Módulo Sessions
Manual Técnico - Módulo Sessions
Plataforma ADO-STS (Funcionamiento Real del Sistema)
MÓDULO SESSIONS - ANÁLISIS COMPLETO
1. ARQUITECTURA REAL DEL SISTEMA
1.1 Funcionamiento del SDK y Modelo de Scoring
El sistema ADO-STS opera bajo un modelo de análisis comportamental puro, donde:
- El SDK recolecta datos comportamentales del usuario en tiempo real
- Los modelos de IA procesan esta información y generan un score basado en patrones
- El módulo Sessions recibe datos ya procesados con scores calculados
- Los filtros son para análisis retrospectivo, no para modificar scores en tiempo real
Flujo de Datos Real:
Usuario → SDK (Recolección) → Modelos IA (Análisis) → Score Calculado → Sessions (Visualización)1.2 Principio de Scoring Comportamental
Según la documentación técnica, el score se calcula mediante:
| Componente | Peso | Descripción |
|---|---|---|
| Modelo de Comportamiento del Usuario | 40% | Patrones únicos de interacción |
| Modelos Generales de Comportamiento | 35% | Comparación con patrones conocidos |
| Modelos de Defraudadores Identificados | 25% | Correlación con fraudes confirmados |
Fórmula de Score Integrado:
Score Final = (Comportamiento_Usuario × 0.40) +
(Comportamiento_General × 0.35) +
(Patrones_Fraude × 0.25)2. SISTEMA DE FILTROS REALES
2.1 Device Source (Origen del Dispositivo)
Opciones Disponibles:
| Plataforma | Descripción | Datos Recolectados | Análisis Específico |
|---|---|---|---|
| Android | Dispositivos Android nativos | Hardware fingerprint, permisos, sensores | Root detection, malware analysis |
| iOS | Dispositivos Apple nativos | Device specs, Touch/Face ID, certificados | Jailbreak detection, enterprise certs |
| Web/JavaScript | Navegadores web | Browser fingerprint, plugins, canvas | Bot detection, automation tools |
Propósito del Filtro: Segmentar análisis por tipo de plataforma para identificar patrones específicos de cada ecosistema.
2.2 User Group (Grupo de Usuario)
Categorías Reales:
| Grupo | Descripción | Características | Umbrales de Alerta |
|---|---|---|---|
| Business | Usuarios empresariales/corporativos | Mayor volumen transaccional, horarios comerciales | Score >650 = Revisión |
| Personal | Usuarios individuales/consumidores | Patrones de uso personal, horarios variables | Score >700 = Revisión |
Diferenciación Operacional:
- Business: Tolerancia mayor a volúmenes altos, patrones repetitivos
- Personal: Mayor sensibilidad a cambios de ubicación y horarios
2.3 IP Country (País de IP)
Funcionalidad Real:
- Es un filtro de visualización únicamente
- NO afecta el cálculo del score
- Permite segmentar sesiones por país de origen de la IP
Casos de Uso:
| Propósito | Ejemplo | Beneficio |
|---|---|---|
| Análisis Geográfico | Filtrar sesiones de Colombia vs México | Comparar patrones por país |
| Investigación de Incidentes | Buscar todas las sesiones de IP españolas | Rastrear origen geográfico |
| Reportes Regionales | Generar reporte de actividad por país | Compliance regional |
| Análisis de Tendencias | Comparar fraude entre países | Identificar hotspots |
3. INDICADORES DE RIESGO (INDICATORS)
3.1 Indicadores Principales
Is New Device
Descripción: Detecta si es la primera vez que se registra este dispositivo en el sistema.
| Estado | Significado | Impacto en Análisis | Acciones Típicas |
|---|---|---|---|
| True | Dispositivo nunca visto | Mayor escrutinio requerido | Verificación adicional |
| False | Dispositivo conocido | Análisis estándar | Procesamiento normal |
Metodología de Detección:
- Basado en device fingerprinting único
- Correlación con base de datos histórica
- Persistente a través de reinstalaciones de apps
Is Malware
Descripción: Indica presencia de software malicioso detectado en el dispositivo.
| Nivel | Descripción | Score Impact | Respuesta Automática |
|---|---|---|---|
| Detected | Malware confirmado | +300-500 puntos | Bloqueo inmediato |
| Suspected | Indicadores sospechosos | +150-300 puntos | Verificación adicional |
| Clean | Sin detección | Sin impacto | Procesamiento normal |
Is Emulator Risk
Descripción: Detecta si el dispositivo es un emulador o dispositivo virtual.
Técnicas de Detección:
- Análisis de especificaciones de hardware
- Verificación de sensores físicos
- Patrones de rendimiento del sistema
- Respuestas de APIs del sistema operativo
Is Behavioural Risk
Descripción: Identifica desviaciones en patrones de comportamiento del usuario.
Métricas Analizadas:
| Comportamiento | Rango Normal | Umbral de Riesgo |
|---|---|---|
| Velocidad de Escritura | 40-120 WPM | <20 o >200 WPM |
| Presión Táctil | 0.2-0.8 | <0.1 o >0.9 |
| Patrones de Mouse | Orgánico | Mecánico/Repetitivo |
| Timing de Interacciones | Variable humano | Demasiado consistente |
3.2 Umbrales de Score
Min Score 800
Propósito: Filtrar sesiones con score mínimo de 800 (alta probabilidad de fraude).
| Rango | Clasificación | Probabilidad Fraude | Acción Requerida |
|---|---|---|---|
| 800-849 | Alto Riesgo | 75-85% | Revisión manual inmediata |
| 850-899 | Muy Alto Riesgo | 85-95% | Bloqueo temporal |
| 900-949 | Riesgo Crítico | 95-98% | Bloqueo inmediato |
| 950-1000 | Fraude Confirmado | >98% | Bloqueo permanente |
Min Score 900
Propósito: Filtrar solo las sesiones de máximo riesgo (score ≥900).
Casos de Uso Específicos:
- Investigación de fraudes confirmados
- Análisis de patrones de alta severidad
- Reportes ejecutivos de incidentes críticos
- Evidencia para procesos legales
3.3 Indicadores Geográficos y de Red
Is GPS Enabled
Descripción: Verifica si el GPS está habilitado en el dispositivo.
| Estado GPS | Implicación de Seguridad | Nivel de Riesgo |
|---|---|---|
| Enabled | Ubicación verificable | Bajo |
| Disabled | Posible ocultación de ubicación | Medio |
| Spoofed | Manipulación de coordenadas | Alto |
Is Location Risk
Descripción: Evalúa riesgos asociados con la ubicación geográfica.
Factores de Riesgo:
| Factor | Descripción | Peso en Evaluación |
|---|---|---|
| Velocidad de Viaje | Movimiento físicamente imposible | Alto |
| Países de Riesgo | Jurisdicciones problemáticas | Medio |
| Inconsistencia GPS/IP | Discrepancia entre fuentes | Alto |
| Zonas de Conflicto | Áreas con alta actividad criminal | Medio |
3.4 Análisis de Enlaces y Conexiones
Is Link Analysis
Descripción: Detecta conexiones sospechosas entre usuarios, dispositivos o ubicaciones.
Tipos de Enlaces Analizados:
| Tipo de Enlace | Descripción | Algoritmo |
|---|---|---|
| User-Device | Múltiples usuarios en mismo dispositivo | Clustering temporal |
| Device-Network | Dispositivos en mismas redes WiFi | Graph analysis |
| Behavioral | Patrones de comportamiento similares | ML similarity |
| Geographic | Correlación de ubicaciones | Spatial analysis |
Is Link Analysis 6
Descripción: Análisis de conexiones de sexto grado (6 grados de separación).
Metodología:
- Analiza conexiones hasta 6 niveles de profundidad
- Identifica redes complejas de fraude organizado
- Detecta mulas financieras y cuentas intermediarias
3.5 Indicadores de Usuario y Acceso
Is New IP Country
Descripción: Detecta si es la primera vez que el usuario accede desde este país.
Análisis de Impacto:
| Escenario | Riesgo | Verificación Requerida |
|---|---|---|
| País vecino | Bajo | Verificación estándar |
| Continente diferente | Medio | Verificación adicional |
| País de alto riesgo | Alto | Autenticación reforzada |
| País sancionado | Crítico | Bloqueo automático |
Login By Type
Descripción: Categoriza el método de autenticación utilizado.
| Tipo de Login | Nivel de Seguridad | Riesgo Asociado |
|---|---|---|
| Password | Básico | Medio |
| 2FA/OTP | Alto | Bajo |
| Biometric | Muy Alto | Muy Bajo |
| Social Login | Variable | Medio |
| API Key | Específico | Variable |
Is New User
Descripción: Identifica usuarios recién registrados en la plataforma.
Consideraciones Especiales:
- Mayor tolerancia a patrones "anómalos" iniciales
- Período de aprendizaje comportamental
- Umbrales de riesgo ajustados
- Monitoreo intensivo durante primeras sesiones
4. ESTRUCTURA DE DATOS DE REPORTE
4.1 Columnas Principales de Visualización
COUNTRY (País)
Fuente: Geolocalización de IP de la sesión Formato: Código de país ISO 3166-1 alpha-2 Propósito: Identificación geográfica para análisis y reportes
| Código | País | Uso Típico |
|---|---|---|
| CO | Colombia | Análisis local |
| MX | México | Comparación regional |
| US | Estados Unidos | Benchmark internacional |
| ES | España | Análisis europeo |
DATE (Fecha y Hora)
Formato: YYYY-MM-DD HH:MM:SS (UTC) Propósito: Análisis temporal y correlación de eventos
Componentes de Análisis:
| Componente | Utilidad | Ejemplo |
|---|---|---|
| Fecha | Tendencias diarias | 2025-06-26 |
| Hora | Patrones horarios | 11:55:02 |
| Día de Semana | Patrones semanales | Martes |
| Estacionalidad | Tendencias anuales | Q2 2025 |
SCORE (Puntuación de Riesgo)
Rango: 0-1000 puntos Cálculo: Algoritmo de ML basado en comportamiento Actualización: Tiempo real durante la sesión
Interpretación de Rangos:
| Score | Clasificación | Probabilidad | Acción |
|---|---|---|---|
| 0-199 | Muy Bajo | <5% | Normal |
| 200-399 | Bajo | 5-15% | Monitoreo |
| 400-599 | Moderado | 15-35% | Verificación |
| 600-799 | Alto | 35-70% | Alerta |
| 800-899 | Muy Alto | 70-90% | Bloqueo temporal |
| 900-1000 | Crítico | >90% | Bloqueo inmediato |
USER (Identificador de Usuario)
Formato: Hash protegido para privacidad Ejemplo: UNPROTECTED_117916500 Propósito: Seguimiento de actividad sin exponer identidad real
CSID (Client Session Identifier)
Formato: UUID v4 Ejemplo: cfe31330-31b0-48a4-a2dc-486dbdc0284b Propósito: Correlación con logs de aplicación cliente
Estructura del CSID:
cfe31330 - Timestamp encoded
31b0 - Client identifier
48a4 - Session type
a2dc - Random component
486dbdc0284b - Additional entropy4.2 Métricas de Sesión y Actividad
DURATION (Duración)
Unidad: Segundos Rango Típico: 30-3600 segundos Propósito: Análisis de patrones de uso
Interpretación de Valores:
| Duración | Interpretación | Posible Indicador |
|---|---|---|
| <30s | Ultra rápida | Bot o automatización |
| 30-120s | Rápida | Usuario experimentado |
| 121-900s | Normal | Uso típico |
| 901-3600s | Extendida | Investigación detallada |
| >3600s | Muy larga | Posible account takeover |
BRAND (Marca)
Valores: Identificador de la entidad comercial Propósito: Segmentación por línea de negocio Uso: Análisis comparativo entre marcas
CHANNEL (Canal)
Opciones Reales:
| Canal | Descripción | Características |
|---|---|---|
| Web | Navegador de escritorio | Mouse + teclado |
| Mobile | Aplicación móvil | Touch + sensores |
| API | Integración directa | Automatizada |
ISP (Proveedor de Servicios de Internet)
Descripción: Compañía que proporciona conectividad a internet al usuario
Categorías de ISP:
| Tipo de ISP | Características | Nivel de Confianza | Ejemplo |
|---|---|---|---|
| Tier 1 Carriers | Proveedores principales nacionales | Alto (90-95%) | Telefónica, Claro |
| ISPs Regionales | Proveedores locales legítimos | Alto (85-90%) | ETB, UNE |
| ISPs Móviles | Operadores de telefonía móvil | Medio-Alto (80-85%) | Movistar, Tigo |
| Hosting Providers | Proveedores de servidores | Bajo (40-60%) | AWS, Google Cloud |
| VPN/Proxy Services | Servicios de anonimización | Muy Bajo (10-30%) | NordVPN, ExpressVPN |
| TOR Exit Nodes | Red de anonimato | Crítico (<10%) | Tor Project |
4.3 Información de Dispositivos y Red
KNOWN DEVICE (Dispositivo Conocido)
Tipo: Boolean (True/False) Significado:
- True: Dispositivo previamente registrado
- False: Primera aparición del dispositivo
IP (Dirección IP)
Formato: IPv4 o IPv6 Propósito: Identificación de origen de conexión Análisis: Geolocalización, reputación, tipo de red
Métricas de Edad (Age)
| Métrica | Descripción | Unidad | Interpretación |
|---|---|---|---|
| IP AGE | Tiempo desde primera vez vista esta IP | Días | IP nueva = mayor riesgo |
| IP COUNTRY AGE | Tiempo desde primera vez en este país | Días | País nuevo = mayor riesgo |
| DEVICE AGE | Tiempo desde primer registro del dispositivo | Días | Dispositivo nuevo = mayor riesgo |
| USER AGE | Tiempo desde registro de la cuenta | Días | Usuario nuevo = mayor tolerancia |
USERS ON MUI ID (Usuarios en Dispositivo)
Descripción: Número de usuarios diferentes que han usado este dispositivo Rango Típico: 1-10+ usuarios Análisis de Riesgo:
| Número de Usuarios | Interpretación | Nivel de Riesgo |
|---|---|---|
| 1 | Dispositivo personal | Bajo |
| 2-3 | Dispositivo familiar/compartido | Medio |
| 4-10 | Dispositivo público/compartido | Alto |
| >10 | Posible device farm | Crítico |
4.4 Identificadores Técnicos
CONTEXT (Contexto)
Descripción: Información adicional sobre el contexto de la aplicación Uso: Debugging y correlación con eventos específicos
MUID (Machine User Identifier)
Descripción: Identificador único y persistente del dispositivo Formato: Hash SHA-256 del device fingerprint Persistencia: Mantiene estabilidad a través de reinstalaciones
SID (Session Identifier)
Descripción: Identificador único asignado por el sistema ADO-STS Formato: UUID generado internamente Propósito: Rastreo interno y correlación de eventos
5. CASOS DE USO OPERACIONALES
5.1 Investigación de Account Takeover
Filtros Recomendados:
- Is New Device: True
- Min Score: 800
- User Group: Personal (usuarios más vulnerables)
- Device Source: Cualquiera
- Date Range: Últimas 24 horasAnálisis de Patrones:
- Dispositivos nuevos con scores altos
- Cambios geográficos imposibles
- Patrones de comportamiento inconsistentes
5.2 Detección de Granjas de Dispositivos
Filtros Específicos:
- Is Emulator Risk: True
- Device Source: Android
- IP ISP: Hosting providers
- Users on MUI ID: >5Indicadores Clave:
- Múltiples usuarios por dispositivo
- ISPs de hosting/cloud
- Patrones de comportamiento idénticos
5.3 Análisis de Tendencias por País
Configuración:
- IP Country: País específico
- Date Range: Último mes
- All Context: Complete
- Export: CSV para análisisMétricas de Análisis:
- Distribución de scores por país
- Patrones temporales regionales
- Tipos de dispositivos predominantes
5.4 Monitoreo de Nuevos Usuarios
Filtros de Seguimiento:
- Is New User: True
- User Age: 0-7 días
- Score: Todos los rangos
- Device Source: TodosPropósito:
- Establecer baseline comportamental
- Detectar fraude de registro
- Optimizar experiencia de onboarding
6. MEJORES PRÁCTICAS DE USO
6.1 Optimización de Consultas
| Práctica | Descripción | Beneficio |
|---|---|---|
| Filtros Temporales | Usar rangos de fecha específicos | Mejor performance |
| Filtros Combinados | Combinar múltiples indicadores | Resultados más precisos |
| Export Selectivo | Exportar solo columnas necesarias | Archivos más manejables |
| Análisis Gradual | Comenzar con filtros amplios | Identificación eficiente |
6.2 Interpretación de Resultados
| Escenario | Score Típico | Factores Clave | Acción Recomendada |
|---|---|---|---|
| Usuario Legítimo | 0-400 | Dispositivo conocido, comportamiento consistente | Procesamiento normal |
| Usuario Sospechoso | 400-700 | Algunos indicadores de riesgo | Monitoreo adicional |
| Fraude Probable | 700-900 | Múltiples indicadores | Investigación inmediata |
| Fraude Confirmado | 900-1000 | Todos los indicadores críticos | Bloqueo inmediato |
6.3 Reportes Ejecutivos
Métricas Clave para Reportes:
- Distribución de scores por período
- Tendencias de fraude por país/región
- Efectividad de detección por canal
- ROI de la implementación del sistema
El módulo Sessions proporciona la base analítica para entender patrones de fraude, investigar incidentes específicos y optimizar la efectividad del sistema de detección mediante análisis retrospectivo de datos comportamentales procesados por los modelos de inteligencia artificial.