Device Intelligence

Show Notes

El dispositivo se ha convertido en una pieza clave para entender y prevenir el fraude digital. Ya no basta con validar quién accede a un canal digital; también es necesario analizar desde dónde lo hace, bajo qué condiciones y con qué señales de riesgo.

En este episodio se aborda cómo el Device Intelligence y el Device Fingerprint permiten identificar dispositivos, detectar anomalías, correlacionar comportamientos y tomar decisiones más precisas en tiempo real.

Una conversación sobre la importancia de construir estrategias de seguridad más inteligentes, adaptativas y capaces de anticiparse a amenazas digitales cada vez más sofisticadas.

Chapters

• 0:00: Riesgo En Evolución Y Promesa
• 0:41: Del Perímetro A La Identidad
• 2:07: Huella Del Dispositivo Y Validación
• 5:22: Señales Técnicas Que Delatan Riesgo
• 8:11: Correlación De Señales Y Troyanos
• 10:46: Inconsistencias Y Manipulación De Ubicación
• 12:15: Puntuación Dinámica Y Decisión En Tiempo Real
• 14:17: Integración Multicapa Y Operación Diaria
• 17:38: Recomendaciones Finales Y Cierre

Transcript

Riesgo En Evolución Y Promesa

SPEAKER_00 0:01

El riesgo evoluciona. El fraude innova. Y la seguridad no puede quedarse atrás. Esto es Mundo Financiero Seguro, tu podcast sobre ciberseguridad, fraude, AML, FinTech y gestión de riesgos. Cada episodio, ideas claras, tendencias reales y herramientas clave para proteger el ecosistema financiero. Únete y transforma los desafíos en oportunidades.

Del Perímetro A La Identidad

SPEAKER_00 0:41

Durante muchos años, la seguridad digital se construyó sobre una idea clara Y esta es proteger el perímetro. Entendemos esto como redes corporativas, firewalls, controles de acceso. Todo diseñado para mantener los sistemas aislados y protegidos desde la frontera. Pero este modelo ha cambiado radicalmente. Hoy entendemos que los usuarios no están dentro de un perímetro fijo. Se conectan desde cualquier lugar, cualquier red y cualquier dispositivo. El acceso, lo entendemos, es continuo, distribuido y dinámico. Y eso ha cambiado la forma forma en que se debe entender la seguridad. En este nuevo escenario, el punto de control ya no es la red. es el dispositivo. Cada interacción digital deja una huella. Lo entendemos perfectamente. Características técnicas, comportamiento, contexto de conexión y señales de entorno. Esta información, cuando se analiza de forma inteligente, permite construir una identidad digital del dispositivo. Este concepto es lo que hoy conocemos como Device Intelligence, una disciplina que no solo identifica dispositivos, sino también nos ayuda a evaluar su nivel de confianza, detecta anomalías también ayuda a anticipar posibles escenarios de fraude. Es entonces que le damos así la bienvenida al Mundo Financiero Seguro, el podcast de Plus Team.

Huella Del Dispositivo Y Validación

SPEAKER_00 2:07

Yo soy Juan José Ríos y en este episodio vamos a explorar cómo el dispositivo se ha convertido en el nuevo perímetro de seguridad, así como lo escuchan. Un perímetro nuevo de seguridad. Cómo se analiza su identidad y cómo estas señales se utilizan en la prevención moderna del fraude. Los Nos acompañan en esta ocasión Omar Vélez, arquitecto de soluciones de ciberseguridad, y Álvaro Arzayuz, gerente de Producto de Prevención de Fraude Digital en Plus T. Entramos en materia. A ambos, gracias por acompañarnos. Omar, para empezar, ¿cómo entendemos cómo ha cambiado el concepto de identidad en ciberseguridad? Esto con la aparición del Device Intelligence.

SPEAKER_02 2:49

Muchas gracias, Juan José, por la invitación y la introducción. Antes la identidad estaba centrada en el usuario. Teníamos lo que era un usuario y contraseña. Hoy eso ya no es suficiente. Vemos que la tecnología avanza cada día más e incluso la inteligencia artificial está presente en nuestro día a día. ¿Qué pasa con el dispositivo? El dispositivo se ha vuelto una extensión de nuestra identidad. Llevamos desde lo que son documentos de identificación, información sensible, manejamos tarjetas, entre mucha más información. Es decir, ahora no importa solo quién eres, sino desde qué dispositivo estás operando y bajo qué condiciones lo estás realizando.

SPEAKER_00 3:30

Álvaro, también muchísimas gracias por acompañarnos y quiero plantearte esto desde el punto de vista de fraude. ¿Qué nos aporta el device Fingerprint? Hola, Juan José.

SPEAKER_01 3:42

Qué bueno volver a estar en este ejercicio de podcast. Hacía rato no charlábamos, entonces, excelente. Mira, el El ejercicio del Divide Fingerprint aporta principalmente una capa adicional de validación. Su función principal es identificar los dispositivos que utiliza el cliente cuando accede a los canales digitales, digamos de una forma única y a través de múltiples señales. Ahí tenemos variables que identifican qué sistema operativo, qué navegador, cuál es la resolución. configuraciones, entre otros. Son características que se evalúan. Digamos que esto nos ayuda a detectar si un dispositivo es conocido, es nuevo o puede ser potencialmente fraudulento. Ahora, hay un punto importante a aclarar acá y es que ese fingerprint no es fijo ni estático. Y la razón, lo podemos decir que es más dinámico. Y la razón es que los fabricantes de móviles realmente pueden leer o más variables permiten que se lean más variables del dispositivo o también restringir. Hace un tiempo el email era un punto válido como análisis del dispositivo, pero los fabricantes decidieron que no se podía acceder o también el serial de la SIM card. Entonces, por esta razón es importante que tener en cuenta de que cuando se habla de device fingerprint se está hablando de características dinámicas.

SPEAKER_00 5:11

Y bien, lo interesante es que muchas veces el usuario ni siquiera percibe que todas esas variaciones y validaciones están ocurriendo detrás de lo que vemos como una simple transacción.

Señales Técnicas Que Delatan Riesgo

SPEAKER_00 5:22

Ahora, Omar, ¿qué tipos de señales sobre este contexto? ¿Qué tipo de señales son relevantes desde el punto de vista, me refiero, de seguridad del dispositivo?

SPEAKER_02 5:31

Tenemos muchas señales en lo que es la parte del dispositivo. La inicial podríamos validar si el dispositivo está ruteado o en el caso de iOS se encuentra con Jailbreak, que es la forma en cómo iOS permite ejecutar ciertas acciones con un permiso elevado también podemos detectar si se está usando emuladoras y hay un overlay de pantalla algo que están utilizando muchos malware que se están distribuyendo en el mercado negro y que están atacando mucho a latinoamérica también podemos detectar herramientas de automatización qué pasa con las herramientas de automatización no sólo son utilizadas para poder apoyar a personas que lo necesitan sino que los delincuentes aprovechan todas las capacidades que brindan brindan este tipo de herramientas para poder ejecutar ciertas acciones más automatizadas. Son muchas las señales que tenemos para poder detectar este tipo de sucesos relevantes. Voy a iniciar con lo que es la capa más importante que es detectar si el dispositivo se encuentra ruteado o con jailbreak. Detectar si hay emuladores, detectar si hay alguna anomalía a nivel de la red desde donde se está haciendo la comunicación. Si existe algún overlay de pantalla, que el overlay es muy interesante porque el usuario piensa que está interactuando con la aplicación real, pero realmente lo que está pasando es que hay un malware que está escuchando qué es lo que uno hace dentro del dispositivo y sobre la aplicación, que para nosotros es la real, el malware está colocando pequeñas porciones de pantalla donde están robando cierta información. También es importante detectar si existen herramientas de automatización en el lado de los dispositivos móviles y el web. Hay muchas herramientas de automatización que inicialmente están pensadas para temas de QA, para temas de calidad, pruebas y demás, pero que los delincuentes las han estado utilizando para realizar ciertas acciones como lo que es acceder a muchos dispositivos. Y también algo muy importante que debemos tomar en cuenta son los permisos de accesibilidad que se le están dando especialmente a los dispositivos Android, de los cuales se están abusando porque estos permisos entregan muchísima información. información que utilizan los delincuentes para llevar ataques más sofisticados.

SPEAKER_00 7:51

Bueno, nos queda muy claro que esos permisos que nosotros los vemos como inocentes nos pueden causar problemas. Son indicadores. Claro está que por separado podrían parecer pequeños, pero reunidos juntos empiezan a construir una historia mucho más completa de riesgo. Sobre ese sentido, Álvaro, yo quiero plantearte

Correlación De Señales Y Troyanos

SPEAKER_00 8:11

la siguiente pregunta. ¿Cómo se combinan estas señales que nos hablaba Omar con en el marco de un sistema vamos de fraude

SPEAKER_01 8:20

así es Juan José digamos que aquí la clave es que esas señales no se analicen de forma aislada sino que se tienen que analizar en todo su contexto y correlacionarlas por ejemplo un dispositivo nuevo una IP sospechosa, y como lo comentaba Omar, además tiene una señal de emulación, pues obviamente eso va a hacer que el nivel de riesgo se incremente significativamente. Aquí la clave es que la combinación de diferentes señales es lo que define el riesgo. Veamos un ejemplo, a ver, el tema de los troyanos o malware de acceso remoto, que lo comentaba Omar al final hace un momento. En Centroamérica se presentó no hace mucho, lamentablemente, esa condición, en que el delincuente liberó un malware, un troyano, que... A través de ingeniería social le llegaba a los clientes indicándoles que iban a tener una promoción de que si instalaban una app le iban a entregar X cantidad de millas, una cifra importante de millas. Entonces el cliente pues obviamente descargaba el app y empezaba a pedirle todos los permisos, que era lo que comentaba Omar de los permisos de accesibilidad. Le pedían permiso, cámara, micrófono, al dispositivo, prácticamente todos los accesos y después de que ya tenía todos los accesos se conectaba y descargaba software de control remoto entonces ese tipo de condiciones que es lo que se está presentando hoy en día pues este modelo de divide fingerprint son lo que realmente va a apoyar la identificación de esas condiciones de riesgo identificar que efectivamente el dispositivo tiene una accesibilidad muy alta a nivel de permisos o que está haciendo uso de software de control remoto eso de manera contextual y analizando todo el concepto lo que nos va a permitir identificar ese tipo de señales de fraude.

SPEAKER_00 10:17

Bueno, y es que realmente al escuchar todo esto nos hace reflexionar sobre qué y cómo darle permiso, ¿no, Álvaro? Y ahí es donde realmente entra la inteligencia del análisis moderno, que en contexto y ampliado es entender el contexto justamente completo y no solamente una alerta puntual. Ahora, Omar, ¿qué significa, qué podemos entender... el detectar inconsistencias en el dispositivo.

Inconsistencias Y Manipulación De Ubicación

SPEAKER_02 10:46

Esto significa encontrar incoherencias entre las señales. En la industria hay un término muy importante que es el cross-signal validation. Un ejemplo de cross-signal validation es, por ejemplo, que el GPS de mi dispositivo indique que está en Estados Unidos, pero si yo lo cruzo con otras señales que son atributos del dispositivo, como leer ciertos datos desde donde está saliendo el tráfico de red al momento que los héroes están navegando si lo cruzo con la zona horaria que el dispositivo nos está entregando y ciertos patrones de cómo está configurado el teclado del usuario, yo puedo darme cuenta que realmente el usuario no está en Estados Unidos, sino que está en Guatemala, por ejemplo. Entonces, son señales que es muy importante estar realizando e incluso las podemos aplicar a diferentes propiedades que se tiene el dispositivo. Realmente esto lo que nos está aportando es detectar una posible manipulación o emulación de ciertos patrones a nivel del dispositivo, ya que es muy común que incluso los delincuentes estén simulando ubicaciones de las personas para intentar saltar algún tipo de alerta o pasar inadvertidos dentro

SPEAKER_00 11:57

del sistema. Esto no solo es interesante, sino impresionante, porque demuestra cómo incluso pequeños detalles técnicos nos pueden revelar intentos sofisticados de fraude. Ahora, Álvaro, para entender esto en toda su dimensión, ¿cómo traducimos esto en prevención de fraude?

Puntuación Dinámica Y Decisión En Tiempo Real

SPEAKER_01 12:15

Sí, mira, Juan José, digamos que se traduce en lo que se denomina un scoring dinámico. La idea es que acá cada señal aporta o resta puntos de riesgo y pues obviamente está asociado a la confianza del dispositivo. Este scoring lo que normalmente se hace en el contexto de fraude es que alimenta un motor de análisis de riesgos y de decisión en tiempo real, es importantísimo estar en tiempo real, donde basado en esas señales se puede o aprobar o desafiar o bloquear una transacción. Vamos a poner un ejemplo siguiendo en línea con lo que comentaba Omar de la geolocalización, aunque ahora desde otra punto de vista. Vamos a suponer que un equipo de un cliente cambió la geolocalización. Entonces, ahí se podría catalogar como un riesgo y no necesariamente porque el cliente puede estar viajando. Entonces, lo que debemos hacer es analizar todo el contexto. Efectivamente, cambió la geolocalización porque el cliente efectivamente se desplazó a otro país, pero el dispositivo sigue siendo el mismo, su comportamiento sigue siendo el mismo e inclusive cuando va a hacer la operación sigue manteniendo su perfil transaccional. Entonces, a pesar de que cambió la geolocalización, vemos que hay otros atributos o hay otras señales que definen que él es quien dice ser. Entonces, por eso es tan importante ese concepto de ese scoring dinámico, porque no necesariamente una señal por sí sola va a definir que eso es un riesgo, sino es la sumatoria y el análisis de todo el contexto.

SPEAKER_00 13:53

Sí, lo que mencionábamos hace un momento, y realmente esto hay que mencionarlo y recalcarlo, que todo ocurre en segundos. Prácticamente mientras el usuario, nosotros incluso todavía estamos pensando que simplemente estamos iniciando una sesión o realizando un pago. Ahora Omar, dentro de todo esto que estamos entendiendo, estos riesgos, ¿cómo se integra el Device Intelligence con los sistemas de seguridad?

Integración Multicapa Y Operación Diaria

SPEAKER_02 14:17

Esto se integra como una capa más dentro del ecosistema de decisión. El Device Fingerprint no funciona solo, se necesita combinar con más elementos. Por ejemplo, es importante combinarlo con lo que es un análisis transaccional para poder reducir algunos falsos positivos que podamos tener y tener más historia de lo que el cliente está realizando a nivel de la parte transaccional. Es importante también combinarlo con un sistema de biometría del comportamiento que nos permita estar identificando cómo el usuario se ha movido dentro de la sesión y detectar ciertos patrones ocultos que nos aportan más al ecosistema de decisión. También es importante poderlo unir al parte de la red. La red nos revela mucha información muy valiosa, desde saber desde dónde se está conectando el cliente, desde IP, detectar algún tipo de proxy, o identificar si se está conectando desde alguna red, como lo que puede ser la red Tor, que permite mucho anonimato a través de su forma de operar.

SPEAKER_00 15:19

Bueno, esto nos deja muy claro, nos está demostrando que hoy día la seguridad ya no depende de una única tecnología, como hace algún tiempo, y no hace mucho, de hecho, sino que de múltiples capacidades que trabajan de forma coordinada. ¿Qué podemos hablar entonces, Álvaro, de la operación diaria? ¿Qué valor nos aporta? Sí, Juan José, mira,

SPEAKER_01 15:39

yo creo que hay dos contextos que debemos tener en cuenta del aporte en la operación. El primero es que aporta precisión. Eso es uno de los temas claves. Ahí vamos a ver que se van a reducir los falsos positivos, mejora la capacidad para detectar el fraude en tiempo real y obviamente esto facilita que se defina como una pieza clave en la toma de decisiones automatizadas. El segundo punto importantísimo es la anticipación y la prevención. No hay que esperar a que el delincuente intente hacer ya la operación para identificar que hubo un riesgo en el login. Ya lo decía Omar, ¿qué pasa si ese dispositivo que se está conectando viene de una red anonimizada o es una aplicación falsificada o tiene alguna condición de riesgo? Pues obviamente en el solo login ya estamos identificando esos riesgos, con lo cual vamos a ser muy anticipativos, muy preventivos, lo cual pues obviamente define ya una condición totalmente nueva en el modelo de prevención. Podemos anticipar rápidamente que una condición de riesgo se está dando y no hay que esperar hasta que llegue el delincuente a intentar hacer esa operación financiera para identificar que hay una condición que se puede gestionar desde el inicio del login que está haciendo el delincuente

SPEAKER_00 17:01

en este caso. Y justamente, Álvaro, ahí debe estar, lo vemos claramente, uno de los mayores retos actuales que es detectar cada día, cada segundo más fraude, pero generando menos fricción para el Bueno, estamos llegando al punto que quiero pedirles una breve reflexión final porque hemos ya visto este escenario, cómo tenemos que tener las antenitas muy, muy finas para que entonces en esta reflexión final las organizaciones que hoy enfrentan los desafíos del fraude digital y de la ciberseguridad tengan un escenario mucho más claro.

Recomendaciones Finales Y Cierre

SPEAKER_00 17:38

Y ya en este espacio de conclusiones y de reflexiones finales, Omar, quiero comenzar contigo y voy a plantearte esto desde la perspectiva de ciberseguridad. ¿Qué recomendación consideras que es la clave en este contexto?

SPEAKER_02 17:54

Creo que es muy importante entender que el dispositivo ya forma parte de la identidad digital. El dispositivo no es algo aislado que el cliente tiene y al cual nosotros desde el lado de prevención de fraude no tenemos que prestarle atención. Ya hemos conocido a través de este podcast que estuvo muy interesante diferentes señales que nos van incorporando como el dispositivo puede usarse para realizar cierto tipo de acciones que ya van orientados a la suplantación y afectar al cliente Álvaro ya comentaba un ejemplo de los troianos bancarios que hemos estado viviendo en Latinoamérica como abusando de ciertas propiedades como lo que es permisos de accesibilidad permisos de control remoto que esta es también otra estrategia que han utilizado algunos de delincuentes que se hacen pasar por el equipo de soporte de las instituciones financieras y les piden a los clientes que están en aplicaciones que son oficiales para control remoto que se usan mucho en la industria el día de hoy pero los delincuentes las utilizan para poder llevar al cliente vía una ingeniería social a hacer ciertas actividades delictivas como lo que puede ser robarle lo que es el usuario contraseña o empezar a generar transacciones desde su dispositivo por Eso también comentamos que es importante que el dispositivo y la capa de lo que aporta un device fingerprint no solo esté a nivel aislado, sino que lo podamos combinar con lo que es el motor transaccional, con el motor biométrico y poder correlacionarlos con otros datos como lo que puede ser la red y poder correlacionarlo a los diferentes eventos que el usuario ha estado haciendo a través de su sesión. Es muy importante también entender el contexto desde donde el usuario es Y esto cada vez está volviendo más importante para poder anticipar los riesgos que hoy en día estamos viviendo y los posibles riesgos que vamos a estar viviendo cada vez más debido a cómo la inteligencia artificial ha estado aumentando en los últimos meses y que también hay que considerar que así como la inteligencia artificial se puede apoyar para poder hacer cosas buenas, los bandidos sin duda la van a estar aprovechando para crear ataques cada vez más sofisticados. Lo que anteriormente considerábamos un bandido de clase baja por el tipo de herramientas y la forma de operar, ya en un par de meses, si no es que el día de hoy apoyado de inteligencia artificial va a poder ganar mucha ventaja en los ataques que esté realizando debido a todas estas herramientas que se le van a estar proporcionando.

SPEAKER_00 20:32

Bueno, esto nos compromete entonces a evolucionar hacia modelos de seguridad mucho más inteligentes y sobre todo adaptativos. En relación contigo, Álvaro, desde la visión de prevención de fraude, yo quiero pedirte en este tema de conclusiones el mensaje final que vas a compartir con nuestra audiencia, tomando en cuenta todos los elementos que hemos recibido en este capítulo

SPEAKER_01 21:00

del podcast. Gracias, Juan José. Sí, mira, digamos hay varios puntos para ir concluyendo el día de hoy este podcast bastante interesante y el primero es que el fraude digital está evolucionando de manera constante y también hay que tener en cuenta que los atacantes también están haciendo lo propio cada vez son más sofisticados cada vez son más especializados hay que tener en cuenta el concepto de fraude as a service es decir ya no tenemos el hacker individual que está intentando romper la seguridad por sí solo. Eso ya quedó en el pasado. Ahorita estamos hablando de bandas delincuenciales, de organizaciones totalmente estructuradas dedicadas a este tipo de condiciones. Tienen gente especializada, tienen ingenieros, tienen personas que están de manera permanente evaluando las condiciones de riesgo, están censando. Cada vez que una institución va a sacar una nueva aplicación móvil, ellos son los que primero están haciendo los análisis de riesgo de esas nuevas salidas a producción entonces en ese sentido otro de los ítems que quería comentar es que el móvil es el dispositivo más utilizado cuando uno evalúa Las estadísticas de utilización de dispositivos, el móvil está de primera. ¿Por qué lo comento? Porque eso define que los controles desde el punto de vista de mitigación de riesgos y de fraude se deben orientar principalmente a este tipo de dispositivos, dispositivos móviles, obviamente sin descuidar los accesos web. La mayoría de controles, las cuestiones de análisis de riesgos y mitigación debe estar muy orientada al mundo móvil. Otro de los ítems que también podemos estar definiendo es que las instituciones necesitan capacidades que le permitan correlacionar señales, analizar comportamientos y poder tomar decisiones en tiempo real. Lo que vimos hoy del device intelligence ya se está convirtiendo, digamos que en una pieza clave dentro de cualquier estrategia moderna de prevención de fraude. Es una pieza clave y fundamental, pero no es la única. Eso es un tema importante, hay que trabajar bajo modelos de defensa en profundidad, que aunque el dispositivo o el device intelligent es una parte fundamental hay que evaluar todo el ciclo de vida transaccional, porque ¿qué pasa si al usuario lo manipulan o le toman control remoto, pues el control del dispositivo posiblemente va a pasar en los sistemas antifraude porque lo están manipulando desde el dispositivo que está registrado. Pero si adicional al dispositivo estamos evaluando hábitos comportamentales, correlación de eventos, esquemas transaccionales, es ese modelo realmente de defensa de profundidad o multicapa el que realmente va a aplicar en una estrategia real y consolidada de mitigación de riesgos y de prevención de fraudes, donde por supuesto el device intergen es una de las piezas fundamentales. Muchas gracias Juan José y pues quedamos atentos a una nueva oportunidad.

SPEAKER_00 24:13

Gracias Álvaro. Antes de cerrar, yo quiero simplemente poner esta guinda en el pastel de todo lo que hemos hablado, porque justamente Álvaro, lo que estabas compartiendo con nosotros es lo que nos representa el gran reto actual actual. ¿Y cuál es este? Muy sencillo. Fortalecer la seguridad sin afectar la experiencia del usuario legítimo. Entonces, muchas gracias Álvaro Aumar por compartir su experiencia y ayudarnos a entender cómo el dispositivo, este nuestro dispositivo que vive con nosotros, se ha convertido en uno de los elementos más importantes dentro de la seguridad digital moderna. En un entorno donde el fraude evoluciona constantemente como lo han compartido nuestros invitados de hoy, las organizaciones necesitan capacidades que les permitan anticiparse, detectar anomalías y más allá, tomar decisiones más precisas y ágiles. Y ahí es donde el Device Intelligence marca la diferencia. Porque hoy el dispositivo ya no es solamente un canal de acceso, sino una fuente estratégica de inteligencia para comprender el riesgo digital en tiempo real. Proteger únicamente al usuario ya no es suficiente, entendámoslo. La confianza también debe con desde el dispositivo, su comportamiento y al final su contexto. Esto es Mundo Financiero Seguro, el podcast de Plus Tip. Quienes habla, Juan José Ríos. Nos escuchamos en un próximo episodio y como siempre esperamos que toda esta información, esta experiencia, le sirva y lo compartan. Hasta la próxima.