Prácticas recomendadas para protegerte de las amenazas automatizadas

En este documento, se describen las implementaciones recomendadas de reCAPTCHA Enterprise y las estrategias de mitigación de fraudes para defenderte de las amenazas automáticas críticas (Amenazas automatizadas de OWASP (OAT) para las aplicaciones web). Los arquitectos empresariales y las partes interesadas en la tecnología pueden revisar esta información para tomar una decisión fundamentada sobre la implementación de reCAPTCHA Enterprise y la estrategia de mitigación de fraudes para su caso de uso.

En este documento, se incluye la siguiente información para cada tipo de amenaza:

La implementación óptima de reCAPTCHA Enterprise. Esta implementación está diseñada con las funciones relevantes de reCAPTCHA Enterprise para obtener la mejor protección contra fraudes.
Implementación mínima de reCAPTCHA Enterprise. Esta implementación está diseñada para tener un mínimo de protección contra fraudes.
Estrategias recomendadas de mitigación de fraudes

Elige la estrategia de implementación y mitigación de fraudes que mejor se adapte a tu caso de uso. Los siguientes factores pueden influir en la implementación y la estrategia de mitigación de fraudes que elijas:

Las necesidades y capacidades de la organización contra el fraude.
Entorno existente de la organización.

Para obtener información sobre la implementación general recomendada de reCAPTCHA Enterprise, consulta Prácticas recomendadas para usar reCAPTCHA Enterprise.

Si quieres obtener más información sobre las estrategias de mitigación de fraudes para tu caso de uso, comunícate con nuestro equipo de ventas.

Cardado

El uso de tarjetas es una amenaza automática en la que los atacantes realizan varios intentos de autorización de pago para verificar la validez de los datos de las tarjetas de pago robadas de forma masiva.

Implementación mínima

Instalar claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deben ingresar la información de su tarjeta de crédito Si deseas obtener información para instalar claves de sitios con casillas de verificación, consulta Instalar claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción de los usuarios y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitios basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar la información de su tarjeta de crédito. Especifica una acción en el parámetro action, como card_entry. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Instala reCAPTCHA Enterprise para el flujo de trabajo de pagos en tu sitio web. Si deseas obtener información sobre cómo proteger tu flujo de trabajo de pago, consulta Protege los flujos de trabajo de pago.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para obtener información sobre cómo anotar evaluaciones, consulta Anota una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web de las tarjetas:

Instala reCAPTCHA Enterprise para el flujo de trabajo de pagos en tu sitio web. Si deseas obtener información sobre cómo proteger tu flujo de trabajo de pago, consulta Protege los flujos de trabajo de pago.
Configura las APIs de administración de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y las puntuaciones sean mayores que su valor límite.

Si las puntuaciones no alcanzan o superan el valor límite especificado, no ejecutes una autorización de tarjeta ni permitas que el usuario final la use. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante se desvíe.
Cuando crees evaluaciones, asegúrate de que cumplan con los siguientes criterios para que la transacción se realice correctamente:
- Todos los tokens evaluados son válidos y tienen una puntuación mayor que el valor de umbral especificado.
- El valor de expectedAction coincide con el valor de action que especificaste cuando instalaste las claves de sitios basadas en puntuaciones en tus páginas web. Para obtener información sobre cómo verificar acciones, consulta cómo verificar acciones.
Si una transacción no cumple con estos criterios, no ejecutes una autorización de tarjeta ni permitas que el usuario final use la tarjeta. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante se desvíe.

Piratería informática en las tarjetas

El ataque cibernético contra las tarjetas es una amenaza automática en la que los atacantes identifican valores faltantes para la fecha de inicio, la fecha de vencimiento y los códigos de seguridad de datos de tarjetas de pago robadas mediante diferentes valores.

Implementación mínima

Instala las claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus detalles de pago, incluidas las funciones para confirmar la compra y agregar una forma de pago. Si deseas obtener información para instalar claves de sitios con casillas de verificación, consulta Instalar claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción de los usuarios y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar sus detalles de pago. Especifica una acción en el parámetro action, como checkout o add_pmtmethod. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Instala reCAPTCHA Enterprise para el flujo de trabajo de pagos en tu sitio web. Si deseas obtener información sobre cómo proteger tu flujo de trabajo de pago, consulta Protege los flujos de trabajo de pago.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para obtener información sobre cómo anotar evaluaciones, consulta Anota una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web de la piratería informática en las tarjetas:

Instala reCAPTCHA Enterprise para el flujo de trabajo de pagos en tu sitio web. Si deseas obtener información sobre cómo proteger tu flujo de trabajo de pago, consulta Protege los flujos de trabajo de pago.
Implementa un modelo de respuesta y crea evaluaciones:
1. Crear e implementar un modelo de respuesta que se ajuste al riesgo basado en puntuaciones
  
  En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
  - Para un umbral de puntuación baja a intermedia (0.0-0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras por encima de un valor específico.
  - Para obtener el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  Nota: Tus umbrales de puntuación pueden variar según los usuarios y los atacantes. Recomendamos usar el panel de estadísticas de reCAPTCHA Enterprise para determinar las mejores puntuaciones sobre las que tomar medidas.
2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el de action que especificaste cuando instalaste las claves de sitios basadas en puntuaciones en tus páginas web. De lo contrario, no ejecutes una autorización de tarjeta ni permitas que el usuario final la use. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante se desvíe.

Piratería informática en las credenciales

La piratería informática es una amenaza automática en la que los atacantes identifican credenciales de acceso válidas probando diferentes valores de nombres de usuario y contraseñas.

Implementación mínima

Instala las claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones para acceder y olvidar la contraseña. Si deseas obtener información para instalar claves de sitios con casillas de verificación, consulta Instalar claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción de los usuarios y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitios basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA Enterprise para todos los intentos de autenticación. Para aprender a usar la detección de filtración de contraseñas, consulta Detecta filtraciones de contraseñas y credenciales vulneradas.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y puntuación de reCAPTCHA, integra reCAPTCHA Enterprise a un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA Enterprise para WAF y Google Cloud Armor.
Implementa la protección de cuentas de reCAPTCHA Enterprise para mejorar el comportamiento de los usuarios finales entre los diferentes accesos y recibir indicadores adicionales que puedan indicar un ATO. Para obtener información sobre cómo utilizar el defensor de cuentas de reCAPTCHA Enterprise, consulta Detecta y evita actividades fraudulentas relacionadas con la cuenta.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota la evaluación que parezca fraudulenta, como la apropiación de cuentas (ATO) o cualquier otra actividad fraudulenta. Para obtener información sobre cómo anotar evaluaciones, consulta Anota una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web contra la piratería de credenciales:

Crear e implementar un modelo de respuesta que se ajuste al riesgo basado en puntuaciones

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
- En el caso de un umbral de puntuación bajo a intermedio (de 0.0 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para obtener el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Tus umbrales de puntuación pueden variar según los usuarios y los atacantes. Recomendamos usar el panel de estadísticas de reCAPTCHA Enterprise para determinar las mejores puntuaciones sobre las que tomar medidas.
Finaliza o interrumpe las sesiones para los usuarios finales que se autentiquen correctamente, pero reciban una respuesta credentialsLeaked: true de la detección de filtraciones de contraseñas de reCAPTCHA Enterprise, y envía un correo electrónico a los usuarios finales para que cambien su contraseña.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el de action que especificaste cuando instalaste las claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas la autenticación.

Se produjeron casos de uso excesivo de credenciales.

El uso excesivo de credenciales es una amenaza automática en la que los atacantes usan intentos de acceso masivo para verificar la validez de los pares de nombre de usuario/contraseña robados.

Implementación mínima

Instala las claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones para acceder y olvidar la contraseña. Si deseas obtener información para instalar claves de sitios con casillas de verificación, consulta Instalar claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción de los usuarios y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitios basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA Enterprise para todos los intentos de autenticación. Para aprender a usar la detección de filtración de contraseñas, consulta Detecta filtraciones de contraseñas y credenciales vulneradas.
Implementa la protección de cuentas de reCAPTCHA Enterprise para mejorar el comportamiento de los usuarios finales entre los diferentes accesos y recibir indicadores adicionales que puedan indicar un ATO. Para obtener información sobre cómo utilizar el defensor de cuentas de reCAPTCHA Enterprise, consulta Detecta y evita actividades fraudulentas relacionadas con la cuenta.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y puntuación de reCAPTCHA, integra reCAPTCHA Enterprise a un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA Enterprise para WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para obtener información sobre cómo anotar evaluaciones, consulta Anota una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del uso excesivo de credenciales:

Crear e implementar un modelo de respuesta que se ajuste al riesgo basado en puntuaciones

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
- Para el umbral de puntuación más bajo de reCAPTCHA (0.0), informa al usuario final que su contraseña es incorrecta.
- Para el umbral de puntuación intermedia (de 0.1 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para obtener el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Tus umbrales de puntuación pueden variar según los usuarios y los atacantes. Recomendamos usar el panel de estadísticas de reCAPTCHA Enterprise para determinar las mejores puntuaciones sobre las que tomar medidas.
Finaliza o interrumpe las sesiones para los usuarios finales que se autentiquen correctamente, pero reciban una respuesta credentialsLeaked: true de la detección de filtraciones de contraseñas de reCAPTCHA Enterprise, y envía un correo electrónico a los usuarios finales para que cambien su contraseña.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el de action que especificaste cuando instalaste las claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas la autenticación.
En tu evaluación, si accountDefenderAssessment=PROFILE_MATCH, permite que el usuario final continúe sin ningún desafío.

Retirar dinero

El retiro de dinero es una amenaza automática en la que los atacantes obtienen monedas o artículos de alto valor mediante el uso de tarjetas de pago robadas y validadas con anterioridad.

Implementación mínima

Instala claves de sitios basadas en puntuaciones en todas las páginas donde sea posible realizar la confirmación de la compra. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitios basadas en puntuaciones en todas las páginas en las que los usuarios finales ingresan la información de su tarjeta de regalo. Especifica una acción, como add_gift_card. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del retiro de dinero:

Instala reCAPTCHA Enterprise para el flujo de trabajo de pagos en tu sitio web. Si deseas obtener información sobre cómo proteger tu flujo de trabajo de pago, consulta Protege los flujos de trabajo de pago.
Implementa un modelo de respuesta y crea evaluaciones:
1. Crear e implementar un modelo de respuesta que se ajuste al riesgo basado en puntuaciones
  
  En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
  - Para un umbral de puntuación baja a intermedia (0.0-0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras por encima de un valor específico.
  - Para obtener el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  Nota: Tus umbrales de puntuación pueden variar según los usuarios y los atacantes. Recomendamos usar el panel de estadísticas de reCAPTCHA Enterprise para determinar las mejores puntuaciones sobre las que tomar medidas.
2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el de action que especificaste cuando instalaste las claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas la autenticación. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante se desvíe.

Creación de cuentas

La creación de cuentas es una amenaza automática en la que los atacantes crean varias cuentas para un uso inadecuado posterior.

Implementación mínima

Instala las claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones para acceder y olvidar la contraseña. Si deseas obtener información para instalar claves de sitios con casillas de verificación, consulta Instalar claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción de los usuarios y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se crean cuentas. Especifica una acción en el parámetro action, como register. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA Enterprise para todos los intentos de autenticación. Para aprender a usar la detección de filtración de contraseñas, consulta Detecta filtraciones de contraseñas y credenciales vulneradas.
Implementa la protección de cuentas de reCAPTCHA Enterprise para recibir indicadores adicionales que indiquen la creación de cuentas falsas. Para obtener información sobre cómo utilizar el defensor de cuentas de reCAPTCHA Enterprise, consulta Detecta y evita actividades fraudulentas relacionadas con la cuenta.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y puntuación de reCAPTCHA, integra reCAPTCHA Enterprise a un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA Enterprise para WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de la creación de cuentas:

Crear e implementar un modelo de respuesta que se ajuste al riesgo basado en puntuaciones

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
- En el caso del umbral más bajo de puntuación de reCAPTCHA (0.0), limita las acciones de la cuenta hasta que se someta a más verificaciones de fraude.
- Para el umbral de puntuación intermedia (de 0.1 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para obtener el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Tus umbrales de puntuación pueden variar según los usuarios y los atacantes. Recomendamos usar el panel de estadísticas de reCAPTCHA Enterprise para determinar las mejores puntuaciones sobre las que tomar medidas.
Finaliza o interrumpe las sesiones para los usuarios finales que se autentiquen correctamente, pero reciban una respuesta credentialsLeaked: true de la detección de filtraciones de contraseñas de reCAPTCHA Enterprise, y pídele al usuario que seleccione una contraseña nueva.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el de action que especificaste cuando instalaste las claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas el registro ni la creación de cuentas.
En tu evaluación, si accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restringe el acceso de la cuenta hasta que se pueda realizar una validación adicional.

Cambios fraudulentos en la cuenta y la dirección

Los atacantes podrían intentar cambiar los detalles de la cuenta, incluidas las direcciones de correo electrónico, los números de teléfono o las direcciones de correo postal, como parte de una actividad fraudulenta o apropiación de cuentas.

Implementación mínima

Instala las claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones para acceder y olvidar la contraseña. Si deseas obtener información para instalar claves de sitios con casillas de verificación, consulta Instalar claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción de los usuarios y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se crean cuentas. Especifica una acción en el parámetro action, como change_telephone o change_physicalmail. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Implementa la protección de cuentas de reCAPTCHA Enterprise para mejorar el comportamiento de los usuarios finales entre los diferentes accesos y recibir indicadores adicionales que puedan indicar un ATO. Para obtener información sobre cómo utilizar el defensor de cuentas de reCAPTCHA Enterprise, consulta Detecta y evita actividades fraudulentas relacionadas con la cuenta.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de cambios fraudulentos en las cuentas y las direcciones:

Crear e implementar un modelo de respuesta que se ajuste al riesgo basado en puntuaciones

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
- En el caso de un umbral de puntuación bajo a intermedio (de 0.0 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para obtener el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Tus umbrales de puntuación pueden variar según los usuarios y los atacantes. Recomendamos usar el panel de estadísticas de reCAPTCHA Enterprise para determinar las mejores puntuaciones sobre las que tomar medidas.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el de action que especificaste cuando instalaste las claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no permita los cambios en la cuenta.
En tu evaluación, si accountDefenderAssessment no tiene la etiqueta PROFILE_MATCH, desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.

Piratería informática en tokens

La piratería de tokens es una amenaza automática en la que los atacantes hacen enumeraciones masivas de los números de cupones, los códigos de cupones o los tokens de descuento.

Implementación mínima

Instalar claves de sitios con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar la información de sus tarjetas de regalo Si deseas obtener información para instalar claves de sitios con casillas de verificación, consulta Instalar claves de sitios con casillas de verificación (desafío de casillas de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción de los usuarios y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitios basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar la información de su tarjeta de regalo. Especifica una acción, como gift_card_entry. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y puntuación de reCAPTCHA, integra reCAPTCHA Enterprise a un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA Enterprise para WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en tarjetas de regalo o cupones fraudulentos.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web de la piratería de tokens:

Configura las APIs de administración de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y las puntuaciones sean mayores que su valor límite.

Si las puntuaciones no alcanzan o superan el umbral especificado, no ejecutes una tarjeta de regalo ni una autorización de tarjeta de crédito, ni permitas que el usuario final utilice el cupón o la tarjeta de regalo. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante se desvíe.
Cuando crees evaluaciones, asegúrate de que cumplan con los siguientes criterios para que la transacción se realice correctamente:
- Todos los tokens evaluados son válidos y tienen una puntuación mayor que el valor de umbral especificado.
- El valor de expectedAction coincide con el valor de action que especificaste cuando instalaste las claves de sitios basadas en puntuaciones en tus páginas web. Para obtener información sobre cómo verificar acciones, consulta cómo verificar acciones.
Si una transacción no cumple con estos criterios, no ejecutes una tarjeta de regalo o una autorización de tarjeta de crédito, ni permitas que el usuario final utilice el cupón o la tarjeta de regalo. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante se desvíe.

Escalamiento

El escalamiento es una amenaza automática en la que los atacantes obtienen disponibilidad limitada y bienes o servicios preferidos a través de métodos injustos.

Implementación mínima

Instala claves de sitios basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar la información de su tarjeta de regalo. Especifica una acción en el parámetro action, como add_to_cart. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitios basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar la información de su tarjeta de regalo. Especifica una acción en el parámetro action, como add_to_cart. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y puntuación de reCAPTCHA, integra reCAPTCHA Enterprise a un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA Enterprise para WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del escalamiento:

Crear e implementar un modelo de respuesta que se ajuste al riesgo basado en puntuaciones

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
- Para un umbral de puntuación baja a intermedia (0.0-0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras por encima de un valor específico.
- Para obtener el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Tus umbrales de puntuación pueden variar según los usuarios y los atacantes. Recomendamos usar el panel de estadísticas de reCAPTCHA Enterprise para determinar las mejores puntuaciones sobre las que tomar medidas.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el de action que especificaste cuando instalaste las claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no ejecutes la autorización de la tarjeta de regalo.

Desviación

El sesgo es una amenaza automática en la que los atacantes usan clics repetidos en vínculos, solicitudes de páginas o envíos de formularios para alterar alguna métrica.

Implementación mínima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que es posible el sesgo de métricas. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que es posible el sesgo de métricas. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y puntuación de reCAPTCHA, integra reCAPTCHA Enterprise a un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA Enterprise para WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de los sesgos:

Crear e implementar un modelo de respuesta que se ajuste al riesgo basado en puntuaciones

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

Para un umbral de puntuación de bajo a intermedio (de 0.0 a 0.5), usa la administración de riesgos basada en el contexto, como el seguimiento de la cantidad de veces que un usuario hizo clic en un anuncio o de la cantidad de veces que un usuario volvió a cargar la página. Usa estos datos para determinar si se debe contar la métrica.
Para obtener el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.

Rastreo

El scraping es una amenaza automática en la que los atacantes recopilan datos o artefactos de sitios web de manera automatizada.

Implementación mínima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que reside información importante y en páginas clave comunes de interacción con el usuario final. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que reside información importante y en páginas clave comunes de interacción con el usuario final. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y puntuación de reCAPTCHA, integra reCAPTCHA Enterprise a un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA Enterprise para WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa las siguientes estrategias de mitigación de fraudes para proteger tu sitio web contra el scraping:

Habilita el bloqueo de interacciones de gran volumen y puntuación de reCAPTCHA baja mediante la integración de reCAPTCHA Enterprise con un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA Enterprise para WAF y Google Cloud Armor
Si el scraping implica APIs, usa las APIs de Apigee Management para una mitigación adicional.

Derrota de CAPTCHA

La derrota de CAPTCHA es una amenaza automatizada en la que los atacantes usan la automatización para analizar y determinar la respuesta a pruebas CAPTCHA visuales o auditivas y acertijos relacionados.

Implementación mínima

Instala claves de sitio basadas en puntuaciones en todas las páginas que involucren entradas del usuario final, creación de cuentas, información de pago o interacciones del usuario final con el posible fraude. Especifica una acción descriptiva en el parámetro action. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas que involucren entradas del usuario final, creación de cuentas, información de pago o interacciones del usuario final con el posible fraude. Especifica una acción descriptiva en el parámetro action. Para obtener más información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Cómo instalar claves de sitios basadas en puntuaciones (sin desafío) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y puntuación de reCAPTCHA, integra reCAPTCHA Enterprise a un firewall de aplicación web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA Enterprise para WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction a fin de que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si deseas obtener información para crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para obtener información sobre cómo anotar evaluaciones, consulta Anota una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA Enterprise, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web de la derrota de CAPTCHA:

Implementa un modelo de respuesta y crea evaluaciones:
1. Crear e implementar un modelo de respuesta que se ajuste al riesgo basado en puntuaciones
  
  En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
  - En el caso de un umbral de puntuación bajo a intermedio (de 0.0 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
  - Para obtener el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  Nota: Tus umbrales de puntuación pueden variar según los usuarios y los atacantes. Recomendamos usar el panel de estadísticas de reCAPTCHA Enterprise para determinar las mejores puntuaciones sobre las que tomar medidas.
2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el de action que especificaste cuando instalaste las claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas la autenticación.
Si los usuarios finales utilizan navegadores web que tienen JavaScript inhabilitado, haz lo siguiente:
1. Bloquear a esos usuarios finales
2. Notifica a los usuarios finales que tu sitio web requiere JavaScript para continuar.
Asegúrate de que se cumpla la promesa grecaptcha.enterprise.ready para evitar que los navegadores de los usuarios finales bloqueen la carga de la secuencia de comandos de Google. Esto indica que reCAPTCHA Enterprise está completamente cargado y no se produjo un error.
Para las APIs solo para la Web, recomendamos pasar el token de reCAPTCHA o el resultado de la evaluación de reCAPTCHA a la API de backend y, luego, solo permitir la acción de la API si el token de reCAPTCHA es válido y cumple con un valor de umbral de puntuación. Esto garantiza que el usuario final no use la API sin pasar por el sitio web.

Prácticas recomendadas para protegerte de las amenazas automatizadas

Cardado

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Piratería informática en las tarjetas

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Piratería informática en las credenciales

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Se produjeron casos de uso excesivo de credenciales.

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Retirar dinero

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Creación de cuentas

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Cambios fraudulentos en la cuenta y la dirección

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Piratería informática en tokens

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Escalamiento

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Desviación

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Rastreo

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Derrota de CAPTCHA

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

¿Qué sigue?