# Módulo Sessions El **Módulo de Sesiones** constituye el núcleo operacional del sistema ADO-STS, proporcionando una interfaz completa para el monitoreo, análisis y gestión de todas las sesiones de usuario en tiempo real. Este módulo integra datos de múltiples fuentes para ofrecer una vista unificada del comportamiento del usuario y los riesgos asociados. #### Sistema de Filtros Avanzados - Configuración Técnica #### Filtros Primarios (Barra Superior) [![image.png](https://docs.ado-tech.com/uploads/images/gallery/2025-06/scaled-1680-/sI3mY9VJpHxvWHvU-image.png)](https://docs.ado-tech.com/uploads/images/gallery/2025-06/sI3mY9VJpHxvWHvU-image.png)
Filtro TécnicoTipo de DatosDescripción TécnicaInterpretación de UsoAlgoritmo Subyacente
**Brand**Enum de fabricantesFiltrado por marca del dispositivo (Apple, Samsung, Google, etc.)Análisis de patrones por fabricante, detección de cambios abruptos de marcaMatching exacto con base de datos de dispositivos
**User Group**Categoría segmentadaClasificación del tipo de usuario (Business, Personal, Premium, etc.)Segmentación de riesgo por tipo de usuario, aplicación de políticas específicasClasificación basada en metadatos de cuenta
**Device Source**Origen de adquisiciónFuente de donde proviene el dispositivo (Organic, Referral, Direct, etc.)Tracking de procedencia para detectar dispositivos comprometidosAnálisis de cadena de referencia
**IP Country**ISO 3166-1 Alpha-2Código de país basado en geolocalización IPFiltrado geográfico, detección de accesos desde países de riesgoGeoIP database con actualización diaria
**Indicators**Array de flagsTipos específicos de alertas e indicadores de riesgo activadosFiltrado por señales específicas de fraude o comportamiento anómaloBitmap de indicadores con OR lógico
**AI Context**Nivel de procesamientoProfundidad del análisis de IA aplicado (Basic, Standard, Advanced, Deep)Control del nivel de análisis, balance entre precisión y performanceConfiguración de pipelines de ML
**IP ISP**String del proveedorProveedor de servicios de Internet específicoAnálisis por ISP, detección de granjas de bots o proxies comercialesLookup en bases de datos ASN/WHOIS
**MUID**Hash únicoMachine Unique Identifier para búsqueda específicaTracking directo de dispositivos específicosSHA-256 hash de características hardware
**Platform**OS/Browser comboCombinación de sistema operativo y plataforma de accesoAnálisis por plataforma, detección de emuladoresUser-Agent parsing con validación
**UA Device Brand**User-Agent parsingMarca del dispositivo extraída del User-AgentComparación con brand real para detectare spoofingCross-validation entre fuentes
**IP City**Geolocalización granularCiudad específica basada en IP con precisión metropolitanaAnálisis local de patrones, detección micro-geográficaGeoIP con precisión de ciudad (95%+ accuracy)
**Date Range**Timestamp rangeSelector de rango temporal con precisión de minutosAnálisis temporal de tendencias, investigación de incidentesÍndices temporales optimizados
#### Filtros Secundarios (Chips/Tags Contextuales)
Filtro ContextualDescripción TécnicaCasos de UsoImplementación
**IP Location Risk**Evaluación automática del riesgo geográficoAlto/Medio/Bajo basado en historial de fraude de la ubicaciónModelo ML entrenado con datos geográficos de fraude
**User Group Business**Segmentación automática de usuarios corporativosAplicación de políticas específicas para usuarios empresarialesClasificación basada en dominio de email y metadatos
#### Estructura de Columnas - Análisis Técnico Detallado #### Columnas de Identificación y Control
ColumnaTipo de DatoDescripción TécnicaInterpretación de RiesgoAlgoritmo de Análisis
**TRY**Integer (1-∞)Número secuencial de intentos de la sesión>3 intentos indican comportamiento sospechoso, >5 es críticoContador incremental con timeout de reset
**DATE**Timestamp UTCFecha y hora exacta de inicio de sesión con precisión de milisegundosAnálisis de patrones temporales, detección de actividad fuera de horariosÍndice temporal para consultas de rango
**SCORE**Float (0-1000)Puntuación de riesgo calculada por el motor de IA0-199: Bajo, 200-499: Medio, 500-799: Alto, 800+: CríticoEnsemble de 12 modelos ML con weighted average
**USER**Hash/ID únicoIdentificador único del usuario en el sistemaTracking de comportamiento histórico del usuarioHash irreversible de PII
**CSID**UUID v4Client Session Identifier único por sesiónCorrelación de eventos dentro de la misma sesiónUUID generado por cliente, validado por servidor
#### Columnas de Contexto Temporal y Operacional
ColumnaTipo de DatoDescripción TécnicaInterpretación de RiesgoAlgoritmo de Análisis
**DURATION**Integer (segundos)Duración total de la sesión desde inicio hasta último evento<30s o >3600s son anómalos según el tipo de operaciónAnálisis estadístico de distribución temporal
**BRAND**Enum normalizadoMarca del dispositivo normalizada (Apple, Samsung, Xiaomi, etc.)Cambios frecuentes de marca (>1/semana) incrementan scoreAnálisis de estabilidad de dispositivo
**CHANNEL**String categorizadoCanal de acceso (Mobile App, Web, API, etc.)Canales inusuales para el perfil del usuarioAnálisis de consistencia de canal
**CONTEXT**JSON estructuradoInformación contextual adicional de la operaciónLOGIN, LOGOUT, TRANSFER, etc. afectan interpretación del riesgoParsing de contexto operacional
#### Columnas de Análisis de Red e Infraestructura
ColumnaTipo de DatoDescripción TécnicaInterpretación de RiesgoAlgoritmo de Análisis
**ISP**String del proveedorNombre del proveedor de servicios de InternetCambios frecuentes de ISP sin roaming legítimoAnálisis de estabilidad de conectividad
**IP**IPv4/IPv6Dirección IP pública desde la cual se origina la conexiónIPs de TOR, VPN, proxies conocidos incrementan riesgoBlacklists y análisis de reputación IP
**IP AGE**Integer (días)Edad de la primera vez que esta IP fue vista en el sistemaIPs nuevas (edad 0) tienen mayor riesgo inherenteTracking temporal de IPs
**IP COUNTRY**ISO Alpha-2Código de país de dos letras basado en geolocalización IPPaíses en listas de riesgo incrementan score automáticamenteGeoIP con validación de coherencia
#### Columnas de Análisis de Dispositivo y Usuario
ColumnaTipo de DatoDescripción TécnicaInterpretación de RiesgoAlgoritmo de Análisis
**KNOWN DEVICE**Boolean/EnumEstado de reconocimiento del dispositivo (0=Nuevo, 1=Conocido)Dispositivos nuevos requieren verificación adicionalFingerprinting multi-dimensional
**USERS ON DEVICE TW**IntegerNúmero de usuarios únicos que han usado este dispositivo en ventana temporal>1 usuario por dispositivo es indicador de riesgoAnálisis de multiplicidad de usuarios
**DEVICE USED**IntegerNúmero de veces que este dispositivo específico ha sido utilizadoMuy poco uso (<5) o uso excesivo (>100/día) es sospechosoAnálisis de frecuencia de uso
**USER AGE**Integer (días)Antigüedad del usuario en el sistema desde su primer registroUsuarios muy nuevos (<7 días) tienen score de riesgo elevadoCálculo de antigüedad con factor de confianza
#### Columnas de Identificadores Técnicos
ColumnaTipo de DatoDescripción TécnicaInterpretación de RiesgoAlgoritmo de Análisis
**MUID**Hash SHA-256Machine Unique Identifier basado en características hardwareCambios de MUID indican nuevo dispositivo o manipulaciónHashing de componentes hardware únicos
**SID**UUID v4Session Identifier único generado por el sistemaUtilizado para correlación de eventos y debuggingUUID generado server-side
#### Interpretación de Códigos de Color en el Dashboard #### Sistema de Semáforo Visual
ColorRango de ScoreInterpretaciónAcción AutomáticaRevisión Requerida
**Verde**0-299Riesgo Bajo - Comportamiento normalProcesamiento automáticoNo
**Amarillo**300-599Riesgo Medio - Anomalías menores detectadasLogging adicionalRevisión opcional
**Naranja**600-799Riesgo Alto - Múltiples indicadores sospechososVerificación automáticaRevisión recomendada
**Rojo**800-949Riesgo Crítico - Patrón fraudulento probableBloqueo temporalRevisión obligatoria
**Rojo Intenso**950-1000Riesgo Extremo - Fraude casi confirmadoBloqueo inmediatoEscalamiento
#### Funcionalidades Avanzadas del Módulo #### Sistema de Búsqueda y Filtrado **Motor de Búsqueda:** - **Elasticsearch backend** para consultas complejas - **Índices optimizados** por timestamp, score, usuario e IP - **Búsqueda fuzzy** para identificadores parciales - **Agregaciones en tiempo real** para estadísticas dinámicas **Filtros Combinados:** - **Operadores lógicos** (AND, OR, NOT) entre filtros - **Filtros temporales relativos** (última hora, último día, última semana) - **Filtros geográficos** con mapas interactivos - **Filtros por rangos** para scores y métricas numéricas #### Exportación y Reporting
FormatoDescripciónCasos de Uso
**CSV**Datos tabulares para análisis en Excel/PythonAnálisis estadístico offline
**JSON**Estructura completa de datos para integraciónAPIs y sistemas automatizados
**PDF**Reportes formateados para presentaciónDocumentación de incidentes
**Excel**Hojas de cálculo con gráficos automáticosAnálisis ejecutivo
#### Alertas y Notificaciones Configurables **Tipos de Alertas:** - **Threshold alerts** cuando score supera límites configurados - **Pattern alerts** cuando se detectan patrones específicos - **Velocity alerts** cuando aumenta la frecuencia de eventos - **Geographic alerts** para accesos desde ubicaciones inusuales **Canales de Notificación:** - **Email** con plantillas personalizables - **SMS** para alertas críticas - **Webhooks** para integración con sistemas externos - **Dashboard notifications** en tiempo real #### Interpretación de Casos Específicos Observados en el Dashboard [![image.png](https://docs.ado-tech.com/uploads/images/gallery/2025-06/scaled-1680-/ukSCP2vHprsffBcp-image.png)](https://docs.ado-tech.com/uploads/images/gallery/2025-06/ukSCP2vHprsffBcp-image.png) #### Análisis de Sesiones Mostradas **Sesión 1 (Score 935):** - **Interpretación**: Riesgo medio por ser dispositivo nuevo (KNOWN DEVICE = 0) - **Factores**: Apple/JavaScript, BIE channel, IP alemana (98.98.26.149) - **Recomendación**: Monitoreo adicional pero no bloqueo **Sesión 2 (Score 972):** - **Interpretación**: Riesgo crítico - múltiples factores sospechosos - **Factores**: Score muy alto, posible cambio de dispositivo - **Recomendación**: Bloqueo inmediato y revisión manual **Sesión 3 (Score 868):** - **Interpretación**: Riesgo alto - patrón fraudulento probable - **Factores**: Duración 380 segundos (inusual), contexto LOGIN\_LOGIN\_LOGOUT - **Recomendación**: Verificación adicional requerida #### Optimización del Uso del Módulo #### Mejores Prácticas Operacionales 1. **Monitoreo Proactivo**: Revisar scores >600 en tiempo real 2. **Análisis de Tendencias**: Usar filtros temporales para identificar patrones 3. **Correlación de Datos**: Combinar múltiples filtros para investigaciones 4. **Documentación de Casos**: Exportar evidencia para análisis forense #### Configuraciones Recomendadas por Industria **Sector Bancario:** - Threshold de alerta: 400 - Revisión manual obligatoria: 600+ - Bloqueo automático: 800+ **E-commerce:** - Threshold de alerta: 500 - Revisión manual obligatoria: 700+ - Bloqueo automático: 850+ **Sector Gobierno:** - Threshold de alerta: 300 - Revisión manual obligatoria: 500+ - Bloqueo automático: 700+ #### Análisis Relacional #### Grafos de Conexión El sistema visualiza relaciones entre: - **Usuarios → Dispositivos** - **Dispositivos → Ubicaciones** - **Ubicaciones → Redes** - **Redes → ISPs** - **Usuarios → Patrones de Comportamiento** #### Indicadores de Alerta en Análisis Relacional - **Mismo Wi-Fi → Distintos Usuarios**: Posible uso compartido malicioso - **Mismo Patrón de Comportamiento → Distintos Dispositivos**: Posible bot - **Mismos Dispositivos BT → Diferentes Ubicaciones**: Dispositivo móvil sospechoso - **Mismo ISP → Diferentes Cuentas**: Granjas de fraude --- #### Parámetros de Filtrado #### Filtros Temporales
ParámetroOpcionesUso Recomendado
**Date Range**Selector de fechasAnálisis de tendencias y patrones temporales
**Time of Day**Franjas horariasDetección de actividad fuera de horarios normales
#### Filtros Geográficos
ParámetroOpcionesUso Recomendado
**IP Country**Lista de paísesIdentificación de accesos desde países de riesgo
**IP City**Ciudades específicasAnálisis local de patrones
**Location Risk**Alto, Medio, BajoFiltrado por nivel de riesgo geográfico
#### Filtros de Dispositivo
ParámetroOpcionesUso Recomendado
**Device Brand**Apple, Samsung, etc.Análisis por fabricante
**OS Family**iOS, Android, WindowsSegmentación por sistema operativo
**Device Age**Nuevo, Conocido, FrecuenteEstado del dispositivo en el sistema
**Device Source**Orgánico, Referido, etc.Origen del dispositivo
#### Filtros de Red
ParámetroOpcionesUso Recomendado
**ISP**Proveedores específicosAnálisis por proveedor de Internet
**Connection Type**Móvil, Wi-Fi, EthernetTipo de conexión utilizada
**VPN Detection**Sí, No, ProbableIdentificación de uso de VPN
#### Filtros de Comportamiento
ParámetroOpcionesUso Recomendado
**User Behavior**Normal, Sospechoso, AnómaloFiltrado por patrón comportamental
**Session Duration**Rangos de tiempoIdentificación de sesiones atípicas
**Activity Pattern**Múltiples criteriosAnálisis de patrones de actividad
#### Filtros de Riesgo
ParámetroOpcionesUso Recomendado
**Risk Score**Rangos 0-1000Filtrado por nivel de riesgo
**Fraud Indicators**Lista de indicadoresBúsqueda por señales específicas
**Alert Type**Categorías de alertasFiltrado por tipo de alerta
--- #### Casos de Uso y Ejemplos #### Caso 1: Detección de Fraude por Copiar/Pegar DNI **Indicadores Detectados:** - Patrón de escritura: Paste vs Manual typing - Pausas máximas durante el tecleo >2 segundos - Navegación por teclado vs mouse **Interpretación:** Los usuarios legítimos escriben su DNI manualmente, mientras que los fraudadores suelen copiarlo y pegarlo. #### Caso 2: Detección de Dispositivos Robados **Indicadores Clave:** - **Wi-Fi Name**: Cambio abrupto de red doméstica - **BT Sign**: Dispositivos Bluetooth desconocidos - **Location ID**: Nueva ubicación sin patrón de viaje - **New ISP**: Cambio de proveedor de Internet - **SIM Status**: "No SIM detected" - **New Location**: Ubicación nunca antes vista #### Caso 3: Análisis de Usuario Múltiple en Dispositivo **Patrones Detectados:** - Diferentes tamaños de huella dactilar - Variaciones en movimientos del acelerómetro - Pausas máximas en actividad inconsistentes - Múltiples usuarios en ventana de 4 horas #### Caso 4: Detección de Estafas (Account Move Scam) **Indicadores Específicos:** - **Is clean account money transfer**: 98.7% prevalencia en fraude - **Multiple switch phone position ear-eye**: Comportamiento nervioso - **Is new payee**: 98.7% prevalencia en fraude - **Call status during login**: "ON GOING" - llamada activa durante login - **Is senior user**: Target demográfico común para estafas #### Caso 5: Análisis de Edad de Ubicación **Patrón Normal vs Fraudulento:** - **Usuarios Legítimos**: Consistencia en ubicaciones (edad >14 días) - **Sesiones Fraudulentas**: Concentración en ubicaciones nuevas (edad 0-1 días)