ES2926451T3 - Detección basada en la ubicación del uso no autorizado de funciones de un entorno informático interactivo - Google Patents

Detección basada en la ubicación del uso no autorizado de funciones de un entorno informático interactivo Download PDF

Info

Publication number
ES2926451T3
ES2926451T3 ES18784109T ES18784109T ES2926451T3 ES 2926451 T3 ES2926451 T3 ES 2926451T3 ES 18784109 T ES18784109 T ES 18784109T ES 18784109 T ES18784109 T ES 18784109T ES 2926451 T3 ES2926451 T3 ES 2926451T3
Authority
ES
Spain
Prior art keywords
mobile device
location
host server
data
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES18784109T
Other languages
English (en)
Inventor
Hrishi Talwar
Prasad Shetty
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Equifax Inc
Original Assignee
Equifax Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Equifax Inc filed Critical Equifax Inc
Application granted granted Critical
Publication of ES2926451T3 publication Critical patent/ES2926451T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3224Transactions dependent on location of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4015Transaction verification using location information
    • G06Q20/40155Transaction verification using location information for triggering transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information

Abstract

En algunos aspectos, un sistema informático puede obtener, a través de un primer canal de comunicación con un servidor anfitrión, un identificador de red de datos que identifica un dispositivo móvil que accede a un entorno informático interactivo proporcionado por un servidor anfitrión. El sistema informático puede generar, a partir de las comunicaciones con un servidor del proveedor de telecomunicaciones a través de un segundo canal de comunicación, un elemento dinámico de verificación de identidad que incluye el identificador de red de datos y un identificador de ubicación que identifica una ubicación geográfica del dispositivo móvil. El sistema informático puede hacer coincidir el elemento dinámico de verificación de identidad con una combinación de dispositivo y ubicación que indique el uso no autorizado del servidor principal por parte del dispositivo móvil. El sistema informático puede evitar que el dispositivo móvil acceda a una función para avanzar en una transacción electrónica dentro del entorno informático interactivo. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Detección basada en la ubicación del uso no autorizado de funciones de un entorno informático interactivo
Campo técnico
Esta exposición se refiere en general a la seguridad de la información, y más particularmente se refiere a la ejecución de operaciones basadas en la ubicación para evitar un uso fraudulento u otro uso no autorizado, por parte del dispositivo móvil, de una o más funciones proporcionadas por un entorno informático interactivo.
Antecedentes
Los entornos informáticos interactivos, tales como aplicaciones basadas en la web u otras plataformas de software en línea, permiten a los usuarios llevar a cabo varias funciones implementadas por ordenador a través de interfaces gráficas. Un entorno interactivo determinado puede permitir que un dispositivo de usuario acceda a diferentes interfaces gráficas que proporcionen diferentes tipos de funcionalidad, como buscar diferentes elementos de contenido en bases de datos, seleccionar los elementos de contenido almacenándolos en una posición de memoria temporal y hacer que un servidor lleve a cabo una o más operaciones basadas en una combinación seleccionada de elementos de contenido.
Sin embargo, las personas que participan en actividades en línea fraudulentas o no autorizadas de otro tipo pueden usar el relativo anonimato que brinda Internet para acceder a varias funciones dentro de un entorno informático interactivo. Por ejemplo, un estafador puede obtener datos confidenciales de otra persona, acceder al entorno informático interactivo utilizando los datos confidenciales obtenidos ilícitamente e implementar una o más funciones dentro del entorno informático que son atribuibles al propietario de los datos confidenciales y no al estafador. Por lo tanto, la capacidad de un dispositivo móvil para acceder de forma remota a un entorno informático interactivo a través de una red de datos presenta riesgos únicos de fraude u otro uso no autorizado de funciones en línea.
La publicación WO 2013/181151 A2 da a conocer un sistema y un método para comparar automáticamente información de ubicación de dispositivos inalámbricos obtenida de una red inalámbrica y comparar esa ubicación con otra ubicación geográfica de origen, independiente. Se deducen resultados de la comparación de la ubicación para determinar si el dispositivo inalámbrico está cerca en cierta medida de alguna otra ubicación de origen de actividad.
El documento US 2012/030110 A1 da a conocer sistemas y métodos para la autorización de pagos basada en la ubicación. Se envía una solicitud de pago para un pedido desde un dispositivo informático móvil a través de un sitio web de un proveedor de comercio electrónico. La ubicación del dispositivo informático móvil se determina sobre la base de datos de ubicación. La solicitud de pago se autoriza o deniega en función de si el sitio web del proveedor de comercio electrónico ha sido autorizado para la ubicación determinada del dispositivo informático móvil.
El documento US 2016/381038 A1 da a conocer un sistema y un método de autenticación multifactorial que comprende un paso de autenticación automatizado basado en la ubicación de un dispositivo móvil que está asociado al usuario.
El documento US 2015/088751 A1 da a conocer métodos para aprobar una transacción basados al menos parcialmente en la determinación de que un dispositivo móvil asociado a un titular de una cuenta asociado a una transacción está ubicado a menos de una distancia predeterminada desde la ubicación asociada a la transacción.
Compendio
El alcance de la invención está definido por las reivindicaciones adjuntas.
En algunos aspectos, un sistema informático puede obtener, a través de un primer canal de comunicación con un servidor anfitrión, un identificador de red de datos que identifica un dispositivo móvil que accede a un entorno informático interactivo proporcionado por un servidor anfitrión. El sistema informático puede generar, a partir de comunicaciones con un servidor de un proveedor de telecomunicaciones a través de un segundo canal de comunicación, un elemento dinámico de verificación de identidad que incluye el identificador de red de datos y un identificador de ubicación que identifica una ubicación geográfica del dispositivo móvil. El sistema informático puede relacionar el elemento dinámico de verificación de identidad con una combinación de dispositivo y ubicación que indique el uso no autorizado del servidor anfitrión por parte del dispositivo móvil. El sistema informático puede evitar que el dispositivo móvil acceda a una función para hacer avanzar una transacción electrónica dentro del entorno informático interactivo.
Este compendio no está destinado a identificar características clave o esenciales de la materia en cuestión reivindicada, ni está destinado a utilizarse de forma aislada para determinar el alcance de la materia en cuestión reivindicada. La materia en cuestión debe interpretarse por referencia a partes apropiadas de la especificación completa, cualquiera o la totalidad de los dibujos y cada reivindicación. Lo anterior, junto con otras características y ejemplos, resultará más evidente al hacer referencia a la especificación, las reivindicaciones y los dibujos adjuntos sucesivos.
Breve descripción de los dibujos
Aspectos de la presente exposición se pueden entender mejor con referencia a los siguientes diagramas. Los dibujos no están necesariamente a escala, sino que se hace hincapié en ilustrar claramente ciertas características de la exposición.
La FIG. 1 representa un ejemplo de ejecución de operaciones basadas en la ubicación para evitar el uso fraudulento u otro uso no autorizado, por parte de un dispositivo móvil, de funciones dentro de un entorno informático interactivo, según algunos aspectos de la presente exposición.
La FIG. 2 representa un ejemplo de una secuencia de interacciones entre un dispositivo móvil, un sistema de servidor anfitrión, un sistema de identificación y autenticación y un sistema de proveedor de telecomunicaciones durante una transacción en la que el dispositivo móvil se encuentra en una ubicación que no indica fraude, según algunos aspectos de la presente exposición.
La FIG. 3 representa un ejemplo de una secuencia de interacciones entre un dispositivo móvil, un sistema de servidor anfitrión, un sistema de identificación y autenticación y un sistema de proveedor de telecomunicaciones durante una transacción en la que el dispositivo móvil está en una ubicación que indica fraude, según a algunos aspectos de la presente exposición.
La FIG. 4 representa un ejemplo de un proceso para usar el sistema de identificación y autenticación de la FIG. 1 con el fin de evitar el uso no autorizado de un entorno informático interactivo por parte de un dispositivo móvil, según algunos aspectos de la presente exposición.
La FIG. 5 representa un ejemplo de un proceso para usar el sistema de identificación y autenticación de la FIG. 1 con el fin de facilitar la detección del uso no autorizado de un entorno informático interactivo, según algunos aspectos de la presente exposición.
La FIG. 6 representa un ejemplo de un sistema informático para ejecutar operaciones basadas en la ubicación con el fin de evitar el uso fraudulento de sistemas de servidor anfitrión, según algunos aspectos de la presente exposición.
Descripción detallada
Ciertos aspectos de esta exposición se refieren a la ejecución de operaciones basadas en la ubicación para evitar el uso fraudulento u otro uso no autorizado, por parte de un dispositivo móvil, de funciones dentro de un entorno informático interactivo. Por ejemplo, un sistema de identificación y autenticación puede evitar el uso fraudulento o, dicho de otra manera, no autorizado, de ciertas funciones de un entorno informático interactivo durante una transacción en línea (por ejemplo, a través de un sitio web móvil u otra aplicación móvil), por ejemplo, notificando a un sistema de servidor anfitrión que proporciona el entorno informático interactivo que se debe evitar que un usuario fraudulento o no autorizado complete la transacción en línea.
Para ello, el sistema de identificación y autenticación puede comunicarse tanto con el sistema de servidor anfitrión como con uno o más proveedores de telecomunicaciones, que permiten que dispositivos móviles se comuniquen a través de redes de datos. El sistema de identificación y autenticación puede generar, basándose en comunicaciones con proveedores de telecomunicaciones, elementos dinámicos de verificación de identidad que indiquen ubicaciones de dispositivos móviles durante transacciones en línea con entornos informáticos interactivos. El elemento dinámico de verificación de identidad podría indicar que un dispositivo móvil se encuentra en una ubicación particular que parece indicativa de una transacción fraudulenta, tal como acceder a un servicio basado en EE. UU. a pesar de que el dispositivo móvil se encuentra en otro país. El sistema de identificación y autenticación puede evitar que el dispositivo móvil haga avanzar la transacción dentro del entorno informático interactivo. Evitar que el dispositivo móvil haga avanzar la transacción puede incluir, por ejemplo, enviar una señal de control al sistema de servidor anfitrión para denegar el acceso a una o más funciones del entorno informático interactivo, negarse a proporcionar datos de identificación asociados a la transacción en línea al dispositivo móvil en la ubicación, o alguna combinación de los mismos.
De acuerdo con algunos aspectos, el sistema de identificación y autenticación puede proporcionar un punto de interfaz común entre varios sistemas de servidor anfitrión independientes y proveedores de telecomunicaciones independientes. Por ejemplo, el sistema de identificación y autenticación, que puede ser utilizado por un sistema de servidor anfitrión de información de identificación para sistemas de servidor anfitrión, puede atender solicitudes de datos de identificación de usuario por parte de diferentes sistemas de servidor anfitrión. El sistema de identificación y autenticación puede atender estas solicitudes utilizando identificadores de red de datos. Los identificadores de red de datos pueden identificar dispositivos móviles (p. ej., un teléfono inteligente, una tableta, un lector de libros electrónicos o un ordenador portátil) involucrados en transacciones en línea con los sistemas de servidor anfitrión. Las transacciones en línea se pueden realizar a través de entornos informáticos interactivos de los sistemas de servidor anfitrión a los que se puede acceder a través de un navegador web o una aplicación móvil dedicada. Ejemplos no limitativos de un identificador de red de datos incluyen una dirección de protocolo de Internet ("IP") asignada a un dispositivo informático móvil, un número de teléfono de un teléfono inteligente, etc. En algunos aspectos, un dispositivo móvil puede identificar a un usuario del dispositivo móvil a través de biometría, entrada de datos o cualquier otro proceso adecuado para identificar a un usuario de un dispositivo móvil.
En algunos aspectos, el uso del sistema de identificación y autenticación como interfaz entre el sistema de servidor anfitrión y un proveedor de telecomunicaciones facilita la prevención del fraude en tiempo real (por ejemplo, entre el comienzo y la finalización de una transacción en línea). Por ejemplo, durante una transacción determinada, el sistema de identificación y autenticación puede transmitir una solicitud a un proveedor de telecomunicaciones para identificar la ubicación del dispositivo móvil y proporcionar una credencial que esté asociada a un usuario del dispositivo móvil. El sistema de identificación y autenticación puede recibir, del proveedor de telecomunicaciones, una respuesta que identifique la ubicación y la credencial. El sistema de identificación y autenticación puede ejecutar una o más operaciones que permiten validar la ubicación del dispositivo. Si se valida la ubicación del dispositivo, el sistema de identificación y autenticación puede usar la credencial para recuperar datos de identificación sobre el usuario. El sistema de identificación y autenticación puede proporcionar los datos de identificación recuperados al sistema de servidor anfitrión, al dispositivo móvil o a ambos para completar la transacción en línea. Si la ubicación del dispositivo no se valida, el sistema de identificación y autenticación puede hacer que el sistema de servidor anfitrión evite que el dispositivo móvil ejecute una o más funciones requeridas para completar la transacción en línea.
La ubicación de un dispositivo, que se proporciona al sistema de identificación y autenticación por parte de un proveedor de telecomunicaciones, se puede validar de cualquier manera adecuada. En algunos aspectos, la validación de la ubicación del dispositivo puede implicar que el sistema de identificación y autenticación transmita la ubicación del dispositivo al sistema de servidor anfitrión, lo que permite que el sistema de servidor anfitrión determine si la ubicación del dispositivo es indicativa de actividad fraudulenta y notifique al sistema de identificación y autenticación que no se deben transmitir datos de identificación. En aspectos adicionales o alternativos, la validación de la ubicación del dispositivo puede implicar que el sistema de identificación y autenticación aplique una o más reglas, que pueden obtenerse a través de comunicaciones con el sistema de servidor anfitrión, para determinar si la ubicación del dispositivo es indicativa de actividad fraudulenta y para decidir, por lo tanto, que no se deben transmitir datos de identificación.
Una o más de las características descritas en este documento pueden mejorar el funcionamiento de sistemas que detectan el uso no autorizado de entornos informáticos interactivos accesibles a través de Internet u otras redes de datos. Por ejemplo, los sistemas de detección de fraude existentes pueden basarse en software instalado en un dispositivo móvil para rastrear la ubicación del dispositivo móvil con fines de detección de fraude. Dicho software puede ser pirateado o modificado de otro modo por un usuario del dispositivo móvil. Por ejemplo, el software de servicios de ubicación en un dispositivo móvil se puede reprogramar para reflejar una ubicación que no active la lógica de detección de fraude en un sistema remoto. El sistema de identificación y autenticación puede evitar esta vulnerabilidad de sistemas existentes mediante el uso de comunicaciones con proveedores de telecomunicaciones, en lugar de comunicaciones con un dispositivo móvil, para establecer una ubicación del dispositivo móvil. Por ejemplo, incluso si el software de servicios de ubicación en un dispositivo móvil se ha reprogramado para reflejar una ubicación fraudulenta, el dispositivo móvil debe seguir identificando su ubicación correcta en una torre celular para comunicarse a través de una red de datos. Por lo tanto, los datos de ubicación proporcionados directamente al sistema de identificación y autenticación desde el proveedor de telecomunicaciones pueden ser más precisos para fines de detección de fraude que los datos de ubicación obtenidos del propio dispositivo móvil.
Las características discutidas aquí no se limitan a ninguna arquitectura o configuración de hardware en particular. Un dispositivo informático puede incluir cualquier disposición adecuada de componentes que proporcionen un resultado condicionado a una o más entradas. Los dispositivos informáticos adecuados incluyen sistemas informáticos basados en microprocesadores multipropósito que acceden a software almacenado que programa o configura el sistema informático desde un aparato informático de propósito general hasta un aparato informático especializado que implementa uno o más aspectos de la presente materia en cuestión. En el software que se usará en la programación o configuración de un dispositivo informático se puede utilizar cualquier programación, secuencia de comandos u otro tipo de lenguaje o combinaciones de lenguajes, adecuados, para implementar las enseñanzas contenidas en este documento.
Ejemplo de un entorno operativo
Con referencia ahora a los dibujos, la FIG. 1 representa un ejemplo de un sistema informático 100 que ejecuta operaciones basadas en la ubicación para evitar el uso no autorizado, por parte de un dispositivo móvil, de funciones dentro de un entorno informático interactivo. La FIG. 1 representa ejemplos de componentes de hardware de un sistema 101 de identificación y autenticación según algunos aspectos. El sistema informático 100 representado en la FIG. 1 está especializado para llevar a cabo un procesamiento exhaustivo con respecto a la detección de fraudes, la verificación de identidades y otras operaciones utilizando una gran cantidad de ciclos de procesamiento informático.
Las cantidades de dispositivos representadas en la FIG. 1 se proporcionan con fines ilustrativos. Se pueden utilizar diferentes números de dispositivos. Por ejemplo, mientras que ciertos dispositivos o sistemas (por ejemplo, un servidor 108 de seguridad de datos, una unidad 112 de almacenamiento conectada a una red, etc.) se muestran como dispositivos individuales en la FIG. 1, en su lugar, para implementar estos dispositivos o sistemas se pueden usar múltiples dispositivos (por ejemplo, un sistema de servidor de red de telecomunicaciones basado en la nube o en malla, un grupo de dispositivos de almacenamiento conectados a una red, etc.).
El sistema informático 100 incluye un sistema 101 de identificación y autenticación. El sistema 101 de identificación y autenticación puede comunicarse con uno o más sistemas 104 de servidor anfitrión. Por ejemplo, los sistemas 104 de servidor anfitrión pueden enviar datos al servidor 108 de seguridad de datos para ser procesados o puede enviar al servidor 108 de seguridad de datos señales que controlan o influyen de otro modo en diferentes aspectos del sistema 101 de identificación y autenticación o en los datos que está procesando. Los sistemas 104 de servidor anfitrión pueden interactuar con el servidor 108 de seguridad de datos a través de una o más redes 106 de datos. Los sistemas 104 de servidor anfitrión también pueden interactuar con los dispositivos móviles 102 a través de una o más redes 106 de datos para facilitar transacciones en línea entre usuarios de los dispositivos móviles 102 y entornos informáticos interactivos 105 que están alojados en, son proporcionados por o están asociados de otro modo a los sistemas 104 de servidor anfitrión. El dispositivo móvil 102 puede acoplarse comunicativamente a una o más redes 106 de datos a través de uno o más puntos 107 de acceso. Un punto 107 de acceso puede incluir una infraestructura de comunicación para conectar un dispositivo móvil a una red de telecomunicaciones, una red de área extensa u otra red de datos a través de la cual el dispositivo móvil 102 podría acceder al entorno informático interactivo 105. Ejemplos de un punto 107 de acceso incluyen una estación base, un enrutador, un dispositivo de pasarela, una microcélula, etc.
Cada sistema 104 de servidor anfitrión puede incluir uno o más dispositivos de terceros (por ejemplo, dispositivos informáticos o grupos de dispositivos informáticos), como servidores individuales o grupos de servidores que funcionan de manera distribuida. Un sistema 104 de servidor anfitrión puede incluir cualquier dispositivo informático o grupo de dispositivos informáticos operados por un vendedor, prestamista u otro proveedor de productos o servicios. El sistema 104 de servidor anfitrión puede incluir uno o más dispositivos de servidor. El dispositivo o dispositivos de servidor pueden incluir, o pueden de otro modo acceder a, uno o más medios legibles por ordenador no transitorios. El sistema 104 de servidor anfitrión también puede ejecutar un entorno informático interactivo 105. El entorno informático interactivo 105 puede incluir instrucciones ejecutables almacenadas en uno o más medios legibles por ordenador no transitorios. El sistema 104 de servidor anfitrión puede incluir además uno o más dispositivos de procesamiento que son capaces de ejecutar el entorno informático interactivo 105 para ejecutar operaciones descritas en este documento. En un ejemplo, el entorno informático interactivo 105 puede proporcionar una interfaz (p. ej., un sitio web, un servidor web u otro servidor) para proporcionar al dispositivo móvil 102 acceso a determinados servicios en línea, para participar en comercio móvil con un usuario de un dispositivo móvil 102, para proporcionar al dispositivo móvil 102 acceso controlado a contenido electrónico, etc. El entorno informático interactivo 105 puede transmitir datos a y recibir datos de la aplicación 103 de cliente para permitir una transacción.
Cada comunicación dentro del sistema 101 de identificación y autenticación (por ejemplo, entre dispositivos móviles 102 y el servidor 108 de seguridad de datos, entre sistemas 104 de servidor anfitrión y el servidor 108 de seguridad de datos, etc.) puede producirse a través de una o más redes 106 de datos. Una red 106 de datos puede incluir uno o más de una variedad de diferentes tipos de redes, que incluyen una red inalámbrica, una red por cable o una combinación de una red por cable e inalámbrica. Ejemplos de redes adecuadas incluyen Internet, una red de área personal, una red de área local ("LAN"), una red de área extensa ("WAN") o una red de área local inalámbrica ("WLAN"). Una red inalámbrica puede incluir una interfaz inalámbrica o una combinación de interfaces inalámbricas. Una red por cable puede incluir una interfaz por cable. Las redes por cable o inalámbricas pueden implementarse utilizando enrutadores, puntos de acceso, puentes, pasarelas o similares, para conectar dispositivos en la red 106 de datos.
Una red 106 de datos puede incluir ordenadores, sensores, bases de datos u otros dispositivos en red que pueden transmitir o proporcionar de otra manera datos al servidor 108 de seguridad de datos. Por ejemplo, una red 106 de datos puede incluir dispositivos de red de área local, como enrutadores, concentradores, conmutadores, u otros dispositivos de redes informáticas. Las redes 106 de datos pueden incorporarse completamente dentro de (o pueden incluir) una intranet, una extranet o una combinación de las mismas. En un ejemplo, las comunicaciones entre dos o más sistemas o dispositivos se pueden lograr mediante un protocolo de comunicaciones seguras, como las comunicaciones seguras del Protocolo de Transferencia de Hipertexto ("HTTP") que utilizan la capa de conexión segura ("SSL") o la Seguridad de la Capa de Transporte ("TLS"). Además, los datos o detalles transaccionales comunicados entre los diversos dispositivos informáticos pueden cifrarse.
El sistema 101 de identificación y autenticación puede incluir uno o más servidores 108 de seguridad de datos. El servidor 108 de seguridad de datos puede ser un ordenador especializado u otra máquina que procese los datos recibidos dentro del sistema 101 de identificación y autenticación. El servidor 108 de seguridad de datos puede incluir otro u otros sistemas. Por ejemplo, el servidor 108 de seguridad de datos puede incluir un sistema de base de datos para acceder a la unidad 112 de almacenamiento conectada a la red, una malla de comunicaciones o ambos. Una malla de comunicaciones puede ser un sistema informático basado en mallas para procesar grandes cantidades de datos.
En algunos aspectos, el servidor 108 de seguridad de datos puede permitir que el sistema 101 de identidad y autenticación sea una interfaz entre varios sistemas 104 de servidor anfitrión y varios sistemas 120 de servidor de proveedor de telecomunicaciones. Esta arquitectura puede facilitar la provisión de información en tiempo real desde el sistema 101 de identidad y autenticación a sistemas 104 de servidor anfitrión. Esta provisión de información facilita la compleción de transacciones en línea, la prevención de transacciones fraudulentas, o ambas cosas en tiempo real. El funcionamiento en tiempo real podría implicar la ejecución de las operaciones relevantes, como la detección y prevención de conductas fraudulentas, durante una transacción en línea entre el sistema 104 de servidor anfitrión y un dispositivo móvil 102. Por ejemplo, el funcionamiento en tiempo real podría incluir la detección de un posible uso no autorizado de una función particular durante una transacción electrónica dentro del entorno informático interactivo y la evitación del uso no autorizado antes de completar la transacción.
El servidor 108 de seguridad de datos puede incluir uno o más dispositivos de procesamiento que ejecutan código de programa, como un servicio 110 de identidad y autenticación. El código de programa se almacena en un medio no transitorio legible por ordenador. El servicio 110 de identidad y autenticación puede ejecutar uno o más procesos para facilitar la detección de fraudes y otros aspectos de las transacciones en línea entre dispositivos móviles 102 y sistemas 104 de servidor anfitrión a través de entornos informáticos interactivos 105. El servicio 110 de identidad y autenticación puede incluir instrucciones ejecutables almacenadas en uno o más medios no transitorios legibles por ordenador. En algunos aspectos, el servicio 110 de identidad y autenticación puede incluir uno o más módulos, como un módulo de servidor web, un módulo de servicios web o un módulo de servicios empresariales, que individualmente o en combinación facilitan transacciones en línea. Por ejemplo, un módulo de servidor web puede ejecutarse mediante un dispositivo de procesamiento adecuado para proporcionar una o más páginas web u otras interfaces a un dispositivo móvil 102, un sistema 104 de servidor anfitrión o un sistema 120 de servidor de proveedor de telecomunicaciones. Las páginas web u otras interfaces pueden incluir contenido proporcionado por el módulo de servicios web. El módulo de servicios web puede generar este contenido ejecutando uno o más algoritmos que usan información recuperada de uno o más de los registros 114 de datos de usuario. El módulo de servicios empresariales puede ejecutarse para recuperar la información de uno o más de los registros 114 de datos de usuario.
El sistema 101 de identificación y autenticación también puede incluir una o más unidades 112 de almacenamiento conectadas a la red. La unidad 112 de almacenamiento conectada a la red puede almacenar una variedad de diferentes tipos de datos organizados en una variedad de formas diferentes y procedentes de una variedad de diferentes fuentes. Por ejemplo, la unidad 112 de almacenamiento conectada a la red puede incluir medios de almacenamiento distintos a los medios almacenamiento primarios ubicados dentro del servidor 108 de seguridad de datos a los que pueden acceder directamente procesadores ubicados en él. En algunos aspectos, la unidad 112 de almacenamiento conectada a la red puede incluir medios de almacenamiento secundarios, terciarios o auxiliares, tales como grandes discos duros, servidores, memoria virtual, entre otros tipos. Los dispositivos de almacenamiento pueden incluir dispositivos de almacenamiento portátiles o no portátiles, dispositivos de almacenamiento óptico y otros diversos medios capaces de almacenar y contener datos. Un medio de almacenamiento legible por máquina o un medio de almacenamiento legible por ordenador puede incluir un medio no transitorio en el que se pueden almacenar datos y que no incluye ondas portadoras ni señales electrónicas transitorias. Los ejemplos de un medio no transitorio pueden incluir, por ejemplo, una cinta o un disco magnético, medios de almacenamiento óptico tales como un disco compacto o un disco versátil digital, memoria flash, memoria o dispositivos de memoria.
La unidad 112 de almacenamiento conectada a la red puede incluir dispositivos de memoria para almacenar registros 114 de datos de usuario que incluyen credenciales 116 y datos 118 de identificación. Los registros 114 de datos de usuario pueden ser recibidos por un servidor 108 de seguridad de datos a través de una red 106 de datos, generados por el servidor 108 de seguridad de datos sobre la base de comunicaciones con dispositivos móviles 102, generados por el servidor 108 de seguridad de datos sobre la base de comunicaciones con sistemas 104 de servidor anfitrión, o alguna combinación de los mismos. Los registros 114 de datos de usuario se pueden almacenar, por ejemplo, en una base de datos u otra fuente de datos adecuada. Las fuentes de datos adecuadas pueden incluir, por ejemplo, bases de datos seguras y acreditadas u otras estructuras de datos gestionadas o accesibles de otro modo por parte del servicio 110 de identidad y autenticación.
Los registros 114 de datos de usuario pueden incluir datos 118 de identificación. Los datos 118 de identificación pueden incluir cualquier información que pueda usarse para identificar de manera exclusiva a un individuo u otra entidad. En algunos aspectos, los datos 118 de identificación pueden incluir información que puede usarse por sí sola para identificar a un individuo o entidad. Los ejemplos no limitativos de dichos datos 118 de identificación incluyen uno o más de un nombre legal, un nombre de una empresa, un número de la seguridad social, un número de una tarjeta de crédito, una fecha de nacimiento, una dirección de correo electrónico, etc. En otros aspectos, los datos 118 de identificación pueden incluir información que puede usarse en combinación con otra información para identificar a un individuo o entidad. Los ejemplos no limitativos de tales datos 118 de identificación incluyen una dirección de una calle u otra ubicación geográfica, datos de empleo, etc. En algunos aspectos, la información de los registros 114 de datos de usuario puede procesarse para generar datos derivados sobre un usuario (por ejemplo, evaluaciones de riesgo, puntuaciones crediticias, etc.).
Cada credencial 116 puede incluir información que puede usarse para identificar de manera exclusiva una fuente de datos de identificación con respecto a un individuo u otra entidad. En algunos aspectos, una credencial 116 puede incluir información que puede usarse por sí sola para identificar el archivo de crédito u otra fuente de datos, incluidos datos de identificación de un individuo o entidad. Los ejemplos no limitativos de tal credencial 116 incluyen uno o más de un número de cuenta, un nombre legal, una dirección, un número de la seguridad social, un número de una tarjeta de crédito, etc.
En algunos aspectos, los datos 118 de identificación pueden incluir datos crediticios. Los datos crediticios pueden incluir datos asociados al archivo de crédito de un usuario. Un archivo de crédito puede ser un informe histórico preparado o proporcionado por una oficina de informes crediticios. Por ejemplo, un archivo de crédito puede incluir uno o más de datos de identificación, una cuenta de una tarjeta de crédito, un préstamo, una quiebra, un pago atrasado, una consulta, una puntuación crediticia, un número de una tarjeta de crédito, etc. En algunos aspectos, un archivo de crédito puede incluir datos adicionales de fuentes de datos distintos de los datos de informes crediticios para ampliar los datos de informes crediticios. Los ejemplos no limitativos de dichos datos adicionales incluyen información obtenida de proveedores de servicios públicos, información obtenida de proveedores de servicios inalámbricos, información obtenida de emisores de tarjetas de crédito, datos inmobiliarios, etc. Los registros 114 de datos de usuario también pueden incluir datos de cuentas. Los datos cuentas pueden incluir datos asociados a la cuenta de crédito de un usuario. Por ejemplo, los datos cuentas pueden incluir el nombre de un usuario, la dirección, un número de cuenta, información de autenticación (por ejemplo, un número de identificación personal, una contraseña, etc.), un nombre de usuario, etc. Los registros 114 de datos de usuario pueden incluir además datos de prestamistas. Los datos de prestamistas pueden incluir datos asociados a prestamistas de crédito o dinero, u otros proveedores de servicios o productos financieros. Por ejemplo, los datos de prestamistas pueden incluir datos asociados a un banco, un trust, una cooperativa de crédito, una compañía de seguros, una agencia de valores, etc. Los registros 114 de datos de usuario también pueden incluir cualquier otro dato relevante, como datos de ingresos y empleo, datos de activos, datos sobre la educación, etc. En algunos aspectos, datos de múltiples registros 114 de datos de usuario se pueden vincular o asociar de otro modo con un usuario dado usando un sistema de claves referenciales. Los registros 114 de datos de usuario pueden actualizarse periódica o continuamente.
En algunos aspectos, el servicio 110 de identificación y autenticación puede ejecutar uno o más procesos para detectar una transacción fraudulenta. En un ejemplo, el servicio 110 de identificación y autenticación puede obtener información de ubicación sobre un dispositivo móvil 102 a partir de un sistema 120 de servidor de proveedor de telecomunicaciones en nombre de un sistema 104 de servidor anfitrión. En otro ejemplo, el servicio 110 de identificación y autenticación puede comparar datos crediticios o datos de cuentas con datos proporcionados por uno o más del dispositivo móvil 102, el sistema 104 de servidor anfitrión y el sistema 120 de servidor de proveedor de telecomunicaciones. El servicio 110 de identificación y autenticación puede usar los resultados de la comparación para detectar inexactitudes de datos o un comportamiento transaccional cuestionable que pueda significar fraude. El servicio 110 de identificación y autenticación puede proporcionar al sistema 104 de servidor anfitrión un aviso si se detecta un fraude.
Un dispositivo móvil 102 puede incluir cualquier dispositivo informático u otro dispositivo de comunicación operado por un usuario. El dispositivo móvil 102 puede incluir una o más aplicaciones 103 de cliente. Una aplicación 103 de cliente, como un navegador web o una aplicación móvil, puede incluir instrucciones ejecutables almacenadas en uno o más medios legibles por ordenador no transitorios. El dispositivo móvil 102 también puede incluir uno o más dispositivos de procesamiento que sean capaces de ejecutar la aplicación 103 de cliente para ejecutar operaciones descritas en este documento. En algunos aspectos, la aplicación 103 de cliente puede proporcionar una o más interfaces gráficas a través de las cuales un usuario puede participar en comercio móvil con un sistema 104 de servidor anfitrión. Por ejemplo, el usuario u otra entidad que accede al dispositivo móvil 102 puede usar la aplicación 103 de cliente para consultar un conjunto de datos sensibles u otros datos controlados, para participar en una transacción de compra en línea con un sistema 104 de servidor anfitrión a través de un entorno informático interactivo 105, para acceder a una determinada característica de modificación de contenido de una herramienta en línea, etc. Ejemplos del entorno informático interactivo 105 incluyen una aplicación móvil, una aplicación basada en web accesible a través de un dispositivo móvil, etc.
Un sistema 120 de servidor de proveedor de telecomunicaciones puede incluir cualquier dispositivo informático o grupo de dispositivos informáticos operados por un proveedor de redes inalámbricas o de telecomunicaciones. El sistema 120 de servidor de proveedor de telecomunicaciones puede incluir uno o más dispositivos de servidor. El dispositivo o dispositivos de servidor pueden incluir o pueden acceder de otro modo a uno o más medios legibles por ordenador no transitorios. Una aplicación 126 de autenticación o una o más fuentes 122 de datos pueden almacenarse en uno o más medios legibles por ordenador no transitorios. Las fuentes 122 de datos pueden tener cualquiera de las estructuras o configuraciones descritas con respecto a los registros 114 de datos de usuario del sistema 101 de identificación y autenticación. El sistema 120 de servidor de proveedor de telecomunicaciones también puede incluir uno o más dispositivos de procesamiento que son capaces de ejecutar la aplicación 126 de autenticación para ejecutar operaciones descritas en este documento.
En algunos aspectos, la aplicación 126 de autenticación puede proporcionar una interfaz de programación de aplicaciones a través de la cual el sistema 101 de identificación y autenticación puede consultar el sistema 120 de servidor de proveedor de telecomunicaciones y, por lo tanto, adquirir datos 124 de credenciales. Los datos 124 de credenciales pueden incluir datos asociados a una cuenta de telecomunicaciones (por ejemplo, la cuenta de telecomunicaciones de un usuario). Por ejemplo, los datos 124 de credenciales pueden incluir un nombre legal, un número de la seguridad social, un número de una tarjeta de crédito, un número de cuenta, una dirección, un número de teléfono móvil, un número de cuenta móvil, un proxy para un número de cuenta móvil, etc. El sistema 101 de identificación y autenticación puede comparar los datos 124 de credenciales recibidos con una o más credenciales 116 de los registros 114 de datos de usuario para obtener datos 118 de identificación sobre un individuo o entidad en particular.
En algunos aspectos, el sistema 101 de identificación y autenticación puede implementar uno o más procedimientos para securizar comunicaciones entre el sistema 101 de identificación y autenticación y un dispositivo móvil 102, un sistema 104 de servidor anfitrión o un sistema 120 de servidor de proveedor de telecomunicaciones. Ejemplos no limitativos de funciones proporcionadas para proteger datos y transmisiones entre el sistema 101 de identificación y autenticación y el dispositivo móvil 102, el sistema 104 de servidor anfitrión o el sistema 120 de servidor de proveedor de telecomunicaciones incluyen páginas web seguras, cifrado, protección de cortafuegos, análisis de comportamiento de la red, detección de intrusos, etc. En algunos aspectos, las transmisiones con dispositivos móviles 102, sistemas 104 de servidor anfitrión o sistemas 120 de servidor de proveedor de telecomunicaciones pueden cifrarse usando algoritmos criptográficos de clave pública que utilizan un tamaño de clave mínimo de 128 bits. En aspectos adicionales o alternativos, se pueden entregar páginas de sitios web a través de HTTPS u otros protocolos de comunicación de servidor seguros. En aspectos adicionales o alternativos, pueden transmitirse comunicaciones electrónicas utilizando la tecnología de Capa de Conexión Segura ("SSL") u otros protocolos seguros adecuados. Se pueden utilizar certificados de SSL de Validación Extendida para identificar claramente la identidad de la organización de un sitio web. En otro ejemplo no limitativo, se pueden utilizar medidas físicas, electrónicas y de procedimiento para salvaguardar datos contra un acceso y exposición no autorizados.
El sistema 101 de identificación y autenticación puede comunicarse con uno o más dispositivos móviles 102, sistemas 104 de servidor anfitrión y sistemas 120 de servidor de proveedor de telecomunicaciones aplicando reglas de autenticación y autorización. Las reglas de autenticación y autorización se pueden usar para autenticar y autorizar el dispositivo móvil 102, el sistema 104 de servidor anfitrión o el sistema 120 de servidor de proveedor de telecomunicaciones con el fin de recibir información del sistema 101 de identificación y autenticación.
En algunos aspectos, el sistema informático 100, que incluye el sistema 101 de identidad y autenticación acoplado comunicativamente a varios sistemas 120 de servidor de proveedor de telecomunicaciones, proporciona una mejora con respecto a sistemas informáticos de detección de fraude típicos. En uno de los ejemplos, los sistemas de prevención de fraude típicos se limitan a comunicaciones de sistema a sistema entre un sistema anfitrión, como un sistema de comercio electrónico, y un dispositivo móvil. Estos sistemas típicos de prevención de fraude no pueden utilizar datos en tiempo real proporcionados por sistemas de telecomunicaciones cuando detectan fraudes, sino que, por el contrario, deben confiar únicamente en datos proporcionados por el dispositivo móvil. Confiar únicamente en datos proporcionados por el dispositivo móvil puede permitir, por ejemplo, que datos falsos de una aplicación de servicios de ubicación en el dispositivo móvil oculten la verdadera ubicación del dispositivo móvil al sistema anfitrión.
Por el contrario, la inclusión del sistema 101 de identidad y autenticación, que interactúa con uno o más sistemas 120 de servidor de proveedor de telecomunicaciones que tienen acceso a un punto 107 de acceso, el cual puede incluir una infraestructura de comunicación a través de la cual el dispositivo móvil 102 accede a la red 106 de datos, puede permitir la detección de la verdadera ubicación geográfica de un dispositivo móvil (por ejemplo, haciendo ping al dispositivo móvil 102 desde una torre celular en particular, identificando la ubicación de un enrutador o un punto de acceso que conecta el dispositivo móvil 102 a una red, etc. ). En algunos aspectos, este proceso de detección no puede ser anulado simplemente reprogramando los servicios basados en la ubicación en el dispositivo móvil 102 porque el proceso de detección implica comunicaciones que están fuera de banda con respecto al dispositivo móvil y al sistema de servidor anfitrión (por ejemplo, comunicaciones con torres celulares o enrutadores). Por lo tanto, el sistema informático 100 incluye dispositivos, ejecuta operaciones o las dos cosas y esto previene el fraude electrónico de una manera que es diferente de los sistemas o procesos de detección de fraude convencionales que carecen de la participación de un sistema 120 de servidor de proveedor de telecomunicaciones.
En algunos aspectos, el sistema 101 de identidad y autenticación puede comunicarse con los diversos sistemas 120 de servidor de proveedor de telecomunicaciones de una manera que sea fuera de banda con respecto a los sistemas 104 de servidor anfitrión, los dispositivos móviles 102 o ambos. Por ejemplo, las comunicaciones entre el sistema 101 de identidad y autenticación y un sistema 120 de servidor de proveedor de telecomunicaciones se pueden realizar a través de un canal de comunicación o de una sesión independientes o a través de ambos en comparación con el canal de comunicación o sesión establecido entre el sistema 101 de identidad y autenticación y un sistema 104 de servidor anfitrión. Mediante el uso de canales de comunicación fuera de banda, el puerto de comunicaciones de red puede comunicarse con el dispositivo móvil 102, el sistema 104 de servidor anfitrión y otros sistemas de manera sustancialmente simultánea durante una transacción electrónica al tiempo que evitando que estos diversos dispositivos y sistemas se comuniquen directamente.
En algunos aspectos, el sistema 101 de identificación y autenticación que se comunica por separado con el sistema 104 de servidor anfitrión y el sistema 120 de servidor de proveedor de telecomunicaciones proporciona una mejora con respecto a sistemas típicos. En uno de los ejemplos, el sistema 101 de identificación y autenticación puede proporcionar una interfaz de confianza entre múltiples sistemas de servidor anfitrión independientes y uno o más sistemas 120 de servidor de proveedor de telecomunicaciones. La interfaz de confianza permite la protección de datos confidenciales que tiene el sistema 120 de servidor de proveedor de telecomunicaciones ante el sistema 104 de servidor anfitrión al tiempo que permite la utilización de esos datos confidenciales para evitar el uso no autorizado del sistema 104 de servidor anfitrión. Por ejemplo, el sistema 120 de servidor de proveedor de telecomunicaciones puede ser capaz de precisar una ubicación específica del dispositivo móvil 102 (p. ej., una coordenada particular en una cuadrícula), mientras que el sistema 101 de identificación y autenticación o el sistema 104 de servidor anfitrión puede necesitar solamente datos de ubicación más generales (por ejemplo, un país o ciudad) para identificar un uso potencialmente fraudulento del entorno informático interactivo 105. El uso del sistema 101 de identificación y autenticación como interfaz entre el sistema 104 de servidor anfitrión y el sistema 120 de servidor de proveedor de telecomunicaciones permite que el sistema 101 de identificación y autenticación limite el sistema 104 de servidor anfitrión a información que es requerida por el sistema 104 de servidor anfitrión, tal como un indicador de fraude calculado por el sistema 101 de identificación y autenticación o una notificación de que el dispositivo móvil 102 está fuera de una ubicación válida.
En otro ejemplo, como se ha indicado anteriormente, los sistemas típicos de prevención de fraude se basarían únicamente en datos proporcionados desde el dispositivo móvil a un sistema de servidor anfitrión. Estos datos transmitidos pueden carecer de datos específicos necesarios para consultar un sistema de proveedor de telecomunicaciones con respecto a la ubicación de un dispositivo móvil. Por el contrario, el sistema 101 de identificación y autenticación proporciona acceso a una gran cantidad de datos de registros 114 de datos de usuario que se pueden usar para consultar un sistema 120 de servidor de proveedor de telecomunicaciones. El sistema 101 de identificación y autenticación puede relacionar datos transmitidos desde el dispositivo móvil 102 (por ejemplo, un número de teléfono) con uno o más conjuntos adicionales de datos utilizables para consultar un sistema 120 de servidor de proveedor de telecomunicaciones. Los ejemplos de tales parámetros de consulta incluyen un identificador de entidad generado por el sistema 101 de identificación y autenticación para rastrear una entidad común sobre múltiples registros 114 de datos de usuario, un nombre completo, número de la seguridad social, dirección de facturación, etc. Estos datos adicionales pueden mantenerse confidenciales desde el sistema 104 de servidor anfitrión debido al sistema 101 de identificación y autenticación que se comunica con el sistema 120 de servidor de proveedor de telecomunicaciones de una manera que está fuera de banda con respecto a la comunicación entre el sistema 101 de identificación y autenticación y el sistema 104 de servidor anfitrión. Por lo tanto, el sistema informático 100 permite consultas más precisas a un sistema 120 de servidor de proveedor de telecomunicaciones para la detección de fraudes basada en la ubicación al tiempo que mantiene la seguridad de datos sensibles alojados por el sistema 101 de identificación y autenticación.
Ejemplo de operaciones basadas en la ubicación para evitar el uso no autorizado del entorno informático interactivo
La FIG. 2 es un diagrama de secuencia que representa interacciones entre un dispositivo móvil 102, un sistema 104 de servidor anfitrión, un sistema 101 de identificación y autenticación y un sistema 120 de servidor de proveedor de telecomunicaciones durante una transacción en la que el dispositivo móvil 102 está en una ubicación que no indica fraude u otro uso no autorizado del entorno informático interactivo 105. En este ejemplo, el dispositivo móvil 102 transmite una comunicación 202 al sistema 104 de servidor anfitrión. La comunicación 202 se puede transmitir durante una sesión entre una aplicación 103 de cliente, que se ejecuta en el dispositivo móvil 102, y un entorno informático interactivo 105, que se ejecuta en el sistema 104 de servidor anfitrión. El dispositivo móvil 102 se utiliza para realizar una o más transacciones en línea con el sistema 104 de servidor anfitrión durante la sesión.
La comunicación 202 incluye una solicitud de identificación para un usuario del dispositivo móvil 102. La solicitud de identificación incluye, por ejemplo, una solicitud para autenticar al usuario, una solicitud para recuperar datos 118 de identificación sobre el usuario con vistas a completar una transacción en línea durante la sesión, o alguna combinación de las mismas. Por ejemplo, la solicitud de identificación puede generarse haciendo clic, en una interfaz proporcionada por el entorno informático interactivo 105, en una opción para utilizar servicios de autenticación o identificación proporcionados por el sistema 101 de identificación y autenticación.
El sistema 104 de servidor anfitrión transmite una comunicación 204 al sistema 101 de identificación y autenticación. La comunicación 204 incluye un identificador de red de datos y una solicitud de información sobre el usuario del dispositivo móvil 102. El identificador de red de datos se puede obtener por parte del entorno informático interactivo 105 a través de comunicaciones con la aplicación 103 de cliente.
Un identificador de red de datos puede incluir cualquier información utilizable para identificar de manera exclusiva un dispositivo informático (por ejemplo, un dispositivo móvil) en una red de datos. En algunos aspectos, un identificador de red de datos puede incluir información que puede usarse por sí sola para identificar un dispositivo informático (por ejemplo, una dirección IP). En otros aspectos, un identificador de red de datos puede incluir información que puede usarse en combinación con otra información para identificar un dispositivo informático.
El sistema 101 de identificación y autenticación transmite una comunicación 206 al sistema 120 de servidor de proveedor de telecomunicaciones. La comunicación 206 incluye el identificador de red de datos recibido del sistema 104 de servidor anfitrión. El sistema 120 de servidor de proveedor de telecomunicaciones ejecuta una o más operaciones 208 para autenticar el dispositivo móvil 102.
Si el sistema 120 de servidor de proveedor de telecomunicaciones autentica con éxito el dispositivo móvil 102, el sistema 120 de servidor de proveedor de telecomunicaciones transmite una comunicación 210 de respuesta al sistema 101 de identificación y autenticación. En algunos aspectos, la comunicación 210 incluye datos de ubicación para el dispositivo móvil 102 y datos 124 de credenciales para un usuario del dispositivo móvil 102, como se representa en la FIG. 2. No obstante, son posibles otras implementaciones. Por ejemplo, en aspectos adicionales o alternativos, la comunicación 210 incluye datos de ubicación para el dispositivo móvil 102, y los datos 124 de credenciales para un usuario del dispositivo móvil 102 se obtienen a través de un conjunto aparte de comunicaciones con el sistema 101 de identificación y autenticación. El conjunto aparte de comunicaciones con el sistema 101 de identificación y autenticación se lleva a cabo después de que los datos de ubicación hayan sido validados por el sistema 101 de identificación y autenticación, el sistema 104 de servidor anfitrión o alguna combinación de los mismos.
El sistema 101 de identificación y autenticación transmite una comunicación 212 al sistema 104 de servidor anfitrión. La comunicación 212 incluye una solicitud de validación de ubicación. El sistema 101 de identificación y autenticación puede transmitir las coordenadas del dispositivo móvil 102, una distancia entre el dispositivo móvil 102 y una ubicación asociada al sistema 104 de servidor anfitrión, o alguna combinación de las mismas. Si el sistema 104 de servidor anfitrión determina que los datos de ubicación no son indicativos de fraude y que, por lo tanto, la ubicación es válida, el sistema 104 de servidor anfitrión transmite una comunicación 214 de respuesta al sistema 101 de identificación y autenticación. La comunicación 214 de respuesta incluye datos que indican que la ubicación del dispositivo móvil 102 es válida.
En algunos aspectos, si la ubicación del dispositivo móvil 102 es válida, el sistema 101 de identificación y autenticación transmite una comunicación 216 al sistema 104 de servidor anfitrión, como se representa en la FIG. 2. La comunicación 216 incluye datos 118 de identificación que se recuperan de uno o más registros 114 de datos de usuario. El sistema 104 de servidor anfitrión transmite a continuación al dispositivo móvil 102 una comunicación 216 que incluye los datos 118 de identificación. Por ejemplo, una interfaz proporcionada por un entorno informático interactivo 105 se puede autocompletar con al menos algunos de los datos 118 de identificación. El sistema 104 de servidor anfitrión puede transmitir la interfaz actualizada al dispositivo móvil 102 para su uso en la transacción en línea entre el sistema 104 de servidor anfitrión y el dispositivo móvil 102.
En aspectos adicionales o alternativos, si la ubicación del dispositivo móvil 102 es válida, el sistema 101 de identificación y autenticación transmite los datos 118 de identificación directamente al dispositivo móvil 102 (por ejemplo, a través de un canal de comunicación aparte de los canales de comunicación entre el sistema 104 de servidor anfitrión y el dispositivo móvil 102 ó entre el sistema 104 de servidor anfitrión y el sistema 101 de identificación y autenticación). El dispositivo móvil 102 puede insertar al menos algunos de los datos de identificación en una interfaz proporcionada por el entorno informático interactivo 105 para su uso en la transacción en línea entre el sistema 104 de servidor anfitrión y el dispositivo móvil 102.
Sin embargo, si la ubicación no es válida, el flujo de comunicación representado en la FIG. 2 puede modificarse de modo que el servicio 110 de identificación y autenticación no proporcione datos 118 de identificación para su uso en la transacción en línea. Por ejemplo, la FIG. 3 es un diagrama de secuencia que representa interacciones durante una transacción en la que el dispositivo móvil 102 se encuentra en una ubicación que indica una o más actividades potencialmente fraudulentas por parte de un usuario del dispositivo móvil 102. En este ejemplo, si el sistema 104 de servidor anfitrión determina que los datos de ubicación son indicativos de fraude, el sistema 104 de servidor anfitrión transmite una comunicación 302 de respuesta al sistema 101 de identificación y autenticación. La comunicación 214 de respuesta incluye datos que indican que la ubicación del dispositivo móvil 102 no es válida (p. ej., indicativos de fraude).
Sobre la base de la recepción de la comunicación 302, el sistema 101 de identificación y autenticación ejecuta una o más operaciones 304 para evitar la transmisión de datos 118 de identificación con vistas a su uso por parte del dispositivo móvil 102. En algunos aspectos, el sistema 101 de identificación y autenticación puede terminar un proceso que daría como resultado la transmisión de los datos 118 de identificación desde el servidor 108 de seguridad de datos al sistema 104 de servidor anfitrión o al dispositivo móvil 102. Por ejemplo, el sistema 101 de identificación y autenticación puede eliminar copias almacenadas temporalmente de los datos 118 de identificación que se crearon para la transmisión al sistema 104 de servidor anfitrión o al dispositivo móvil 102.
La FIG. 4 es un diagrama de flujo que ilustra un ejemplo de un proceso 400 para usar el sistema 101 de identificación y autenticación con el fin de facilitar la detección de fraudes en transacciones en línea entre dispositivos móviles y sistemas de servidor anfitrión. Con fines ilustrativos, el proceso 400 se describe en referencia a implementaciones descritas anteriormente con respecto a las FIGS. 1-3. Sin embargo, son posibles otras implementaciones. En algunos aspectos, los pasos de la FIG. 4 pueden implementarse en código de programa que es ejecutado por uno o más dispositivos informáticos, como el servidor 108 de seguridad de datos representado en la FIG. 1. En algunos aspectos de la presente exposición, una o más operaciones mostradas en la FIG. 5 pueden omitirse o ejecutarse en un orden diferente. De manera similar, pueden ejecutarse operaciones adicionales no mostradas en la FIG. 5.
El proceso 400 implica que un servidor 108 de seguridad de datos obtenga un identificador de red de datos que identifique un dispositivo móvil 102 que acceda a un entorno informático interactivo 105 proporcionado por el sistema 104 de servidor anfitrión, como se representa en el bloque 402. En algunos aspectos, el servidor 108 de seguridad de datos obtiene el identificador de red de datos durante una transacción electrónica entre el dispositivo móvil 102 y el sistema 104 de servidor anfitrión, donde la transacción electrónica se produce dentro del entorno informático interactivo 105. El servidor 108 de seguridad de datos puede obtener el identificador de red de datos a través de un primer canal de comunicación con un sistema 104 de servidor anfitrión.
En un ejemplo, el servicio 110 de identidad y autenticación puede abrir un puerto de servidor o transmitir una consulta al sistema 104 de servidor anfitrión ejecutando código de programa que proporciona el entorno informático interactivo 105. El sistema 104 de servidor anfitrión puede transmitir en respuesta un identificador de red de datos al sistema 101 de identificación y autenticación a través de la red 106 de datos. En otro ejemplo, el sistema 104 de servidor anfitrión puede "empujar" [“push”] (es decir, transmitir datos sin recibir específicamente una solicitud de los datos) el identificador de red de datos al sistema 101 de identificación y autenticación.
El proceso 400 también implica que el servidor 108 de seguridad de datos genere un elemento dinámico de verificación de identidad que incluye el identificador de red de datos y un identificador de ubicación que identifica una ubicación geográfica del dispositivo móvil 102, como se representa en el bloque 404. El servidor 108 de seguridad de datos puede generar el elemento dinámico de verificación de identidad a partir de comunicaciones con un servidor de un sistema 120 de servidor de proveedor de telecomunicaciones. Estas comunicaciones pueden producirse a través de un segundo canal de comunicación que está fuera de banda con respecto al primer canal de comunicación utilizado para comunicarse con el sistema 104 de servidor anfitrión.
El elemento dinámico de verificación de identidad puede ser una estructura de datos que almacena información utilizada para evaluar si el dispositivo móvil 102 está autorizado a usar una o más funciones del entorno informático interactivo 105. Un ejemplo de la estructura de datos es una tabla que incluye una fila tanto para el identificador de red de datos como para el identificador de ubicación, un conjunto de nodos enlazados que incluyen el identificador de red de datos y el identificador de ubicación, etc.
En algunos aspectos, el elemento dinámico de verificación de identidad es una estructura de datos temporal generada para una transacción entre el dispositivo móvil 102 y el sistema 104 de servidor anfitrión. Por ejemplo, el elemento dinámico de verificación de identidad podría crearse con el fin de evaluar si el dispositivo móvil 102 está autorizado a usar una o más funciones del entorno informático interactivo 105 y se podría eliminar sobre la base de una determinación de que el uso no está autorizado, una determinación de que el uso está autorizado, la compleción de una transacción que implica el uso autorizado del entorno informático interactivo 105, etc.
En algunos aspectos, el servidor 108 de seguridad de datos puede generar el elemento dinámico de verificación de identidad obteniendo datos de ubicación del sistema 120 de servidor de proveedor de telecomunicaciones y combinando el identificador de red de datos y el identificador de ubicación en el elemento dinámico de verificación de identidad. El identificador de ubicación puede incluir o derivarse de datos de ubicación recibidos del sistema 120 de servidor de proveedor de telecomunicaciones a través del segundo canal de comunicación. Por ejemplo, el servidor 108 de seguridad de datos puede transmitir al sistema 120 de servidor de proveedor de telecomunicaciones una consulta que incluye el identificador de red de datos o algún otro parámetro de consulta, como una credencial utilizada tanto por el servidor 108 de seguridad de datos como por el sistema 120 de servidor de proveedor de telecomunicaciones para rastrear usuarios particulares. El sistema 120 de servidor de proveedor de telecomunicaciones puede atender esta consulta ejecutando una o más operaciones que detectan la ubicación del dispositivo móvil. Esta detección puede incluir, por ejemplo, usar un punto 107 de acceso de una red de datos administrada por el sistema 120 de servidor de proveedor de telecomunicaciones para identificar la ubicación del dispositivo móvil 102. Usar el punto 107 de acceso puede incluir hacer ping al dispositivo móvil 102 usando un punto 107 de acceso tal como una estación base, determinar que se ha enrutado tráfico del dispositivo móvil 102 a través del punto 107 de acceso durante un período de tiempo reciente, o, si no, determinar que el dispositivo móvil 102 usa el punto 107 de acceso para conectarse a una red 106 de datos. El sistema 120 de servidor de proveedor de telecomunicaciones puede transmitir datos de ubicación, que identifican la ubicación detectada, al sistema 101 de identificación y autenticación y a través del segundo canal de comunicación.
Los ejemplos de un identificador de ubicación incluyen datos de ubicación absolutos, como un conjunto de coordenadas geográficas para el dispositivo móvil 102, y datos de ubicación relativos, que indican una distancia entre una ubicación geográfica especificada asociada al sistema 104 de servidor anfitrión y el dispositivo móvil 102. En algunos aspectos, el servidor 108 de seguridad de datos puede obtener datos de ubicación relativos comparando un conjunto de coordenadas geográficas para el dispositivo móvil 102, proporcionado por el sistema 120 de servidor de proveedor de telecomunicaciones, con una ubicación conocida asociada al sistema 104 de servidor anfitrión.
El proceso 400 también implica que el servidor 108 de seguridad de datos calcule, a partir del elemento dinámico de verificación de identidad, un indicador de uso no autorizado del sistema 104 de servidor anfitrión por parte del dispositivo móvil 102, como se representa en el bloque 406. El cálculo del indicador de uso no autorizado puede incluir una o más operaciones ejecutadas por el servicio 110 de identidad y autenticación para determinar que la ubicación del dispositivo móvil 102 es indicativa de uso fraudulento del entorno informático interactivo 105 u otro uso no autorizado del entorno informático interactivo 105.
En algunos aspectos, el cálculo del indicador de uso no autorizado puede incluir relacionar el elemento dinámico de verificación de identidad con una combinación de dispositivo y ubicación que indique el uso no autorizado. Por ejemplo, el servicio 110 de identidad y autenticación puede acceder a datos que indican un conjunto de ubicaciones válidas para el dispositivo móvil 102. En un ejemplo, estos datos podrían indicar indirectamente un conjunto de ubicaciones válidas. Por ejemplo, si los datos incluyen un conjunto de reglas de decisión que indican que ciertas ubicaciones (absolutas o relativas) de un dispositivo móvil son indicativas de fraude, el conjunto de ubicaciones válidas podrían ser ubicaciones fuera del alcance de las reglas de decisión. De manera adicional o alternativa, estos datos podrían indicar directamente un conjunto de ubicaciones válidas. Por ejemplo, si los datos incluyen un conjunto de reglas de decisión que indican que ciertas ubicaciones (absolutas o relativas) de un dispositivo móvil son indicativas de uso autorizado, esas ubicaciones podrían considerarse el conjunto de ubicaciones válidas. El servicio 110 de identidad y autenticación puede comparar el identificador de ubicación del elemento dinámico de verificación de identidad con el conjunto de ubicaciones válidas. El servicio 110 de identidad y autenticación podría determinar que el identificador de ubicación coincide (o dicho de otro modo se corresponde) con una o más ubicaciones del conjunto de ubicaciones válidas. Si es así, el servicio 110 de identidad y autenticación puede dar salida a un indicador según el cual el uso del entorno informático interactivo 105 está autorizado o puede decidir no dar salida a un indicador según el cual el uso del entorno informático interactivo 105 no está autorizado. Alternativamente, el servicio 110 de identidad y autenticación podría determinar que el identificador de ubicación no coincide (o dicho de otro modo no se corresponde) con una o más ubicaciones del conjunto de ubicaciones válidas o que el identificador de ubicación coincide (o dicho de otro modo no se corresponde) con una o más ubicaciones de un conjunto de ubicaciones no válidas. Si es así, el servicio 110 de identidad y autenticación puede dar salida a un indicador según el cual el uso del entorno informático interactivo 105 no está autorizado.
De acuerdo con la invención, el cálculo del indicador de uso no autorizado incluye consultar el sistema 104 de servidor anfitrión con respecto a la ubicación del dispositivo móvil 102. En las FIGS. 2 y 3, descritas anteriormente, se representan ejemplos de este tipo de consultas. El servicio 110 de identidad y autenticación puede configurar el dispositivo de interfaz de red para transmitir una solicitud de validación, que tiene el identificador de ubicación, al sistema 104 de servidor anfitrión. El servicio 110 de identidad y autenticación puede recibir una respuesta del sistema 104 de servidor anfitrión. El servicio 110 de identidad y autenticación puede determinar, a partir de una respuesta a la solicitud de validación, que la ubicación del dispositivo móvil no es válida y, por lo tanto, indica un uso no autorizado. Alternativamente, el servicio 110 de identidad y autenticación puede determinar, a partir de una respuesta a la solicitud de validación, que la ubicación del dispositivo móvil es válida y, por lo tanto, indica un uso autorizado.
El proceso 400 también implica que el servidor 108 de seguridad de datos evite que el dispositivo móvil 102 acceda a una función para hacer avanzar una transacción electrónica dentro del entorno informático interactivo 105, como se representa en el bloque 408. Evitar que el dispositivo móvil acceda a la función puede incluir una o más operaciones ejecutadas por el servicio 110 de identidad y autenticación que dan como resultado al menos una denegación de acceso a la función en el dispositivo móvil 102.
En algunos aspectos, evitar que el dispositivo móvil acceda a la función puede incluir evitar que se transmitan datos de identificación, que se requieren para acceder a la función, al dispositivo móvil. Por ejemplo, el servicio 110 de identidad y autenticación puede pausar o finalizar un proceso que daría como resultado los datos de identificación (por ejemplo, eliminar datos de identificación recuperados de una memoria de acceso aleatorio). Los ejemplos de compleción de la función incluyen acceder a datos sensibles de una fuente de datos con acceso controlado, completar una compra a través de un servicio de comercio electrónico, usar una característica particular de una herramienta de software en línea, etc. Los datos de identificación necesarios para completar estas funciones podrían incluir, por ejemplo, proporcionar un token que indique que un usuario está autorizado a acceder a ciertas fuentes de datos, proporcionar información de nombre y dirección requerida para una compra, enviar una confirmación de que un usuario tiene permiso para acceder a una determinada característica de una herramienta, etc. El servicio 110 de identidad y autenticación puede pausar o finalizar un proceso que daría como resultado que los datos de identificación (por ejemplo, información de dirección, información de pago, etc.) se transmitieran al dispositivo móvil 102.
En aspectos adicionales o alternativos, el servicio 110 de identidad y autenticación puede usar el elemento dinámico de verificación de identidad para evitar que se transmitan datos de identificación al dispositivo móvil 102. Por ejemplo, el elemento dinámico de verificación de identidad podría incluir un campo de bandera que indique si se ha identificado que el dispositivo móvil 102 (o un usuario del dispositivo móvil 102) participa en actividades potencialmente fraudulentas u otro uso no autorizado de un entorno informático interactivo 105. En el bloque 408, el servicio 110 de identidad y autenticación puede actualizar la bandera sobre la base del indicador calculado en el bloque 406. La bandera podría indicar que el servicio 110 de identidad y autenticación tiene prohibido transmitir datos de identificación al dispositivo móvil 102, a un sistema 104 de servidor anfitrión involucrado en una transacción en línea con el dispositivo móvil 102, o alguna combinación de los mismos. En algunos aspectos, el servicio 110 de identidad y autenticación podría cambiar posteriormente el valor de la bandera para eliminar esta prohibición si, por ejemplo, ha transcurrido una cantidad de tiempo umbral, más adelante se asocia una ubicación válida al dispositivo móvil 102, se han recibido datos de verificación adicionales del dispositivo móvil 102, se han recibido datos de verificación adicionales del sistema 104 de servidor anfitrión, o alguna combinación de los mismos.
En aspectos adicionales o alternativos, evitar que el dispositivo móvil acceda a la función puede incluir transmitir automáticamente al sistema 104 de servidor anfitrión una señal de control que hace que el sistema 104 de servidor anfitrión evite que el dispositivo móvil acceda a la función. Por ejemplo, una señal de control podría incluir un aviso u otra notificación de que el servicio 110 de identidad y autenticación ha calculado un indicador de uso no autorizado. El servicio 110 de identidad y autenticación puede configurar un dispositivo de interfaz de red del sistema 101 de identificación y autenticación para transmitir la señal de control al sistema 104 de servidor anfitrión. El sistema 104 de servidor anfitrión puede ejecutar, basándose en la recepción de la señal de control, una o más operaciones para evitar que el dispositivo móvil acceda a la función. Los ejemplos de estas operaciones incluyen la finalización de una sesión entre el dispositivo móvil 102 y el sistema 104 de servidor anfitrión, requerir la introducción de datos de verificación adicionales (p. ej., datos de autenticación basados en conocimientos, datos biométricos, etc.) en el dispositivo móvil 102 antes de proporcionar acceso a la función del entorno informático interactivo 105, rechazar una solicitud para acceder a la función, etc.
La FIG. 5 es un diagrama de flujo que ilustra un ejemplo de un proceso 500 para usar el sistema 101 de identificación y autenticación con el fin de facilitar la detección de un uso no autorizado en transacciones en línea entre dispositivos móviles y sistemas de servidor anfitrión. Con fines ilustrativos, el proceso 500 se describe con referencia a implementaciones descritas anteriormente con respecto a las FIGS. 1-4. Sin embargo, son posibles otras implementaciones. En algunos aspectos, los pasos de la FIG. 5 pueden implementarse en código de programa que es ejecutado por uno o más dispositivos informáticos, como el servidor 108 de seguridad de datos representado en la FIG. 1. En algunos aspectos, una o más operaciones mostradas en la FIG. 5 pueden omitirse, ejecutarse en un orden diferente o combinarse con otras operaciones descritas aquí, tales como operaciones descritas anteriormente con respecto a la FIG. 4. De manera similar, se pueden ejecutar operaciones adicionales no mostradas en la FIG. 5.
El proceso 500 implica obtener un identificador de red de datos que identifica un dispositivo móvil involucrado en una transacción electrónica con un sistema de servidor anfitrión, como se representa en el bloque 502. Por ejemplo, el servidor 108 de seguridad de datos puede obtener el identificador de red de datos de una manera similar a las operaciones descritas anteriormente con respecto al bloque 402 del proceso 400.
El proceso 500 también implica que el servidor 108 de seguridad de datos identifique una ubicación del dispositivo móvil durante la transacción en línea a través de comunicaciones con un proveedor de telecomunicaciones, como se representa en el bloque 504. El servidor 108 de seguridad de datos puede ejecutar el servicio 110 de identidad y autenticación y ejecutar así una o más operaciones para obtener datos de ubicación para el dispositivo móvil utilizando el identificador de red de datos. En algunos aspectos, el servidor 108 de seguridad de datos puede usar los datos de ubicación para generar el elemento dinámico de verificación de identidad, como se ha descrito anteriormente con respecto al bloque 404 del proceso 400.
En algunos aspectos, el servicio 110 de identidad y autenticación puede configurar un dispositivo de interfaz de red para transmitir datos de consulta asociados al identificador de red de datos a un sistema 120 de servidor de proveedor de telecomunicaciones. El servicio 110 de identidad y autenticación puede establecer y transmitir los datos de consulta al sistema 120 de servidor de proveedor de telecomunicaciones a través de una conexión de datos segura. El sistema 120 de servidor de proveedor de telecomunicaciones puede recibir el identificador de red de datos de consulta. El sistema 120 de servidor de proveedor de telecomunicaciones puede comunicarse con uno o más puntos de acceso (por ejemplo, estaciones base, microcélulas, enrutadores, etc.) utilizados por el sistema 120 de servidor de proveedor de telecomunicaciones para proporcionar servicio de telecomunicaciones al dispositivo móvil 102, para proporcionar al dispositivo móvil 102 acceso a una o más redes 106 de datos, etc. El sistema 120 de servidor de proveedor de telecomunicaciones puede determinar, en función de la ubicación de uno o más puntos de acceso en comunicación con el dispositivo móvil 102, que el dispositivo móvil 102 está ubicado en un área particular. El sistema 120 de servidor de proveedor de telecomunicaciones puede transmitir datos de ubicación al sistema 101 de identificación y autenticación a través de una o más redes de datos.
En algunos aspectos, el sistema 120 de servidor de proveedor de telecomunicaciones también puede usar el identificador de red de datos para identificar una credencial asociada de una o más fuentes 122 de datos. Por ejemplo, el sistema 120 de servidor de proveedor de telecomunicaciones puede recibir un identificador de red de datos que incluye una dirección IP y determinar una credencial asociada que incluya un número de la seguridad social. El sistema 120 de servidor de proveedor de telecomunicaciones puede transmitir la credencial al sistema 101 de identificación y autenticación. El sistema 120 de servidor de proveedor de telecomunicaciones también puede transmitir otra información al sistema 101 de identificación y autenticación. La otra información puede incluir un estado de cuenta (activo, suspendido, en la lista negra, etc.), un número de teléfono móvil, información de la tarjeta de Módulo de Identidad de Abonado ("SIM"), etc.
El proceso 500 también implica determinar que una ubicación para el dispositivo móvil es válida, como se representa en el bloque 506. El servidor 108 de seguridad de datos puede ejecutar el servicio 110 de identidad y autenticación y, por lo tanto, ejecutar una o más operaciones que implican validar la ubicación del dispositivo móvil. En algunos aspectos, para implementar el bloque 406 del proceso 400 pueden usarse operaciones ejecutadas en el bloque 506.
En algunos aspectos, estas operaciones pueden incluir la realización de análisis adicionales de detección de fraude basados en los datos de ubicación. Los ejemplos de los datos de ubicación incluyen una ubicación absoluta del dispositivo móvil, como un conjunto de coordenadas geográficas para el dispositivo móvil, y datos de ubicación relativos, como datos que indican una distancia entre el dispositivo móvil 102 y una ubicación geográfica especificada, como una tienda, asociada al sistema 104 de servidor anfitrión. El sistema 104 de servidor anfitrión, el servidor 108 de seguridad de datos o alguna combinación de los mismos puede determinar si los datos de ubicación para el dispositivo móvil 102 son indicativos de fraude. Por ejemplo, si la distancia entre el dispositivo móvil 102 y una ubicación geográfica especificada supera un cierto umbral, es posible que un usuario del dispositivo móvil 102 no esté autorizado a completar la transacción en línea para el entorno informático interactivo. En un ejemplo simplificado, si una promoción solo es válida en una determinada tienda y el dispositivo móvil 102 no está dentro de una distancia umbral de la tienda, se puede impedir que un usuario del dispositivo móvil 102 aproveche la promoción.
Si el sistema 104 de servidor anfitrión determina que la ubicación del dispositivo móvil es indicativa de fraude, el sistema 104 de servidor anfitrión puede comunicar información al servicio 110 de identificación y autenticación indicando el posible fraude. Basándose en la información, el servicio 110 de identificación y autenticación puede determinar que la ubicación del dispositivo móvil no es válida para la transacción en línea. Si el sistema 104 de servidor anfitrión determina que la ubicación del dispositivo móvil no es indicativa de fraude, el sistema 104 de servidor anfitrión puede comunicar información al servicio 110 de identificación y autenticación indicando la ausencia de posible fraude. Basándose en la información, el servicio 110 de identificación y autenticación puede determinar que la ubicación del dispositivo móvil es válida para la transacción en línea.
En aspectos adicionales o alternativos, el servicio 110 de identificación y autenticación puede ejecutar una o más operaciones de detección de fraude para determinar si la ubicación es válida. Por ejemplo, el servicio 110 de identificación y autenticación puede acceder, desde una unidad 112 de almacenamiento conectada a la red u otro medio no transitorio legible por ordenador, a una o más reglas de decisión. En algunos aspectos, las reglas de decisión son proporcionadas por el sistema 104 de servidor anfitrión. Las reglas de decisión pueden indicar que ciertas ubicaciones (absolutas o relativas) de un dispositivo móvil son indicativas de fraude. El servicio 110 de identificación y autenticación puede aplicar una o más de las reglas de decisión y determinar así si la ubicación del dispositivo móvil es indicativa de fraude. Si es así, el servicio 110 de identificación y autenticación puede determinar que la ubicación del dispositivo móvil no es válida para la transacción en línea. Si no, el servicio 110 de identificación y autenticación puede determinar que la ubicación del dispositivo móvil es válida para la transacción en línea.
Si la ubicación es válida, el proceso 500 también implica que el servidor 108 de seguridad de datos transmita los segundos datos de identificación para que los use el segundo dispositivo móvil en la segunda ubicación durante la transacción, como se representa en el bloque 508. El servidor 108 de seguridad de datos puede ejecutar el servicio 110 de identidad y autenticación y, por lo tanto, ejecutar una o más operaciones para transmitir los datos de identificación a un dispositivo informático que ejecuta el entorno informático interactivo 105. En algunos aspectos, el servicio 110 de identidad y autenticación puede configurar un dispositivo de interfaz de red para transmitir una comunicación electrónica adecuada (p. ej., un documento de Lenguaje de Marcado Extensible ("XML"), una página web, un correo electrónico, etc.) a un sistema 104 de servidor anfitrión que ejecuta el entorno informático interactivo 105. En algunos aspectos, el servicio 110 de identidad y autenticación puede configurar un dispositivo de interfaz de red para transmitir una comunicación electrónica adecuada (por ejemplo, un documento de Lenguaje de Marcado Extensible ("XML"), una página web, un correo electrónico, etc.) al dispositivo móvil 102 para su uso por una aplicación 103 de cliente.
El servidor 108 de seguridad de datos puede obtener los datos 118 de identificación para su transmisión de cualquier manera adecuada. Por ejemplo, el servidor 108 de seguridad de datos puede usar el identificador de red de datos para obtener, a través de comunicaciones con un sistema 120 de servidor de proveedor de telecomunicaciones, datos 124 de credenciales asociados al dispositivo móvil 102, como se representa en las FIGS. 2 y 3. El servidor 108 de seguridad de datos puede ejecutar el servicio 110 de identidad y autenticación y, por lo tanto, ejecutar una o más operaciones para recuperar datos de identificación de un archivo de crédito asociado a la credencial. El servidor 108 de seguridad de datos puede recuperar datos 118 de identificación de un registro 114 de datos de usuario relacionando los datos 124 de credenciales recibidos con una o más credenciales 116. Por ejemplo, el servicio 110 de identidad y autenticación puede comparar los datos 124 de credenciales recibidos del sistema 120 de servidor de proveedor de telecomunicaciones con la credencial o credenciales 116 almacenadas en la unidad 112 de almacenamiento conectada a la red. El servicio 110 de identidad y autenticación puede identificar, sobre la base de la comparación, un archivo de crédito asociado u otro registro 114 de datos de usuario que incluye una credencial correspondiente 116. El servicio 110 de identidad y autenticación puede recuperar datos 118 de identificación del archivo de crédito u otro registro 114 de datos de usuario. Los datos 118 de identificación pueden ser utilizables para completar la transacción en línea entre el dispositivo móvil 102 y el sistema 104 de servidor anfitrión.
Si la ubicación no es válida, el proceso 500 también implica evitar que se transmitan datos de identificación al dispositivo móvil en la ubicación durante la transacción, como se representa en el bloque 510. El servidor 108 de seguridad de datos puede ejecutar el servicio 110 de identidad y autenticación y así ejecutar una o más operaciones para implementar el bloque 510. En algunos aspectos, el servidor 108 de seguridad de datos puede pausar o terminar un proceso que daría como resultado los datos de identificación (p. ej., eliminar datos de identificación recuperados de una memoria de acceso aleatorio).
Ejemplo de sistema informático para operaciones de detección de fraude basadas en la ubicación
Puede utilizarse cualquier sistema informático o grupo de sistemas informáticos adecuado para llevar a cabo la detección de fraude, la verificación de identidades y otras operaciones descritas en este documento. Por ejemplo, la FIG. 6 es un diagrama de bloques que representa un ejemplo de un servidor 108 de seguridad de datos, un sistema 104 de servidor anfitrión y un sistema 120 de servidor de proveedor de telecomunicaciones. Estos ejemplos pueden incluir varios dispositivos para implementar varios sistemas y dispositivos representados en la FIG. 1. El servidor 108 de seguridad de datos puede incluir varios dispositivos para ejecutar una o más operaciones de detección de fraude, de verificación de identidades y otras operaciones descritas anteriormente con respecto a las FIGS. 1-5.
El servidor 108 de seguridad de datos, el sistema 104 de servidor anfitrión y el sistema 120 de servidor de proveedor de telecomunicaciones pueden incluir, respectivamente, procesadores 602, 614 y 626. Los procesadores 602, 614 y 626 pueden acoplarse comunicativamente a dispositivos 604, 616 y 628 de memoria, respectivamente. Cada procesador ejecuta código de programa ejecutable por ordenador almacenado en un dispositivo de memoria acoplado comunicativamente, accede a información almacenada en el dispositivo de memoria acoplado comunicativamente, o ambas cosas. El código de programa puede incluir instrucciones ejecutables por máquina que pueden representar un procedimiento, una función, un subprograma, un programa, una rutina, una subrutina, un módulo, un paquete de software, una clase o cualquier combinación de instrucciones, estructuras de datos o sentencias de programa. Un segmento de código puede acoplarse a otro segmento de código o a un circuito de hardware al pasar o recibir información, datos, argumentos, parámetros o contenido de memoria. Se pueden pasar, reenviar o transmitir información, argumentos, parámetros, datos, etc. a través de cualesquiera medios adecuados, incluidos la compartición de memoria, el paso de mensajes, el paso de testigos, la transmisión en red, entre otros.
Los ejemplos de un procesador incluyen un microprocesador, un circuito integrado de aplicación específica, una matriz de puertas programables in situ o cualquier otro dispositivo de procesamiento adecuado. El procesador puede incluir cualquier número de dispositivos de procesamiento.
Cada uno de los dispositivos 604, 616 y 628 de memoria puede incluir cualquier medio no transitorio legible por ordenador, adecuado. El medio legible por ordenador puede incluir cualquier dispositivo de almacenamiento electrónico, óptico, magnético o de otro tipo capaz de proporcionar a un procesador código de programa legible por ordenador u otro código de programa. Los ejemplos no limitativos de un medio legible por ordenador incluyen un disco magnético, un chip de memoria, medios de almacenamiento óptico, una memoria flash, una memoria de clase de almacenamiento, un CD-ROM, un DVD, una ROM, una RAM, un ASIC, cinta magnética u otros medios de almacenamiento magnético, o cualquier otro medio desde el cual un procesador de ordenador pueda leer y ejecutar código de programa. El código de programa puede incluir código de programa específico del procesador, generado por un compilador o un intérprete a partir de código escrito en cualquier lenguaje de programación informático adecuado. Ejemplos de lenguaje de programación adecuados incluyen C, C++, C#, Visual Basic, Java, Python, Perl, JavaScript, ActionScript, etc.
Cada uno del servidor 108 de seguridad de datos, el sistema 104 de servidor anfitrión y el sistema 120 de servidor de proveedor de telecomunicaciones también puede incluir varios dispositivos externos o internos, como dispositivos de entrada o salida. Por ejemplo, el servidor 108 de seguridad de datos, el sistema 104 de servidor anfitrión y el sistema 120 de servidor de proveedor de telecomunicaciones pueden incluir respectivamente los buses 606, 618 y 630. Un bus puede acoplar comunicativamente uno o más componentes de un sistema de servidor dado. El servidor 108 de seguridad de datos, el sistema 104 de servidor anfitrión y el sistema 120 de servidor de proveedor de telecomunicaciones pueden incluir, respectivamente, interfaces 608, 620 y 632 de entrada/salida. Las interfaces 608, 620 y 632 de entrada/salida pueden recibir entradas de dispositivos de entrada o proporcionar salidas a dispositivos de salida.
El servidor 108 de seguridad de datos puede ejecutar código de programa que incluye el servicio 110 de identificación y autenticación. El código de programa para el servicio 110 de identificación y autenticación puede residir en cualquier medio legible por ordenador adecuado y puede ejecutarse en cualquier dispositivo de procesamiento adecuado. Por ejemplo, como se representa en la FIG. 6, el código de programa para el servicio 110 de identificación y autenticación puede residir en el dispositivo 604 de memoria del servidor 108 de seguridad de datos. La ejecución del servicio 110 de identificación y autenticación puede configurar el procesador 602 para ejecutar las operaciones descritas en la presente con respecto a las FIGS. 1-5. En algunos aspectos, los registros 114 de datos de usuario también se pueden almacenar en la memoria 604.
El sistema 104 de servidor anfitrión puede ejecutar código de programa que incluye el entorno informático interactivo 105. El código de programa para el entorno informático interactivo 105 puede residir en cualquier medio legible por ordenador adecuado y puede ejecutarse en cualquier dispositivo de procesamiento adecuado. Por ejemplo, como se representa en la FIG.6, el código de programa para el entorno informático interactivo 105 puede residir en el dispositivo 616 de memoria del sistema 104 de servidor anfitrión. La ejecución del entorno informático interactivo 105 puede configurar el procesador 602 para ejecutar las operaciones descritas aquí con respecto a las FIGS. 1-5.
El sistema 120 de servidor de proveedor de telecomunicaciones puede ejecutar código de programa que incluye la aplicación 126 de autenticación. El código de programa para la aplicación 126 de autenticación puede residir en cualquier medio legible por ordenador adecuado y puede ejecutarse en cualquier dispositivo de procesamiento adecuado. Por ejemplo, como se representa en la FIG.6, el código de programa para la aplicación 126 de autenticación puede residir en el dispositivo 628 de memoria del sistema 120 de servidor de proveedor de telecomunicaciones. La ejecución de la aplicación 126 de autenticación puede configurar el procesador 602 para ejecutar las operaciones descritas aquí con respecto a las FIGS. 1-5. En algunos aspectos, las fuentes 122 de datos también pueden almacenarse en la memoria 604.
En algunos aspectos, el servidor 108 de seguridad de datos, el sistema 104 de servidor anfitrión y el sistema 120 de servidor de proveedor de telecomunicaciones pueden incluir, respectivamente, dispositivos 610, 622 y 634 de interfaz de red. Un dispositivo de interfaz de red puede incluir cualquier dispositivo o grupo de dispositivos adecuado para establecer una conexión de datos por cable o inalámbrica con una o más redes 106 de datos. Los ejemplos no limitativos del dispositivo de interfaz de red incluyen un adaptador de red Ethernet, un módem, etc. Los dispositivos 610, 622 y 634 de interfaz de red pueden incluir respectivamente uno o más puertos 612 de comunicaciones de red, uno o más puertos 624 de comunicaciones de red y uno o más puertos 636 de comunicaciones de red. Se puede usar una dirección u otro identificador de un puerto de comunicaciones de red para comunicaciones con otros diversos dispositivos (por ejemplo, un dispositivo móvil 102, un sistema 104 de servidor anfitrión, etc.).
Consideraciones generales
En este documento se exponen numerosos detalles específicos para proporcionar una comprensión completa de la materia en cuestión reivindicada. Sin embargo, los expertos en la materia comprenderán que la materia en cuestión reivindicada puede llevarse a la práctica sin estos detalles específicos. En otros casos, no se han descrito en detalle métodos, aparatos o sistemas que serían conocidos por alguien con conocimientos habituales para no complicar la materia en cuestión reivindicada.
A menos que se indique específicamente lo contrario, se aprecia que a lo largo de esta especificación términos como "procesar", "computar", "calcular", "determinar" e "identificar" o similares se refieren a acciones o procesos de un dispositivo informático, tal como uno o más ordenadores o un dispositivo o dispositivos informáticos electrónicos similares, que manipulan o transforman datos representados en forma de cantidades físicas electrónicas o magnéticas dentro de memorias, registros u otros dispositivos de almacenamiento de información, dispositivos de transmisión o dispositivos de visualización de la plataforma informática.
El sistema o sistemas descritos aquí no se limitan a ninguna arquitectura o configuración de hardware en particular. Un dispositivo informático puede incluir cualquier disposición adecuada de componentes que proporcione un resultado condicionado a una o más entradas. Los dispositivos informáticos adecuados incluyen sistemas informáticos basados en microprocesadores multipropósito que acceden a software almacenado que programa o configura el sistema informático desde un aparato informático de propósito general hasta un aparato informático especializado que implementa uno o más aspectos de la presente materia en cuestión. En el software que se usará en la programación o configuración de un dispositivo informático se puede utilizar cualquier programación, secuencia de comandos u otro tipo de lenguaje o combinaciones de lenguajes, adecuados, para implementar las enseñanzas contenidas en este documento.
Aspectos de los métodos dados a conocer en el presente documento se pueden materializar con el funcionamiento de dichos dispositivos informáticos. El orden de los bloques presentados en los ejemplos anteriores se puede variar; por ejemplo, los bloques se pueden reordenar, combinar o dividir en subbloques. Ciertos bloques o procesos se pueden realizar en paralelo.
El uso de "adaptado para" o "configurado para" en este documento se entiende como un lenguaje abierto e inclusivo que no excluye dispositivos adaptados o configurados para realizar tareas o pasos adicionales. Además, el uso de "basado en" [traducido también como: “sobre la base de”, “basándose en”] pretende ser abierto e inclusivo, en el sentido de que un proceso, paso, cálculo u otra acción "basado en" una o más condiciones o valores mencionados puede basarse, en la práctica, en condiciones o valores adicionales más allá de los mencionados. Los encabezados, las listas y la numeración incluidos en este documento son solo para facilitar la explicación y no pretenden ser limitativos.

Claims (1)

  1. REIVINDICACIONES
    1. Un sistema que comprende:
    un servidor (120) de proveedor de telecomunicaciones configurado para detectar una ubicación de un dispositivo móvil (102);
    un servidor anfitrión (104) configurado para efectuar, con el dispositivo móvil (102), una transacción electrónica dentro de un entorno informático interactivo accesible a través de una red (106) de datos; y
    un sistema (101) de identificación y autenticación acoplado comunicativamente al servidor anfitrión (104) a través de un primer canal de comunicación y al servidor (120) de proveedor de telecomunicaciones a través de un segundo canal de comunicación que está fuera de banda con respecto al primer canal de comunicación, en el que el sistema (101) de identificación y autenticación está configurado para:
    obtener (402), a través del primer canal de comunicación, un identificador de red de datos que identifica el dispositivo móvil (102),
    generar (404), sobre la base de comunicaciones con el servidor (120) de proveedor de telecomunicaciones a través del segundo canal de comunicación, un elemento dinámico de verificación de identidad que comprende el identificador de red de datos y un identificador de ubicación que identifica una ubicación geográfica del dispositivo móvil,
    calcular (406), a partir del elemento dinámico de verificación de identidad, un indicador de uso no autorizado del servidor anfitrión (104) por parte del dispositivo móvil (102); y
    transmitir automáticamente una señal de control al servidor anfitrión (104),
    en el que el servidor anfitrión (104) está configurado además para evitar (408), en respuesta a la señal de control, que el dispositivo móvil (102) acceda a una función para hacer avanzar la transacción electrónica dentro del entorno informático interactivo;
    caracterizado por que calcular el indicador del uso no autorizado comprende:
    configurar un dispositivo de interfaz de red para transmitir, al servidor anfitrión (104), una solicitud (212) de validación que tiene el identificador de ubicación;
    en donde la solicitud (212) de validación comprende coordenadas del dispositivo móvil (102), una distancia entre el dispositivo móvil (102) y una ubicación asociada al servidor anfitrión (104), o alguna combinación de las mismas; y determinar, a partir de una respuesta (214) a la solicitud de validación, que la ubicación del dispositivo móvil no es válida.
    2. El sistema de la reivindicación 1, en el que el servidor de proveedor de telecomunicaciones está configurado además para:
    detectar la ubicación del dispositivo móvil utilizando un punto de acceso de la red de datos gestionada por el servidor de proveedor de telecomunicaciones; y
    transmitir, al sistema de identificación y autenticación, datos de ubicación que identifican la ubicación detectada, en el que el sistema de identificación y autenticación está configurado para generar el elemento dinámico de verificación de identidad obteniendo el identificador de ubicación a partir de los datos de ubicación y combinando el identificador de red de datos y el identificador de ubicación en el elemento dinámico de verificación de identidad. 3. El sistema de la reivindicación 1, que comprende además relacionar el elemento dinámico de verificación de identidad con la combinación de dispositivo y ubicación que indica el uso no autorizado del servidor anfitrión por parte del dispositivo móvil, en el que relacionar comprende:
    acceder a datos que identifican un conjunto de ubicaciones válidas para el dispositivo móvil; y
    determinar que el conjunto de ubicaciones válidas carece de la ubicación indicada por el identificador de ubicación en el elemento dinámico de verificación de identidad.
    4. El sistema de la reivindicación 3, en el que el sistema de identificación y autenticación está configurado además para:
    obtener, a través del primer canal de comunicación con el servidor anfitrión, un identificador de red de datos adicional que identifica un dispositivo móvil adicional que accede al entorno informático interactivo;
    generar, a partir de comunicaciones con el servidor de proveedor de telecomunicaciones a través del segundo canal de comunicación, un elemento de verificación de identidad dinámico adicional que comprende el identificador de red de datos adicional y un identificador de ubicación adicional que identifica una ubicación geográfica del dispositivo móvil adicional;
    relacionar el elemento dinámico de verificación de identidad adicional con una combinación adicional de dispositivo y ubicación que indica el uso autorizado del servidor anfitrión por parte del dispositivo móvil adicional;
    recuperar información de identificación necesaria para hacer avanzar una transacción electrónica adicional dentro del entorno informático interactivo; y
    transmitir la información de identificación a uno o más del dispositivo móvil adicional o el servidor anfitrión, en donde la transmisión de la información de identificación hace que el servidor anfitrión proporcione al dispositivo móvil adicional acceso a la función para hacer avanzar una transacción electrónica adicional.
    5. Un método en el que uno o más dispositivos de procesamiento de un sistema (101) de identificación y autenticación ejecutan operaciones que comprenden:
    obtener (402), a través de un primer canal de comunicación con un servidor anfitrión (104), un identificador de red de datos que identifica un dispositivo móvil (102) que accede a un entorno informático interactivo proporcionado por el servidor anfitrión;
    generar (404), a partir de comunicaciones con un servidor (120) de proveedor de telecomunicaciones a través de un segundo canal de comunicación que está fuera de banda con respecto al primer canal de comunicación, un elemento dinámico de verificación de identidad que comprende el identificador de red de datos y un identificador de ubicación que identifica una ubicación geográfica del dispositivo móvil;
    calcular (406), a partir del elemento dinámico de verificación de identidad, un indicador de uso no autorizado del servidor anfitrión por parte del dispositivo móvil; y
    evitar (408) que el dispositivo móvil (102) acceda a una función para hacer avanzar una transacción electrónica dentro del entorno informático interactivo;
    caracterizado por que calcular el indicador del uso no autorizado comprende:
    configurar un dispositivo de interfaz de red para transmitir, al servidor anfitrión, una solicitud (212) de validación que tiene el identificador de ubicación;
    en donde la solicitud (212) de validación comprende coordenadas del dispositivo móvil (102), una distancia entre el dispositivo móvil (102) y una ubicación asociada al servidor anfitrión (104), o alguna combinación de las mismas; y determinar, a partir de una respuesta (214) a la solicitud de validación, que la ubicación del dispositivo móvil no es válida.
    6. El método de la reivindicación 5, en el que evitar que el dispositivo móvil acceda a la función comprende evitar que se transmitan al dispositivo móvil datos de identificación que se requieren para acceder a la función; o en el que evitar que el dispositivo móvil acceda a la función comprende transmitir automáticamente una señal de control al servidor anfitrión que hace que el servidor anfitrión evite que el dispositivo móvil acceda a la función.
    7. El método de la reivindicación 5, que comprende además relacionar el elemento dinámico de verificación de identidad con la combinación de dispositivo y ubicación que indica el uso no autorizado del servidor anfitrión por parte del dispositivo móvil, en el que relacionar comprende:
    acceder a datos que identifican un conjunto de ubicaciones válidas para el dispositivo móvil; y
    determinar que el conjunto de ubicaciones válidas carece de la ubicación indicada por el identificador de ubicación en el elemento dinámico de verificación de identidad.
    8. El método de la reivindicación 7, comprendiendo además las operaciones:
    obtener, a través del primer canal de comunicación con el servidor anfitrión, un identificador de red de datos adicional que identifica un dispositivo móvil adicional que accede al entorno informático interactivo;
    generar, a partir de comunicaciones con el servidor de proveedor de telecomunicaciones a través del segundo canal de comunicación, un elemento de verificación de identidad dinámico adicional que comprende el identificador de red de datos adicional y un identificador de ubicación adicional que identifica una ubicación geográfica del dispositivo móvil adicional;
    relacionar el elemento de verificación de identidad dinámico adicional con una combinación adicional de dispositivo y ubicación que indica el uso autorizado del servidor anfitrión por parte del dispositivo móvil adicional;
    recuperar información de identificación necesaria para hacer avanzar una transacción electrónica adicional dentro del entorno informático interactivo; y
    transmitir la información de identificación a uno o más del dispositivo móvil adicional o el servidor anfitrión, en donde la transmisión de la información de identificación hace que el servidor anfitrión proporcione al dispositivo móvil adicional acceso a la función para hacer avanzar una transacción electrónica adicional.
    9. Un sistema (101) de identificación y autenticación que comprende:
    un dispositivo (610) de interfaz de red acoplado comunicativamente a un servidor anfitrión (104) a través de un primer canal de comunicación y a un servidor (120) de proveedor de telecomunicaciones a través de un segundo canal de comunicación que está fuera de banda con respecto al primer canal de comunicación;
    un medio no transitorio legible por ordenador que almacena instrucciones; y
    un dispositivo (602) de procesamiento acoplado comunicativamente al dispositivo (610) de interfaz de red y al medio no transitorio legible por ordenador,
    en el que el dispositivo (602) de procesamiento está configurado para ejecutar las instrucciones y, por lo tanto, ejecutar operaciones que comprenden:
    obtener (402), a través del primer canal de comunicación, un identificador de red de datos que identifica un dispositivo móvil (102) que accede a un entorno informático interactivo proporcionado por el servidor anfitrión (104), generar (404), a partir de comunicaciones con un servidor (120) de proveedor de telecomunicaciones a través de un segundo canal de comunicación que está fuera de banda con respecto al primer canal de comunicación, un elemento dinámico de verificación de identidad que comprende el identificador de red de datos y un identificador de ubicación que identifica una ubicación geográfica del dispositivo móvil (102) durante una transacción electrónica,
    calcular (406), a partir del elemento dinámico de verificación de identidad, un indicador de uso no autorizado del servidor anfitrión (104) por parte del dispositivo móvil, y
    evitar (408) que el dispositivo móvil (102) acceda a una función para hacer avanzar una transacción electrónica dentro del entorno informático interactivo;
    caracterizado por que calcular el indicador del uso no autorizado comprende:
    configurar el dispositivo de interfaz de red para transmitir, al servidor anfitrión (104), una solicitud (212) de validación que tiene el identificador de ubicación;
    en donde la solicitud (212) de validación comprende coordenadas del dispositivo móvil (102), una distancia entre el dispositivo móvil (102) y una ubicación asociada al servidor anfitrión (104), o alguna combinación de las mismas; y determinar, a partir de una respuesta (214) a la solicitud de validación, que la ubicación del dispositivo móvil no es válida.
    10. El sistema de identificación y autenticación de la reivindicación 9, en el que evitar que el dispositivo móvil acceda a la función comprende configurar el dispositivo de interfaz de red para transmitir, al servidor anfitrión, una señal de control configurada para hacer que el servidor anfitrión evite que el dispositivo móvil acceda la función.
    11. El sistema de identificación y autenticación de la reivindicación 10, en el que calcular el indicador del uso no autorizado comprende: relacionar el elemento dinámico de verificación de identidad con una combinación de dispositivo y ubicación que indica el uso no autorizado, en el que relacionar comprende:
    acceder a datos que identifican un conjunto de ubicaciones válidas para el dispositivo móvil; y
    determinar que el conjunto de ubicaciones válidas carece de la ubicación indicada por el identificador de ubicación en el elemento dinámico de verificación de identidad.
    12. Sistema de identificación y autenticación de la reivindicación 9, en el que evitar que el dispositivo móvil acceda a la función comprende, basándose en la determinación de que la ubicación del dispositivo móvil no es válida, evitar que se transmitan al dispositivo móvil datos de identificación que son necesarios para acceder a la función.
ES18784109T 2017-04-13 2018-04-13 Detección basada en la ubicación del uso no autorizado de funciones de un entorno informático interactivo Active ES2926451T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201762485037P 2017-04-13 2017-04-13
PCT/US2018/027518 WO2018191638A1 (en) 2017-04-13 2018-04-13 Location-based detection of unauthorized use of interactive computing environment functions

Publications (1)

Publication Number Publication Date
ES2926451T3 true ES2926451T3 (es) 2022-10-26

Family

ID=63792884

Family Applications (1)

Application Number Title Priority Date Filing Date
ES18784109T Active ES2926451T3 (es) 2017-04-13 2018-04-13 Detección basada en la ubicación del uso no autorizado de funciones de un entorno informático interactivo

Country Status (6)

Country Link
US (1) US11463450B2 (es)
EP (1) EP3610622B1 (es)
AU (1) AU2018253294B2 (es)
CA (1) CA3059371A1 (es)
ES (1) ES2926451T3 (es)
WO (1) WO2018191638A1 (es)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8312033B1 (en) 2008-06-26 2012-11-13 Experian Marketing Solutions, Inc. Systems and methods for providing an integrated identifier
US9607336B1 (en) 2011-06-16 2017-03-28 Consumerinfo.Com, Inc. Providing credit inquiry alerts
US9633322B1 (en) 2013-03-15 2017-04-25 Consumerinfo.Com, Inc. Adjustment of knowledge-based authentication
US10664936B2 (en) 2013-03-15 2020-05-26 Csidentity Corporation Authentication systems and methods for on-demand products
US9721147B1 (en) 2013-05-23 2017-08-01 Consumerinfo.Com, Inc. Digital identity
US10373240B1 (en) 2014-04-25 2019-08-06 Csidentity Corporation Systems, methods and computer-program products for eligibility verification
US10911234B2 (en) 2018-06-22 2021-02-02 Experian Information Solutions, Inc. System and method for a token gateway environment
FR3120130B1 (fr) * 2021-02-22 2023-03-24 Marbeuf Conseil Et Rech Procédé de certification de la géolocalisation d’un récepteur
FR3120134A1 (fr) * 2021-02-22 2022-08-26 Marbeuf Conseil Et Recherche Procédé de géolocalisation d’un récepteur
GB202114024D0 (en) * 2021-09-30 2021-11-17 British Telecomm Data access control

Family Cites Families (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5960411A (en) 1997-09-12 1999-09-28 Amazon.Com, Inc. Method and system for placing a purchase order via a communications network
US6944669B1 (en) 1999-10-22 2005-09-13 America Online, Inc. Sharing the personal information of a network user with the resources accessed by that network user
US8121941B2 (en) 2000-03-07 2012-02-21 American Express Travel Related Services Company, Inc. System and method for automatic reconciliation of transaction account spend
US6789189B2 (en) 2000-08-04 2004-09-07 First Data Corporation Managing account database in ABDS system
US7870599B2 (en) 2000-09-05 2011-01-11 Netlabs.Com, Inc. Multichannel device utilizing a centralized out-of-band authentication system (COBAS)
US7292996B2 (en) 2000-10-06 2007-11-06 Openwave Systems Inc. Method and apparatus for performing a credit based transaction between a user of a wireless communications device and a provider of a product or service
FR2826811B1 (fr) 2001-06-27 2003-11-07 France Telecom Procede d'authentification cryptographique
US7080049B2 (en) 2001-09-21 2006-07-18 Paymentone Corporation Method and system for processing a transaction
US20040006535A1 (en) 2002-06-27 2004-01-08 Forbes Joseph W. Wireless demand validation system
US8233934B2 (en) 2002-10-01 2012-07-31 Nokia Corporation Method and system for providing access via a first network to a service of a second network
CA2413340C (en) 2002-11-29 2009-10-13 Research In Motion Limited System and method for conducting an electronic commercial transaction
US20040122684A1 (en) 2002-12-18 2004-06-24 Nokia Corp. Method and apparatus for a call cost indicator
US7434044B2 (en) 2003-02-26 2008-10-07 Cisco Technology, Inc. Fast re-authentication with dynamic credentials
CA2426236A1 (en) 2003-04-22 2004-10-22 Daniel Bartozzi Wireless gaming system
US20040230534A1 (en) 2003-05-12 2004-11-18 Digital Matrix Systems, Inc. Encrypted credit application processing system and method
US20060233332A1 (en) 2005-03-24 2006-10-19 Toms Alvin D Credit worthiness rating method
US7849020B2 (en) 2005-04-19 2010-12-07 Microsoft Corporation Method and apparatus for network transactions
JP2008541206A (ja) 2005-04-19 2008-11-20 マイクロソフト コーポレーション ネットワーク商取引
US8996423B2 (en) 2005-04-19 2015-03-31 Microsoft Corporation Authentication for a commercial transaction using a mobile module
US8934865B2 (en) 2006-02-02 2015-01-13 Alcatel Lucent Authentication and verification services for third party vendors using mobile devices
WO2007106786A2 (en) 2006-03-10 2007-09-20 Vantagescore Solutions, Llc Methods and systems for multi-credit reporting agency data modeling
US20070265928A1 (en) 2006-03-23 2007-11-15 Carsten Fuchs Credit rating checking in sales order processing
US20070255662A1 (en) 2006-03-30 2007-11-01 Obopay Inc. Authenticating Wireless Person-to-Person Money Transfers
WO2007121474A2 (en) 2006-04-18 2007-10-25 James Shaw-Han Kuo System and method for secure online transaction
US8254891B2 (en) 2006-06-23 2012-08-28 Microsoft Corporation Initiating contact using protected contact data in an electronic directory
US8045956B2 (en) 2007-01-05 2011-10-25 Macronix International Co., Ltd. System and method of managing contactless payment transactions using a mobile communication device as a stored value device
US9922323B2 (en) 2007-03-16 2018-03-20 Visa International Service Association System and method for automated analysis comparing a wireless device location with another geographic location
US8060074B2 (en) 2007-07-30 2011-11-15 Mobile Iron, Inc. Virtual instance architecture for mobile device management systems
US20090216591A1 (en) 2008-02-22 2009-08-27 Cunexus Method for computer evaluation of customer information and automatically providing customized financial product offers thereto
WO2009134817A1 (en) 2008-04-28 2009-11-05 Strands, Inc. Method for providing personalized recommendations of financial products based on user data
US20090300097A1 (en) 2008-05-29 2009-12-03 Ebay Inc. Systems and methods for facilitating clientless form-filling over a network
JP5632380B2 (ja) 2008-10-13 2014-11-26 デバイススケープ・ソフトウェア・インコーポレーテッド ネットワークを識別するためのシステム及び方法
US8245044B2 (en) 2008-11-14 2012-08-14 Visa International Service Association Payment transaction processing using out of band authentication
US8510811B2 (en) 2009-02-03 2013-08-13 InBay Technologies, Inc. Network transaction verification and authentication
AP2015008527A0 (en) 2009-02-14 2015-06-30 Net2Text Ltd Secure payment and billing method using mobile phone number or account
US8590022B2 (en) 2009-02-26 2013-11-19 Blackberry Limited Authentication using a wireless mobile communication device
US9112857B2 (en) 2009-10-23 2015-08-18 Apriva, Llc System and device for facilitating a wireless transaction by consolidating SIM, personal token, and associated applications
US20110238580A1 (en) 2009-10-23 2011-09-29 Apriva, Llc System and device for consolidating sim, personal token, and associated applications for secure transmission of sensitive data
US20110270751A1 (en) 2009-12-14 2011-11-03 Andrew Csinger Electronic commerce system and system and method for establishing a trusted session
WO2011126911A1 (en) 2010-03-30 2011-10-13 Authentic8, Inc Disposable browsers and authentication techniques for a secure online user environment
KR101318958B1 (ko) 2010-05-06 2013-10-29 (주)시루정보 전자결제 서비스 방법과, 이를 실행하는 전자결제 서비스 장치, 이동통신 단말기 및 거래 단말기
EP2577544A1 (en) * 2010-05-27 2013-04-10 TeleCommunication Systems, Inc. Location based security token
WO2011163525A1 (en) 2010-06-23 2011-12-29 Obopay, Inc. Mobile networked payment system
US8566233B2 (en) * 2010-07-29 2013-10-22 Intel Corporation Device, system, and method for location-based payment authorization
US9596237B2 (en) 2010-12-14 2017-03-14 Salt Technology, Inc. System and method for initiating transactions on a mobile device
US20120203695A1 (en) 2011-02-09 2012-08-09 American Express Travel Related Services Company, Inc. Systems and methods for facilitating secure transactions
IT1404167B1 (it) 2011-02-10 2013-11-15 Eureka S A Pagamento elettronico automatico attraverso terminali mobili.
BR112013021059A2 (pt) 2011-02-16 2020-10-27 Visa International Service Association sistemas, métodos e aparelhos de pagamento móvel por snap
US20130024371A1 (en) 2011-02-22 2013-01-24 Prakash Hariramani Electronic offer optimization and redemption apparatuses, methods and systems
US8763097B2 (en) 2011-03-11 2014-06-24 Piyush Bhatnagar System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
US8880886B2 (en) 2011-05-26 2014-11-04 First Data Corporation Systems and methods for authenticating mobile devices
CN103797500A (zh) 2011-06-03 2014-05-14 维萨国际服务协会 虚拟钱包卡选择装置、方法及系统
US20120331532A1 (en) 2011-06-22 2012-12-27 TerraWi, Inc. Device-agnostic mobile device thin client computing methods and apparatus
US9710807B2 (en) 2011-08-18 2017-07-18 Visa International Service Association Third-party value added wallet features and interfaces apparatuses, methods and systems
US20130046692A1 (en) 2011-08-19 2013-02-21 Bank Of America Corporation Fraud protection with user location verification
WO2013110084A1 (en) 2012-01-19 2013-07-25 Mastercard International Incorporated System and method to enable a network of digital wallets
US9767453B2 (en) 2012-02-23 2017-09-19 XRomb Inc. System and method for processing payment during an electronic commerce transaction
US9619852B2 (en) 2012-04-17 2017-04-11 Zighra Inc. Context-dependent authentication system, method and device
EP2815365A4 (en) 2012-05-04 2015-11-18 Mastercard International Inc PLATFORM TRANSFORMING CONVERGED ELECTRONIC WALLET
WO2013181151A2 (en) * 2012-05-26 2013-12-05 Finsphere Corporation System and method for automated analysis comparing a wireless device location with another geographic location
US20140109171A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Providing Virtualized Private Network tunnels
US20140122226A1 (en) 2012-10-25 2014-05-01 Microsoft Corporation Hybrid advertising supported and user-owned content presentation
US20140136346A1 (en) 2012-11-13 2014-05-15 Chirpify, Inc. System and methods for processing in-stream transactions on micro-blogs and other social networks
US9355231B2 (en) * 2012-12-05 2016-05-31 Telesign Corporation Frictionless multi-factor authentication system and method
US20140258136A1 (en) 2013-03-07 2014-09-11 Gregory Duane Ellis Method for improving security of online transactions
US9203820B2 (en) 2013-03-15 2015-12-01 Airwatch Llc Application program as key for authorizing access to resources
US20140279523A1 (en) 2013-03-15 2014-09-18 Joe M. Lynam System and Method for Authenticating Payment Transactions
CN105612543B (zh) 2013-08-08 2022-05-27 维萨国际服务协会 用于为移动设备供应支付凭证的方法和系统
AU2014334713A1 (en) 2013-10-14 2016-05-19 Equifax Inc. Providing identification information to mobile commerce applications
US10489772B2 (en) * 2013-11-27 2019-11-26 At&T Intellectual Property I, L.P. Out-of-band device verification of transactions
US20180204234A1 (en) 2017-01-18 2018-07-19 Amdocs Development Limited System, method, and computer program for calculating a cost-of-ownership for virtual network functions (vnfs) in a network function virtualization (nfv) based communication network
US10362010B2 (en) 2014-05-29 2019-07-23 Apple Inc. Management of credentials on an electronic device using an online resource
AU2016233226A1 (en) * 2015-03-17 2017-08-24 Visa International Service Association Multi-device transaction verification
US20160300231A1 (en) 2015-04-10 2016-10-13 Abine, Inc. Push notification authentication platform for secured form filling
US11107071B2 (en) 2016-02-01 2021-08-31 Apple Inc. Validating online access to secure device functionality
AU2018291152B2 (en) 2017-06-29 2021-11-11 Equifax, Inc. Third-party authorization support for interactive computing environment functions
US10939295B1 (en) 2018-08-21 2021-03-02 HYPR Corp. Secure mobile initiated authentications to web-services
US11153285B2 (en) 2018-11-07 2021-10-19 Citrix Systems, Inc. Systems and methods for application pre-launch

Also Published As

Publication number Publication date
US20210282018A1 (en) 2021-09-09
EP3610622A4 (en) 2020-12-02
EP3610622A1 (en) 2020-02-19
US11463450B2 (en) 2022-10-04
EP3610622B1 (en) 2022-07-13
WO2018191638A1 (en) 2018-10-18
CA3059371A1 (en) 2018-04-13
AU2018253294A1 (en) 2019-10-31
AU2018253294B2 (en) 2022-09-15

Similar Documents

Publication Publication Date Title
ES2926451T3 (es) Detección basada en la ubicación del uso no autorizado de funciones de un entorno informático interactivo
ES2920124T3 (es) Soporte de autorización de terceros para funciones del entorno informático interactivo
US11962590B2 (en) Confirming authenticity of a user to a third-party system
US11762975B2 (en) Verification of access to secured electronic resources
US11102190B2 (en) Method and system for blockchain based cyber protection of network entities
TWI635412B (zh) Method, device and system for verifying user identity by using social relationship data
KR101989450B1 (ko) 블록체인 기반의 공개 분산 데이터베이스에서 데이터에 대한 보안을 유지하는 방법 및 이를 이용한 블록체인 관리 서버
US11449630B2 (en) Embedded third-party application programming interface to prevent transmission of sensitive data
US9578004B2 (en) Authentication of API-based endpoints
CN107547494A (zh) 用于安全在线认证的系统和方法
US9332432B2 (en) Methods and system for device authentication
Yasin et al. Enhancing anti-phishing by a robust multi-level authentication technique (EARMAT).
TWI472189B (zh) 網路監控系統及管理金鑰的方法
Rivers et al. A Study on Cyber Attacks and Vulnerabilities in Mobile Payment Applications
Foltz et al. Secure Endpoint Device Agent Architecture.
CN117857071A (zh) 使用钱包卡的密码验证
Moawad et al. New Mobile Digital Signature Solution Based on Micro SD