Detecta a ciberdelincuentes a través del identificador de dispositivo

Los expertos en seguridad buscan nuevas formas con las que poder detectar a los ciberdelincuentes. Una de ellas sería a través del identificador de dispositivo que se asignan a los dispositivos móviles para distinguirlos entre sí. De esta forma, gracias a ellos, puede ayudar a las empresas a detectar fraudes, ciberataques y otras actividades sospechosas. Un identificador de dispositivo es una identificación asignada a dispositivos portátiles, smartphones y más. Si las empresas usan estos identificadores, pueden rastrear y analizar los dispositivos que interactúan con sus sitios. Esto trae consigo grandes beneficios en materia de seguridad.

No obstante, el rastreo que obtiene una organización utilizando herramientas de identificación de dispositivos depende de su correcta utilización y aprovechamiento de su máximo potencial. A continuación, explicaremos cómo una herramienta de identificación de dispositivos puede proteger nuestra organización.

Distinguir entre usuarios legítimos y ciberdelincuentes

Si queremos diferenciar entre un usuario legítimo y un ciberdelincuente podemos usar múltiples enfoques. Uno de ellos consiste en utilizar un identificador de dispositivo único para saber en cuántas cuentas está iniciando sesión cada dispositivo. Aquí vamos a tener en cuenta que:

  1. Sólo uno de cada 1.000 dispositivos utiliza más de tres cuentas.
  2. Únicamente uno de cada 10.000 dispositivos accede a más de 10 cuentas.

Por lo tanto, en el caso de observar que un dispositivo accede a más de 3 o 10 cuentas no se trata de un uso legítimo. Otra cuestión a considerar, es que los usuarios permitidos como algún cliente, a veces se encuentran con un problema de inicio de sesión. Entonces, en algunas ocasiones se frustran y se rinden, lo cual se traduce en una pérdida de negocio y de beneficios.

Si somos capaces de reconocer a los usuarios legítimos mediante el uso de un identificador de dispositivo, puede permitirle reducir sus problemas de inicio de sesión. Así, por ejemplo, podríamos extender la duración de las sesiones o autenticarlos en silencio.

Las VPN y el número de transacciones

Hoy en día, cambiar de IP gracias a una VPN está a la orden del día. Por lo tanto, los identificadores basados en las direcciones IP son fácilmente superados mediante el uso de las VPN. Sin embargo, si utilizamos un identificador de dispositivo de alta calidad que examina una gran cantidad de puntos de datos para calcular el identificador, podemos afirmar que no se pueden engañar fácilmente.

Una cosa importante y motivo de preocupación es, cuando un dispositivo realiza una cantidad excesivamente grande de transacciones. En pocas ocasiones esa actividad es legítima. Una buena política al respecto, es que la empresa rastree la cantidad de transacciones por dispositivo a lo largo del tiempo, monitorizando y alertando sobre actividades sospechosas o fraudulentas.

VPN en el teletrabajo

Las redes proxy y los dispositivos desconocidos

Algunos ciberdelincuentes pueden intentar ocultar su identidad saltando a través de redes proxy. En el caso de no disponer de un identificador de dispositivo, una empresa está en desventaja. Por otro lado, un trabajador, de media suele contar con un smartphone, una tablet y quizás uno o dos ordenadores desde los cuales accede a la mayoría de los sitios. En este sentido, si una empresa se da cuenta que un usuario determinado accede a su cuenta desde una gran cantidad de dispositivos diferentes, puede ser un indicio de estafa o ataque.

Los bots y el problema de suplantación de identidad

En el caso de que observemos que un único dispositivo accede a una gran cantidad de cuentas, es posible que ese dispositivo sea un bot automático para puede ser una indicación de automatización. Entonces podría tratarse de actividad de un bot y / o de relleno de credenciales.

Los usuarios legítimos pueden cambiar sus dispositivos de vez en cuando. No obstante, no se trata de algo que suceda a menudo. Por lo tanto, si una organización observa que tiene muchos agentes de usuario en un único dispositivo durante un período corto de tiempo, debe ser un motivo de alarma y preocupación. Esto puede ser un síntoma que nos indique que un ciberdelincuente está practicando la suplantación de entorno.

El secuestro de sesiones y monitorización de los inicios de sesión

Otra técnica que utilizan los atacantes para hacerse pasar por usuarios legítimos es secuestrar sus sesiones. Generalmente, la sesión determinada tendrá un dispositivo en el otro extremo suponiendo que haya algo más en marcha. Si se observa más de un identificador de dispositivo para la misma sesión, podría ser un aviso de actividad maliciosa. Un ejemplo de esto será el ataque de man-in-the-browser (MitB).

Como norma general, el sitio de cada organización tiene un porcentaje promedio de inicios de sesión exitosos, fallidos, de olvido de contraseña y de autenticación de múltiples factores desafiados. Si calculamos y monitorizamos este promedio por dispositivo a lo largo del tiempo va a ser positivo. Por lo tanto, las fluctuaciones significativas de la tasa de éxito de inicio de sesión por dispositivo a lo largo del tiempo, pueden ser un indicador confiable y cuando no son las habituales, podrían indicarnos que estamos siendo víctimas de un ataque.