Diez formas en que los identificadores de dispositivos pueden detectar a un ciberdelincuente



Los ID de dispositivo, que se asignan a los dispositivos móviles para distinguirlos entre sí, pueden ayudar a las organizaciones a detectar fraudes, ciberataques y otras actividades sospechosas.

Un identificador de dispositivo es una identificación asignada a dispositivos portátiles y utilizada por las organizaciones para comprender, rastrear y analizar los dispositivos que interactúan con sus sitios, lo que trae consigo enormes beneficios para todos los involucrados en la protección de sus organizaciones.

Pero el millaje que una organización obtiene de sus herramientas de identificación de dispositivos depende de su comprensión de exactamente y cuánto ofrecen. A continuación, se muestran 10 formas en que una herramienta de identificación de dispositivos puede proteger a su empresa.

1. Separe a los atacantes, estafadores y bots de los usuarios legítimos: Existen muchos enfoques para diferenciar entre estos tipos de usuarios. Uno de estos enfoques implica aprovechar un identificador de dispositivo único para comprender en cuántas cuentas está iniciando sesión cada dispositivo. Solo uno de cada 1.000 dispositivos accede a más de tres cuentas. Además, solo uno de cada 10,000 dispositivos accede a más de 10 cuentas. Lo más possible es que, si observa dispositivos que acceden a más de tres, y ciertamente a más de 10, cuentas, no es un uso legítimo.

2. Reconozca a los usuarios legítimos conocidos: Los buenos usuarios conocidos que se encuentran con problemas de inicio de sesión a veces se frustran y se rinden. Esto significa pérdida de negocio y pérdida de ingresos. Reconocer a los buenos usuarios conocidos mediante el uso de un identificador de dispositivo puede permitirle reducir su fricción de inicio de sesión, extender la duración de sus sesiones y volver a autenticarlos en silencio, entre otros beneficios.

3. VPN no se deshace de su lógica: Cambiar la dirección IP es el truco más antiguo del libro. Los identificadores que dependen de las direcciones IP son fácilmente engañados por las VPN. Los identificadores de dispositivos de alta calidad que examinan una gran cantidad de puntos de datos para calcular un identificador de dispositivo único y confiable no lo son.

4. Número de transacciones: El mismo dispositivo que realiza una cantidad excesivamente grande de transacciones es una señal de alerta de que algo anda mal. Muy raramente este tipo de actividad es legítima. Al rastrear la cantidad de transacciones por dispositivo a lo largo del tiempo, una organización puede monitorear y alertar sobre actividades sospechosas o maliciosas.

5. Redes de proxy: Algunos actores nefastos pueden intentar ocultar o disfrazar su identidad saltando a través de redes proxy. Sin un identificador de dispositivo, una organización está en desventaja. Con un identificador de dispositivo único y fiable, esta desventaja se convierte en una ventaja. Al calcular de cuántas direcciones IP proviene cada dispositivo, las organizaciones pueden captar en el mismo dispositivo visitando sus sitios desde muchas direcciones IP diferentes a través de redes proxy.

6. Dispositivos desconocidos: La mayoría de los usuarios legítimos utilizan una pequeña cantidad de dispositivos. Por ejemplo, un usuario típico puede tener un teléfono móvil, una tableta y quizás una o dos computadoras desde las cuales accede a la mayoría de los sitios. Si una organización observa que un usuario determinado accede a su cuenta desde una gran cantidad de dispositivos diferentes, eso podría ser un indicio de fraude. Por supuesto, el cálculo de esta relación es muy practical a la singularidad del identificador de dispositivo.

7. Dispositivo único que accede a muchas cuentas: La inversa de la proporción anterior también es algo que las organizaciones pueden calcular y monitorear. Si se observa que un solo dispositivo accede a una gran cantidad de cuentas, puede ser una indicación de automatización, actividad de bot y / o relleno de credenciales.

8. Suplantación de identidad del entorno: Los usuarios legítimos pueden actualizar sus navegadores o cambiar sus dispositivos de vez en cuando. Dicho esto, no es algo que suceda con tanta frecuencia. Si una organización observa muchos agentes de usuario en un solo dispositivo durante un corto período de tiempo, puede ser una indicación de que un atacante está practicando la suplantación de entorno. Realmente no hay una razón legítima para hacerlo y, por lo tanto, la actividad y las transacciones de un dispositivo que practica la suplantación de entornos merecen una mirada más cercana.

9. Secuestro de sesión: Una de las técnicas que utilizan los atacantes para hacerse pasar por usuarios legítimos es secuestrar las sesiones de esos usuarios legítimos. Normalmente, una sesión determinada tendrá un dispositivo en el otro extremo, a menos que haya algo más en marcha. Si se observan muchos identificadores de dispositivo únicos para la misma sesión, podría ser una indicación de actividad maliciosa, como un ataque de hombre en el navegador (MitB).

10. Conexión de fricción / relleno de credenciales: En normal, el sitio de cada organización tendrá un porcentaje promedio de inicios de sesión exitosos, fallidos, olvidados de la contraseña y / o desafiados por autenticación multifactorial. Calcular y monitorear este promedio por dispositivo a lo largo del tiempo ofrece varias ventajas. Entre esas ventajas está que las fluctuaciones significativas de la tasa de éxito de inicio de sesión por dispositivo a lo largo del tiempo pueden ser un indicador confiable de la fricción de inicio de sesión para usuarios legítimos o el relleno de credenciales proveniente de atacantes y estafadores (ya sea automatizado o no).

Josh (Twitter: @ananalytical) es actualmente Director de Gestión de Productos en F5. Anteriormente, Josh se desempeñó como vicepresidente, director de tecnología de tecnologías emergentes en FireEye y como director de seguridad de nPulse Systems hasta su adquisición por parte de FireEye. Antes de unirse a nPulse, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial