Llegamos a ustedes gracias a:



Noticias

IBM patenta tecnología de detección de estafadores

Para sitios web y aplicaciones móviles

[03/06/2014] Los investigadores de IBM han desarrollado una técnica que los operadores de sitios web, proveedores de servicios cloud y desarrolladores de aplicaciones móviles pueden usar para detectar a un estafador que haya robado las credenciales de un tenedor de cuenta.

La tecnología patentada construye un perfil para cada persona usando un sitio o una aplicación en base a sus hábitos de navegación registrados a través del navegador. Las métricas se recogen a través del mouse de la computadora, el teclado y la pantalla táctil en una tableta o teléfono inteligente.

Todos tienen una forma distinta, a un nivel muy subconsciente, de interactuar con el navegador, sostuvo Keith Walker, inventor master de IBM.

Entre los detalles que se reúnen para incrementar la exactitud para identificar correctamente a las personas se encuentran el tiempo que pasan por sobre un enlace o botón antes de hacer clic, y si pasan por las páginas usando un touchpad, mouse o con las teclas para avanzar o retroceder página.

Los movimientos del mouse pueden ser distintivos. Algunas personas se mueven directamente hacia el objeto sobre el que se va a hacer clic, mientras que otros harán el equivalente digital a un garabato, sostuvo Walker.

Simplemente mueven su mouse al azar sin razón aparente, indicó.

Los investigadores encontraron que pueden construir un perfil en aproximadamente 15 minutos en una sesión o varias sesiones. El sistema prototipo usado para evaluar la técnica tuvo un 100% de exactitud para las 20 personas utilizadas en la investigación.

A gran escala, su tasa de exactitud no sería del 100%, sostuvo Walker. Sería menor, pero sería muy, muy alta.

Walker y su colega Brian O'Connell construyen una aplicación de cliente usando AJAX (asynchronous JavaScript and XML). El grupo de técnicas de desarrollo web interrelacionadas se usa para construir aplicaciones que corren en el navegador y pueden enviar y recuperar datos desde un servidor. Las aplicaciones AJAX cargan automáticamente y no requieren de plugin.

El software analítico que compararía la actividad con el perfil de un tenedor de cuenta podría estar en el servidor web o en algún otro lugar de la red. Si el porcentaje de actividad de coincidencia cae por debajo de un portal preconfigurado, luego el sitio puede solicitar la respuesta a una pregunta de seguridad o realizar algún otro tipo de autenticación.

La sensibilidad del gatillo dependería de la transacción. Por ejemplo, un sitio de banca podría requerir casi 100% de identificación del usuario para transferencias que involucran gran cantidad de dinero.

IBM ha recibido una patente por la tecnología, llamada sistema de detección de fraudes basado en la interacción de usuario-navegador. La invención no tiene el propósito de reemplazar los nombres de usuario y las contraseñas, sino atrapar a los estafadores antes de que causen mucho daño.

El sistema sería útil en cualquier sitio de comercio electrónico o servicio cloud en donde se almacena información confidencial del usuario, como números de tarjetas de crédito, información de cuentas bancarias o datos personales, como las direcciones de la casa y el correo electrónico y fecha de nacimiento.

Aunque no hay un cronograma para llevar el invento al mercado, Walker cree que sería bueno para el Trusteer Pinpoint de IBM, que vigila las anomalías de tráfico que indicarían la presencia del malware en dispositivos que se conectan a una red corporativa.

Estamos conversando con la gente de Trusteer, indicó O'Connell.
Antone Gonsalves, CSO (EE.UU.)