Usa regiones de SMS para proteger tu app del abuso de SMS
En esta guía, se muestra cómo usar las regiones de SMS para restringir el uso de la verificación por SMS de Identity Platform y ver las métricas de uso.
Descripción general de las regiones de SMS
Las regiones de SMS son una función de Identity Platform que puedes usar para proteger tus apps del abuso de SMS.
Por lo general, el abuso de SMS ocurre cuando un agente malicioso hace que un servicio envíe SMS a través de un operador con el que tiene un acuerdo de participación en los ingresos. El abuso de SMS puede generar costos más altos y dañar la reputación de tu producto con los clientes.
Debido a que Identity Platform permite las autorizaciones telefónicas por SMS, puede ocurrir abuso de SMS.
La función de regiones de SMS te permite establecer qué regiones pueden recibir autorizaciones telefónicas por SMS.
La función proporciona lo siguiente:
- Una interfaz de Firebase console para que configures tu política de región de SMS
- Una API para que configures tu política de región de SMS
- Métricas que pueden informar tu decisión de usar una política de región de SMS
Establece una política de región
En esta sección, se describe una política de región de Identity Platform. Puedes configurar los siguientes tipos de políticas, y solo una puede estar activa:
- Solo lista de entidades permitidas: Solo las regiones que especifiques en una lista de entidades permitidas pueden recibir solicitudes de autorización telefónica.
- Solo lista de entidades no permitidas: Todas las regiones pueden recibir solicitudes de autorización telefónica, excepto las que especifiques en una lista de entidades no permitidas.
Después de cambiar la configuración, el sistema comienza a aplicar la política de inmediato. Bloquea las solicitudes de autorización telefónica de las regiones que no permite la política según el código de región del número de teléfono.
Política de solo lista de entidades permitidas
Para configurar una política de solo lista de entidades permitidas, sigue estos pasos:
Firebase console
En Firebase console, ve a la página Configuración de Firebase Authentication.
Ir a la configuración de Firebase Authentication
Selecciona Política de región de SMS en el panel de navegación.
Selecciona Permitir.
Haz clic en Seleccionar regiones.
Agrega solo las regiones a las que planeas enviar mensajes SMS. Las regiones que no están en la lista se bloquean.
Haz clic en Guardar.
Puedes configurar una lista de entidades permitidas o una lista de entidades no permitidas, pero no ambas. Si lo haces, se anulará cualquier configuración anterior.
API de Identity Toolkit
En la consola de, para imprimir un token de acceso para tu proyecto, ejecuta el siguiente comando: Google Cloud
gcloud auth print-access-token --project=PROJECT_IDActualiza la configuración de tu proyecto para incluir tu nueva política con la API de Identity Toolkit:
curl -X PATCH -d "{'sms_region_config':{'allowlist_only':{'allowed_regions':['REGION_LIST']}}}" \ -H 'Authorization: BearerACCESS_TOKEN' \ -H 'Content-Type: application/json' \ 'https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=sms_region_config'
Reemplaza lo siguiente:
ACCESS_TOKEN: El token de acceso que generaste antesREGION_LIST: Una o más regiones, por ejemplo,INoUSPara limitar el abuso, te recomendamos que solo permitas las regiones a las que planeas enviar mensajes SMS.PROJECT_ID: ID del proyecto
Debes proporcionar una máscara de actualización para evitar que se cambien otros campos.
Política de solo lista de entidades no permitidas
Para configurar una política de solo lista de entidades no permitidas, sigue estos pasos:
Firebase console
En Firebase console, ve a la página Configuración de Firebase Authentication y selecciona Política de región de SMS en el panel de navegación.
Ir a la configuración de Firebase Authentication
Selecciona Denegar.
Haz clic en Seleccionar regiones.
Agrega las regiones a las que deseas bloquear el envío de mensajes SMS. Se permitirán las regiones que no estén en la lista. Para obtener una mayor protección contra el abuso, te recomendamos que uses una política de solo lista de entidades permitidas y que inhabilites todas las regiones a las que no planeas enviar mensajes SMS.
Haz clic en Guardar.
Puedes configurar una lista de entidades permitidas o una lista de entidades no permitidas, pero no ambas. Si lo haces, se anulará cualquier configuración anterior.
API de Identity Toolkit
En la consola de, para imprimir un token de acceso para tu proyecto, ejecuta el siguiente comando: Google Cloud
gcloud auth print-access-token --project=PROJECT_IDActualiza la configuración de tu proyecto para incluir tu nueva política con la API de Identity Toolkit:
curl -X PATCH -d "{'sms_region_config':{'allow_by_default':{'disallowed_regions':['REGION_LIST']}}}" \ -H 'Authorization: BearerACCESS_TOKEN' \ -H 'Content-Type: application/json' \ 'https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=sms_region_config'
Reemplaza lo siguiente:
ACCESS_TOKEN: El token de acceso que generaste antesREGION_LIST: Una o más regiones, por ejemplo,INoUSPROJECT_ID: ID del proyecto
Debes proporcionar una máscara de actualización para evitar que se cambien otros campos.
Accede a las métricas de uso regional de SMS
En esta sección, se describe cómo ver las métricas de uso de SMS.
Para ver las métricas, haz lo siguiente:
En la Google Cloud consola de, ve a la página Explorador de métricas en Cloud Monitoring:
Selecciona los siguientes campos:
- identitytoolkit.googleapis.com/usage/sent_sms_count
- identitytoolkit.googleapis.com/usage/blocked_sms_count
- firebaseauth.googleapis.com/phone_auth/phone_verification_count.
Ten en cuenta que las métricas tienen un campo region_code. Usa este código para ver las regiones que reciben autorizaciones por SMS.
Calcula la tasa de éxito de la verificación como
verification_success_rate = phone_verification_count/sent_sms_count, en una región en particular. Por lo general, las tasas de éxito de la verificación superiores al 75% se consideran aceptables.
Una verification_success_rate baja puede indicar abuso, en especial en una región en la que no esperarías tener usuarios. Por lo general, las tasas de éxito de la verificación inferiores al 75% se consideran bajas.
Si sospechas que hay abuso de SMS, puedes establecer una política de región.