Reputación de IP: Análisis para la detección de fraude

El análisis de dirección IP es uno de los métodos más comunes y antiguos utilizados para detectar estafadores. Veamos cómo puede ayudar la reputación de ip.

Si estás leyendo las palabras en esta página, en parte es gracias a una dirección IP. Pero a diferencia de las direcciones físicas, probablemente no tienes ninguna razón para saberla de memoria. 

Verifica tu reputación de IP aquí:

Y sin embargo, este extraño conjunto de letras y números es la clave de las conexiones automáticas entre cualquier dispositivo y el Internet. Esto es cierto sin importar si visitas un sitio web, envías o recibes correos electrónicos, utilizas una sala de chat y sin importar si te conectas desde tu teléfono, laptop o refrigerador inteligente. 

Como veremos en esta guía, puedes obtener mucha información gracias a una reputación de IP (que también es útil para la puntuación de riesgo de transacciones).

Veamos cómo puede ayudar a los negocios a hacer suposiciones fundamentadas respecto a quiénes son sus usuarios, en qué parte del mundo radican, y más importante aún, cuáles son sus intenciones. 

Pero primero, algunas definiciones útiles:

¿Qué es la reputación de IP?

La reputación de IP puede utilizarse para ayudar a minimizar el riesgo de que los actores maliciosos entren a tu sitio. Puedes observar diversas configuraciones y asignarles puntos dependiendo de un factor de riesgo. 

Por ejemplo, una VPN suma +1. Un emulador suma +2, etc… Cuando todos los puntos son calculados, obtienes una reputación de IP en general. 

La reputación de IP es un factor que impacta este puntaje en general; las direcciones IP que históricamente han estado conectadas con bots o estafadores tendrán una puntuación de riesgo más alta o quizás sean colocadas en listas negras automáticamente por tu proveedor. 

Típicamente las organizaciones utilizan esta solución durante el registro, inicio de sesión, o la fase de compra, para detener el potencial comportamiento malicioso (tal como el robo de cuentas.)

Direcciones IP públicas y privadas

Una dirección IP pública es asignada a cualquier dispositivo que se conecte a internet a través de un ISP (Proveedor de Servicio de Internet). Puede ser un teléfono o una laptop, pero también un servidor web o servidor de correo electrónico. Es imposible que un dispositivo acceda a una WAN (wide area network) como el Internet sin una.

Una dirección privada se asigna a un dispositivo en una red local (LAN). Varios dispositivos pueden comunicarse entre sí, usualmente dentro del mismo edificio.

Encontrarás que se usan muchas analogías distintas para explicar lo que es una dirección IP. Algunas lo comparan con un pasaporte en internet. Otras a una dirección física, que te permite recibir información a través de un buzón de correo.

Con esta analogía, la IP pública te permite recibir correos en tu establecimiento de negocios. Pero entonces, este correo necesita enviarse a las personas correctas en el edificio, a través de direcciones privadas (como el piso o número de oficina).

Un punto que comúnmente genera confusión es que el término “privada” no significa oculta. Simplemente se refiere al hecho de que está vinculada con una red local, y es imposible que alguien la encuentre. 

Entender las direcciones IP públicas

Para nuestro propósito, que es detectar a los estafadores, las direcciones públicas ofrecen mucha más información que las privadas. Así que veamos más a detalle cómo es que se crean exactamente:

• Las direcciones IP públicas se generan automáticamente: son asignadas por tu ISP (Proveedor de Servicios de Internet), y no las puedes controlar. Sin embargo, quizás tengas la opción de utilizar una dirección estática (que siempre permanece igual), versus una dirección pública dinámica, que se selecciona aleatoriamente con cada conexión nueva. Las más valiosas para los estafadores son las direcciones IP residenciales, que pueden ser vendidas o rentadas en mercados específicos y servicios de corretaje. 
• Cada dirección IP pública debe ser única: nunca puede haber dos direcciones públicas exactamente iguales. 
• Cada dispositivo necesita una dirección IP para conectarse a internet: esto incluye tu teléfono, tablet, PC, laptop, reloj e incluso refrigerador inteligente si es parte del IoT (el Internet de las Cosas).

Los últimos dos puntos son particularmente interesantes porque significa que potencialmente se pueden agotar las direcciones IP. De hecho, esto ya ha pasado antes cuando el crecimiento explosivo de los dispositivos móviles agotaron el suministro de direcciones IP en el formato antiguo IPv4. 

Es por ello que se tuvo que crear un nuevo formato, IPv6. En teoría, IPv6 soporta un máximo de 340,282,366,920,938,463,463,374,607,431,768,211,456 direcciones, que debería durarnos por un largo tiempo. 

Direcciones IP y geolocalización

Muchos usuarios se dan cuenta por primera vez de que sus direcciones IP contienen información útil después de su primer encuentro con el concepto de la geolocalización. Esto sucede usualmente debido a:

• Anuncios dirigidos: los publicistas digitales intentan captar tu atención al mencionar tu área local en sus anuncios.
• Contenido bloqueado: comúnmente encontrado en las plataformas de streaming, donde los derechos de autor no son universales. 

Así que esta es la primera parte clave de una huella digital de usuario que puede obtenerse de las direcciones IP. Pueden, en teoría, revelar dónde se ubica el usuario en el mundo. 

Pero algunos detalles importantes: primero, la geolocalización por IP es un proceso complejo para el cual se subcontratan especialistas. La precisión de la geolocalización puede variar dependiendo de la base de datos que usen. IP2Country, como se le conoce a menudo, tiende a tener una precisión del 95%. IP2Region (que puede ser tan granular como la ciudad y el código de área), baja a un 50 a 75% de precisión. 

Segundo, no siempre puedes confiar en la información de geolocalización. Y esto nos lleva a la parte más importante de los rastreos de IP: entender cuando una dirección ha sido manipulada. 

Cómo ocultan los usuarios sus direcciones IP 

Existen muchas razones por las cuales alguien querría evitar la detección de spoofing (o suplantación). Volviendo a nuestros ejemplos anteriores, podría ser simplemente para ver un video de un país extranjero. Podría ser para mejorar su seguridad a través de encriptación añadida. Y por supuesto, podría ser con propósitos maliciosos. 

Sin importar el por qué, veamos cómo se ocultan las direcciones IP:

• VPNs: abreviatura de Virtual Private Networks (redes virtuales privadas). Son herramientas cada vez más populares que canalizan el tráfico de un dispositivo desde un dispositivo hacia un servidor en otra locación. Diferentes VPNs ofrecen diferentes tipos de direcciones IP, tales como estáticas, dinámicas o compartidas. 
• TOR: un sistema diseñado para mantener la anonimidad del usuario al enmascarar las direcciones IP. Los usuarios descargan y ejecutan un navegador gratuito, el cual pasa y encripta el tráfico varias veces para ocultar la dirección IP original. Sin embargo, una ISP o herramienta de detección de fraude sabrá si el usuario se conectó a nodos de entrada y salida de TOR. 
• Servidores proxy: actúan como el intermediario entre un dispositivo y un sitio web visitado. Los TOR y VPNs también se consideran proxies, incluso si redirigen todo el tráfico proveniente de todos los sistemas software y dispositivos. 

Servidores Proxy y Socks5

Ahondemos más en el mundo de los servidores proxy. Existen tres tipos principales:

• HTTP (que únicamente redirige el tráfico de navegador)
• Proxies Socks (que pueden configurarse para otras aplicaciones como juegos o aplicaciones de streaming)
• Proxies transparentes (usualmente configuradas por empleados, padres de familia o compañías públicas que quieren restringir y monitorear el tráfico).

Los servidores proxy son fáciles, baratos y rápidos de configurar, por lo cual los estafadores confían en ellos para cambiar rápidamente de direcciones IP durante múltiples ataques. Esto se conoce como spoofing (suplantación) de IP, y cualquier persona lo puede hacer en segundos con servicios gratuitos como xroxy.com.

Un vendedor terciario de direcciones proxy encontrado en proxy.com

Ten en cuenta que los estafadores prefieren los proxies Socks5, que son más complejos de usar, pero pueden mejorar sus posibilidades de pasar como usuarios residenciales inocentes. 

Finalmente, también ayuda familiarizarse con el concepto de puertos proxy. Estos son números que se refieren a locaciones virtuales específicas en el dispositivo conectado. Como veremos a continuación, puede ser útil para entender qué puertos están disponibles en el contexto de la detección de fraude. 

Datos sacados del análisis de reputación de IP

Ahora que entendemos cómo funcionan las IPs y una estrategia básica de cómo las personas ocultan sus direcciones, veamos lo que podemos obtener al analizarlas. 

• Geolocalización: como vimos anteriormente, una dirección de IP legítima debería revelar dónde está el usuario en el mundo. Es una característica básica, pero de todos modos útil para ver si coincide con la dirección de la tarjeta o si el cliente está viajando demasiado rápido. 
• Proveedor de Servicios de Internet: averiguar quién es el ISP puede ayudarnos a saber si la IP es residencial, desde una conexión residencial normal, una biblioteca pública o un servidor web o centro de datos. 
• Escaneo de puerto abierto: todos los proxies tienden a tener al menos un puerto abierto, y lo mismo hacen las computadoras que fungen como servidores. Al realizar un escaneo, podemos medir qué tan riesgosa parece ser la situación. Por ejemplo, algunos proveedores de proxy revenden conexiones SSH hackeadas, donde el puerto 22 está usualmente abierto. Un servicio de detección de proxy o API de detección de proxy puede ayudar. 
• Escaneo de lista spam: existen dos listas útiles llamadas DNSBL (Domain Name System Blackhole List) y RBL (Real-time Blackhole List), las cuales catalogan direcciones IP utilizadas para el spam por correo electrónico. Si estas direcciones IP aparecen en los resultados de nuestra búsqueda, podemos sospechar que el usuario es fraudulento. 

Así que con estas características, podemos saber muchas cosas respecto a nuestro usuario basándonos en su dirección IP. Dónde radican, qué tipo de configuración de red usa para conectarse a internet y si parece sospechoso o no. 

Reglas de velocidad para el uso de IP

¿Entonces qué deberías hacer si encuentras una dirección de IP de usuario sospechosa conectándose a tu sistema? Podrías simplemente bloquearla de inmediato, pero añadir esa dirección a una lista negra no tiene sentido. Esto es porque las direcciones IP son en su mayoría dinámicas, y múltiples usuarios podrían terminar compartiéndolas eventualmente, así que podrías terminar bloqueando a usuarios válidos. 

Es por ello que no puedes observar únicamente la dirección IP en sí misma, sino también su uso a través de reglas de velocidad. Estos algoritmos buscan patrones y cambios en el uso de la dirección IP a través del tiempo, lo que ayuda a la inteligencia de prevención de fraude. 

Mejorar las revisiones de reputación de IP con APIs

Como hemos visto, entender las direcciones IP y obtener un reporte es fácil, asequible y fácil de hacer. Pero no siempre es infalible. Aunque puede indicar comportamiento sospechoso, no puede señalar el fraude con un 100% de certeza. 

Esta es, de hecho, una de las carencias de esta tecnología: solo es útil como parte de una solución completa de detección de fraude. Cuando buscas el riesgo, necesitas tanta información como sea posible. Y aquí necesitarás:}

Prevén el riesgo de fraude analizando IPs con SEON

Podemos ver cómo una revisión de la reputación de IP proporciona una buena base para la inteligencia de fraude y la detección del fraude de transacción. Es fácil de implementar, sin fricción y entrega resultados en tiempo real.

Es por eso que cuando utilizas nuestra herramienta de detección de fraude de extremo a extremo, te recomendamos usarla en todas las fases del recorrido del cliente, desde el inicio de sesión hasta el pago. 

Puede ayudarte a atrapar cambios de conexión sospechosos, identificar el uso de dispositivos de spoofing y detectar ataques de bots potenciales. Pero simplemente no hay datos disponibles con las direcciones IP para crear puntuaciones de riesgo precisas o un informe de huella digital completo. 

Preguntas frecuentes