Skip to main content

Módulo Profile

El módulo Profile constituye el núcleo analítico de la plataforma ADO-STS, proporcionando capacidades avanzadas de perfilado de usuarios, análisis forense y gestión de casos de fraude. Este módulo integra múltiples sub-módulos especializados para ofrecer una vista comprehensiva del comportamiento y riesgo asociado con cada usuario.

Sub-módulos Principales

1. Blocklist (Lista de Bloqueo)

Propósito: Gestión centralizada de entidades bloqueadas y de alto riesgo.

Estructura de Datos:

Categorías de Elementos Bloqueados:

  • Usuarios específicos: IDs de usuario confirmados como fraudulentos
  • Dispositivos comprometidos: Hardware identificado como malicioso
  • Direcciones IP maliciosas: Fuentes de tráfico fraudulento
  • Rangos de red sospechosos: Subredes con alta concentración de fraude
  • Tokens de sesión comprometidos: Sesiones hijacked o maliciosas
Funcionalidades de Gestión:

Interfaz de Filtros:

  • Category: Filtrado por tipo de elemento (Usuario, IP, Dispositivo, etc.)
  • All: Vista consolidada de todos los elementos bloqueados
  • Show Active Only: Toggle para mostrar solo elementos actualmente activos

Campos de Información Detallada:

  • VALUE: El identificador específico bloqueado
  • TIME SINCE CREATED: Antigüedad del bloqueo
  • FIRST FRAUD TIMESTAMP: Primera detección de actividad fraudulenta
  • LAST FRAUD TIMESTAMP: Actividad fraudulenta más reciente
  • IS ACTIVE: Estado actual del bloqueo
  • IS AUTOMATIC: Si fue bloqueado automáticamente o manualmente
  • FRAUD SESSIONS COUNT: Número total de sesiones fraudulentas
  • FRAUD USERS COUNT: Número de usuarios afectados
  • PERCENT OF POPULATION: Prevalencia en la población total
  • USER: Usuario que agregó el elemento a la blocklist
  • CREATED AT: Timestamp de creación del bloqueo
  • UPDATED AT: Última modificación del registro
  • ACTIONS: Operaciones disponibles (editar, eliminar, investigar)
Casos de Uso de Blocklist:
  1. Respuesta a Incidentes: Bloqueo inmediato de elementos comprometidos
  2. Prevención Proactiva: Adición de indicadores de threat intelligence
  3. Análisis de Tendencias: Evaluación de efectividad de bloqueos
  4. Gestión de Falsos Positivos: Remoción de elementos incorrectamente bloqueados

2. Fraud Cases (Casos de Fraude)

Propósito: Gestión integral del ciclo de vida de casos de fraude confirmados.

Workflow de Casos:

Estados de Casos:

  • New: Caso recién detectado, pendiente de triaje
  • Under Investigation: En proceso de análisis detallado
  • Confirmed Fraud: Fraude validado, requiere acción
  • False Positive: Determinado como actividad legítima
  • Resolved: Caso cerrado con acciones completadas
  • Escalated: Transferido a equipos especializados

Información de Casos:

  • Case ID: Identificador único del caso
  • Severity Level: Criticidad basada en impacto y riesgo
  • Affected Users: Usuarios impactados por el fraude
  • Financial Impact: Pérdidas económicas asociadas
  • Evidence Collection: Artefactos digitales recolectados
  • Timeline: Cronología detallada de eventos
  • Assigned Analyst: Responsable de la investigación
  • Related Cases: Casos conectados o similares
Herramientas de Análisis:

Correlation Engine:

  • Identificación automática de casos relacionados
  • Análisis de patrones comunes entre casos
  • Detección de campañas coordinadas de fraude

Evidence Management:

  • Almacenamiento seguro de evidencia digital
  • Cadena de custodia para procesos legales
  • Exportación de evidencia en formatos estándar

3. Fraud History (Historial de Fraude)

Propósito: Repositorio histórico completo de todas las actividades fraudulentas detectadas.

Base de Datos Histórica:

Métricas Temporales:

  • Daily Fraud Rates: Tasas diarias de detección de fraude
  • Weekly Trends: Tendencias semanales y estacionales
  • Monthly Summaries: Resúmenes mensuales con análisis de patrones
  • Yearly Comparisons: Análisis interanuales de evolución

Categorización Histórica:

  • Fraud Types: Distribución por tipos de fraude a lo largo del tiempo
  • Attack Vectors: Evolución de métodos de ataque
  • Geographic Distribution: Cambios en distribución geográfica
  • Device Trends: Evolución en tipos de dispositivos utilizados
Análisis Predictivo:

Machine Learning Models:

  • Predicción de picos de fraude basada en datos históricos
  • Identificación de patrones estacionales
  • Análisis de efectividad de contramedidas implementadas

Reporting Capabilities:

  • Generación automática de reportes periódicos
  • Dashboards ejecutivos con KPIs clave
  • Alertas basadas en desviaciones históricas

4. Graph (Análisis de Grafos)

Propósito: Visualización y análisis de relaciones complejas entre usuarios, dispositivos, ubicaciones y actividades.

Visualización de Redes:

Tipos de Nodos:

  • User Nodes: Representan usuarios individuales
  • Device Nodes: Dispositivos únicos en la red
  • Location Nodes: Ubicaciones geográficas
  • IP Nodes: Direcciones IP específicas
  • Session Nodes: Sesiones individuales

Tipos de Conexiones:

  • Shared Device: Usuarios que comparten dispositivos
  • Shared Network: Dispositivos en la misma red
  • Similar Behavior: Patrones de comportamiento similares
  • Temporal Proximity: Actividades en tiempos cercanos
  • Geolocation Overlap: Superposición de ubicaciones
Engine de Análisis Relacional:

Algoritmos de Detección:

  • Community Detection: Identificación de grupos relacionados
  • Anomaly Detection: Detección de conexiones anómalas
  • Centrality Analysis: Identificación de nodos centrales en redes de fraude
  • Path Analysis: Trazado de rutas de propagación de fraude

Casos de Uso del Graph Analysis:

  1. Detección de Redes de Fraude: Identificación de grupos organizados
  2. Account Takeover Chains: Rastreo de compromisos en cadena
  3. Mule Account Detection: Identificación de cuentas utilizadas para lavado
  4. Social Engineering Networks: Detección de campañas coordinadas
Herramientas de Filtrado y Análisis:

Filtros Avanzados:

  • Filters: Panel izquierdo con opciones de filtrado
    • By Node Type: Filtrar por tipo de nodo (usuario, dispositivo, etc.)
    • By Connection Strength: Intensidad de las relaciones
    • By Time Range: Período temporal específico
    • By Risk Score: Nivel de riesgo de los nodos

Controles de Visualización:

  • Period: Selector temporal para análisis histórico
  • Show: Opciones de qué elementos mostrar en el grafo
  • Reset: Botón para resetear filtros y vista
Análisis de la Visualización:

Interpretación de Patrones:

  • Clusters Densos: Posibles redes organizadas de fraude
  • Nodos Centrales: Usuarios o dispositivos que actúan como hubs
  • Conexiones Anómalas: Relaciones inesperadas que requieren investigación
  • Isolated Nodes: Actividades fraudulentas independientes

Código de Colores:

  • Rojo: Nodos confirmados como fraudulentos
  • Naranja: Nodos sospechosos bajo investigación
  • Azul: Nodos legítimos pero conectados a actividad sospechosa
  • Verde: Nodos confirmados como legítimos
  • Gris: Nodos sin clasificación definida

Funcionalidades Integradas del Módulo Profile

Análisis Cross-Module:

Correlación de Datos: El módulo Profile integra información de todos los sub-módulos para proporcionar una vista holística:

  • Correlación entre elementos en blocklist y casos activos
  • Análisis temporal entre historial de fraude y detecciones actuales
  • Mapeo de relaciones del grafo con casos específicos

Herramientas de Investigación:

Drill-Down Capabilities:

  • Navegación desde el grafo hacia casos específicos
  • Acceso directo a historial detallado desde casos actuales
  • Links bidireccionales entre todos los módulos

Gestión de Configuración:

User Profile Management:

  • Change Password: Funcionalidad de cambio de contraseña
  • User Permissions: Gestión de permisos por módulo
  • Logout: Cierre seguro de sesión

Video Reconstruction y Análisis Forense

Capacidades de Reconstrucción:

Video Replay: El sistema puede reconstruir sesiones de usuario para análisis forense:

  • Summary: Vista general de la sesión
  • Risks: Indicadores de riesgo identificados
  • History: Cronología detallada de eventos
  • Video Reconstruction: Replay visual de la sesión
  • Events: Log detallado de todas las acciones
  • Video Events: Eventos específicos capturados en video
  • Link Analysis: Conexiones identificadas durante la sesión
  • Map Data: Información geográfica de la sesión
  • Review: Herramientas de análisis y anotación

Análisis de Riesgos Detallados:

Device Risks (Riesgos del Dispositivo):
  • Unknown device: Dispositivo no reconocido en la base de datos
  • Active malware (99): 99 indicadores activos de malware
  • Suspicious device characteristics: Características anómalas del hardware
  • Device properties consistency for identity: Consistencia de propiedades para verificación
  • Emulator: Detección de emulación de dispositivo
  • Bot: Indicadores de actividad automatizada
  • Identities accessed by this device: Múltiples identidades desde el mismo dispositivo
  • Device is in blocklist: Dispositivo previamente bloqueado
  • VPN: Uso de VPN detectado
  • VPN installed?: Software de VPN instalado
  • Compromised Device: Dispositivo comprometido confirmado
  • Remote Access: Acceso remoto detectado
  • Rooted Device: Dispositivo con root/jailbreak
Location Risks (Riesgos de Ubicación):
  • Unknown location for identity: Nueva ubicación para este usuario
  • Suspicious location attributes: Características geográficas sospechosas
  • Location change velocity: Velocidad de cambio de ubicación implausible
  • Location is in blacklist: Ubicación en lista negra
  • GPS enabled?: Estado del GPS del dispositivo
  • New IP country?: Nuevo país de origen de IP
  • GPS location mismatch: Inconsistencia entre GPS e IP geolocation
Behavioural Risks (Riesgos Comportamentales):
  • Risky keyboard event: Patrones de teclado anómalos
  • Risky mouse event: Comportamiento de mouse sospechoso
  • Use of autocomplete: Uso atípico de autocompletado

Integración y Workflows

Workflow Típico de Investigación:

  1. Alert Generation: Sistema detecta actividad sospechosa
  2. Case Creation: Se crea automáticamente un caso en Fraud Cases
  3. Graph Analysis: Se analiza el contexto relacional en Graph
  4. Historical Review: Se consulta Fraud History para patrones
  5. Blocklist Update: Se actualizan bloqueos según hallazgos
  6. Video Reconstruction: Se analiza la sesión detalladamente
  7. Case Resolution: Se cierra el caso con acciones apropiadas

Integraciones Externas:

SIEM Integration: Envío de alertas a sistemas de monitoreo corporativo Threat Intelligence: Actualización automática de blocklists con feeds externos Legal Compliance: Exportación de evidencia en formatos requeridos por regulaciones

Back to top