Para crear una cuenta, un usuario debe proporcionar una combinación de dirección de correo electrónico, número de teléfono y nombre. Sin embargo, dado que esta información puede fabricarse en segundos, no aporta mucha información útil sobre la identidad real del usuario. Otros datos son mucho más relevantes: el dispositivo que usa el usuario, la red desde la que se conecta, cómo navegó por tu formulario de registro, entre otros aspectos.
La puntuación de riesgo de identidad es el proceso de ciberseguridad que asigna un nivel de riesgo a una identidad y convierte esas señales externas en una decisión. A continuación, explicaremos qué es la puntuación de riesgo de identidad, por qué las reglas estáticas no pueden detectar los patrones de abuso modernos y cómo evaluar y operar un sistema de puntuación una vez que está en funcionamiento.
Destacados
La puntuación de riesgo de identidad pondera docenas de señales simultáneamente en lugar de depender de un único atributo. Esto hace que sea mucho más difícil para los atacantes eludirla que los conjuntos de reglas estáticas.
La activación de pruebas, el canje de promociones y los inicios de sesión son algunos de los lugares de mayor valor donde aplicar la puntuación.
Los equipos siempre deben utilizar el ajuste continuo de umbrales y los bucles de retroalimentación al implementar una plataforma de puntuación.
¿Qué es la puntuación de riesgo de identidad?
La puntuación de riesgo de identidad asigna un valor de riesgo numérico o categórico a un intento de identidad basándose en el peso agregado de las señales presentes en ese momento. En lugar de centrarse en si el correo electrónico del usuario en sí es real, analiza si el intento en su conjunto es coherente de la manera en que lo sería el de un usuario legítimo.
¿Qué señales suelen potenciar el análisis de identidad?
Ningún dato por sí solo te indica si un registro es legítimo. Las plataformas de análisis de identidad y puntuación de riesgo agregan señales de cinco categorías distintas:
Señales del dispositivo
Una huella digital del dispositivo agrega la versión del navegador, las fuentes instaladas, la resolución de pantalla y las especificaciones de hardware en un identificador pseudónimo que persiste entre sesiones. Esto significa que un dispositivo vinculado a un fraude o abuso anterior queda marcado incluso cuando cambian las credenciales de la cuenta. Las plataformas también buscan indicios de automatización, como navegadores sin interfaz gráfica, interfaces de programación de aplicaciones (API) esperadas que faltan, o combinaciones de atributos que no aparecen en dispositivos de consumidores reales.
Señales de red
La reputación del protocolo de internet (IP) importa más que la propia dirección IP; por ejemplo, si está asociada a un centro de datos, a un proveedor conocido de red privada virtual (VPN), a nodos de salida de Tor o a una red de proxies residenciales que los delincuentes utilizan para imitar el tráfico ordinario de los consumidores. La velocidad a nivel de red, como 50 registros desde la misma subred en una hora, es en sí misma una señal de actividad fraudulenta.
Biometría del comportamiento
El ritmo de escritura, los patrones de movimiento del ratón, el tiempo dedicado a cada campo y si un usuario copia y pega frente a escribir su correo electrónico generan patrones medibles. Los bots y las herramientas automatizadas generan firmas estadísticamente distintas a las de los humanos, y naturalizar esos patrones sigue siendo un problema de ingeniería constante para los atacantes.
Señales de atributos de identidad
El vencimiento del correo electrónico, la reputación del dominio, si la dirección coincide con patrones de correo electrónico desechable y el tipo de número de teléfono (p. ej., voz sobre protocolo de internet o VoIP, emitido por un servicio de envíos) son señales débiles individualmente, pero en combinación con otras son significativas.
Vinculación entre cuentas
Si cinco cuentas comparten una huella digital del dispositivo, o si 20 cuentas se crearon desde el mismo rango de IP en una semana, esas vinculaciones son señales. Una plataforma con amplia cobertura en muchas empresas puede detectar patrones que ningún operador individual vería por su cuenta.
¿Por qué fallan las reglas estáticas donde la puntuación de riesgo de identidad tiene éxito?
Las reglas estáticas son objetivos fijos. Los atacantes cambian a proxies residenciales cuando se bloquean las IPs de centros de datos, pasan a dominios personalizados cuando se activan las reglas de correo electrónico desechable, y distribuyen el tráfico entre IPs cuando se alcanzan los límites de velocidad.
A continuación se explica cómo la puntuación aborda estos modos de fallo:
Decisiones binarias en distribuciones continuas
El tráfico real se sitúa en un espectro entre el legítimo y el fraudulento, y la zona de solapamiento es amplia. Un usuario de VPN con un historial limpio y un comportamiento normal es diferente de un usuario de VPN en un proxy residencial marcado, con patrones de escritura similares a los de un bot y una dirección de correo electrónico creada hace tres minutos. Una regla estática no puede expresar esa diferencia, pero una puntuación sí.
Adaptación de los atacantes
Cuando los actores fraudulentos cambian de táctica, un sistema basado en reglas no lo detecta hasta que alguien escribe una nueva regla. Un sistema de puntuación entrenado en patrones de comportamiento puede detectar la nueva táctica como una anomalía respecto a su referencia de tráfico legítimo, a menudo antes de que se haya etiquetado de forma explícita.
La zona gris
Muchos sistemas en producción utilizan reglas estrictas para señales claramente descalificadoras, como la infraestructura de malware conocida o las coincidencias con listas de sanciones, y puntuación para todo lo que queda en medio.
¿Dónde es importante la puntuación de riesgo de identidad?
Los patrones de abuso siguen a los usuarios durante todo su ciclo de vida en tu plataforma. La puntuación de riesgo se aplica en cada uno de los siguientes puntos, donde la identidad se afirma o podría ser objeto de explotación.
Creación de cuenta
Algunos objetivos evidentes de abuso son la explotación del nivel gratuito, la creación de granjas de credenciales, las cuentas falsas para reseñas y la recopilación masiva de promociones. Una puntuación en el momento del registro es tu primera oportunidad, y a veces la única, de detectar esto antes de que la cuenta esté activa.
Activación de prueba gratuita
El abuso de pruebas sigue un patrón predecible: crear una cuenta, activar una prueba, agotarla y crear otra. Puntuar en el momento de la activación de la prueba, además de en el registro, permite detectar a los usuarios que ya se han colado por la revisión inicial.
Canje de promociones y referencias
El abuso de promociones sigue ciertos patrones de infraestructura. Puntuar en el momento del canje detecta las cuentas que superaron la revisión del registro pero que ahora muestran un comportamiento correlacionado con el abuso.
Inicio de sesión
La toma de control de cuentas es un modelo de amenaza diferente al fraude de cuentas nuevas, pero las señales se solapan. Los intentos de inicio de sesión anómalos requieren su propia capa de puntuación.
Algunas plataformas puntúan de forma continua durante una sesión. Un usuario que supera la puntuación de registro pero que después intenta realizar llamadas a la API a alta velocidad, exportaciones masivas de datos o fallos de pago repetidos recibe una nueva puntuación en función de ese comportamiento. Stripe Radar puntúa las transacciones usando señales de toda la red de Stripe, lo que le proporciona visibilidad sobre patrones que las empresas individuales no pueden ver por sí solas. Para las empresas que desarrollan protección en el registro conectada a pagos de Stripe, esta capa de puntuación en la etapa de pago actúa como salvaguarda frente al fraude que supera las revisiones anteriores.
¿Cómo evaluar una plataforma de puntuación de riesgo de identidad?
Las diferencias entre proveedores no siempre son legibles en sus páginas de marketing. Elegir la plataforma equivocada puede bloquear a usuarios legítimos o permitir que el abuso pase desapercibido.
Esto es lo que debes buscar en una plataforma de puntuación de riesgo:
Cobertura y actualidad de las señales
Determina cuántos tipos de señales ingesta la plataforma y cuán actualizada está su información de reputación. Una plataforma con datos de reputación de IP obsoletos o cobertura limitada de huella digital del dispositivo producirá puntuaciones que no detectan los patrones de ataque modernos. Pregunta a los proveedores específicamente sobre sus capacidades de detección de proxies residenciales y biometría conductual; estas son áreas donde las plataformas varían considerablemente.
Rendimiento en tiempo real
La puntuación de identidad en el registro debe devolver un resultado antes de que el usuario espere una respuesta. Una latencia superior a unos pocos cientos de milisegundos comienza a afectar la conversión. Obtén los números reales de latencia del percentil 99.
Precisión y tasas de falsos positivos
Un sistema que bloquea el 95 % del fraude pero rechaza incorrectamente el 3 % de los usuarios legítimos podría ser neto negativo, según tu empresa. Las tasas de falsos positivos deben medirse frente a tu perfil de tráfico específico. Cuando el sistema marca una cuenta, debe poder indicarte qué señales impulsaron la decisión.
Opciones de integración
Averigua si la plataforma tiene integraciones preconfiguradas con tu pila y ofrece una API en tiempo real que se adapte a tu flujo de registro. Observa cómo gestiona las decisiones que deben retroalimentarse en tus sistemas de autenticación o de pagos.
Herramientas operativas
La puntuación necesita paneles que muestren distribuciones de puntuaciones, herramientas para revisar cuentas marcadas, la capacidad de ajustar umbrales y mecanismos de retroalimentación que permitan que las decisiones de revisión humana mejoren el modelo. Las plataformas que no invierten en esta infraestructura se vuelven más ineficientes con el tiempo.
¿Cómo operar y ajustar un sistema de puntuación de riesgo de identidad con el tiempo?
Implementar una plataforma de análisis de identidad y puntuación de riesgo es el inicio de un proceso continuo.
Esto es lo que debes saber desde el principio:
Establece umbrales basados en la tolerancia al riesgo
Muchas plataformas se entregan con umbrales de puntuación predeterminados que activan bloqueos, desafíos o aprobaciones. Esos valores predeterminados están calibrados para el cliente promedio, por lo que probablemente necesitarán ajustes. Ejecuta el sistema en modo sombra y examina la distribución de puntuaciones frente a tus resultados conocidos. Esto te indica dónde deben situarse realmente tus umbrales.
Supervisa la deriva
El comportamiento de los atacantes cambia, y también lo hace el comportamiento legítimo de los usuarios, especialmente cuando lanzas en nuevos mercados, cambias tu producto o ejecutas una campaña que atrae tráfico inusual. Las distribuciones de puntuaciones que se desplazan sin un cambio correspondiente en las tasas reales de fraude son una señal de que algo ha cambiado y necesita investigación.
Crea bucles de retroalimentación
La puntuación es una predicción, pero los resultados reales son la realidad. Las plataformas que pueden incorporar retroalimentación y ajustar sus modelos son mediblemente más precisas con el tiempo que aquellas que no pueden.
Revisa los umbrales regularmente
Los equipos suelen establecer los umbrales durante el Onboarding y no los revisan durante meses. Mientras tanto, las tasas de fraude cambian, las superficies de producto cambian y el umbral calibrado para el perfil de tráfico del año pasado puede ser demasiado agresivo o demasiado permisivo ahora. Crea una cadencia de revisión que analice el rendimiento de la puntuación frente a los resultados y ajusta en consecuencia.
Cómo puede ayudarte Stripe Radar
Stripe Radar utiliza modelos de IA, entrenados a partir de los datos de la red internacional de Stripe, para detectar y prevenir el fraude. Estos modelos se actualizan continuamente con las últimas tendencias de fraude para proteger a tu empresa frente a nuevas amenazas.
Stripe también ofrece Radar for Fraud Teams que permite a los usuarios añadir reglas personalizadas para hacer frente a situaciones de fraude específicas de sus empresas y acceder a información avanzada sobre fraudes.
Radar puede ayudar a tu empresa para:
Prevenir pérdidas por fraude: Stripe procesa más de un billón de dólares en pagos al año. Esta escala permite a Radar detectar y prevenir el fraude con precisión, lo que te ahorra dinero.
Aumenta los ingresos: los modelos de IA de Radar se entrenan con datos reales sobre disputas, información de clientes, datos de navegación y mucho más. Esto permite a Radar identificar transacciones de riesgo y reducir los falsos positivos, lo que aumenta tus ingresos.
Ahorra tiempo: Radar está integrado en Stripe y no requiere ninguna línea de código para su configuración. También puedes supervisar tu rendimiento en materia de fraude, escribir reglas y mucho más en una única plataforma, lo que aumenta la eficiencia.
Obtén más información sobre Stripe Radar o empieza hoy mismo.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.