Los sitios web fraudulentos relacionados con compras en línea , venta de mascotas y otras estafas de comercio electrónico siguen causando pérdidas millonarias cada año. Las herramientas de seguridad pueden detectar con precisión los sitios fraudulentos una vez detectados, pero identificar nuevos sitios sigue siendo difícil.
Para cerrar esa brecha, investigadores de la Universidad de Boston crearon LOKI, un sistema que clasifica las consultas de búsqueda según su probabilidad de revelar estafas. Utilizando un pequeño conjunto inicial de 1663 dominios fraudulentos confirmados, LOKI descubrió 52 493 sitios web fraudulentos previamente desconocidos y logró una mejora de 20,58 veces en la detección en diez categorías de estafas.
La idea central: Medir la toxicidad
LOKI parte de una simple observación: algunas frases de búsqueda muestran constantemente sitios web fraudulentos. Cuando alguien escribe » duplica mi bitcoin rápidamente» , los resultados suelen incluir páginas de inversión falsas. Una frase más segura, como » cómo comprar bitcoin de forma segura», genera principalmente guías legítimas. Esta diferencia se puede medir.
Los investigadores denominan a esta medida toxicidad de la consulta, la proporción de sitios web fraudulentos entre todos los resultados de un término de búsqueda. Si una consulta devuelve seis sitios fraudulentos de un total de veinte, su toxicidad es de 0,3. Cuanto mayor sea el valor, mayor será la probabilidad de que la consulta lleve al usuario a una sección fraudulenta de la web.
La toxicidad vincula el lenguaje humano con el panorama de estafas indexadas por los motores de búsqueda. Para medirla es necesario saber qué resultados son fraudulentos, y ahí es donde entra en juego el clasificador de LOKI, el oráculo. El oráculo etiqueta los sitios web como fraudulentos o legítimos mediante un amplio conjunto de características de dominio y contenido.
Una vez que se conocen las puntuaciones de toxicidad de muchas consultas de ejemplo, comienza la tarea más difícil: predecir la toxicidad de nuevos términos de búsqueda que nunca se han probado. Hacerlo manualmente implicaría generar todas las consultas posibles y etiquetar cada sitio, lo cual no es práctico. LOKI reemplaza este esfuerzo con un modelo de aprendizaje automático que aprende la relación entre la redacción de una consulta y su probabilidad de generar estafas.
Construyendo el universo de palabras clave
Con un clasificador confiable, los investigadores analizaron el lenguaje de las estafas. Recopilaron alrededor de 1,5 millones de sugerencias de palabras clave mediante la API del Planificador de Palabras Clave de Google Ads, que lista términos de búsqueda extraídos de datos publicitarios. Para cada dominio fraudulento conocido, el sistema solicitó palabras clave relacionadas.
Este método generó consultas de búsqueda realistas basadas en el comportamiento del usuario. El equipo filtró los términos de marca porque suelen mostrar sitios web legítimos de alta autoridad.
Para estudiar cómo los motores de búsqueda gestionan estas palabras clave, utilizaron la API DataForSEO para recopilar resultados de Google, Bing, Baidu y Naver. Estas páginas de resultados se convirtieron en los datos de entrenamiento para el proceso de aprendizaje del modelo.
Por qué los métodos antiguos son insuficientes
Antes de desarrollar su modelo, el equipo probó técnicas de muestreo de palabras clave más antiguas agrupadas por nivel de competencia, intención y modificadores lingüísticos.
Los resultados fueron inconsistentes. Las palabras clave y frases con baja competencia y fuerte intención de compra mostraron una toxicidad ligeramente mayor, pero ningún método funcionó en todas las categorías de estafa. Los modificadores que expusieron estafas de criptomonedas fallaron en las estafas de mascotas o médicas.
Las reglas manuales de palabras clave no se adaptaban a los nuevos tipos de estafa. El nuevo enfoque se diseñó para aprender estos patrones directamente de los datos, en lugar de depender de listas fijas.
Cómo aprende LOKI
El sistema predice la toxicidad de una consulta de búsqueda sin emitirla en tiempo real. Para ello, utiliza un método denominado Aprendizaje Bajo Información Privilegiada (LUPI).
En esta configuración, el modelo cuenta con contexto adicional durante el entrenamiento, como fragmentos y descripciones devueltos por los motores de búsqueda, pero en uso solo ve el texto de una consulta. Este contexto adicional se considera privilegiado porque ayuda al modelo a comprender la relación entre una consulta y la naturaleza de sus resultados.
El marco utiliza dos componentes: un profesor y un estudiante. El profesor ve tanto la consulta de búsqueda como los resultados relacionados, y aprende cómo estas características se relacionan con la toxicidad. El estudiante solo ve el texto de la consulta y aprende a predecir la toxicidad imitando la información del profesor.
Ambos componentes se basan en DistilBERT, un modelo de lenguaje transformador utilizado para la comprensión de textos. El profesor se entrena primero con pares de consultas y resultados de búsqueda etiquetados con puntuaciones de toxicidad. Posteriormente, el estudiante sintetiza ese conocimiento, alineando sus características y predicciones con las del profesor.
Esta configuración permite al estudiante predecir la toxicidad utilizando solo la entrada de texto, evitando la necesidad de consultas API constantes que ralentizarían el descubrimiento.
Pruebas y resultados
El equipo probó LOKI utilizando una configuración de validación cruzada que se entrenó en cuatro categorías de estafa y se probó en una quinta, lo que lo obligó a generalizarse a nuevos tipos.
En comparación con los modelos de referencia y la heurística de palabras clave, LOKI produjo consistentemente predicciones de toxicidad más altas y descubrió muchos más sitios fraudulentos. Tanto la versión para profesores como la para estudiantes tuvieron un buen rendimiento; el estudiante a menudo se acercó a la precisión del profesor sin necesidad de datos de resultados de búsqueda para la inferencia.
El desempeño fue sólido en todas las categorías, con avances particularmente altos en áreas como servicios para adultos y juegos de azar, y resultados estables en otras áreas.
Patrones en el lenguaje de las estafas
Más allá de las métricas, la investigación reveló patrones transversales. Las consultas con indicadores de precio o modificadores como «barato» o » sin verificación» resultaron ser más tóxicas en todos los tipos de estafa.
Estas frases apelan a los mismos detonantes que utilizan los estafadores, prometiendo rapidez, ahorros o certeza. Reconocer estas señales lingüísticas ayuda a explicar por qué el modelo se adapta bien a nuevos tipos de estafa.
Los investigadores han publicado sus conjuntos de datos y modelos, lo que permite que otros puedan desarrollar su trabajo. En esencia, LOKI enseña a las máquinas a pensar como cazadores de fraudes que comprenden el comportamiento de búsqueda, automatizando un proceso que antes dependía de la intuición y el esfuerzo manual.
Fuente y redacción: helpnetsecurity.com / Sinisa Markovic
