Para crear una cuenta, un usuario debe proporcionar alguna combinación de dirección de correo electrónico, número de teléfono y nombre. Pero como esta información se puede fabricar en segundos, no aporta mucha información útil sobre la identidad real del usuario. Otros datos son mucho más relevantes: el dispositivo que usa el usuario, la red desde la que se conecta, cómo navegó por el formulario de registro, entre otros.
La puntuación de riesgo de identidad es el proceso de ciberseguridad que asigna un nivel de riesgo a una identidad y convierte esas señales externas en una decisión. A continuación, explicamos qué es la puntuación de riesgo de identidad, por qué las reglas estáticas no pueden detectar los patrones de abuso modernos y cómo evaluar y operar un sistema de puntuación una vez implementado.
Aspectos destacados
La puntuación de riesgo de identidad pondera docenas de señales de forma simultánea en lugar de depender de un solo atributo. Esto la hace mucho más difícil de eludir para los atacantes que los conjuntos de reglas estáticas.
La activación de pruebas, el canje de promociones y los inicios de sesión son algunos de los lugares de mayor valor para aplicar la puntuación.
Los equipos siempre deben usar ajustes continuos de umbrales y bucles de retroalimentación cuando se implementa una plataforma de puntuación.
¿Qué es la puntuación de riesgo de identidad?
La puntuación de riesgo de identidad asigna un valor de riesgo numérico o categórico a un intento de identidad basado en el peso agregado de las señales presentes en ese momento. En lugar de centrarse en si el correo electrónico del usuario es real, evalúa si el intento en su conjunto es coherente con el de un usuario legítimo.
¿Qué señales suele impulsar el análisis de identidad?
Ningún dato por sí solo indica si un registro es legítimo. Las plataformas de análisis de identidad y puntuación de riesgo agregan señales en cinco categorías distintas:
Señales del dispositivo
Una huella digital del dispositivo agrega la versión del navegador, las fuentes instaladas, la resolución de pantalla y las especificaciones de hardware en un identificador seudónimo que persiste entre sesiones. Esto significa que un dispositivo vinculado a fraudes o abusos anteriores queda marcado incluso cuando cambian las credenciales de la cuenta. Las plataformas también buscan indicios de automatización, como navegadores sin interfaz gráfica, interfaces de programación de aplicaciones (API) esperadas ausentes o combinaciones de atributos que no aparecen en dispositivos de consumo reales.
Señales de red
La reputación del protocolo de Internet (IP) importa más que la propia dirección IP; por ejemplo, si está asociada a un centro de datos, a un proveedor conocido de red privada virtual (VPN), a nodos de salida de Tor o a una red de proxies residenciales que los delincuentes usan para imitar el tráfico ordinario de consumidores. La velocidad a nivel de red, como 50 registros desde la misma subred en una hora, es en sí misma una señal de actividad fraudulenta.
Biometría del comportamiento
El ritmo de escritura, los patrones de movimiento del mouse, el tiempo invertido en cada campo y si un usuario copia y pega o escribe su correo electrónico generan patrones medibles. Los bots y las herramientas con scripts producen firmas estadísticamente distintas de las humanas y, para los atacantes, sigue siendo un problema de ingeniería continuo naturalizar esos patrones.
Señales de atributos de identidad
La antigüedad del correo electrónico, la reputación del dominio, si la dirección coincide con patrones de correos desechables, el tipo de número de teléfono (p. ej., voz sobre protocolo de Internet o VoIP, emitido por el servicio de envío) son señales débiles individualmente, pero en combinación con otras, resultan significativas.
Vinculación entre cuentas
Si cinco cuentas comparten una huella digital del dispositivo o si se crearon 20 cuentas desde el mismo intervalo de IP en una semana, esas vinculaciones son señales. Una plataforma con amplia cobertura en muchas empresas puede detectar patrones que ningún operador individual podría ver por su cuenta.
¿Por qué fallan las reglas estáticas donde la puntuación de riesgo de identidad tiene éxito?
Las reglas estáticas son objetivos fijos. Los atacantes rotan hacia proxies residenciales cuando se bloquean las IP de centros de datos, cambian a dominios personalizados cuando se activan las reglas de correo electrónico desechable, y distribuyen el tráfico entre IP cuando entran en vigor los límites de velocidad.
Así es como la puntuación aborda estos modos de fallo:
Decisiones binarias sobre distribuciones continuas
El tráfico real se encuentra en un espectro entre legítimo y fraudulento y la zona de superposición es amplia. Un usuario de VPN con un historial limpio y un comportamiento normal es diferente de un usuario de VPN en un proxy residencial marcado, con patrones de escritura similares a los de un bot y una dirección de correo electrónico creada hace tres minutos. Una regla estática no puede expresar esa diferencia, pero una puntuación sí puede.
Adaptación de los atacantes
Cuando los actores fraudulentos cambian de táctica, un sistema basado en reglas no lo detecta hasta que alguien escribe una nueva regla. Un sistema de puntuación entrenado con patrones de comportamiento puede detectar la nueva táctica como una anomalía en relación con su línea base de tráfico legítimo, a menudo, antes de que se haya etiquetado de forma explícita.
La zona gris
Muchos sistemas en producción usan reglas estrictas para señales claramente descalificadoras, como infraestructura de malware conocida o coincidencias con listas de sanciones, y puntuación para todo lo que queda en medio.
¿En qué casos importa la puntuación de riesgo de identidad?
Los patrones de abuso siguen a los usuarios a lo largo de todo su ciclo de vida en tu plataforma. La puntuación de riesgo se aplica en cada uno de los siguientes puntos, donde se declara la identidad o esta podría ser objeto de explotación.
Creación de la cuenta
Algunos objetivos evidentes de abuso son la explotación de niveles gratuitos, la creación de granjas de credenciales, cuentas de reseñas falsas y la recolección de promociones. Una puntuación en el momento del registro es la primera oportunidad (y, a veces, la única) para detectar esto antes de que la cuenta esté activa.
Activación de pruebas gratuitas
El abuso de pruebas gratuitas sigue un patrón predecible: crear una cuenta, activar una prueba, agotarla y crear otra. La puntuación en el momento de la activación de la prueba, además del registro, detecta a los usuarios que ya pasaron por la revisión inicial sin ser identificados.
Canje de promociones y referidos
El abuso de promociones sigue ciertos patrones de infraestructura. La puntuación en el momento del canje detecta cuentas que superaron la revisión de registro, pero que ahora muestran un comportamiento correlacionado con el abuso.
Inicio de sesión
El robo de cuentas es un modelo de amenaza diferente del fraude de cuentas nuevas, pero las señales se superponen. Los intentos de inicio de sesión anómalos requieren su propia capa de puntuación.
Algunas plataformas puntúan de forma constante durante una sesión. Un usuario que supera la puntuación de registro, pero luego intenta realizar llamadas API de alta velocidad, exportaciones masivas de datos o pagos fallidos repetidos, es evaluado de nuevo en función de ese comportamiento. Stripe Radar puntúa las transacciones usando señales de toda la red de Stripe, lo que le otorga visibilidad sobre patrones que los negocios particulares no pueden ver por sí solos. Para los negocios que desarrollan protección en el registro y que se conectan a los pagos de Stripe, esta capa de puntuación en la etapa de pago actúa como salvaguarda contra el fraude que pasa las revisiones anteriores.
¿Cómo evaluar una plataforma de puntuación de riesgo de identidad?
Las diferencias entre proveedores no siempre son legibles en sus páginas de marketing. Elegir la plataforma equivocada puede bloquear a usuarios legítimos o dejar pasar el abuso.
Esto es lo que debes buscar en una plataforma de puntuación de riesgo:
Cobertura y actualidad de las señales
Determina cuántos tipos de señales ingiere la plataforma y qué tan actualizados están sus datos de reputación. Una plataforma con datos de reputación de IP desactualizados o cobertura limitada de huella digital del dispositivo producirá puntuaciones que no detectan los patrones de ataque modernos. Pregunta a los proveedores específicamente sobre sus capacidades de detección de proxies residenciales y biometría del comportamiento; estas son áreas donde las plataformas varían de manera considerable.
Rendimiento en tiempo real
La puntuación de identidad en el momento del registro debe devolver un resultado antes de que el usuario espere una respuesta. Una latencia superior a unos pocos cientos de milisegundos comienza a afectar la conversión. Obtén los números reales de latencia en el percentil 99.
Precisión y tasas de falsos positivos
Un sistema que bloquea el 95 % del fraude, pero rechaza incorrectamente el 3 % de los usuarios legítimos puede tener un efecto neto negativo, según tu empresa. Las tasas de falsos positivos se deben medir frente a tu perfil de tráfico específico. Cuando el sistema marca una cuenta, debe poder indicarte qué señales impulsaron la decisión.
Opciones de integración
Averigua si la plataforma tiene integraciones prediseñadas con tu pila de software y ofrece una API en tiempo real que se adapte a tu flujo de registro. Analiza cómo gestiona las decisiones que deben retroalimentar tus sistemas de pagos o de autenticación.
Herramientas de operaciones
La puntuación requiere paneles que muestren distribuciones de puntuaciones, herramientas para revisar cuentas marcadas, la posibilidad de ajustar umbrales y mecanismos de retroalimentación que permitan que las decisiones de revisión humana mejoren el modelo. Las plataformas que no invierten en esta infraestructura se vuelven menos eficientes con el tiempo.
¿Cómo operar y ajustar un sistema de puntuación de riesgo de identidad a lo largo del tiempo?
Implementar una plataforma de análisis de identidad y puntuación de riesgo es el comienzo de un proceso continuo.
Esto es lo que debes saber desde el inicio:
Cómo establecer umbrales según la tolerancia al riesgo
Muchas plataformas se entregan con umbrales de puntuación predeterminados que generan bloqueos, desafíos o aprobaciones. Esos valores predeterminados están calibrados para el cliente promedio, por lo que es probable que deban ajustarse. Ejecuta el sistema en modo sombra y examina la distribución de puntuaciones frente a los resultados conocidos. Esto te indica dónde deben estar realmente los umbrales.
Cómo monitorear la deriva
El comportamiento de los atacantes cambia y también lo hace el comportamiento de los usuarios legítimos, en especial, cuando lanzas un producto en nuevos mercados, cambias tu producto o ejecutas una campaña que atrae tráfico inusual. Las distribuciones de puntuaciones que varían sin un cambio correspondiente en las tasas reales de fraude son una señal de que algo cambió y requiere investigación.
Cómo construir bucles de retroalimentación
La puntuación es una predicción, pero los resultados reales son la realidad. Las plataformas que pueden incorporar retroalimentación y ajustar sus modelos son mediblemente más precisas con el tiempo que las que no pueden.
Cómo revisar los umbrales con frecuencia
Los equipos suelen establecer los umbrales durante el onboarding y no los revisan durante meses. Mientras tanto, las tasas de fraude cambian, las superficies del producto cambian y el umbral calibrado para el perfil de tráfico del año pasado puede ser demasiado restrictivo o demasiado permisivo en el presente. Establece una cadencia de revisión que evalúe el rendimiento de las puntuaciones frente a los resultados y realiza ajustes en consecuencia.
Cómo puede ayudar Stripe Radar
Stripe Radar utiliza modelos de IA para detectar y prevenir fraudes. Estos modelos, entrenados con datos de la red global de Stripe, se actualizan continuamente en función de las últimas tendencias de fraude, lo cual mantiene a tu empresa protegida a medida que evoluciona.
Stripe también ofrece Radar para Equipos de Fraude, que permite a los usuarios agregar reglas personalizadas que abordan escenarios de fraude específicos de sus empresas y acceder a información avanzada sobre fraude.
Radar puede ayudar a tu empresa a lograr lo siguiente:
Prevenir pérdidas por fraude: Stripe procesa más de $1 billón en pagos al año. Este crecimiento permite que Radar detecte y prevenga el fraude con precisión y ahorre dinero.
Aumentar los ingresos: los modelos de IA de Radar se entrenan con datos reales de disputas, información de clientes, datos de navegación y más. Esto permite que Radar identifique transacciones de riesgo y reduzca falsos positivos, lo que aumenta tus ingresos.
Ahorrar tiempo: Radar se integra en Stripe y no necesita líneas de código para su configuración. También puedes controlar el rendimiento del fraude, escribir reglas y mucho más en una sola plataforma, lo que aumenta la eficiencia.
Obtén más información sobre Stripe Radar o empieza a utilizarlo hoy.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.