaciones/tiempos correlacionados~~	~~Space-time clustering~~	~~20%~~
~~Behavioral~~	~~Patrones de comportamiento similares~~	~~Similarity metrics~~	~~15%~~
~~Transactional~~	~~Flujos de transacciones~~	~~Network flow analysis~~	~~20%~~

~~Métricas de Conectividad~~:

~~Métrica~~	~~Fórmula~~	~~Interpretación~~	~~Umbral de Alerta~~
~~Clustering Coefficient~~	~~3×Triángulos/Triplas~~	~~Densidad local de conexiones~~	~~>0.7~~
~~Betweenness Centrality~~	~~Caminos más cortos~~	~~Importancia como intermediario~~	~~>0.1~~
~~PageRank Score~~	~~Importancia en la red~~	~~Influencia relativa~~	~~>0.01~~
~~Community Modularity~~	~~Separación de comunidades~~	~~Estructura de grupos~~	~~<0.3~~