Intercambio de dispositivos

La función "Device Swap" está diseñada para proporcionar información en tiempo real sobre si una tarjeta SIM asociada al número de teléfono de un usuario se ha transferido a un dispositivo físico diferente. Mejora la seguridad, la detección del fraude y el cumplimiento de la normativa al ofrecer información clara y estructurada sobre los eventos de intercambio de dispositivos.

El fraude por intercambio de dispositivos consiste en que un atacante se hace con el control de la tarjeta SIM de la víctima y, por tanto, de su número de teléfono móvil, lo que le permite potencialmente:

Robo de identidad: Los atacantes pueden utilizar el intercambio de dispositivos para suplantar la identidad de la víctima y hacerse con el control de su número de teléfono.
Account takeover: Muchas cuentas en línea, incluidas las de correo electrónico, redes sociales y cuentas financieras, utilizan números de teléfono para la autenticación de dos factores (2FA) o la recuperación de cuentas. Al hacerse con el control de la tarjeta SIM de la víctima en su propio dispositivo, los atacantes pueden interceptar los códigos de autenticación enviados por SMS y obtener acceso no autorizado a las cuentas de la víctima.
Fraude financiero: Una vez que los atacantes acceden a las cuentas de la víctima, pueden llevar a cabo diversas formas de fraude financiero, como transferir fondos, realizar compras no autorizadas o pedir préstamos en su nombre.
Violación de la intimidad: Los atacantes pueden acceder a comunicaciones personales, contactos y otra información sensible almacenada en los dispositivos o cuentas de la víctima.

Uno de los principales objetivos de la información sobre Device Swap es proporcionar una evaluación del riesgo de fraude mediante la identificación de eventos de Device Swap. La integración de Device Swap puede complementar varios escenarios, entre ellos:

Añadir un factor de riesgo a un individuo
Refuerzo de los métodos tradicionales de 2FA a partir de los últimos sucesos denunciados por Device Swap
Control de las actividades fraudulentas en los números de teléfono de los clientes
El cumplimiento de la normativa puede exigir comprobaciones de Device Swap

Requisitos previos

Para utilizar Identity Insights, debe asegurarse de que su Account está configurado correctamente; consulte la sección Primeros pasos para obtener más información:

Crear una Account,
Creación de una aplicación de Vonage para su uso con la API Identity Insights,
Los diferentes entornos disponibles y cómo configurar su Account para utilizarlos,
Y cómo utilizar la interfaz de usuario de inicio del panel de control para utilizar la API sin escribir ningún código.

Esta guía explicará cómo utilizar Device Swap Insight mediante programación utilizando cURL.

La API Identity Insights está disponible a través de varios puntos finales regionales. Los ejemplos de esta guía utilizan el punto final de la UE, pero puede consultar la lista completa en Detalles técnicos.

Realizar una llamada a la API

La autenticación para la API Identity Insights se realiza mediante JWT, un token JSON compacto y autocontenido. Para generar un JWT, puede utilizar nuestra herramienta generador en líneao, alternativamente, utilice el botón CLI de Vonage. Necesitará su ID de aplicación y su clave privada para generar el JWT. Una vez que tenga su JWT, puede enviar una solicitud a la API.

Este ejemplo muestra una solicitud cURL para que Device Swap insight compruebe si se ha producido un intercambio de dispositivos en las últimas 240 horas; esto se define mediante el parámetro period que puede ajustarse entre 1 y 2400 horas:

curl -X POST https://api-eu.vonage.com/identity-insights/v1/requests  \
  -H "Authorization: Bearer $JWT" \
  -H "Content-Type: application/json" \
  -d '{
    "phone_number": "14040000000",
    "purpose": "FraudPreventionAndDetection",
    "insights": {
        "device_swap": {
         "period": 240
          }
        }
    }'

A continuación, la API comparará el dispositivo asociado al usuario del teléfono móvil con el que figura en los registros del operador del usuario del teléfono móvil, y devolverá información sobre si se ha producido un intercambio de dispositivos en el periodo especificado y cuándo:

{
  "request_id": "c2cc7a65-9b10-493f-9c0a-1c86751a91c4",
  "insights": {
    "device_swap": {
        "latest_device_swap_at": "2024-07-08T09:30:27.504Z",
        "is_swapped": true,
        "status": {
          "code": "OK",
          "message": "Success"
        }
    }
  }
}

Verá los siguientes campos en device_swap objeto:

Campo	Descripción
`latest_device_swap_at`	Fecha y hora en UTC ISO 8601 del último intercambio de dispositivos realizado.
`is_swapped`	Indica si la tarjeta SIM ha intercambiado dispositivos durante el `period` proporcionado.
`status`	Indica el estado de la información devuelta para el número de teléfono especificado.
`code`	Código que indica el estado de la solicitud. Debe ser uno de los siguientes: `NO_COVERAGE`: El país o la red móvil no son compatibles con los proveedores disponibles. `INVALID_PURPOSE`: El propósito utilizado no es válido o no está permitido para este Insight. `UNAUTHORIZED`: No se ha podido autorizar la solicitud para la combinación de solicitud, proveedor y número de teléfono. `INTERNAL_ERROR`: Se ha producido un error interno al procesar la solicitud. `SUPPLIER_ERROR`: El proveedor ha devuelto un error al procesar la solicitud. `NOT_FOUND`: No se ha podido encontrar el número de teléfono para este Insight. `INVALID_NUMBER_FORMAT`: El formato de número de teléfono no es válido para que las operadoras lo asignen a los usuarios. `OK`: La entrada se ha procesado correctamente.
`message`	Descripción más detallada del estado.

Lecturas complementarias

Más información sobre la API Identity Insights en el Referencia API.
Si tiene alguna pregunta, puede ponerse en contacto con nosotros en el Comunidad de Vonage Slack.