ES2937143T3 - Procedimiento de monitoreo y protección del acceso a un servicio en línea - Google Patents

Procedimiento de monitoreo y protección del acceso a un servicio en línea

Info

Publication number
ES2937143T3
ES2937143T3 ES21164170T ES21164170T ES2937143T3 ES 2937143 T3 ES2937143 T3 ES 2937143T3 ES 21164170 T ES21164170 T ES 21164170T ES 21164170 T ES21164170 T ES 21164170T ES 2937143 T3 ES2937143 T3 ES 2937143T3
Authority
ES
Spain
Prior art keywords
online service
characteristic data
traffic
username
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES21164170T
Other languages
English (en)
Inventor
Nicolò Pastore
Emanuele Parrinello
Carmine Giangregorio
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cleafy SpA
Original Assignee
Cleafy SpA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cleafy SpA filed Critical Cleafy SpA
Application granted granted Critical
Publication of ES2937143T3 publication Critical patent/ES2937143T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Computer And Data Communications (AREA)
  • Maintenance And Inspection Apparatuses For Elevators (AREA)
  • Indicating And Signalling Devices For Elevators (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

La presente descripción se refiere a un método para monitorear y proteger el acceso a un servicio en línea contra la toma de cuenta, que comprende los pasos de: proporcionar un inspector de tráfico (1) en señal de comunicación con al menos un dispositivo cliente (2) y con un servidor web (4) tener un servicio en línea residiendo allí; proporcionar un analizador de tráfico (5) en señal de comunicación con el inspector de tráfico (1); identificar cada sesión de navegación del dispositivo cliente (2) en el servicio en línea; analizar el tráfico intercambiado entre el dispositivo cliente (2) y el servidor web (4) para extraer e identificar al menos un nombre de usuario cuando un usuario realiza la autenticación en el servicio en línea; recopilar los primeros datos característicos sobre parámetros técnicos únicos y/o no únicos y asociarlos con un nombre de usuario identificado respectivo; identificar cada baliza web anónima generada por el dispositivo cliente (2) en el servicio en línea, siendo la baliza web indicativa del hecho de que el dispositivo cliente (2) ha iniciado una sesión de navegación fraudulenta en un servidor web de phishing (11); recopilar datos característicos de terceros sobre parámetros técnicos únicos y/o no únicos y asociarlos con la baliza web anónima; comparar los primeros datos característicos por medio de un algoritmo de predicción del usuario (7) con los terceros datos característicos para asociar un nombre de usuario identificado con la baliza web anónima en caso de similitud o coincidencia sustancial entre los primeros datos característicos y los terceros datos característicos así comparados; analizar mediante un algoritmo de detección (8) cada web beacon anónimo asociado a uno o más nombres de usuario identificados para introducir cada usuario asociado al web beacon anónimo en el que se ha detectado una situación de riesgo de robo de credenciales tras un ataque de phishing en un lista de observación; monitorear las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de vigilancia cuando su respectivo usuario realiza además la autenticación en el servicio en línea. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Procedimiento de monitoreo y protección del acceso a un servicio en línea
Campo de aplicación
La presente descripción se refiere a un procedimiento para monitorear y proteger el acceso a un servicio en línea contra la usurpación de la cuenta. En particular, la presente invención se refiere a un procedimiento para monitorear y proteger el acceso a una aplicación web o móvil.
La presente descripción se refiere a un procedimiento para monitorear y proteger el acceso a un servicio en línea contra la apropiación de una cuenta, así como también a un procedimiento para monitorear y proteger el acceso a una aplicación web o móvil contra ataques cibernéticos por programa malicioso, por ejemplo, del tipo Hombre en el navegador y/o Tercero interpuesto y/o Ataque robot, dirigido al robo de credenciales de usuario o el llamado Robo de cuentas, abreviatura: ATO.
Descripción de los antecedentes técnicos
Se conoce en el estado de la técnica el uso de software antivirus para contrarrestar ataques informáticos, también del tipo Hombre en el navegador y/o Tercero interpuesto y/o Ataque robot.
Por ejemplo, Hombre en el navegador es una categoría de ataque que consiste en manipular directamente el navegador web para modificar el contenido que normalmente muestra el usuario cuando visita un sitio web. Los ataques Hombre en el navegador (MitB) se realizan mediante el uso del programa malicioso instalado en la computadora del usuario sin su conocimiento. Dicho programa malicioso (por ejemplo, Proxy caballo de Troya) interactúa con la memoria de los procesos del navegador web, para redirigir el flujo normal de llamadas al sistema (usado por el navegador web) a características de programa malicioso que están destinadas, por ejemplo, a inyectar el código HTML adicional en la página web descargada. Cabe señalar que, en el caso de un ataque Hombre en el navegador, la conexión es al servidor web original del sitio atacado, por lo que es extremadamente difícil detectar el ataque. Por lo tanto, el navegador web y la aplicación web no pueden ubicar el contenido que el programa malicioso agrega al contenido realmente descargado del servidor web. Se han detectado varios tipos de ataques Hombre en el navegador, incluido el robo de códigos de tarjetas de crédito de sitios de comercio electrónico y banca electrónica y la ejecución de transacciones económicas fraudulentas que a menudo se inician automáticamente sin la interacción del usuario.
En detalle, cuando un usuario solicita una página web (es decir, una aplicación web) a través de un navegador web, el servidor web en el que reside la página web envía un código fuente HTML (Modelo de objeto de documento DOM) al navegador web. El código DOM se pasa al motor de representación del navegador web para que el usuario lo muestre. Por ejemplo, en el caso de una PC infectada con programa malicioso, el código DOM que el navegador web recibe del servidor web se modifica por el programa malicioso antes de procesarse por el motor de procesamiento del navegador web. De hecho, el programa malicioso inyecta un código adicional (por ejemplo, un script) en el código DOM recibido por el servidor web para modificar el contenido que muestra el usuario. Los cambios de programa malicioso en el código DOM descargado del servidor web son cambios en el código HTML y/o JavaScript, y/u otro contenido o recurso web. Es decir, el navegador web se conecta al servidor web original mientras que el programa malicioso provoca cambios en el código DOM descargado. Dichas modificaciones pueden incluir alteraciones gráficas y/o de comportamiento. Por tanto, el usuario visualiza una página web con un comportamiento y/o representación gráfica modificados con respecto a la página web solicitada originalmente por el cliente. El cliente sin darse cuenta da acceso a sus datos personales o autoriza actuaciones fraudulentas en su contra.
A modo de ejemplo, en el mundo bancario, el ordenador infectado con programa malicioso normalmente se conecta al sitio de banca online con protocolo HTTP, y descarga los datos de la página web. Sin embargo, estos datos se alteran en tiempo real por el programa malicioso, al añadir scripts que permiten solicitar los datos de acceso del usuario a la página web de banca online.
Otro ejemplo es Ataque robot, como se ilustra en la Figura 1. Dichos ataques toman la forma de solicitudes de página de un sistema automático, en lugar de una persona humana. Esto puede resultar en un consumo de ancho de banda muy alto para el proveedor de servicios. Además, los sistemas automáticos podrían usar el servicio de forma no deseada e ilegal. Ejemplos conocidos son raspado web (es decir, extracción de datos del servicio web) o carding (es decir, en la fase de validación de tarjetas de crédito robadas), o inicio de sesión de fuerza bruta (es decir, un intento de buscar las credenciales de un usuario en la página de inicio de sesión de una aplicación web).
Operar programa malicioso en dispositivos móviles podría ser de los tipos descritos anteriormente o podría ser de otros tipos específicos. Por ejemplo, el programa malicioso de superposición podría mostrar una interfaz gráfica idéntica o similar a una aplicación móvil legítima relacionada con un servicio que requiere credenciales. Es posible que un usuario no pueda distinguir la aplicación legítima de la aplicación superpuesta maliciosa e ingresar sus credenciales de servicio dentro de esta última. Posteriormente, la aplicación de superposición podría enviar las credenciales a una entidad malintencionada a través de una conexión (por ejemplo, WiFi, 3G, 4G y 5G).
El mencionado programa malicioso, como ya se dijo, puede usarse para robar datos confidenciales del usuario, como las credenciales de acceso a un sitio de banca en línea. En estas circunstancias, el programa malicioso impide que el usuario inicie sesión en el sitio de banca en línea. De hecho, las credenciales ingresadas por el usuario que cree que accede regularmente a la plataforma de banca en línea se proporcionan al programa malicioso que simula la interfaz de acceso al sitio y que involucra al usuario al recrear una emulación de la página web de banca en línea. Una vez que se roban estos datos del usuario, el programa malicioso puede enviar las credenciales recopiladas a un impostor. Paralelamente a la sesión abierta en la que opera el usuario no autenticado, el impostor abre una nueva página donde ingresa las credenciales del usuario para la autenticación. Una vez autenticado, el impostor puede organizar libremente la cuenta del usuario desprevenido, e iniciar operaciones fraudulentas. Este tipo de técnica se conoce en la industria como Apropiación de cuenta (ATO), ya que el impostor toma el control de la cuenta al actuar en el lugar del usuario sin encontrar ningún tipo de impedimento. Además, el ataque podría continuar si el impostor logra explotar aún más la sesión abierta infectada con programa malicioso para obtener otros datos confidenciales del usuario, tal como las credenciales de inicio de sesión de nivel superior necesarias para realizar transacciones de gran cantidad de dinero.
Además, cabe señalar que un impostor podría llevar a cabo un ataque de apropiación de cuenta sin usar Malware. Tal ataque podría emplear técnicas conocidas como suplantación de identidad. Por ejemplo, el impostor podría inducir a un usuario a navegar a un sitio idéntico al del servicio en línea autenticado. Una técnica podría aprovechar el envío de un correo electrónico con gráficos similares a los de una entidad oficial que contenga un enlace al sitio de suplantación de identidad malicioso. El usuario desprevenido podría no ser capaz de distinguir el sitio legítimo del malicioso e ingresar sus credenciales en este último. El sitio malicioso está controlado por el impostor, por lo que las credenciales se registran o se envían directamente al impostor. Posteriormente, el impostor podrá usar las credenciales recopiladas para autenticarse con el servicio en línea y realizar libremente las operaciones.
Existen técnicas conocidas destinadas a identificar tales ataques de suplantación de identidad que incluyen la inserción de recursos dentro de un sitio, tal como una imagen. Dado que el impostor podría copiar todo el sitio web a un servidor de suplantación de identidad controlado por él, dichos recursos podrían permanecer sin cambios en el sitio fraudulento. Cuando el sitio fraudulento se visualiza en un navegador web, estos recursos se descargan del servidor original ya que, mientras tanto, no han cambiado. Por lo tanto, al analizar las solicitudes al servidor original, es posible resaltar un ataque de suplantación de identidad a través de la presencia de solicitudes de recursos de un sitio que no es el legítimo.
En el documento US2018/033089A1 se describe un procedimiento para monitorear y proteger el acceso a un servicio en línea contra la apropiación de una cuenta. Dicho procedimiento primero adquiere los datos de acceso al servicio en línea y, mediante el procesamiento de los datos de acceso con uno o más modelos predictivos, puede asignar una o más puntuaciones de riesgo a la sesión de navegación. El procedimiento incluye posteriormente realizar una o más acciones de reducción de riesgo en función de una o más puntuaciones de riesgo atribuidas a la sesión monitoreada.
Un procedimiento para detectar riesgos de seguridad en una computadora en base al análisis de comunicaciones anteriores se describe en el documento US2018/152471A1.
Problemas de antecedentes de la técnica
Los sistemas conocidos permiten detectar y posiblemente bloquear la acción del programa malicioso. Ver por ejemplo los documentos EP 3021 550 A1 y Ep 3021 551 A1 que describen, respectivamente, un procedimiento de detección de programa malicioso y un procedimiento de protección de programa malicioso.
Sin embargo, en el caso descrito anteriormente, no es posible conocer la identidad del usuario que, al desconocer el ataque del programa malicioso, no se ha autenticado. En el escenario con programa malicioso en una sesión que aún no está autenticada, el estado de la técnica permite identificar la presencia del programa malicioso, pero no es posible saber a quién pertenece esa sesión infectada. Como resultado, el programa malicioso tiene la capacidad de recuperar datos confidenciales de la sesión reenviándolos a un impostor que abrirá una nueva sesión, identificándose con los datos que acaba de robar. A continuación, la nueva sesión se reconoce como válida porque está autenticada. Como se anticipó anteriormente, la nueva sesión se abre mediante el uso de datos robados al usuario con la llamada técnica de apropiación de cuenta.
Por lo tanto, cuando el impostor abre una nueva sesión de la plataforma de banca en línea e inicia sesión regularmente, ya al contar ya con las credenciales correctas del usuario desprevenido, nada puede hacerse para evitar su conducta fraudulenta contra el usuario.
Además, las técnicas usadas para identificar los ataques de suplantación de identidad no permiten asociar al usuario afectado con el ataque de suplantación de identidad identificado.
Sumario de la invención
El objeto de la invención en cuestión es obtener un procedimiento de control y protección del acceso a un servicio en línea capaz de superar los inconvenientes del estado de la técnica.
Otro objeto de la presente invención es obtener un procedimiento de monitoreo y protección del acceso a un servicio en línea, como una aplicación web o móvil, que permita proteger al usuario de ataques del tipo Apropiación de cuenta.
Ventajas de la invención
En virtud de una realización, puede implementarse un procedimiento que permite monitorear y proteger el acceso a un servicio en línea, tal como una aplicación web o móvil, de ataques de Apropiación de cuenta, lo que reduce el riesgo de fraude contra el usuario.
En virtud de una realización adicional, es posible obtener un procedimiento que permite reconocer uno o más posibles usuarios ocultos detrás de una sesión de navegación anónima de la aplicación web o móvil atacada por programa malicioso, para poder proteger formalmente las sesiones de navegación autenticadas iniciadas por dichos usuarios, pero potencialmente por un impostor que ha robado las credenciales del usuario.
Breve descripción de las figuras
Las características y ventajas de la presente invención serán evidentes a partir de la siguiente descripción detallada de una posible realización práctica de la misma, ilustrada a modo de ejemplo no limitativo en los dibujos adjuntos, en los que:
- las Figuras 1 y 2 muestran un sistema 100 en el que puede aplicarse una primera realización del procedimiento de la presente invención;
- la Figura 3 muestra un diagrama de flujo de una secuencia de etapas de una realización del procedimiento de acuerdo con la primera realización de la presente invención;
- la Figura 4 muestra un diagrama de flujo de otra secuencia de etapas del ejemplo de la Figura 3;
- la Figura 5 muestra un diagrama de flujo de otra secuencia de etapas del ejemplo de las Figuras 3 y 4;
- la Figura 6 muestra un sistema 100 en el que puede aplicarse una segunda realización del procedimiento de la presente invención.
Descripción detallada
Incluso si no se resaltan explícitamente, las características individuales descritas con referencia a las realizaciones específicas, se entenderán como accesorias y/o intercambiables con otras características, descritas con referencia a otras realizaciones.
La presente invención se refiere a un procedimiento para controlar y proteger el acceso a un servicio en línea contra la suplantación de cuenta. En particular, el objeto de la presente invención es un procedimiento para monitorear y proteger la cuenta de un usuario de un ataque por parte de un impostor F, por ejemplo, con el uso de programa malicioso M, dirigido al robo de credenciales de acceso del usuario al servicio en línea.
Dentro del ámbito de la presente invención, un servicio en línea es un servicio o aplicación web y móvil que requiere credenciales para usarse de forma segura por un usuario. Un servicio en línea generalizado se relaciona con las plataformas de banca en línea, web o móvil, que permiten a los usuarios registrados y autenticados realizar operaciones financieras en línea, tal como transacciones financieras. Específicamente, un servicio de inicio bancario en donde un usuario puede realizar una transferencia bancaria después de autenticarse con credenciales, por ejemplo, nombre de usuario y contraseña y, opcionalmente, un token temporal.
En las Figuras 1 y 2 adjuntas, el número 100 se refiere a un sistema en el que puede aplicarse una primera realización del procedimiento de la presente invención. En otras palabras, se hace referencia al sistema 100 como un entorno de red, que consiste claramente en dispositivos y componentes de red para la navegación por Internet de tipo hardware, tales como servidores, bases de datos y unidades de procesamiento, en el que la primera realización del procedimiento de la presente invención puede aplicarse.
El procedimiento de monitorear y proteger el acceso a un servicio en línea contra la suplantación de cuenta comprende la etapa de proporcionar un Inspector de Tráfico 1 en comunicación de señal con al menos un dispositivo del cliente 2 para navegar por Internet y con un servidor web 4 que tiene un servicio en línea que reside en él.
Dentro del ámbito de la presente invención, un dispositivo del cliente 2 significa un dispositivo para navegar por Internet colocado en comunicación de señal con el servidor web 4. El dispositivo del cliente 2 es capaz de enviar solicitudes al servidor web 4 y recibir respuestas a través de una red de Internet. El dispositivo del cliente 2 puede ser una tableta, una computadora portátil, una computadora de escritorio, un televisor inteligente, un reloj inteligente, un teléfono inteligente o cualquier otro dispositivo capaz de procesar, comunicarse con un servidor web 4 y mostrar contenido obtenido del servidor web 4, o contenido ya presente en el dispositivo del cliente 2. El contenido puede verse desde un navegador u otro tipo de software. Dicho contenido podría estar en HTML, JavaScript u otros formatos similares de un tipo conocido. Además, el dispositivo del cliente 2 podría contener sistemas operativos conocidos como Android, iOS o Microsoft Windows.
Preferentemente, un navegador web 3 reside en el dispositivo del cliente 2 si el dispositivo del cliente 2 es una computadora, o una aplicación móvil si el dispositivo del cliente 2 es, por ejemplo, un teléfono inteligente o una tableta.
En adelante, por brevedad de la presentación, sólo se hará referencia al caso ejemplar del navegador web 3 que reside en el dispositivo del cliente 2.
El procedimiento comprende además la etapa de proporcionar un Analizador de Tráfico 5 en comunicación de señal con el Inspector de T ráfico 1.
Dentro del ámbito de la presente invención, el Inspector de Tráfico 1 significa un dispositivo en línea sobre el tráfico web entre cada dispositivo del cliente 2 y el servidor web 4 que tiene un servicio en línea que reside en él. Por tanto, el Inspector de Tráfico 1 es capaz de interceptar la siguiente información de comunicación: Dirección IP de una solicitud HTTP, cookies, encabezados y el cuerpo de la misma solicitud HTTP. El Inspector de Tráfico 1 es preferentemente un dispositivo de hardware, que tiene componentes de software que residen en él, configurado para generar un código único e ingresarlo en una cookie dentro de la respuesta a la solicitud HTTP. Con mayor preferencia, el Inspector de Tráfico 1 está configurado para modificar el código DOM de una página web al añadir el código necesario para generar y enviar una huella dactilar. Además, el Inspector de Tráfico 1 está configurado para enviar toda la información recopilada durante las sesiones de navegación de cada usuario en el servicio en línea que reside en el servidor web 4 al Analizador de Tráfico 5.
Dentro del ámbito de la presente invención, Analizador de Tráfico 5 significa un dispositivo de hardware, que tiene componentes de software tales como algoritmos 7, 8, 9, 10 que residen en él para: extraer el nombre de usuario de la información recibida por el Inspector de Tráfico 1 (algoritmo de extracción 10); asociar el nombre de usuario con la información única de la solicitud HTTP de la que se extrajo, como IP y UUID ingresados en una cookie; estimar el nombre de usuario que generó la solicitud HTTP si dicha solicitud no contiene credenciales reales, en base a la estimación en la información única presente en la solicitud HTTP asociada con el o los nombres de usuario estimados (algoritmo 7 de predicción de usuarios); identificar un ataque de apropiación de cuenta (algoritmo de detección 8); proteger al usuario en caso de ataque (algoritmo de protección 9). Además, el Analizador de Tráfico 5 comprende preferentemente una base de datos 6 para almacenar dichas asociaciones A entre el nombre de usuario y la información única tal como, por ejemplo, IP y UUID.
Cabe señalar que, de acuerdo con una solución preferida de la invención, el Analizador de Tráfico 1 y el Inspector de Tráfico 5 pueden implementarse en una sola máquina (o dispositivo electrónico) que, por lo tanto, es capaz de realizar las actividades del Analizador de Tráfico 1 y el Inspector de Tráfico 5 con los mismos procedimientos descritos en la presente memoria.
El procedimiento que comprende la etapa de identificar cada sesión de navegación del dispositivo del cliente 2, y preferentemente el navegador web 3, en el servicio en línea por el Inspector de Tráfico 1.
El procedimiento también comprende la etapa de analizar el tráfico intercambiado entre el dispositivo del cliente 2 y el servidor web 4, y preferentemente entre el navegador web 3 y el servidor web 4, por el Analizador de Tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario realiza autenticaciones al servicio en línea.
En otras palabras, la arquitectura en base al Inspector de Tráfico 1 y el Analizador de Tráfico 5 permite monitorear el tráfico de aplicaciones web/móviles.
Además, el procedimiento comprende la etapa de recopilar por parte del Inspector de Tráfico 1 primeros datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar los primeros datos característicos con un nombre de usuario identificado respectivo por el Analizador de Tráfico 5.
El procedimiento comprende la etapa de almacenar los primeros datos característicos asociados con cada nombre de usuario identificado en una base de datos 6 asociada con el Analizador de Tráfico 5.
El procedimiento comprende además la etapa de identificar cada sesión de navegación anónima del dispositivo del cliente 2, y preferentemente del navegador web 3, en el servicio en línea por el Analizador de Tráfico 5.
Dentro del ámbito de la presente invención, una sesión de navegación anónima es una sesión de navegación no autenticada de un servicio en línea.
El procedimiento también comprende la etapa de recoger, por parte del Inspector de Tráfico 1, segundos datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar, por parte del Analizador de Tráfico 5, los segundos datos característicos con la sesión de navegación anónima.
El procedimiento comprende la etapa de comparar mediante un algoritmo de predicción de usuarios 7 que reside en el Analizador de Tráfico 5 los primeros datos característicos de cada nombre de usuario identificado con los segundos datos característicos de la sesión anónima para asociar un nombre de usuario identificado a la navegación anónima en caso de similitud o coincidencia sustancial entre los primeros datos característicos y los segundos datos característicos así comparados. Es decir, el procedimiento incluye asociar un conjunto de posibles usuarios a la sesión de navegación anónima mediante un algoritmo de predicción de usuarios 7, que analiza el conjunto de parámetros técnicos recogidos en la sesión y los compara con el historial de sesiones y parámetros autenticados recogidos, analizados o monitoreados.
El procedimiento comprende la etapa de analizar mediante un algoritmo de detección 8 que reside en el Analizador de Tráfico 5 cada sesión de navegación anónima asociada a uno o más usuarios identificados para ingresar cada usuario asociado a la sesión de navegación anónima en la que se detecte en una lista de observación una situación de riesgo de robo de credenciales. Es decir, el procedimiento incluye identificar la presencia de riesgos técnicos y no, por ejemplo, la presencia de programa malicioso en una sesión de navegación aún no autenticada, pero con usuarios predichos en la etapa previo de comparación con el algoritmo de predicción de usuarios 7, mediante un seguimiento continuo antes de la autenticación. Si hay riesgos presentes, los usuarios previstos y en riesgo se ingresan en la lista de observación.
Además, el procedimiento comprende la etapa de monitorear las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo realiza además la autenticación en el servicio en línea. Además, esta etapa implica identificar un ataque de apropiación de cuenta por parte del dispositivo del cliente 2 cuando la sesión de navegación anónima y la posterior sesión autenticada asociada con el mismo nombre de usuario ingresado en la lista de observación están próximas en tiempo. Además, esta etapa implica proteger el acceso al servicio en línea cuando se identifica un riesgo de apropiación de la cuenta.
De acuerdo con una forma preferida de la invención, la etapa de monitorear las sesiones de navegación asociadas con cada nombre de usuario en la lista de observación comprende las subetapas de:
- identificar por medio del algoritmo de detección 8 las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo se autentica en el servicio en línea; - proteger las sesiones de navegación en riesgo mediante un algoritmo de protección 9 que reside en el Analizador de Tráfico 5.
Preferentemente, la etapa de proteger la sesión de navegación en riesgo mediante el uso del algoritmo de protección 9 comprende la etapa de bloquear el nombre de usuario del usuario asociado a la sesión de navegación en riesgo o ejecutar un algoritmo de Autenticación sólida del cliente para el nombre de usuario del usuario asociado a la sesión de navegación en riesgo o ejecutar un algoritmo de autenticación multifactor para el nombre de usuario del usuario asociado a la sesión de navegación en riesgo. Es decir, cuando el procedimiento identifica una sesión de navegación asociada a un usuario autenticado, si dicho usuario está presente en la lista de observación de usuarios en riesgo generada por el algoritmo de detección 8, el algoritmo de protección 9 activa mecanismos de protección tales como, por ejemplo, bloqueo de usuario, SCA, MFA y/o mecanismos de notificación a otros sistemas o usuarios. Por ejemplo, el procedimiento puede incluir una etapa de generar una advertencia P por el Analizador de Tráfico 5 para señalar la advertencia al usuario atacado o a otros sistemas o a otros usuarios.
Preferentemente, la etapa de monitorizar las sesiones de navegación asociadas a cada usuario de la lista de observación comprende la etapa de generar una señal de riesgo indicativa de la presencia de una posible amenaza asociada al ataque de programa malicioso en la sesión de navegación en riesgo.
De acuerdo con una solución preferida, el procedimiento comprende la etapa de eliminar un nombre de usuario de la lista de observación cuando el algoritmo de detección 8 detecta que el ataque de programa malicioso ha terminado. Cabe señalar que es posible establecer criterios predefinidos de manera que el algoritmo de detección 8 sea capaz de detectar si el ataque ha terminado.
Preferentemente, la etapa de eliminar un nombre de usuario de la lista de observación comprende la etapa de eliminar un nombre de usuario de la lista de observación cuando ha transcurrido un intervalo de tiempo predefinido desde el momento en que el algoritmo de detección 8 ha detectado que el ataque de programa malicioso ha terminado. Es decir, el nombre de usuario se elimina automáticamente de la lista de observación cuando la condición de riesgo expira, por ejemplo, mediante el uso de un temporizador fijo.
De acuerdo con una forma preferida, la etapa de recopilar, por parte del Inspector de Tráfico 1, primeros datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar, por parte del Analizador de Tráfico 5, los primeros datos característicos con un nombre de usuario identificado respectivo comprende la subetapa de recopilar, por parte del Inspector de Tráfico 1, los primeros datos característicos relacionados con uno o más parámetros técnicos únicos, parámetros técnicos no únicos, puntos finales (por ejemplo, huellas dactilares), redes (por ejemplo, IP) y navegadores (por ejemplo, seguimiento y marcado de cookies). Es decir, esta subetapa incluye que el procedimiento asocie el nombre de usuario identificado y todos los parámetros técnicos únicos y no la sesión de navegación autenticada. Además, la etapa de recopilar, por parte del Inspector de Tráfico 1, segundos datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar, por parte del Analizador de Tráfico 5, los segundos datos característicos con la sesión de navegación anónima comprende la subetapa de recopilación, por parte del Inspector de Tráfico 1, de segundos datos característicos relacionados con uno o más parámetros técnicos únicos, parámetros técnicos no únicos, puntos finales (por ejemplo, huellas dactilares), redes (por ejemplo, IP) y navegadores (por ejemplo, cookies de seguimiento y marcado).
Preferentemente, los primeros datos característicos y los segundos datos característicos comprenden UUID e IP. Cabe señalar que en la Figura 2 los segundos datos característicos se indican con IP1 y UUID1.
Con referencia a la realización en la que el Inspector de Tráfico 1 está configurado para modificar el código DOM de una página web al agregar el código necesario para generar y enviar una huella digital, el código necesario para generar una huella digital contiene preferentemente las instrucciones necesarias para capturar alguna información que caracterizan un entorno de ejecución de dicho código, tal como por ejemplo el navegador web 3 o un dispositivo del cliente móvil 2. Con mayor preferencia, el código contiene instrucciones destinadas a transformar la información recopilada, es decir, los primeros y segundos datos característicos, en un formato compacto. El dispositivo que ejecuta estas instrucciones contiene instrucciones para enviar la información recopilada al Analizador de Tráfico 5. Todavía preferentemente, las instrucciones destinadas a transformar la información recopilada en un formato compacto se ejecutan tanto en el navegador web 3 como dentro del Inspector de Tráfico 1. Cuando las instrucciones destinadas a transformar la información recopilada en un formato compacto se ejecutan dentro del navegador web 3, el código envía solo la representación compacta de la información recopilada al Analizador de Tráfico 5. Todavía preferentemente, la información recopilada se relaciona con la lista de fuentes tipográficas instaladas dentro del dispositivo. Con mayor preferencia, la información recopilada es el tamaño de pantalla del dispositivo. Aunque dicha información no es única, se distribuye con la rareza suficiente para permitir la identificación de un dispositivo del cliente 2 en base a la misma. En algunos dispositivos, la información característica podría relacionarse con información disponible solo en ciertos tipos de dispositivos. Por ejemplo, algunos dispositivos móviles ofrecen números de serie nativos. Ventajosamente, dicha información ofrece garantías aún mayores en cuanto a la unicidad de la información recopilada. Además, el código podría capturar más información que la indicada anteriormente. El Analizador de Tráfico 5 almacena dicha información en una base de datos permanente 6 junto con información sobre el usuario asociado con el dispositivo del cliente 2, a medida que están disponibles. Cuando el Analizador de Tráfico 5 recibe la información de huellas dactilares de un dispositivo del cliente 2, busca en la base de datos permanente 6 información relativa al usuario que se ha asociado previamente con dicha información de huellas dactilares. De esta forma, la información de la huella dactilar permite hipotetizar el uso de un dispositivo sin que este se haya autenticado, al ingresar las credenciales del mismo, similar a lo que ocurre con UUID e IP.
De acuerdo con una solución preferida, la etapa de monitorear las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo realiza una autenticación adicional al servicio en línea, comprende la subetapa de:
- comparar mediante el algoritmo de detección 8 los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el Inspector de Tráfico 1 cuando el usuario respectivo realiza una autenticación adicional al servicio en línea para identificar la presencia de cualquier anomalía. En la Figura 2, los primeros datos característicos recopilados por el Inspector de Tráfico 1 cuando el usuario respectivo en la lista de observación realiza una autenticación adicional al servicio en línea se indican con IP2 y UUID2.
De acuerdo con una solución preferida de la invención, la etapa de comparar, por medio del algoritmo de detección 8, los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el Inspector de Tráfico 1 cuando el usuario respectivo se autentica adicional al servicio en línea para identificar la presencia de anomalías comprende la subetapa de:
- generar una advertencia P cuando los primeros datos característicos asociados con un nombre de usuario en la lista de observación difieren de los primeros datos característicos recopilados por el Inspector de Tráfico 1 cuando el usuario respectivo realiza una autenticación adicional en el servicio en línea.
De acuerdo con una solución preferida, la etapa de identificar cada sesión de navegación del dispositivo del cliente 2, y preferentemente del navegador web 3, en el servicio en línea por parte del Inspector de Tráfico 1 comprende la subetapa de:
identificar cada sesión de navegación del dispositivo del cliente 2, y preferentemente del navegador web 3, en el servicio en línea por parte del Inspector de Tráfico 1 mediante el uso de cookies de sesión.
Preferentemente, la etapa de identificar cada sesión de navegación del dispositivo del cliente 2, y preferentemente del navegador web 3, en el servicio en línea por parte del Inspector de Tráfico 1, que comprende la subetapa de interceptar, por parte del Inspector de Tráfico 1, una solicitud HTTP enviado desde el navegador web 3 al servidor web 4. Además, la etapa de analizar el tráfico intercambiado entre el navegador web 3 y el servidor web 4 por el Analizador de Tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario se autentica en el servicio en línea, comprende la etapa de extraer un nombre de usuario de la solicitud HTTP interceptada por el Inspector de Tráfico 1 cuando un usuario se autentica al servicio en línea por medio de un algoritmo de extracción 10 que reside en el Analizador de Tráfico 5 y en base a expresiones regulares.
Ventajosamente, el procedimiento de la presente invención permite identificar cualquier riesgo, incluidos los riesgos técnicos o una acción, por ejemplo, en el caso de vídeo bajo demanda (VOD), derivados de un ataque de apropiación de cuenta.
Todavía ventajosamente, el procedimiento de la presente invención permite proporcionar una predicción de la identidad del usuario que actúa en un área que es anónima ya que aún no está autenticada, lo que genera mediante el algoritmo de predicción de usuarios 7 una lista de usuarios potenciales que podrían esconderse detrás de la sesión de navegación anónima. Estos usuarios, en caso de que se detecte un riesgo en la sesión de navegación relacionada por medio del algoritmo de detección 8, se ingresan en una lista de observación. Al hacerlo, se controla cada sesión de navegación posterior autenticada por un usuario en la lista de observación, de manera que puede solicitar credenciales de acceso adicionales por medio del algoritmo de protección 9 y posiblemente bloquear la sesión en caso de una amenaza concreta.
Ventajosamente, el procedimiento de la presente invención permite identificar y prevenir cualquier ataque de apropiación de cuenta realizado contra usuarios registrados de un servicio en línea.
A continuación, se describe una aplicación ejemplar del procedimiento de la presente invención, con particular referencia a las secuencias de etapas ilustradas en las figuras 3, 4 y 5.
Con referencia particular a la Figura 3, la etapa de identificar cada sesión de navegación del navegador web 3 en el servicio en línea por parte del Inspector de Tráfico 1 incluye:
- la subetapa 301 en la que el usuario solicita una página web por medio de un navegador web 3 que envía una solicitud HTTP al servidor web 4.
La etapa de analizar el tráfico intercambiado entre el navegador web 3 y el servidor web 4 por el Analizador de Tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario realiza autenticaciones en el servicio en línea incluye:
- la subetapa 302 en la que el Inspector de Tráfico 1 lee las claves de configuración y busca un UUID particular en la solicitud HTTP;
- la subetapa 303 de determinar si un UUID está presente en la solicitud HTTP;
- la subetapa 304 para obtener el UUID, si está presente;
- la subetapa 305 para agregar un UUID a la solicitud HTTP si no está presente, y la subetapa 306 para almacenar el UUID en el navegador web 3;
- la subetapa 307 en el que el Inspector de Tráfico 1 envía la solicitud HTTP al Analizador de Tráfico 5;
- la subetapa 308 en el que el Analizador de Tráfico 5 busca información de nombre de usuario en la solicitud HTTP y obtiene información sobre IP presentes en la solicitud HTTP.
La etapa de recopilar, por parte del Inspector de Tráfico 1, primeros datos característicos sobre parámetros técnicos únicos y/o no únicos y asociar, por parte del Analizador de Tráfico 5, los primeros datos característicos con un nombre de usuario identificado respectivo, incluye:
- la subetapa 309 para verificar si hay un nombre de usuario en la solicitud HTTP;
- la subetapa 310 en la que el Analizador de Tráfico 5 busca nombres de usuario ya asociados con el UUID recibido;
- la subetapa 311 en la que el Analizador de Tráfico 5 busca en la base de datos 6 nombres de usuario ya asociados con direcciones IP recibidas.
La etapa de almacenar los primeros datos característicos asociados con cada nombre de usuario identificado en una base de datos 6 asociada con el Analizador de Tráfico 5 incluye:
- si el nombre de usuario está presente en la solicitud HTTP, la subetapa 312 en la que el Analizador de Tráfico 5 almacena las asociaciones A detectadas entre el nombre de usuario y la IP, y almacena las asociaciones A detectadas entre el nombre de usuario y el UUID en la base de datos 6;
- la subetapa 313 en la que el Analizador de Tráfico 5 une los nombres de usuario de acuerdo con reglas predefinidas y produce una lista refinada de nombres de usuario.
Con particular referencia a las Figuras 4 y 5, la subetapa 307 en la que el Inspector de Tráfico 1 envía el UUID y la solicitud HTTP al Analizador de Tráfico 5 incluye:
- la subetapa 401 en la que el Inspector de Tráfico 1 envía UUID e IP legítimos al Analizador de Tráfico 5 y envía la solicitud HTTP legítima al Analizador de Tráfico 5, donde legítimo significa que es una sesión de navegación autenticada, segura y gestionada por el usuario;
- la subetapa 402 en la que el Inspector de Tráfico 1 envía el UUID y la IP del impostor al Analizador de Tráfico 5 y envía la solicitud HTTP del impostor al Analizador de T ráfico 5.
La etapa de comparar mediante un algoritmo de predicción de usuarios 7 que reside en el Analizador de Tráfico 5 los primeros datos característicos de cada usuario identificado con los segundos datos característicos de la sesión anónima para asociar un nombre de usuario identificado a la sesión de navegación anónima en caso de similitud o coincidencia sustancial entre los primeros datos característicos y los segundos datos característicos así comparados, incluye:
- la subetapa 403 en la que el Analizador de Tráfico 5 estima el posible nombre de usuario legítimo detrás de la sesión de navegación anónima en función del UUID, la IP y el algoritmo de predicción de usuarios 7.
La etapa de recopilar, por parte del Inspector de Tráfico 1, primeros datos característicos sobre parámetros técnicos únicos y/o no únicos y asociar, por parte del Analizador de Tráfico 5, los primeros datos característicos con un nombre de usuario identificado respectivo, incluye:
- la subetapa 404 en la que el Analizador de Tráfico 5 extrae información sobre el nombre de usuario de la solicitud HTTP relativa a la sesión de navegación autenticada, posterior a la sesión anónima en la que se predijo el nombre de usuario del mismo usuario en la subetapa 403.
La etapa de generar una advertencia P cuando los primeros datos característicos asociados con un nombre de usuario en la lista de observación difieren de los primeros datos característicos recopilados por el Inspector de Tráfico 1 cuando el usuario respectivo realiza una autenticación adicional en el servicio en línea, incluye:
- la subetapa 405 en la que el Analizador de Tráfico 5 determina si el UUID y la IP son inusuales para el nombre de usuario;
- si determina que UUID e IP son inusuales 406, la subetapa 407 en la que el Analizador de Tráfico 5 determina si el nombre de usuario legítimo estimado de la sesión anónima es el mismo extraído de la solicitud HTTP autenticada del impostor;
- si el nombre de usuario es el mismo 408, la subetapa 409 en la que el Analizador de Tráfico 5 determina si las dos solicitudes produjeron en un intervalo de tiempo limitado;
- si la primera sesión anónima y luego la autenticada del mismo usuario son cercanas 410, es decir, si se produjeron en un intervalo de tiempo limitado, la subetapa 411 en la que el Analizador de T ráfico 5 establece que la petición del impostor es fraudulenta.
La subetapa 405 incluye:
- la subetapa 501 para comprobar si el nombre de usuario está presente en la solicitud HTTP;
- la subetapa 502 en la que el Analizador de Tráfico 5 busca si las asociaciones A entre el nombre de usuario y el UUID están almacenadas en la base de datos 6;
- la subetapa 503 en la que el Analizador de Tráfico 5 busca si las asociaciones A entre el nombre de usuario y la IP están almacenadas en la base de datos 6;
- si no se detecta la asociación A entre el nombre de usuario y el UUID 504 y/o si no se detecta la asociación A entre el nombre de usuario y la IP 505, la subetapa 506 en la que el Analizador de Tráfico 5 genera una advertencia P.
A continuación, se describe una segunda realización, alternativa o combinable con la anterior (véase la tercera realización descrita a continuación), del procedimiento de supervisión y protección del acceso a un servicio en línea de acuerdo con la presente invención frente a la usurpación de cuenta.
En la Figura 6 adjunta, el número 100 se refiere a un sistema en el que puede aplicarse una primera realización del procedimiento de la presente invención. En otras palabras, se hace referencia al sistema 100 como un entorno de red, que consiste claramente en dispositivos y componentes de red para la navegación por Internet de tipo hardware, tales como servidores, bases de datos y unidades de procesamiento, en los que la segunda realización del procedimiento de la presente invención puede aplicarse.
De acuerdo con la segunda realización, el procedimiento de monitoreo y protección del acceso a un servicio en línea contra toma de cuenta, comprende la etapa de proporcionar un Inspector de Tráfico 1 en comunicación de señal con al menos un dispositivo del cliente 2 para navegar por Internet y con un servidor web 4 que tiene un servicio en línea que reside en el mismo.
El procedimiento también comprende la etapa de proporcionar un Analizador de Tráfico 5 en comunicación de señal con el Inspector de T ráfico 1.
Además, el procedimiento comprende la etapa de identificar cada sesión de navegación del dispositivo del cliente 2 en el servicio en línea por el Inspector de T ráfico 1.
El procedimiento comprende la etapa de analizar el tráfico intercambiado entre el dispositivo del cliente 2 y el servidor web 4, por el Analizador de Tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario realiza autenticaciones en el servicio en línea.
Además, el procedimiento comprende la etapa de recopilar por parte del Inspector de Tráfico 1 primeros datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar los primeros datos característicos con un nombre de usuario identificado respectivo por el Analizador de Tráfico 5.
El procedimiento comprende la etapa de almacenar los primeros datos característicos asociados con cada nombre de usuario identificado en una base de datos 6 asociada con el Analizador de Tráfico 5-El procedimiento comprende además la etapa de identificar cada baliza web anónima generada por el dispositivo del cliente 2 en el servicio en línea por el Analizador de Tráfico 5, indicando la baliza web que el dispositivo del cliente 2 ha iniciado una sesión de navegación fraudulenta en un servidor web de suplantación de identidad 11.
Dentro del ámbito de la presente invención, las balizas web significan un elemento incluido en una página web destinado a controlar la visualización real de la página por parte de un usuario. Por ejemplo, una baliza web podría ser una imagen u otro tipo de recurso estático al que hace referencia la página web. Cuando el usuario obtiene la página web del servidor web 4 mediante una solicitud, las balizas no se envían directamente. Cuando la página se muestra dentro del dispositivo del cliente del usuario 2, por ejemplo, a través de un navegador web 3, las balizas a las que se hace referencia dentro de la página web se solicitan desde el servidor web 4. Por lo tanto, es posible identificar si la página del servicio en línea se ha mostrado realmente en el dispositivo del cliente 2 al comprobar en el registro de solicitudes al servidor web 4 si se enviaron solicitudes de balizas. Una baliza web podría ser un recurso que ya se encuentra en la página (por ejemplo, un logotipo u otros elementos gráficos). O podría ser una imagen, por ejemplo, una imagen que consiste en un solo píxel transparente insertado específicamente para garantizar el seguimiento. Estos recursos comprenden una referencia que consiste en un nombre único dentro de la página web. Además, el procedimiento comprende la etapa de recopilar por parte del Inspector de Tráfico 1 terceros datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar los terceros datos característicos con la baliza web anónima a través del Analizador de Tráfico 5.
El procedimiento comprende la etapa de comparar mediante un algoritmo de predicción de usuarios 7 que reside en el Analizador de Tráfico 5 los primeros datos característicos relativos a cada nombre de usuario identificado con los terceros datos característicos relativos a la baliza web anónima para asociar la baliza web anónima con un nombre de usuario identificado en caso de similitud o coincidencia sustancial entre los primeros datos característicos y los terceros datos característicos así comparados.
El procedimiento comprende además la etapa de analizar mediante un algoritmo de detección 8 que reside en el Analizador de Tráfico 5 cada baliza web anónima asociada con uno o más nombres de usuario identificados para ingresar cada nombre de usuario asociado con la baliza web anónima en la que se presenta una situación de riesgo de robo de credenciales después de se detecta un ataque de suplantación de identidad en una lista de observación. El procedimiento comprende la etapa de monitorear las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo realiza una autenticación adicional al servicio en línea. Además, esta etapa implica identificar un ataque de apropiación de cuenta por parte del dispositivo del cliente 2 cuando la sesión de navegación anónima y la posterior sesión autenticada asociada con el mismo nombre de usuario ingresado en la lista de observación están próximas en tiempo. Además, esta etapa implica proteger el acceso al servicio en línea cuando se identifica un riesgo de apropiación de la cuenta.
De acuerdo con una forma preferida, la etapa de monitorear las sesiones de navegación asociadas a cada usuario en la lista de observación comprende las subetapas de:
- identificar por medio del algoritmo de detección 8 las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo se autentica en el servicio en línea; - proteger las sesiones de navegación en riesgo mediante un algoritmo de protección 9 que reside en el Analizador de Tráfico 5.
Preferentemente, la etapa de proteger la sesión de navegación en riesgo mediante el uso del algoritmo de protección 9 comprende la etapa de bloquear el nombre de usuario del usuario asociado a la sesión de navegación en riesgo o ejecutar un algoritmo de Autenticación sólida del cliente para el nombre de usuario del usuario asociado a la sesión de navegación en riesgo o ejecutar un algoritmo de autenticación multifactor para el nombre de usuario del usuario asociado a la sesión de navegación en riesgo.
Preferentemente, la etapa de monitorizar las sesiones de navegación asociadas a cada usuario de la lista de observación comprende la etapa de generar una señal de riesgo indicativa de la presencia de una posible amenaza asociada al ataque de suplantación de identidad en la sesión de navegación en riesgo.
De acuerdo con una forma preferida, el procedimiento comprende la etapa de eliminar un nombre de usuario de la lista de observación cuando el algoritmo de detección 8 detecta que el ataque de suplantación de identidad ha terminado.
Preferentemente, la etapa de eliminar un nombre de usuario de la lista de observación comprende la etapa de eliminar un nombre de usuario de la lista de observación cuando ha transcurrido un intervalo de tiempo predefinido desde el momento en que el algoritmo de detección 8 ha detectado que el ataque de programa malicioso ha terminado.
De acuerdo con una solución preferida, la etapa de recopilar, por parte del Inspector de Tráfico 1, primeros datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar, por parte del Analizador de Tráfico 5, los primeros datos característicos con un nombre de usuario identificado respectivo comprende la subetapa de recopilar, por parte del Inspector de Tráfico 1, los primeros datos característicos relativos a uno o más parámetros técnicos únicos, parámetros técnicos no únicos, puntos finales, redes y navegadores. Preferentemente, la etapa de recopilar, por parte del Inspector de Tráfico 1, terceros datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar, por parte del Analizador de Tráfico 5, los terceros datos característicos con la baliza web anónima, comprende la subetapa de recopilar, por parte del Inspector de Tráfico 1, terceros datos característicos sobre uno o más parámetros técnicos únicos, parámetros técnicos no únicos, puntos finales y navegadores.
Preferentemente, los primeros datos característicos y los terceros datos característicos comprenden UUID e IP. De acuerdo con una forma preferida, la etapa de monitorear las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo realiza una autenticación adicional al servicio en línea, comprende la subetapa de comparar, por el algoritmo de detección 8, los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el Inspector de Tráfico 1 cuando el usuario respectivo realiza una autenticación adicional al servicio en línea para identificar la presencia de cualquier anomalía.
De acuerdo con una solución preferida, la etapa de comparar, mediante el algoritmo de detección 8, los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el Inspector de Tráfico 1 cuando el usuario respectivo realiza una autenticación adicional en el sitio en línea para identificar la presencia de anomalías, comprende la subetapa de generar una advertencia P cuando los primeros datos característicos asociados con un nombre de usuario en la lista de observación difieren de los primeros datos característicos recopilados por el Inspector de Tráfico 1 cuando el usuario respectivo realiza más autenticación al servicio en línea.
Preferentemente, la etapa de identificar cada baliza web anónima generada del dispositivo del cliente 2 en el servicio en línea por el Analizador de Tráfico 5 comprende la etapa de identificar cada baliza web anónima generada del dispositivo del cliente 2 en el servicio en línea por el Analizador de Tráfico 5 mediante el uso de cookies de sesión. De acuerdo con una forma preferida, la etapa de identificar cada sesión de navegación del dispositivo del cliente 2 en el servicio en línea por el Inspector de Tráfico 1, comprende la subetapa de interceptar por el Inspector de Tráfico 1 una solicitud HTTP enviada por un navegador web 3 que reside en el dispositivo del cliente 2 al servidor web (4). Preferentemente, la etapa de analizar el tráfico intercambiado entre el dispositivo del cliente 2 y el servidor web 4 por el Analizador de Tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario se autentica en el servicio en línea, comprende la etapa de extraer un nombre de usuario de la solicitud HTTP interceptada por el Inspector de Tráfico 1 cuando un usuario se autentica al servicio en línea por medio de un algoritmo de extracción 10 que reside en el Analizador de Tráfico 5 y en base a expresiones regulares.
De acuerdo con una forma preferida, el procedimiento comprende la etapa de modificar el servicio en línea al insertar una baliza web en el mismo. A los efectos de la búsqueda de sitios de suplantación de identidad, es importante que los recursos que constituyen la baliza web se ingresen en ubicaciones de sitios que sean difíciles de identificar por el impostor F, para evitar que se eliminen durante la operación de clonación del sitio legítimo.
Preferentemente, la baliza web comprende una solicitud HTTP de un recurso que reside dentro del servidor web 4. Preferentemente, la etapa de identificar cada baliza web anónima generada del dispositivo del cliente 2 en el servicio en línea por el Analizador de Tráfico 5 comprende la subetapa de interceptar por el Inspector de Tráfico 1 cada solicitud HTTP asociada con una baliza web anónima. Todavía preferentemente, la etapa de recopilar por parte del Inspector de Tráfico 1 terceros datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar por el Analizador de Tráfico 5 los terceros datos característicos con la baliza web anónima; comprende la subetapa de enviar por el Inspector de Tráfico 1 los terceros datos característicos al Analizador de Tráfico 5, al estar asociados los terceros datos característicos a parámetros técnicos únicos y/o no únicos propios de la solicitud asociada a la baliza web anónima.
Preferentemente, la etapa de analizar por medio de un algoritmo de detección 8 que reside en el Analizador de Tráfico 5 cada baliza web anónima asociada a uno o más nombres de usuario identificados para ingresar cada nombre de usuario asociado a la baliza web anónima en la que se presenta una situación de riesgo de robo de credenciales a raíz de suplantación de identidad en una lista de observación, comprende las subetapas de:
- analizar si cada solicitud HTTP interceptada por el Inspector de Tráfico 1 y relativa a una baliza web asociada a un nombre de usuario proviene del dominio legítimo del servicio en línea;
- generar una P de advertencia cuando una solicitud HTTP no proviene del dominio legítimo del servicio en línea. Con mayor preferencia, la etapa de generar una advertencia P cuando una solicitud HTTP no proviene del dominio legítimo del servicio en línea comprende la etapa de enviar la advertencia P al usuario que tiene el nombre de usuario asociado con la baliza web con respecto a la solicitud HTTP que no llega del dominio legítimo del servicio en línea.
Ventajosamente, el usuario accede al sitio malicioso desde una IP y/o con un UUID típicamente asociado al nombre de usuario del mismo. Dicha información característica se transporta dentro de las solicitudes de recursos realizadas al servidor legítimo. De este modo, pueden interceptarse por el Inspector de Tráfico 2 y enviarse al Analizador de Tráfico 5. El Analizador de Tráfico 5 es capaz de analizar las solicitudes y detectar ataques de suplantación de identidad mediante el uso de técnicas conocidas. Además, el Analizador de Tráfico 5 es capaz de asociar ataques de suplantación de identidad identificados con un usuario no identificado mediante el uso de información característica como IP y UUID asociada con las solicitudes.
Preferentemente, la etapa de identificar cada baliza web anónima generada del dispositivo del cliente 2 en el servicio en línea por el Analizador de Tráfico 5 se realiza mediante el algoritmo de detección 8.
La presente invención también se refiere a una tercera realización de la invención que incluye la combinación de las realizaciones anteriores, es decir, una combinación de la primera realización con la segunda realización.
La tercera realización se refiere a un procedimiento para monitorear y proteger el acceso a un servicio en línea contra la toma de cuenta que comprende la etapa de proporcionar un Inspector de Tráfico 1 en comunicación de señal con al menos un dispositivo del cliente 2 para navegar por Internet y con un servidor web 4 que tiene un servicio en línea que reside en el mismo.
El procedimiento comprende la etapa de proporcionar un Analizador de Tráfico 5 en comunicación de señal con el Inspector de Tráfico 1.
El procedimiento comprende la etapa de identificar cada sesión de navegación del dispositivo del cliente 2 en el servicio en línea por el Inspector de T ráfico 1.
Además, el procedimiento comprende la etapa de analizar el tráfico intercambiado entre el dispositivo del cliente 2 y el servidor web 4 por el Analizador de Tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario se autentica en el servicio en línea.
El procedimiento también comprende la etapa de recopilar por parte del Inspector de Tráfico 1 primeros datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar los primeros datos característicos con un nombre de usuario identificado respectivo por el Analizador de Tráfico 5.
El procedimiento comprende la etapa de almacenar los primeros datos característicos asociados con cada nombre de usuario identificado en una base de datos 6 asociada con el Analizador de Tráfico 5.
El procedimiento comprende la etapa de identificar por el Analizador de Tráfico 5 cada sesión de aplicación anónima y cada sesión virtual anónima del dispositivo del cliente 2 en el servicio en línea.
Para cada sesión de aplicación anónima identificada en la etapa anterior, el procedimiento comprende las siguientes etapas:
- identificar una sesión de navegación anónima del dispositivo del cliente 2 en el servicio en línea por el Analizador de Tráfico 5;
- colectar por el Inspector de Tráfico 1 segundos datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar por el Analizador de Tráfico 5 los segundos datos característicos con la sesión de navegación anónima;
- comparar mediante un algoritmo de predicción de usuarios 7 que reside en el Analizador de Tráfico 5 los primeros datos característicos de cada nombre de usuario identificado con los segundos datos característicos de la sesión anónima para asociar un nombre de usuario identificado a la navegación anónima en caso de similitud o coincidencia sustancial entre los primeros datos característicos y los segundos datos característicos así comparados;
- analizar mediante un algoritmo de detección 8 que reside en el Analizador de Tráfico 5 cada sesión de navegación anónima asociada a uno o más nombres de usuario identificados para introducir cada usuario asociado a la sesión de navegación anónima en la que se ha detectado una situación de riesgo de robo de credenciales en una lista de observación;
Para cada sesión virtual anónima identificada en la etapa anterior, el procedimiento comprende las siguientes etapas:
- identificar cada baliza web anónima generada por el dispositivo del cliente 2 en el servicio en línea por el Analizador de Tráfico 5, indicando la baliza web que el dispositivo del cliente 2 ha iniciado una sesión de navegación fraudulenta en un servidor web suplantación de identidad 11;
- recopilar por el Inspector de Tráfico 1 terceros datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar los terceros datos característicos con la baliza web anónima a través del Analizador de Tráfico 5;
- comparar mediante el algoritmo de predicción de usuarios 7 que reside en el Analizador de Tráfico 5 los primeros datos característicos de cada nombre de usuario identificado con los terceros datos característicos de la baliza web anónima para asociar la baliza web anónima con un nombre de usuario identificado en caso de similitud o coincidencia sustancial entre el primer dato característico y el tercer dato característico así;
- analizar mediante un algoritmo de detección 8 que reside en el Analizador de Tráfico 5 cada baliza web anónima asociado a uno o más nombres de usuario identificados para introducir cada usuario asociado a la baliza web anónima en el que se detecte una situación de riesgo de robo de credenciales tras un ataque de suplantación de identidad en la lista de observación.
Además, el procedimiento comprende la etapa de monitorear las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo realiza además la autenticación en el servicio en línea. Además, esta etapa implica identificar un ataque de apropiación de cuenta por parte del dispositivo del cliente 2 cuando la sesión de navegación anónima y la posterior sesión autenticada asociada con el mismo nombre de usuario ingresado en la lista de observación están próximas en tiempo. Además, esta etapa implica proteger el acceso al servicio en línea cuando se identifica un riesgo de apropiación de la cuenta.
Cabe señalar aquí que las etapas y las subetapas descritas para las realizaciones primera y segunda también pueden aplicarse al procedimiento de la tercera realización, ya que esta última es una combinación sinérgica de las dos realizaciones anteriores. En particular, las etapas y subetapas relativas al procedimiento de la primera realización son aplicables en el caso de sesiones de aplicación anónimas, mientras que las etapas y subetapas del procedimiento de la segunda realización son aplicables en el caso de sesiones anónimas virtuales.
Ventajosamente, en virtud del procedimiento de la tercera realización, es posible interceptar todas las solicitudes anónimas o balizas web generadas por el dispositivo del cliente para poder identificar y prevenir cualquier riesgo relacionado, respectivamente, con ataques de robo de credenciales por programa malicioso y/o suplantación de identidad.
Obviamente, para satisfacer necesidades específicas y eventuales, un experto en la técnica puede aplicar numerosos cambios a las variantes descritas anteriormente, todo ello sin apartarse del ámbito de protección definido por las siguientes reivindicaciones.

Claims (15)

REIVINDICACIONES
1. Un procedimiento para monitorear y proteger el acceso a un servicio en línea de Apropiación de cuenta, incluidas las etapas de:
- proporcionar un Inspector de Tráfico (1) en comunicación de señal con al menos un dispositivo del cliente (2) para navegar por Internet y con un servidor web (4) que tenga un servicio en línea (6) que reside en este, - proporcionar un Analizador de Tráfico (7) en comunicación de señal con el Inspector de Tráfico (1);
- identificar cada sesión de navegación (2) del al menos un dispositivo del cliente (2) en el servicio en línea por parte del Inspector de T ráfico (1);
- extraer e identificar al menos un nombre de usuario por el Analizador de Tráfico (5) cuando un usuario se autentica en el servicio en línea al analizar el tráfico intercambiado entre el al menos un dispositivo del cliente (2) y el servidor web (4);
- recopilar, por parte del Inspector de Tráfico (1), primeros datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociar, por parte del Analizador de Tráfico (5), los primeros datos característicos con un respectivo nombre de usuario identificado;
- almacenar los primeros datos característicos asociados a cada nombre de usuario identificado en una base de datos (6) asociada al Analizador de Tráfico (5);
- identificar cada baliza web anónima generada por el al menos un dispositivo del cliente (2) en el servicio en línea por el Analizador de Tráfico (5), siendo dicha baliza web indicativa del hecho de que el al menos un dispositivo del cliente (2) ha iniciado una sesión de navegación fraudulenta en un servidor web de suplantación de identidad (11);
- recoger, por parte del Inspector de Tráfico (1), terceros datos característicos relativos a parámetros técnicos únicos y/o no únicos, y asociar, por parte del Analizador de Tráfico (5), los terceros datos característicos con la baliza web anónima;
- asociar un nombre de usuario identificado con la baliza web anónima en caso de similitud o coincidencia sustancial entre los primeros datos característicos de cada nombre de usuario identificado y los terceros datos característicos de la baliza web anónima comparados mediante un algoritmo de predicción de usuarios (7) que reside en el Analizador de Tráfico (5);
- introducir cada usuario asociado a la baliza web anónima en la que se haya detectado una situación de riesgo de robo de credenciales tras un ataque de suplantación de identidad, en una lista de observación mediante análisis, por medio de un algoritmo de detección (8) que reside en el Analizador de Tráfico (5), cada baliza web anónima asociada con uno o más nombres de usuario identificados;
- monitorear las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de observación cuando su respectivo usuario realiza además la autenticación en el servicio en línea e identificar un ataque de apropiación de cuenta por parte del al menos un dispositivo del cliente (2) y proteger el acceso al servicio en línea cuando la sesión de navegación relacionada con la baliza web anónima y la subsiguiente sesión autenticada asociada con el mismo nombre de usuario ingresado en la lista de observación están cerca en el tiempo.
2. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en la reivindicación 1, en el que la etapa de monitorear las sesiones de navegación asociadas con cada nombre de usuario en la lista de observación comprende las subetapas de:
- identificar, por medio del algoritmo de detección (8), las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de observación cuando su respectivo usuario se autentica al servicio en línea;
- proteger las sesiones de navegación en riesgo mediante el uso de un algoritmo de protección (9) que reside en el Analizador de Tráfico (5).
3. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en la reivindicación 2, en el que la etapa de proteger la sesión de navegación en riesgo mediante el uso del algoritmo de protección (9) comprende la subetapa de:
- bloquear el nombre de usuario del usuario asociado con la sesión de navegación en riesgo o ejecutar un algoritmo de autenticación de cliente fuerte para el nombre de usuario del usuario asociado con la sesión de navegación en riesgo o ejecutar un algoritmo de autenticación multifactor para el nombre de usuario del usuario asociado con la sesión de navegación en riesgo.
4. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en la reivindicación 2 o 3, en el que la etapa de monitorear las sesiones de navegación asociadas con cada nombre de usuario en la lista de observación comprende la subetapa de:
- generar una señal de riesgo indicativa de una posible amenaza asociada a un ataque de suplantación de identidad en la sesión de navegación en riesgo.
5. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en cualquiera de las reivindicaciones anteriores, que comprende la etapa de:
- eliminar un nombre de usuario de la lista de observación cuando el algoritmo de detección (8) detecta que el ataque de suplantación de identidad ha terminado.
6. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en la reivindicación 5, en el que la etapa de eliminar un nombre de usuario de la lista de observación comprende la subetapa de:
- eliminar un nombre de usuario de la lista de observación cuando ha transcurrido un intervalo de tiempo predeterminado desde el momento en que el algoritmo de detección (8) ha detectado que el ataque de programa malicioso ha terminado.
7. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en cualquiera de las reivindicaciones anteriores, en el que
- la etapa de recopilar, por parte del Inspector de Tráfico (1), primeros datos característicos relativos a parámetros técnicos únicos y/o no únicos, y asociar, por parte del Analizador de Trafico (5), los primeros datos característicos con un respectivo nombre de usuario identificado, comprende la subetapa de:
- recopilar, por parte del Inspector de Tráfico (1), los primeros datos característicos sobre uno o más parámetros técnicos únicos, parámetros técnicos no únicos, puntos finales, redes y navegadores;
- la etapa de recopilar, por parte del Inspector de Tráfico (1), los terceros datos característicos relativos a parámetros técnicos únicos y/o no únicos, y asociar, por parte del Analizador de Tráfico (5), los terceros datos característicos con la baliza web anónima, comprende la subetapa de:
- recopilar, por parte del Inspector de Tráfico (1), terceros datos característicos sobre uno o más parámetros técnicos únicos, parámetros técnicos no únicos, puntos finales, redes y navegadores.
8. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en la reivindicación 7, en el que los primeros terceros datos y los terceros datos característicos comprenden UUID e IP.
9. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en cualquiera de las reivindicaciones anteriores, en el que la etapa de monitorear las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo realiza una autenticación adicional al servicio en línea comprende la subetapa de:
- comparar, por medio del algoritmo de detección (8), los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el Inspector de Tráfico (1) cuando el usuario respectivo realiza una autenticación adicional en el servicio en línea para identificar cualquier anomalía.
10. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en la reivindicación 9, en el que la etapa de comparar, por medio del algoritmo de detección (8), los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el Inspector de Tráfico (1) cuando el usuario respectivo realiza una autenticación adicional en el servicio en línea para identificar cualquier anomalía, comprende la subetapa de:
- generar una advertencia (P) cuando los primeros datos característicos asociados con un nombre de usuario en la lista de observación difieren de los primeros datos característicos recopilados por el Inspector de Tráfico (1) cuando el usuario respectivo realiza una autenticación adicional en el servicio en línea.
11. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en cualquiera de las reivindicaciones anteriores, en el que la etapa de identificar cada baliza web anónima generada por al menos un dispositivo del cliente (2) en el servicio en línea por el Analizador de Tráfico (5) comprende la subetapa de:
- identificar cada baliza web anónima generada por el dispositivo del cliente en el servicio en línea por el Analizador de Tráfico (5) mediante el uso de cookies de sesión.
12. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en cualquiera de las reivindicaciones anteriores, en el que
- la etapa de identificar cada sesión de navegación del al menos un dispositivo del cliente (2) en el servicio en línea por parte del Inspector de Tráfico (1) comprende la subetapa de:
- interceptar, por parte del Inspector de T ráfico (1), una solicitud HTTP enviada por un navegador web (3) que reside en al menos un dispositivo del cliente (2) al servidor web (4);
- la etapa de extraer e identificar al menos un nombre de usuario mediante el Analizador de Tráfico (5) cuando un usuario se autentica en el servicio en línea comprende la subetapa de:
- extraer un nombre de usuario de la solicitud HTTP interceptada por el Inspector de Tráfico (1) cuando un usuario se autentica en el servicio en línea mediante el uso de un algoritmo de extracción (10) que reside en el Analizador de Tráfico (5) y en base a expresiones regulares.
13. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en cualquiera de las reivindicaciones anteriores, que comprende la etapa de:
- modificar el servicio en línea mediante la introducción de una baliza web en el mismo.
14. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en cualquiera de las reivindicaciones anteriores, en el que
- la baliza web incluye una solicitud HTTP para un recurso que reside en el servidor web (4).
- la etapa de identificar cada baliza web anónima generada del al menos un dispositivo del cliente (2) en el servicio en línea por el Analizador de Tráfico (5) comprende la subetapa de:
- interceptar, por parte del Inspector de Tráfico (1), cada solicitud HTTP asociada a una baliza web anónima;
-la etapa de recopilar, por parte del Inspector de Tráfico (1), los terceros datos característicos relativos a parámetros técnicos únicos y/o no únicos, y asociar, por parte del Analizador de Tráfico (5), los terceros datos característicos con la baliza web anónima, comprende la subetapa de:
-enviar, por parte del Inspector de Tráfico (1), los terceros datos característicos al Analizador de Tráfico (5), estando asociados los terceros datos característicos a parámetros técnicos únicos y/o no únicos característicos de la solicitud asociada a la baliza web anónima.
15. Un procedimiento para monitorear y proteger el acceso a un servicio en línea como se reivindicó en la reivindicación 14, en el que la etapa de ingresar cada nombre de usuario asociado con la baliza web anónima en la que se haya detectado una situación que implica un riesgo de robo de credenciales después de la suplantación de identidad, en una lista de observación, comprende las subetapas de:
- analizar si cada solicitud HTTP interceptada por el Inspector de Tráfico (1) y relativa a una baliza web asociada a un nombre de usuario proviene del dominio legítimo del servicio en línea;
- generar una advertencia (P) cuando una solicitud HTTP no proviene del dominio legítimo del servicio en línea.
ES21164170T 2020-03-25 2021-03-23 Procedimiento de monitoreo y protección del acceso a un servicio en línea Active ES2937143T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102020000006340A IT202000006340A1 (it) 2020-03-25 2020-03-25 Metodo per monitorare e proteggere l’accesso ad un servizio online

Publications (1)

Publication Number Publication Date
ES2937143T3 true ES2937143T3 (es) 2023-03-24

Family

ID=70978381

Family Applications (1)

Application Number Title Priority Date Filing Date
ES21164170T Active ES2937143T3 (es) 2020-03-25 2021-03-23 Procedimiento de monitoreo y protección del acceso a un servicio en línea

Country Status (4)

Country Link
US (1) US20210306369A1 (es)
EP (1) EP3885946B1 (es)
ES (1) ES2937143T3 (es)
IT (1) IT202000006340A1 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT202000006343A1 (it) 2020-03-25 2021-09-25 Cleafy Spa Metodo per monitorare e proteggere l’accesso ad un servizio online
CN115271719A (zh) * 2021-12-08 2022-11-01 黄义宝 一种基于大数据的攻击防护方法及存储介质
US20240007491A1 (en) * 2022-06-30 2024-01-04 Crowdstrike, Inc. Methods and systems for identity control

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8739278B2 (en) * 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
CN101937439B (zh) * 2009-06-30 2013-02-20 国际商业机器公司 用于收集用户访问相关信息的方法和***
US20130132508A1 (en) * 2011-11-21 2013-05-23 Google Inc. Low latency referrer free requests
US20140283038A1 (en) * 2013-03-15 2014-09-18 Shape Security Inc. Safe Intelligent Content Modification
US9716726B2 (en) 2014-11-13 2017-07-25 Cleafy S.r.l. Method of identifying and counteracting internet attacks
WO2016075577A1 (en) 2014-11-13 2016-05-19 Pastore Nicolò System and method for identifying internet attacks
US9967236B1 (en) * 2015-07-31 2018-05-08 Palo Alto Networks, Inc. Credentials enforcement using a firewall
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US20180033089A1 (en) * 2016-07-27 2018-02-01 Intuit Inc. Method and system for identifying and addressing potential account takeover activity in a financial system
US10715543B2 (en) * 2016-11-30 2020-07-14 Agari Data, Inc. Detecting computer security risk based on previously observed communications
WO2019222224A1 (en) * 2018-05-14 2019-11-21 Guardinex LLC Dynamic risk detection and mitigation of compromised customer log-in credentials
US11140158B1 (en) * 2018-08-07 2021-10-05 United Services Automobile Association (Usaa) Authentication for application downloads
US11553346B2 (en) * 2019-03-01 2023-01-10 Intel Corporation Misbehavior detection in autonomous driving communications
US20210021637A1 (en) * 2019-07-15 2021-01-21 Kumar Srivastava Method and system for detecting and mitigating network breaches
US11444962B2 (en) * 2020-02-05 2022-09-13 International Business Machines Corporation Detection of and defense against password spraying attacks

Also Published As

Publication number Publication date
IT202000006340A1 (it) 2021-09-25
EP3885946A1 (en) 2021-09-29
EP3885946B1 (en) 2022-12-28
US20210306369A1 (en) 2021-09-30

Similar Documents

Publication Publication Date Title
EP3219068B1 (en) Method of identifying and counteracting internet attacks
RU2571721C2 (ru) Система и способ обнаружения мошеннических онлайн-транзакций
ES2937143T3 (es) Procedimiento de monitoreo y protección del acceso a un servicio en línea
US10366218B2 (en) System and method for collecting and utilizing client data for risk assessment during authentication
US9071600B2 (en) Phishing and online fraud prevention
US20140122343A1 (en) Malware detection driven user authentication and transaction authorization
US11140150B2 (en) System and method for secure online authentication
US20120198528A1 (en) Methods and systems to detect attacks on internet transactions
US20180302437A1 (en) Methods of identifying and counteracting internet attacks
EP2922265B1 (en) System and methods for detection of fraudulent online transactions
ES2965391T3 (es) Método de monitorización y protección de acceso a un servicio en línea
EP4068125B1 (en) Method of monitoring and protecting access to an online service
ES2967194T3 (es) Método de monitorización y protección de acceso a un servicio en línea
US20230086281A1 (en) Computing system defenses to rotating ip addresses during computing attacks
US20150213450A1 (en) Method for detecting potentially fraudulent activity in a remote financial transaction system
EP3261009A1 (en) System and method for secure online authentication