Módulo Sessions

El sistema ADO-STS opera bajo un modelo de análisis comportamental puro, donde:

• El SDK recolecta datos comportamentales del usuario en tiempo real
• Los modelos de IA procesan esta información y generan un score basado en patrones
• El módulo Sessions recibe datos ya procesados con scores calculados
• Los filtros son para análisis retrospectivo, no para modificar scores en tiempo real

Flujo de Datos Real:

Usuario → SDK (Recolección) → Modelos IA (Análisis) → Score Calculado → Sessions (Visualización)

1.2 Principio de Scoring Comportamental

Según la documentación técnica, el score se calcula mediante:

Componente	Peso	Descripción
Modelo de Comportamiento del Usuario	40%	Patrones únicos de interacción
Modelos Generales de Comportamiento	35%	Comparación con patrones conocidos
Modelos de Defraudadores Identificados	25%	Correlación con fraudes confirmados

Fórmula de Score Integrado:

Score Final = (Comportamiento_Usuario × 0.40) + 
              (Comportamiento_General × 0.35) + 
              (Patrones_Fraude × 0.25)

---

2. SISTEMA DE FILTROS REALES

2.1 Device Source (Origen del Dispositivo)

Opciones Disponibles:

Plataforma	Descripción	Datos Recolectados	Análisis Específico
Android	Dispositivos Android nativos	Hardware fingerprint, permisos, sensores	Root detection, malware analysis
iOS	Dispositivos Apple nativos	Device specs, Touch/Face ID, certificados	Jailbreak detection, enterprise certs
Web/JavaScript	Navegadores web	Browser fingerprint, plugins, canvas	Bot detection, automation tools

Propósito del Filtro: Segmentar análisis por tipo de plataforma para identificar patrones específicos de cada ecosistema.

2.2 User Group (Grupo de Usuario)

Categorías Reales:

Grupo	Descripción	Características	Umbrales de Alerta
Business	Usuarios empresariales/corporativos	Mayor volumen transaccional, horarios comerciales	Score >650 = Revisión
Personal	Usuarios individuales/consumidores	Patrones de uso personal, horarios variables	Score >700 = Revisión

Diferenciación Operacional:

• Business: Tolerancia mayor a volúmenes altos, patrones repetitivos
• Personal: Mayor sensibilidad a cambios de ubicación y horarios

2.3 IP Country (País de IP)

Funcionalidad Real:

• Es un filtro de visualización únicamente
• NO afecta el cálculo del score
• Permite segmentar sesiones por país de origen de la IP

Casos de Uso:

Propósito	Ejemplo	Beneficio
Análisis Geográfico	Filtrar sesiones de Colombia vs México	Comparar patrones por país
Investigación de Incidentes	Buscar todas las sesiones de IP españolas	Rastrear origen geográfico
Reportes Regionales	Generar reporte de actividad por país	Compliance regional
Análisis de Tendencias	Comparar fraude entre países	Identificar hotspots

---

3. INDICADORES DE RIESGO (INDICATORS)

3.1 Indicadores Principales

Is New Device

Descripción: Detecta si es la primera vez que se registra este dispositivo en el sistema.

Estado	Significado	Impacto en Análisis	Acciones Típicas
True	Dispositivo nunca visto	Mayor escrutinio requerido	Verificación adicional
False	Dispositivo conocido	Análisis estándar	Procesamiento normal

Metodología de Detección:

• Basado en device fingerprinting único
• Correlación con base de datos histórica
• Persistente a través de reinstalaciones de apps

Is Malware

Descripción: Indica presencia de software malicioso detectado en el dispositivo.

Nivel	Descripción	Score Impact	Respuesta Automática
Detected	Malware confirmado	+300-500 puntos	Bloqueo inmediato
Suspected	Indicadores sospechosos	+150-300 puntos	Verificación adicional
Clean	Sin detección	Sin impacto	Procesamiento normal

Is Emulator Risk

Descripción: Detecta si el dispositivo es un emulador o dispositivo virtual.

Técnicas de Detección:

• Análisis de especificaciones de hardware
• Verificación de sensores físicos
• Patrones de rendimiento del sistema
• Respuestas de APIs del sistema operativo

Is Behavioural Risk

Descripción: Identifica desviaciones en patrones de comportamiento del usuario.

Métricas Analizadas:

Comportamiento	Rango Normal	Umbral de Riesgo
Velocidad de Escritura	40-120 WPM	<20 o >200 WPM
Presión Táctil	0.2-0.8	<0.1 o >0.9
Patrones de Mouse	Orgánico	Mecánico/Repetitivo
Timing de Interacciones	Variable humano	Demasiado consistente

3.2 Umbrales de Score

Min Score 800

Propósito: Filtrar sesiones con score mínimo de 800 (alta probabilidad de fraude).

Rango	Clasificación	Probabilidad Fraude	Acción Requerida
800-849	Alto Riesgo	75-85%	Revisión manual inmediata
850-899	Muy Alto Riesgo	85-95%	Bloqueo temporal
900-949	Riesgo Crítico	95-98%	Bloqueo inmediato
950-1000	Fraude Confirmado	>98%	Bloqueo permanente

Min Score 900

Propósito: Filtrar solo las sesiones de máximo riesgo (score ≥900).

Casos de Uso Específicos:

• Investigación de fraudes confirmados
• Análisis de patrones de alta severidad
• Reportes ejecutivos de incidentes críticos
• Evidencia para procesos legales

3.3 Indicadores Geográficos y de Red

Is GPS Enabled

Descripción: Verifica si el GPS está habilitado en el dispositivo.

Estado GPS	Implicación de Seguridad	Nivel de Riesgo
Enabled	Ubicación verificable	Bajo
Disabled	Posible ocultación de ubicación	Medio
Spoofed	Manipulación de coordenadas	Alto

Is Location Risk

Descripción: Evalúa riesgos asociados con la ubicación geográfica.

Factores de Riesgo:

Factor	Descripción	Peso en Evaluación
Velocidad de Viaje	Movimiento físicamente imposible	Alto
Países de Riesgo	Jurisdicciones problemáticas	Medio
Inconsistencia GPS/IP	Discrepancia entre fuentes	Alto
Zonas de Conflicto	Áreas con alta actividad criminal	Medio

3.4 Análisis de Enlaces y Conexiones

Is Link Analysis

Descripción: Detecta conexiones sospechosas entre usuarios, dispositivos o ubicaciones.

Tipos de Enlaces Analizados:

Tipo de Enlace	Descripción	Algoritmo
User-Device	Múltiples usuarios en mismo dispositivo	Clustering temporal
Device-Network	Dispositivos en mismas redes WiFi	Graph analysis
Behavioral	Patrones de comportamiento similares	ML similarity
Geographic	Correlación de ubicaciones	Spatial analysis

Is Link Analysis 6

Descripción: Análisis de conexiones de sexto grado (6 grados de separación).

Metodología:

• Analiza conexiones hasta 6 niveles de profundidad
• Identifica redes complejas de fraude organizado
• Detecta mulas financieras y cuentas intermediarias

3.5 Indicadores de Usuario y Acceso

Is New IP Country

Descripción: Detecta si es la primera vez que el usuario accede desde este país.

Análisis de Impacto:

Escenario	Riesgo	Verificación Requerida
País vecino	Bajo	Verificación estándar
Continente diferente	Medio	Verificación adicional
País de alto riesgo	Alto	Autenticación reforzada
País sancionado	Crítico	Bloqueo automático

Login By Type

Descripción: Categoriza el método de autenticación utilizado.

Tipo de Login	Nivel de Seguridad	Riesgo Asociado
Password	Básico	Medio
2FA/OTP	Alto	Bajo
Biometric	Muy Alto	Muy Bajo
Social Login	Variable	Medio
API Key	Específico	Variable

Is New User

Descripción: Identifica usuarios recién registrados en la plataforma.

Consideraciones Especiales:

• Mayor tolerancia a patrones "anómalos" iniciales
• Período de aprendizaje comportamental
• Umbrales de riesgo ajustados
• Monitoreo intensivo durante primeras sesiones

---

4. ESTRUCTURA DE DATOS DE REPORTE

4.1 Columnas Principales de Visualización

COUNTRY (País)

Fuente: Geolocalización de IP de la sesión Formato: Código de país ISO 3166-1 alpha-2 Propósito: Identificación geográfica para análisis y reportes

Código	País	Uso Típico
CO	Colombia	Análisis local
MX	México	Comparación regional
US	Estados Unidos	Benchmark internacional
ES	España	Análisis europeo

DATE (Fecha y Hora)

Formato: YYYY-MM-DD HH:MM:SS (UTC) Propósito: Análisis temporal y correlación de eventos

Componentes de Análisis:

Componente	Utilidad	Ejemplo
Fecha	Tendencias diarias	2025-06-26
Hora	Patrones horarios	11:55:02
Día de Semana	Patrones semanales	Martes
Estacionalidad	Tendencias anuales	Q2 2025

SCORE (Puntuación de Riesgo)

Rango: 0-1000 puntos Cálculo: Algoritmo de ML basado en comportamiento Actualización: Tiempo real durante la sesión

Interpretación de Rangos:

Score	Clasificación	Probabilidad	Acción
0-199	Muy Bajo	<5%	Normal
200-399	Bajo	5-15%	Monitoreo
400-599	Moderado	15-35%	Verificación
600-799	Alto	35-70%	Alerta
800-899	Muy Alto	70-90%	Bloqueo temporal
900-1000	Crítico	>90%	Bloqueo inmediato

USER (Identificador de Usuario)

Formato: Hash protegido para privacidad Ejemplo: UNPROTECTED_117916500 Propósito: Seguimiento de actividad sin exponer identidad real

CSID (Client Session Identifier)

Formato: UUID v4 Ejemplo: cfe31330-31b0-48a4-a2dc-486dbdc0284b Propósito: Correlación con logs de aplicación cliente

Estructura del CSID:

cfe31330 - Timestamp encoded
31b0     - Client identifier
48a4     - Session type
a2dc     - Random component
486dbdc0284b - Additional entropy

4.2 Métricas de Sesión y Actividad

DURATION (Duración)

Unidad: Segundos Rango Típico: 30-3600 segundos Propósito: Análisis de patrones de uso

Interpretación de Valores:

Duración	Interpretación	Posible Indicador
<30s	Ultra rápida	Bot o automatización
30-120s	Rápida	Usuario experimentado
121-900s	Normal	Uso típico
901-3600s	Extendida	Investigación detallada
>3600s	Muy larga	Posible account takeover

BRAND (Marca)

Valores: Identificador de la entidad comercial Propósito: Segmentación por línea de negocio Uso: Análisis comparativo entre marcas

CHANNEL (Canal)

Opciones Reales:

Canal	Descripción	Características
Web	Navegador de escritorio	Mouse + teclado
Mobile	Aplicación móvil	Touch + sensores
API	Integración directa	Automatizada

ISP (Proveedor de Servicios de Internet)

Descripción: Compañía que proporciona conectividad a internet al usuario

Categorías de ISP:

Tipo de ISP	Características	Nivel de Confianza	Ejemplo
Tier 1 Carriers	Proveedores principales nacionales	Alto (90-95%)	Telefónica, Claro
ISPs Regionales	Proveedores locales legítimos	Alto (85-90%)	ETB, UNE
ISPs Móviles	Operadores de telefonía móvil	Medio-Alto (80-85%)	Movistar, Tigo
Hosting Providers	Proveedores de servidores	Bajo (40-60%)	AWS, Google Cloud
VPN/Proxy Services	Servicios de anonimización	Muy Bajo (10-30%)	NordVPN, ExpressVPN
TOR Exit Nodes	Red de anonimato	Crítico (<10%)	Tor Project

4.3 Información de Dispositivos y Red

KNOWN DEVICE (Dispositivo Conocido)

Tipo: Boolean (True/False) Significado:

• True: Dispositivo previamente registrado
• False: Primera aparición del dispositivo

IP (Dirección IP)

Formato: IPv4 o IPv6 Propósito: Identificación de origen de conexión Análisis: Geolocalización, reputación, tipo de red

Métricas de Edad (Age)

Métrica	Descripción	Unidad	Interpretación
IP AGE	Tiempo desde primera vez vista esta IP	Días	IP nueva = mayor riesgo
IP COUNTRY AGE	Tiempo desde primera vez en este país	Días	País nuevo = mayor riesgo
DEVICE AGE	Tiempo desde primer registro del dispositivo	Días	Dispositivo nuevo = mayor riesgo
USER AGE	Tiempo desde registro de la cuenta	Días	Usuario nuevo = mayor tolerancia

USERS ON MUI ID (Usuarios en Dispositivo)

Descripción: Número de usuarios diferentes que han usado este dispositivo Rango Típico: 1-10+ usuarios Análisis de Riesgo:

Número de Usuarios	Interpretación	Nivel de Riesgo
1	Dispositivo personal	Bajo
2-3	Dispositivo familiar/compartido	Medio
4-10	Dispositivo público/compartido	Alto
>10	Posible device farm	Crítico

4.4 Identificadores Técnicos

CONTEXT (Contexto)

Descripción: Información adicional sobre el contexto de la aplicación Uso: Debugging y correlación con eventos específicos

MUID (Machine User Identifier)

Descripción: Identificador único y persistente del dispositivo Formato: Hash SHA-256 del device fingerprint Persistencia: Mantiene estabilidad a través de reinstalaciones

SID (Session Identifier)

Descripción: Identificador único asignado por el sistema ADO-STS Formato: UUID generado internamente Propósito: Rastreo interno y correlación de eventos

---

5. CASOS DE USO OPERACIONALES

5.1 Investigación de Account Takeover

Filtros Recomendados:

- Is New Device: True
- Min Score: 800
- User Group: Personal (usuarios más vulnerables)
- Device Source: Cualquiera
- Date Range: Últimas 24 horas

Análisis de Patrones:

• Dispositivos nuevos con scores altos
• Cambios geográficos imposibles
• Patrones de comportamiento inconsistentes

5.2 Detección de Granjas de Dispositivos

Filtros Específicos:

- Is Emulator Risk: True
- Device Source: Android
- IP ISP: Hosting providers
- Users on MUI ID: >5

Indicadores Clave:

• Múltiples usuarios por dispositivo
• ISPs de hosting/cloud
• Patrones de comportamiento idénticos

5.3 Análisis de Tendencias por País

Configuración:

- IP Country: País específico
- Date Range: Último mes
- All Context: Complete
- Export: CSV para análisis

Métricas de Análisis:

• Distribución de scores por país
• Patrones temporales regionales
• Tipos de dispositivos predominantes

5.4 Monitoreo de Nuevos Usuarios

Filtros de Seguimiento:

- Is New User: True
- User Age: 0-7 días
- Score: Todos los rangos
- Device Source: Todos

Propósito:

• Establecer baseline comportamental
• Detectar fraude de registro
• Optimizar experiencia de onboarding

---

6. MEJORES PRÁCTICAS DE USO

6.1 Optimización de Consultas

Práctica	Descripción	Beneficio
Filtros Temporales	Usar rangos de fecha específicos	Mejor performance
Filtros Combinados	Combinar múltiples indicadores	Resultados más precisos
Export Selectivo	Exportar solo columnas necesarias	Archivos más manejables
Análisis Gradual	Comenzar con filtros amplios	Identificación eficiente

6.2 Interpretación de Resultados

Escenario	Score Típico	Factores Clave	Acción Recomendada
Usuario Legítimo	0-400	Dispositivo conocido, comportamiento consistente	Procesamiento normal
Usuario Sospechoso	400-700	Algunos indicadores de riesgo	Monitoreo adicional
Fraude Probable	700-900	Múltiples indicadores	Investigación inmediata
Fraude Confirmado	900-1000	Todos los indicadores críticos	Bloqueo inmediato

6.3 Reportes Ejecutivos

Métricas Clave para Reportes:

• Distribución de scores por período
• Tendencias de fraude por país/región
• Efectividad de detección por canal
• ROI de la implementación del sistema

El módulo Sessions proporciona la base analítica para entender patrones de fraude, investigar incidentes específicos y optimizar la efectividad del sistema de detección mediante análisis retrospectivo de datos comportamentales procesados por los modelos de inteligencia artificial.