Skip to main content

Módulo Sessions

Manual Técnico - Módulo Sessions

Plataforma ADO-STS (Funcionamiento Real del Sistema)

MÓDULO SESSIONS - ANÁLISIS COMPLETO

1. ARQUITECTURA REAL DEL SISTEMA

Propósito1.1 Funcionamiento del SDK y FuncionalidadModelo de Scoring

El sistema ADO-STS opera bajo un modelo de análisis comportamental puro, donde:

  • El SDK recolecta datos comportamentales del usuario en tiempo real
  • Los modelos de IA procesan esta información y generan un score basado en patrones
  • El módulo Sessions proporcionarecibe unadatos vistaya detalladaprocesados con scores calculados
  • Los filtros son para análisis retrospectivo, no para modificar scores en tiempo real

Flujo de Datos Real:

Usuario → SDK (Recolección) → Modelos IA (Análisis) → Score Calculado → Sessions (Visualización)

1.2 Principio de Scoring Comportamental

Según la documentación técnica, el score se calcula mediante:

ComponentePesoDescripción
Modelo de Comportamiento del Usuario40%Patrones únicos de interacción
Modelos Generales de Comportamiento35%Comparación con patrones conocidos
Modelos de Defraudadores Identificados25%Correlación con fraudes confirmados

Fórmula de Score Integrado:

Score Final = (Comportamiento_Usuario × 0.40) + 
              (Comportamiento_General × 0.35) + 
              (Patrones_Fraude × 0.25)

2. SISTEMA DE FILTROS REALES

2.1 Device Source (Origen del Dispositivo)

Opciones Disponibles:

PlataformaDescripciónDatos RecolectadosAnálisis Específico
AndroidDispositivos Android nativosHardware fingerprint, permisos, sensoresRoot detection, malware analysis
iOSDispositivos Apple nativosDevice specs, Touch/Face ID, certificadosJailbreak detection, enterprise certs
Web/JavaScriptNavegadores webBrowser fingerprint, plugins, canvasBot detection, automation tools

Propósito del Filtro: Segmentar análisis por tipo de plataforma para identificar patrones específicos de cada ecosistema.

2.2 User Group (Grupo de Usuario)

Categorías Reales:

GrupoDescripciónCaracterísticasUmbrales de Alerta
BusinessUsuarios empresariales/corporativosMayor volumen transaccional, horarios comercialesScore >650 = Revisión
PersonalUsuarios individuales/consumidoresPatrones de uso personal, horarios variablesScore >700 = Revisión

Diferenciación Operacional:

  • Business: Tolerancia mayor a volúmenes altos, patrones repetitivos
  • Personal: Mayor sensibilidad a cambios de ubicación y filtrablehorarios

2.3 IP Country (País de IP)

Funcionalidad Real:

  • Es un filtro de visualización únicamente
  • NO afecta el cálculo del score
  • Permite segmentar sesiones por país de origen de la IP

Casos de Uso:

enPermitealos específicas,patronesdefraude y realizar análisis forenses detallados.

Navegación e Interfaz

Estructura de Navegación:

Tipos

legítimas:auténticoconcomportamiento
PropósitoEjemploBeneficio
Análisis GeográficoFiltrar sesiones de Colombia vs MéxicoComparar patrones por país
Investigación de IncidentesBuscar todas las sesiones de usuarioIP registradasespañolas Rastrear laorigen plataforma.geográfico
Reportes analistasRegionalesGenerar reporte de seguridadactividad investigarpor actividadespaís Compliance identificarregional
Filtros Personal: Configuraciones de filtrado personalizadas del usuario
  • Filtros Business: Filtros predefinidos para casos de uso empresariales comunes
  • Total de páginas: Navegación paginada para grandes volúmenes de datos

    • Sistema de Filtros Avanzados

    Filtros Principales:

    1. Select Options (Opciones de Selección)

    Funcionalidad: Permite seleccionar múltiples elementos para análisis en lote o acciones masivas.

    • Selección individual de sesiones
    • Selección masiva con checkbox principal
    • Acciones en lote para elementos seleccionados
    2. Indicators (Indicadores)

    Propósito: Filtrado basado en tipos específicos de indicadores de riesgo detectados.

    Categorías disponibles:

    • Indicadores de malware
    • Indicadores de emulación
    • Indicadores de ubicación sospechosa
    • Indicadores de comportamiento anómalo
    • Indicadores de dispositivos comprometidos
    3. Session Type (Tipo de Sesión)

    Clasificación: Categorización de sesiones basada en el resultado del anáAnálisis de fraude.

    Tendencias    		 Comparar disponibles:

    fraude
      entre
    • Sesionespaíses
    		 Identificar Usuariohotspots
    normal
  • Sesiones

    3. sospechosas:INDICADORES ActividadDE que requiere revisión adicional

  • Sesiones fraudulentas: Actividad confirmada como maliciosa
  • Sesiones en revisión: Casos pendientes de análisis manual

    • Filtros de Búsqueda:

    Reporter ID

    Función: Búsqueda por identificador específico del reportero o sistema que generó la alerta.

    • Permite rastrear alertas desde sistemas específicos
    • Útil para análisis de efectividad de diferentes fuentes de detección
    Date RangeRIESGO (Rango de Fechas)

    Capacidades:

    • Selección de períodos específicos
    • Filtros predefinidos (última hora, último día, última semana)
    • Rangos personalizados para análisis históricos
    INDICATORS)

    Columnas3.1 deIndicadores Datos DetalladasPrincipales

    InformaciónIs Temporal:New Device

    CREATE TIME

    Contenido: Timestamp exacto de cuando se creó la sesión.

    • Formato: YYYY-MM-DD HH:MM:SS
    • Zona horaria del servidor
    • Permite análisis temporal de patrones de fraude

    Estados de Análisis:

    FRAUD STATUS

    Valores posibles:

    • Confirmed Fraud: Fraude confirmado por análisis automático o manual
    • Suspected Fraud: Alta probabilidad de fraude, requiere revisión
    • Legitimate: Sesión verificada como auténtica
    • Under Review: En proceso de análisis

    Categorías de Fraude Específicas:

    Las siguientes columnas proporcionan análisis granular de diferentes tipos de fraude:

    ATO FRAUD (Account Takeover)

    Descripción: Detección de intentos de apropiación de cuentas.

    • Indicadores: Login desde nuevos dispositivos/ubicaciones
    • Cambios en patrones de comportamiento
    • Intentos de modificación de credenciales
    CELL THEFT (Robo de Celular)

    Señales:

    • Cambio súbito de ubicación geográfica
    • Nuevo patrón de uso del dispositivo
    • Cambio en redes Wi-Fi habituales
    DIGITAL FRAUD (Fraude Digital)

    Alcance: Actividades fraudulentas específicamente digitales.

    • Manipulación de datos
    • Ataques de ingeniería social digital
    • Uso de herramientas automatizadas
    IS NEW DEVICE (Dispositivo Nuevo)

    Análisis: DeterminaDetecta si es la primera vez que se veregistra este dispositivo.dispositivo en el sistema.

    EstadoSignificadoImpacto en AnálisisAcciones Típicas
    TrueDispositivo nunca vistoMayor escrutinio requeridoVerificación adicional
    FalseDispositivo conocidoAnálisis estándarProcesamiento normal

    Metodología de Detección:

    • Basado en device fingerprinting único
    • Correlación con base de datos histórica
    • Persistente a través de reinstalaciones de apps

    Is Malware

    Descripción: Indica presencia de software malicioso detectado en el dispositivo.

    NivelDescripciónScore ImpactRespuesta Automática
    DetectedMalware confirmado+300-500 puntosBloqueo inmediato
    SuspectedIndicadores sospechosos+150-300 puntosVerificación adicional
    CleanSin detecciónSin impactoProcesamiento normal

    Is Emulator Risk

    Descripción: Detecta si el dispositivo es un emulador o dispositivo virtual.

    Técnicas de Detección:

    • Análisis de huellaespecificaciones digitalde hardware
    • Verificación de sensores físicos
    • Patrones de rendimiento del dispositivosistema
    • Respuestas de APIs del sistema operativo
    OWNER

    Is DEVICEBehavioural (Propietario del Dispositivo)

    Risk

    VerificacióDescripción: ConfirmaIdentifica sidesviaciones elen usuariopatrones actualde escomportamiento eldel propietariousuario.

    legítimo.

    Métricas Analizadas:

    ComportamientoRango NormalUmbral de Riesgo
    Velocidad de Escritura40-120 WPM<20 o >200 WPM
    Presión Táctil0.2-0.8<0.1 o >0.9
    Patrones de MouseOrgánicoMecánico/Repetitivo
    Timing de InteraccionesVariable humanoDemasiado consistente

    3.2 Umbrales de Score

    Min Score 800

    Propósito: Filtrar sesiones con score mínimo de 800 (alta probabilidad de fraude).

    RangoClasificaciónProbabilidad FraudeAcción Requerida
    800-849Alto Riesgo75-85%Revisión manual inmediata
    850-899Muy Alto Riesgo85-95%Bloqueo temporal
    900-949Riesgo Crítico95-98%Bloqueo inmediato
    950-1000Fraude Confirmado>98%Bloqueo permanente

    Min Score 900

    Propósito: Filtrar solo las sesiones de máximo riesgo (score ≥900).

    Casos de Uso Específicos:

    • Investigación de fraudes confirmados
    • Análisis de patrones de comportamientoalta históricosseveridad
    • CorrelaciónReportes con datosejecutivos de registroincidentes críticos
    • Evidencia para procesos legales
    MALWARE

    3.3 FRAUDIndicadores (FraudeGeográficos pory Malware)

    de Red

    Is GPS Enabled

    DeteccióDescripción: PresenciaVerifica si el GPS está habilitado en el dispositivo.

    malicioso.
    Estado GPSImplicación de softwareSeguridad Nivel de Riesgo
    EnabledUbicación verificableBajo
    DisabledPosible ocultación de ubicaciónMedio
    SpoofedManipulación de coordenadasAlto

    Is Location Risk

    Descripción: Evalúa riesgos asociados con la ubicación geográfica.

      Factores

    • de Riesgo:

      FactorDescripciónPeso en Evaluación
      Velocidad de ViajeMovimiento físicamente imposibleAlto
      Países de RiesgoJurisdicciones problemáticasMedio
      Inconsistencia GPS/IPDiscrepancia entre fuentesAlto
      Zonas de ConflictoÁreas con alta actividad criminalMedio

      3.4 Análisis de Enlaces y Conexiones

      Is Link Analysis

      Descripción: Detecta conexiones sospechosas entre usuarios, dispositivos o ubicaciones.

      Tipos de Enlaces Analizados:

      dispositivo sospechosas
      Tipo de EnlaceDescripciónAlgoritmo
      User-DeviceMúltiples usuarios en mismo dispositivoClustering temporal
      Device-NetworkDispositivos en mismas redes WiFiGraph analysis
      BehavioralPatrones de comportamiento delsimilares ML
    • Detecciósimilarity
      • GeographicCorrelación de comunicacionesubicaciones Spatial
    • Identificacióanalysis

      • Is Link Analysis 6

      Descripción: Análisis de modificacionesconexiones node autorizadas

      • sexto
    PHISHINGgrado (Suplantació6 grados de separación)
    .

    IndicadoresMetodología:

    • RedireccionesAnaliza sospechosasconexiones hasta 6 niveles de profundidad
    • EntradaIdentifica redes complejas de credencialesfraude en sitios no legítimosorganizado
    • PatronesDetecta demulas navegaciónfinancieras anómalosy cuentas intermediarias
    REMOTE

    3.5 ACCESSIndicadores FRAUDde (FraudeUsuario pory Acceso

    Remoto)

    Is New IP Country

    SeñalesDescripción: Detecta si es la primera vez que el usuario accede desde este país.

    Análisis de Impacto:

    EscenarioRiesgoVerificación Requerida
    País vecinoBajoVerificación estándar
    Continente diferenteMedioVerificación adicional
    País de alto riesgoAltoAutenticación reforzada
    País sancionadoCríticoBloqueo automático

    Login By Type

    Descripción: Categoriza el método de autenticación utilizado.

    Tipo de LoginNivel de SeguridadRiesgo Asociado
    PasswordBásicoMedio
    2FA/OTPAltoBajo
    BiometricMuy AltoMuy Bajo
    Social LoginVariableMedio
    API KeyEspecíficoVariable

    Is New User

    Descripción: Identifica usuarios recién registrados en la plataforma.

    Consideraciones Especiales:

    • UsoMayor tolerancia a patrones "anómalos" iniciales
    • Período de softwareaprendizaje comportamental
    • Umbrales de accesoriesgo remotoajustados
    • PatronesMonitoreo deintensivo controldurante externos
      • primeras
    • Actividad no interactivasesiones
    SIM
    SWAP

    4. (IntercambioESTRUCTURA DE DATOS DE REPORTE

    4.1 Columnas Principales de SIM)

    Visualización

    COUNTRY (País)

    DeteccióFuente: Geolocalización de IP de la sesión Formato: Código de país ISO 3166-1 alpha-2 Propósito: Identificación geográfica para análisis y reportes

    CódigoPaísUso Típico
    COColombiaAnálisis local
    MXMéxicoComparación regional
    USEstados UnidosBenchmark internacional
    ESEspañaAnálisis europeo

    DATE (Fecha y Hora)

    Formato: YYYY-MM-DD HH:MM:SS (UTC) Propósito: Análisis temporal y correlación de eventos

    Componentes de Análisis:

    ComponenteUtilidadEjemplo
    FechaTendencias diarias2025-06-26
    HoraPatrones horarios11:55:02
    Día de SemanaPatrones semanalesMartes
    EstacionalidadTendencias anualesQ2 2025

    SCORE (Puntuación de Riesgo)

    Rango: 0-1000 puntos Cálculo: Algoritmo de ML basado en comportamiento Actualización: Tiempo real durante la sesión

    Interpretación de Rangos:

    ScoreClasificaciónProbabilidadAcción
    0-199Muy Bajo<5%Normal
    200-399Bajo5-15%Monitoreo
    400-599Moderado15-35%Verificación
    600-799Alto35-70%Alerta
    800-899Muy Alto70-90%Bloqueo temporal
    900-1000Crítico>90%Bloqueo inmediato

    USER (Identificador de Usuario)

    Formato: Hash protegido para privacidad Ejemplo: UNPROTECTED_117916500 Propósito: Seguimiento de actividad sin exponer identidad real

    CSID (Client Session Identifier)

    Formato: UUID v4 Ejemplo: cfe31330-31b0-48a4-a2dc-486dbdc0284b Propósito: Correlación con logs de aplicación cliente

    Estructura del CSID:

    cfe31330 - Timestamp encoded
31b0     - Client identifier
48a4     - Session type
a2dc     - Random component
486dbdc0284b - Additional entropy

    4.2 Métricas de Sesión y Actividad

    DURATION (Duración)

    Unidad: Segundos Rango Típico: 30-3600 segundos Propósito: Análisis de patrones de uso

    Interpretación de Valores:

    DuraciónInterpretaciónPosible Indicador
    <30sUltra rápidaBot o automatización
    30-120sRápidaUsuario experimentado
    121-900sNormalUso típico
    901-3600sExtendidaInvestigación detallada
    >3600sMuy largaPosible account takeover

    BRAND (Marca)

    Valores: Identificador de la entidad comercial Propósito: Segmentación por línea de negocio Uso: Análisis comparativo entre marcas

    CHANNEL (Canal)

    Opciones Reales:

    CanalDescripciónCaracterísticas
    WebNavegador de escritorioMouse + teclado
    MobileAplicación móvilTouch + sensores
    APIIntegración directaAutomatizada

    ISP (Proveedor de Servicios de Internet)

    Descripción: Compañía que proporciona conectividad a internet al usuario

    Categorías de ISP:

    Tipo de ISPCaracterísticasNivel de ConfianzaEjemplo
    Tier 1 CarriersProveedores principales nacionalesAlto (90-95%)Telefónica, Claro
    ISPs RegionalesProveedores locales legítimosAlto (85-90%)ETB, UNE
    ISPs MóvilesOperadores de telefonía móvilMedio-Alto (80-85%)Movistar, Tigo
    Hosting ProvidersProveedores de servidoresBajo (40-60%)AWS, Google Cloud
    VPN/Proxy ServicesServicios de anonimizaciónMuy Bajo (10-30%)NordVPN, ExpressVPN
    TOR Exit NodesRed de anonimatoCrítico (<10%)Tor Project

    4.3 Información de Dispositivos y Red

    KNOWN DEVICE (Dispositivo Conocido)

    Tipo: Boolean (True/False) Significado:

    • CambioTrue: súbitoDispositivo depreviamente operador o númeroregistrado
    • NuevaFalse: informacióPrimera aparición dedel SIM
    • Patrones de uso inconsistentesdispositivo

    InformacióIP (Dirección Contextual:IP)

    SOCIAL ENGINEERING FRAUD (Fraude por Ingeniería Social)

    Formato: IPv4 o IPv6 Propósito: Identificación de origen de conexión Análisis: Geolocalización, reputación, tipo de red

    Métricas de Edad (Age)

    MétricaDescripciónUnidadInterpretación
    IP AGETiempo desde primera vez vista esta IPDíasIP nueva = mayor riesgo
    IP COUNTRY AGETiempo desde primera vez en este paísDíasPaís nuevo = mayor riesgo
    DEVICE AGETiempo desde primer registro del dispositivoDíasDispositivo nuevo = mayor riesgo
    USER AGETiempo desde registro de la cuentaDíasUsuario nuevo = mayor tolerancia

    USERS ON MUI ID (Usuarios en Dispositivo)

    Descripción: Ataques basados en manipulación psicológica.

    • PatronesNúmero de presiónusuarios temporal
      • diferentes
    • Solicitudesque inusualeshan usado este dispositivo Rango Típico: 1-10+ usuarios Análisis de informacióRiesgo:

    • Comportamiento
      • presión
      SESSION
      ID
      Número de UsuariosInterpretación Nivel atípicode bajoRiesgo
      1Dispositivo personalBajo
      2-3Dispositivo familiar/compartidoMedio
      4-10Dispositivo público/compartidoAlto
      >10Posible device farmCrítico

      4.4 Identificadores Técnicos

      CONTEXT (Contexto)

      PropósitoDescripción: Información adicional sobre el contexto de la aplicación Uso: Debugging y correlación con eventos específicos

      MUID (Machine User Identifier)

      Descripción: Identificador único paray rastreopersistente del dispositivo Formato: Hash SHA-256 del device fingerprint Persistencia: Mantiene estabilidad a través de reinstalaciones

      SID (Session Identifier)

      Descripción: Identificador único asignado por el sistema ADO-STS Formato: UUID generado internamente Propósito: Rastreo interno y análisis detallado.

      • Permite correlación conde logseventos

        del
        sistema

        • 5.
      • FacilitaCASOS investigacionesDE forenses
        • USO

      OPERACIONALES
      REPORTER

      5.1 Investigación de Account Takeover

      InformaciónFiltros Recomendados: Sistema o persona que reportó la actividad sospechosa.

      • Fuente
        de
        la
        alerta
        inicial
      • Permite
        aná
    - Is New Device: True
- Min Score: 800
- User Group: Personal (usuarios más vulnerables)
- Device Source: Cualquiera
- Date Range: Últimas 24 horas

    Análisis de efectividad de detectores

    IP ADDRESS

    Datos incluidosPatrones:

    • DirecciónDispositivos IPnuevos públicacon delscores usuarioaltos
    • GeolocalizaciónCambios asociadageográficos imposibles
    • InformaciónPatrones delde ISPcomportamiento inconsistentes

    Funcionalidades5.2 Detección de AnálisisGranjas de Dispositivos

    Paginación

    Filtros yEspecíficos:

    Navegación:

    - Is Emulator Risk: True
- Device Source: Android
- IP ISP: Hosting providers
- Users on MUI ID: >5

    Indicadores Clave:

    • PageMúltiples Size:usuarios Configuraciónpor dispositivo
    • ISPs de elementos por página (500 por defecto)hosting/cloud
    • Navegación: ControlesPatrones de páginacomportamiento anterior/siguiente
    • Índice de página: Indicador de posición actual

    Opciones de Exportación y Reporte:

    • Exportación de datos filtrados
    • Generación de reportes personalizados
    • Integración con sistemas de análisis externosidénticos

    Casos de Uso Comunes

    1. Investigación de Incidentes:

    • Filtrar por Session ID específico
    • Revisar todas las columnas de fraude para un análisis completo
    • Correlacionar con datos de ubicación e IP

    2.5.3 Análisis de Tendencias:

    Tendencias por País

    Configuración:

    - IP Country: País específico
- Date Range: Último mes
- All Context: Complete
- Export: CSV para análisis

    Métricas de Análisis:

    • FiltrarDistribución de scores por rangopaís
    • Patrones temporales regionales
    • Tipos de fechasdispositivos específico
    • Agrupar por tipos de fraude
    • Identificar patrones temporalespredominantes

    3.

    5.4 ValidaciónMonitoreo de Detectores:

    Nuevos Usuarios

    Filtros de Seguimiento:

    - Is New User: True
- User Age: 0-7 días
- Score: Todos los rangos
- Device Source: Todos

    Propósito:

    • FiltrarEstablecer porbaseline Reporter específicocomportamental
    • AnalizarDetectar tasasfraude de verdaderos/falsos positivosregistro
    • Optimizar algoritmosexperiencia de onboarding

    6. MEJORES PRÁCTICAS DE USO

    6.1 Optimización de Consultas

    PrácticaDescripciónBeneficio
    Filtros TemporalesUsar rangos de fecha específicosMejor performance
    Filtros CombinadosCombinar múltiples indicadoresResultados más precisos
    Export SelectivoExportar solo columnas necesariasArchivos más manejables
    Análisis GradualComenzar con filtros ampliosIdentificación eficiente

    6.2 Interpretación de Resultados

    EscenarioScore TípicoFactores ClaveAcción Recomendada
    Usuario Legítimo0-400Dispositivo conocido, comportamiento consistenteProcesamiento normal
    Usuario Sospechoso400-700Algunos indicadores de riesgoMonitoreo adicional
    Fraude Probable700-900Múltiples indicadoresInvestigación inmediata
    Fraude Confirmado900-1000Todos los indicadores críticosBloqueo inmediato

    6.3 Reportes Ejecutivos

    Métricas Clave para Reportes:

    • Distribución de scores por período
    • Tendencias de fraude por país/región
    • Efectividad de detección por canal
    • ROI de la implementación del sistema

    4.

    El Respuestamódulo aSessions Incidentes:

    proporciona
      la
    • Filtrarbase analítica para entender patrones de fraude, investigar incidentes específicos y optimizar la efectividad del sistema de detección mediante análisis retrospectivo de datos comportamentales procesados por IPlos address o dispositivos específicos
    • Identificar alcancemodelos de comprometimiento
      • inteligencia
    • Coordinar respuesta de seguridad
    artificial.

    Back to top