Prácticas recomendadas para protegerse de las amenazas automatizadas

En este documento, se describen las implementaciones recomendadas de reCAPTCHA y las estrategias de mitigación de fraude para defenderse de las amenazas automatizadas críticas (OWASP Automated Threats (OAT) to Web Applications). Los arquitectos empresariales y las partes interesadas en la tecnología pueden revisar esta información para tomar una decisión fundamentada sobre la implementación de reCAPTCHA y la estrategia de mitigación de fraude para su caso de uso.

Este documento contiene la siguiente información para cada tipo de amenaza:

• Implementación óptima de reCAPTCHA Esta implementación se diseñó con las funciones pertinentes de reCAPTCHA para brindar la mejor protección contra el fraude.

• Implementación mínima de reCAPTCHA. Esta implementación está diseñada para brindar un mínimo de protección contra el fraude.

• Estrategias recomendadas para mitigar el fraude

Elige la estrategia de implementación y mitigación de fraude que mejor se adapte a tu caso de uso. Los siguientes factores pueden influir en la estrategia de implementación y mitigación del fraude que elijas:

• Necesidades y capacidades antifraude de la organización
• Entorno existente de la organización

Para obtener más información sobre las estrategias de mitigación del fraude para tu caso de uso, comunícate con nuestro equipo de ventas.

Carding

El carding es una amenaza automatizada en la que los atacantes realizan varios intentos de autorización de pago para verificar la validez de los datos de tarjetas de pago robadas de forma masiva.

Implementación mínima

1. Instala claves del sitio de casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar la información de su tarjeta de crédito. Para obtener información sobre cómo instalar claves de sitios con casillas de verificación, consulta Instala claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar la información de su tarjeta de crédito. Especifica una acción en el parámetro action, como card_entry. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.

2. Instala reCAPTCHA para el flujo de pago en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pagos, consulta Protege los flujos de trabajo de pagos.

3. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

4. Guarda todos los IDs de las evaluaciones y anota las evaluaciones que se conviertan en compras fraudulentas o devoluciones de cargo como fraudulent. Para obtener información sobre cómo anotar evaluaciones, consulta Anota una evaluación.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del carding:

• Instala reCAPTCHA para el flujo de pago en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pagos, consulta Protege los flujos de trabajo de pagos.

• Configura las APIs de administración de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y las puntuaciones sean mayores que su valor de umbral.

  Si las puntuaciones no alcanzan o superan el valor de umbral especificado, no ejecutes una autorización de tarjeta ni permitas que el usuario final use la tarjeta. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

• Cuando crees evaluaciones, asegúrate de que cumplan con los siguientes criterios para que la transacción sea exitosa:

  • Todos los tokens evaluados son válidos y tienen una puntuación superior a un valor de umbral especificado.
  • El valor de expectedAction coincide con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuación en tus páginas web. Para obtener información sobre cómo verificar acciones, consulta Cómo verificar acciones.

  Si una transacción no cumple con estos criterios, no ejecutes una autorización de tarjeta ni permitas que el usuario final use la tarjeta. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

Piratería informática en las tarjetas

El card cracking es una amenaza automatizada en la que los atacantes identifican los valores faltantes de la fecha de inicio, la fecha de vencimiento y los códigos de seguridad de los datos de tarjetas de pago robadas probando diferentes valores.

Implementación mínima

1. Instala claves del sitio de casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus detalles de pago, incluidas las funciones de confirmación de compra y agregar forma de pago. Para obtener información sobre cómo instalar claves de sitios con casillas de verificación, consulta Instala claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que los usuarios finales deban ingresar sus detalles de pago. Especifica una acción en el parámetro action, como checkout o add_pmtmethod. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.

2. Instala reCAPTCHA para el flujo de pago en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pagos, consulta Protege los flujos de trabajo de pagos.

3. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

4. Guarda todos los IDs de las evaluaciones y anota las evaluaciones que se conviertan en compras fraudulentas o devoluciones de cargo como fraudulent. Para obtener información sobre cómo anotar evaluaciones, consulta Anota una evaluación.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del robo de tarjetas:

• Instala reCAPTCHA para el flujo de pago en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pagos, consulta Protege los flujos de trabajo de pagos.

• Implementa un modelo de respuesta y crea evaluaciones:

  1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

     En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

     • Para los umbrales de puntuación de baja a intermedia (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras que superen un valor especificado.
     • Para el umbral de puntuación más alto (mayor que 0.5), permite que el usuario final continúe sin ningún desafío.

  2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación en tus páginas web. Si no coinciden, no ejecutes una autorización de tarjeta ni permitas que el usuario final use la tarjeta. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

Descifrado de credenciales

El descifrado de credenciales es una amenaza automatizada en la que los atacantes identifican credenciales de acceso válidas probando diferentes valores para nombres de usuario y contraseñas.

Implementación mínima

1. Instala claves del sitio de casilla de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones de acceso y olvidé mi contraseña. Para obtener información sobre cómo instalar claves de sitios con casillas de verificación, consulta Instala claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.
2. Recomendación: Implementa la defensa de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener más información sobre cómo usar la Defensa de contraseñas, consulta Detectar filtraciones de contraseñas y credenciales vulneradas.
3. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA para WAF y Google Cloud Armor.
4. Implementa reCAPTCHA Account Defender para analizar el comportamiento de los usuarios finales en los accesos y recibir indicadores adicionales que pueden señalar un ATO. Para obtener información sobre cómo usar la protección de cuentas de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
5. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
6. Guarda todos los IDs de evaluación y anota la evaluación que parezca fraudulenta, como las apropiaciones de cuentas (ATO) o cualquier otra actividad fraudulenta. Para obtener información sobre cómo anotar evaluaciones, consulta Anota una evaluación.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del descifrado de credenciales:

1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

   En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

   • Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), exige al usuario final la autenticación de varios factores por correo electrónico o SMS.
   • Para el umbral de puntuación más alto (mayor que 0.5), permite que el usuario final continúe sin ningún desafío.
2. Finaliza o interrumpe las sesiones de los usuarios finales que se autentican correctamente, pero reciben una respuesta credentialsLeaked: true de la defensa de contraseñas de reCAPTCHA, y envía un correo electrónico a los usuarios finales para que cambien su contraseña.
3. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación en tus páginas web. Si no coinciden, no permitas la autenticación.

Uso excesivo de credenciales

El credential stuffing es una amenaza automatizada en la que los atacantes usan intentos de acceso masivos para verificar la validez de los pares de nombre de usuario y contraseña robados.

Implementación mínima

1. Instala claves del sitio de casilla de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones de acceso y olvidé mi contraseña. Para obtener información sobre cómo instalar claves de sitios con casillas de verificación, consulta Instala claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.
2. Recomendación: Implementa la defensa de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener más información sobre cómo usar la Defensa de contraseñas, consulta Detectar filtraciones de contraseñas y credenciales vulneradas.
3. Implementa reCAPTCHA Account Defender para analizar el comportamiento de los usuarios finales en los accesos y recibir indicadores adicionales que pueden señalar un ATO. Para obtener información sobre cómo usar la protección de cuentas de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.

4. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA para WAF y Google Cloud Armor.

5. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

6. Guarda todos los IDs de las evaluaciones y anota las evaluaciones que se conviertan en compras fraudulentas o devoluciones de cargo como fraudulent. Para obtener información sobre cómo anotar evaluaciones, consulta Anota una evaluación.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del uso excesivo de credenciales:

1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

   En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

   • Para el umbral de puntuación de reCAPTCHA más bajo (0.0), informa al usuario final que su contraseña es incorrecta.
   • Para el umbral de puntuación intermedia (0.1 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
   • Para el umbral de puntuación más alto (mayor que 0.5), permite que el usuario final continúe sin ningún desafío.
2. Finaliza o interrumpe las sesiones de los usuarios finales que se autentican correctamente, pero reciben una respuesta credentialsLeaked: true de la defensa de contraseñas de reCAPTCHA, y envía un correo electrónico a los usuarios finales para que cambien su contraseña.
3. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación en tus páginas web. Si no coinciden, no permitas la autenticación.
4. En tu evaluación, si accountDefenderAssessment=PROFILE_MATCH, permite que el usuario final continúe sin ningún desafío.

Cómo retirar dinero

El retiro de efectivo es una amenaza automatizada en la que los atacantes obtienen dinero o artículos de alto valor a través del uso de tarjetas de pago robadas y validadas previamente.

Implementación mínima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que se pueda realizar la confirmación de compra. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.
2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que los usuarios finales ingresen la información de sus tarjetas de regalo. Especifica una acción, como add_gift_card. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.

2. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

3. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de los retiros de efectivo:

• Instala reCAPTCHA para el flujo de pago en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pagos, consulta Protege los flujos de trabajo de pagos.

• Implementa un modelo de respuesta y crea evaluaciones:

  1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

     En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

     • Para los umbrales de puntuación de baja a intermedia (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras que superen un valor especificado.
     • Para el umbral de puntuación más alto (mayor que 0.5), permite que el usuario final continúe sin ningún desafío.
  2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación en tus páginas web. Si no coinciden, no permitas la autenticación. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

Creación de la cuenta

La creación de cuentas es una amenaza automatizada en la que los atacantes crean varias cuentas para su uso inadecuado posterior.

Implementación mínima

1. Instala claves del sitio de casilla de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones de acceso y olvidé mi contraseña. Para obtener información sobre cómo instalar claves de sitios con casillas de verificación, consulta Instala claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que se creen cuentas. Especifica una acción en el parámetro action, como register. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.
2. Recomendación: Implementa la defensa de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener más información sobre cómo usar la Defensa de contraseñas, consulta Detectar filtraciones de contraseñas y credenciales vulneradas.
3. Implementa la protección de cuentas de reCAPTCHA para recibir indicadores adicionales que señalen la creación de cuentas falsas. Para obtener información sobre cómo usar la protección de cuentas de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.

4. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA para WAF y Google Cloud Armor.

5. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

6. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de la creación de cuentas:

1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

   En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

   • Para el umbral de puntuación de reCAPTCHA más bajo (0.0), limita las acciones de la cuenta hasta que se realicen más verificaciones de fraude.
   • Para el umbral de puntuación intermedia (0.1 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
   • Para el umbral de puntuación más alto (mayor que 0.5), permite que el usuario final continúe sin ningún desafío.
2. Finaliza o interrumpe las sesiones de los usuarios finales que se autentican correctamente, pero reciben una respuesta credentialsLeaked: true de la defensa de contraseñas de reCAPTCHA, y le solicita al usuario que seleccione una contraseña nueva.
3. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación en tus páginas web. Si no coinciden, no permitas el registro ni la creación de la cuenta.
4. En tu evaluación, si accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restringe el acceso a la cuenta hasta que se pueda realizar una validación adicional.

Cambios fraudulentos en la cuenta y la dirección

Los atacantes pueden intentar cambiar los detalles de la cuenta, como las direcciones de correo electrónico, los números de teléfono o las direcciones postales, como parte de actividades fraudulentas o usurpaciones de cuentas.

Implementación mínima

1. Instala claves del sitio de casilla de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones de acceso y olvidé mi contraseña. Para obtener información sobre cómo instalar claves de sitios con casillas de verificación, consulta Instala claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que se creen cuentas. Especifica una acción en el parámetro action, como change_telephone o change_physicalmail. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.

2. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

3. Implementa reCAPTCHA Account Defender para analizar el comportamiento de los usuarios finales en los accesos y recibir indicadores adicionales que pueden señalar un ATO. Para obtener información sobre cómo usar la protección de cuentas de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.

4. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de cambios fraudulentos en la cuenta y la dirección:

1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

   En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

   • Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), exige al usuario final la autenticación de varios factores por correo electrónico o SMS.
   • Para el umbral de puntuación más alto (mayor que 0.5), permite que el usuario final continúe sin ningún desafío.

2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación en tus páginas web. Si no coinciden, no permitas los cambios en la cuenta.

3. En tu evaluación, si accountDefenderAssessment no tiene la etiqueta PROFILE_MATCH, desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.

Descifrado de tokens

El descifrado de tokens es una amenaza automatizada en la que los atacantes realizan una enumeración masiva de números de cupones, códigos de vales y tokens de descuento.

Implementación mínima

1. Instala claves de sitio de casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar la información de sus tarjetas de regalo. Para obtener información sobre cómo instalar claves de sitios con casillas de verificación, consulta Instala claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que los usuarios finales deban ingresar la información de sus tarjetas de regalo. Especifica una acción, como gift_card_entry. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.

2. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA para WAF y Google Cloud Armor.

3. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

4. Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en tarjetas de regalo o cupones fraudulentos.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web contra la vulneración de tokens:

• Configura las APIs de administración de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y las puntuaciones sean mayores que su valor de umbral.

  Si las puntuaciones no alcanzan o superan el umbral especificado, no ejecutes una autorización de tarjeta de regalo o crédito, ni permitas que el usuario final use el cupón o la tarjeta de regalo. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

• Cuando crees evaluaciones, asegúrate de que cumplan con los siguientes criterios para que la transacción sea exitosa:

  • Todos los tokens evaluados son válidos y tienen una puntuación superior a un valor de umbral especificado.
  • El valor de expectedAction coincide con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuación en tus páginas web. Para obtener información sobre cómo verificar acciones, consulta Cómo verificar acciones.

  Si una transacción no cumple con estos criterios, no ejecutes una autorización de tarjeta de regalo o tarjeta de crédito, ni permitas que el usuario final use el cupón o la tarjeta de regalo. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

Especulación

El scalping es una amenaza automatizada en la que los atacantes obtienen bienes o servicios preferenciales y de disponibilidad limitada por medios injustos.

Implementación mínima

1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar la información de sus tarjetas de regalo. Especifica una acción en el parámetro action, como add_to_cart. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.
2. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar la información de sus tarjetas de regalo. Especifica una acción en el parámetro action, como add_to_cart. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.

2. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA para WAF y Google Cloud Armor.

3. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

4. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web contra la reventa de entradas:

1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

   En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

   • Para los umbrales de puntuación de baja a intermedia (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras que superen un valor especificado.
   • Para el umbral de puntuación más alto (mayor que 0.5), permite que el usuario final continúe sin ningún desafío.

2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación en tus páginas web. Si no coinciden, no ejecutes la autorización de la tarjeta de regalo.

Sesgo

El sesgo es una amenaza automatizada en la que los atacantes usan clics repetidos en vínculos, solicitudes de páginas o envíos de formularios para alterar alguna métrica.

Implementación mínima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que sea posible que se sesguen las métricas. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.
2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que sea posible que se sesguen las métricas. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.

2. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA para WAF y Google Cloud Armor.

3. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

4. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de la distorsión:

Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

• Para los umbrales de puntuación de baja a intermedia (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como hacer un seguimiento de la cantidad de veces que un usuario hizo clic en un anuncio o recargó la página. Usa estos datos para determinar si se debe incluir la métrica en el recuento.
• Para el umbral de puntuación más alto (mayor que 0.5), permite que el usuario final continúe sin ningún desafío.

Extracción de datos

El scraping es una amenaza automatizada en la que los atacantes recopilan datos o artefactos de sitios web de forma automática.

Implementación mínima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que se encuentre información importante y en las páginas clave de interacción comunes del usuario final. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.
2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que se encuentre información importante y en las páginas clave de interacción comunes del usuario final. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.

2. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA para WAF y Google Cloud Armor.

3. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

4. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del scraping:

• Habilita el bloqueo de interacciones de gran volumen y con puntuación baja de reCAPTCHA integrando reCAPTCHA en un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA para WAF y Google Cloud Armor
• Si el scraping involucra APIs, usa las APIs de Apigee Management para obtener mitigaciones adicionales.

Derrota del CAPTCHA

La derrota de CAPTCHA es una amenaza automatizada en la que los atacantes usan la automatización para intentar analizar y determinar la respuesta a las pruebas de CAPTCHA visuales o auditivas y los acertijos relacionados.

Implementación mínima

1. Instala claves del sitio basadas en la puntuación en todas las páginas que involucren la entrada del usuario final, la creación de cuentas, la información de pago o las interacciones del usuario final con potencial de fraude. Especifica una acción descriptiva en el parámetro action. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.

2. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

1. Instala claves del sitio basadas en la puntuación en todas las páginas que involucren la entrada del usuario final, la creación de cuentas, la información de pago o las interacciones del usuario final con potencial de fraude. Especifica una acción descriptiva en el parámetro action. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafíos) en sitios web.

2. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA para WAF y Google Cloud Armor.

3. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

4. Guarda todos los IDs de las evaluaciones y anota las evaluaciones que se conviertan en compras fraudulentas o devoluciones de cargo como fraudulent. Para obtener información sobre cómo anotar evaluaciones, consulta Anota una evaluación.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web contra la derrota de CAPTCHA:

• Implementa un modelo de respuesta y crea evaluaciones:

  1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

     En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

     • Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), exige al usuario final la autenticación de varios factores por correo electrónico o SMS.
     • Para el umbral de puntuación más alto (mayor que 0.5), permite que el usuario final continúe sin ningún desafío.
  2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves del sitio basadas en la puntuación en tus páginas web. Si no coinciden, no permitas la autenticación.

• Si los usuarios finales usan navegadores web que tienen JavaScript inhabilitado, haz lo siguiente:

  1. Bloquear a esos usuarios finales
  2. Notifica a los usuarios finales que tu sitio web requiere JavaScript para continuar.

• Asegúrate de que se cumpla la promesa de grecaptcha.enterprise.ready para evitar que se cargue el script de Google en los navegadores de los usuarios finales que lo bloquean. Esto indica que reCAPTCHA se cargó por completo y no encontró ningún error.

• En el caso de las APIs solo para la Web, recomendamos pasar el token de reCAPTCHA o el resultado de la evaluación de reCAPTCHA a la API de backend y, luego, permitir la acción de la API solo si el token de reCAPTCHA es válido y cumple con un valor de umbral de puntuación. Esto garantiza que el usuario final no use la API sin pasar por el sitio web.

¿Qué sigue?

• Instala claves de sitio basadas en puntuaciones.
• Instala claves de sitios de casillas de verificación.
• Crear evaluaciones
• Anota las evaluaciones.
• Implementa Password defense.
• Implementa el defensor de cuentas.