Se usó la API de Cloud Translation para traducir esta página.

Prácticas recomendadas para protegerse de amenazas automatizadas

En este documento, se describen las implementaciones recomendadas de reCAPTCHA y las estrategias de mitigación de fraudes para defenderse de las amenazas automatizadas críticas (Amenazas automatizadas (OAT) de OWASP para aplicaciones web). Los arquitectos empresariales y las partes interesadas en la tecnología pueden revisar esta información para tomar una decisión fundamentada sobre la implementación de reCAPTCHA y la estrategia de mitigación de fraudes para su caso de uso.

Este documento contiene la siguiente información para cada tipo de amenaza:

Implementación óptima de reCAPTCHA. Esta implementación está diseñada con las funciones relevantes de reCAPTCHA para brindar la mejor protección contra el fraude.
Implementación mínima de reCAPTCHA. Esta implementación está diseñada para brindar una protección mínima contra el fraude.
Estrategias recomendadas de mitigación de fraudes

Elige la estrategia de implementación y mitigación de fraudes que mejor se adapte a tu caso de uso. Los siguientes factores pueden influir en la implementación y la estrategia de mitigación de fraudes que elijas:

Las necesidades y capacidades de la organización en materia de prevención de fraudes
Entorno existente de la organización

Para obtener más información sobre las estrategias de mitigación de fraudes para tu caso de uso, comunícate con nuestro equipo de ventas.

Carding

El carding es una amenaza automatizada en la que los atacantes realizan varios intentos de autorización de pagos para verificar la validez de los datos de tarjetas de pago robados en grandes cantidades.

Implementación mínima

Instala claves de sitio de casilla de verificación en todas las páginas en las que los usuarios finales deban ingresar su información de tarjeta de crédito. Para obtener información sobre cómo instalar claves de sitios de casillas de verificación, consulta Instala claves de sitios de casillas de verificación (desafío de casilla de verificación) en sitios web.

Nota: Las claves de sitios de casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar su información de tarjeta de crédito. Especifica una acción en el parámetro action, como card_entry. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Instala reCAPTCHA para el flujo de trabajo de pagos en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pagos, consulta Protege los flujos de trabajo de pagos.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para aprender a anotar evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del robo de tarjetas:

Instala reCAPTCHA para el flujo de trabajo de pagos en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pagos, consulta Protege los flujos de trabajo de pagos.
Configura las APIs de administración de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y las puntuaciones sean superiores a su valor de umbral.

Si las puntuaciones no cumplen o superan el valor del umbral especificado, no ejecutes una autorización de la tarjeta ni permitas que el usuario final la use. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cálcala más adelante para evitar alertar al atacante.
Cuando crees evaluaciones, asegúrate de que cumplan con los siguientes criterios para que la transacción se realice correctamente:
- Todos los tokens evaluados son válidos y tienen una puntuación superior a un valor de umbral especificado.
- El valor de expectedAction coincide con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuación en tus páginas web. Para obtener información sobre cómo verificar acciones, consulta Cómo verificar acciones.
Si una transacción no cumple con estos criterios, no ejecutes una autorización de la tarjeta ni permitas que el usuario final la use. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cálcala más adelante para evitar alertar al atacante.

Piratería informática en las tarjetas

El descifrado de tarjetas es una amenaza automatizada en la que los atacantes identifican los valores faltantes de la fecha de inicio, la fecha de vencimiento y los códigos de seguridad de los datos de tarjetas de pago robados probando diferentes valores.

Implementación mínima

Instala claves de sitio de casilla de verificación en todas las páginas en las que los usuarios finales deban ingresar sus detalles de pago, incluidas las funciones de confirmación de la compra y agregar forma de pago. Para obtener información sobre cómo instalar claves de sitios de casillas de verificación, consulta Instala claves de sitios de casillas de verificación (desafío de casilla de verificación) en sitios web.

Nota: Las claves de sitios de casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar sus detalles de pago. Especifica una acción en el parámetro action, como checkout o add_pmtmethod. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Instala reCAPTCHA para el flujo de trabajo de pagos en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pagos, consulta Protege los flujos de trabajo de pagos.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para aprender a anotar evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del descifrado de tarjetas:

Instala reCAPTCHA para el flujo de trabajo de pagos en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pagos, consulta Protege los flujos de trabajo de pagos.
Implementa un modelo de respuesta y crea evaluaciones:
1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.
  
  En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:
  - Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras superiores a un valor especificado.
  - Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  Nota: Los umbrales de puntuación pueden variar según los usuarios y los atacantes. Te recomendamos que uses el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones en las que debes tomar medidas.
2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no ejecutes una autorización de la tarjeta ni permitas que el usuario final la use. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cálcala más adelante para evitar alertar al atacante.

Craqueo de credenciales

El descifrado de credenciales es una amenaza automatizada en la que los atacantes identifican credenciales de acceso válidas probando diferentes valores para nombres de usuario y contraseñas.

Implementación mínima

Instala claves de sitios de cuadros de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones de acceso y olvidé mi contraseña. Para obtener información sobre cómo instalar claves de sitios de casillas de verificación, consulta Instala claves de sitios de casillas de verificación (desafío de casilla de verificación) en sitios web.

Nota: Las claves de sitios de casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener información sobre cómo usar la detección de filtraciones de contraseñas, consulta Detecta filtraciones de contraseñas y credenciales vulneradas.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Implementa el defensor de cuentas de reCAPTCHA para detectar tendencias en el comportamiento del usuario final en todos los accesos y recibir indicadores adicionales que puedan indicar una ATO. Para obtener información sobre cómo usar la protección de cuentas de reCAPTCHA, consulta Cómo detectar y evitar actividades fraudulentas relacionadas con las cuentas.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota la evaluación que parezca fraudulenta, como apropiaciones de cuentas (ATO) o cualquier otra actividad fraudulenta. Para aprender a anotar evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web contra el descifrado de credenciales:

Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:
- Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Los umbrales de puntuación pueden variar según los usuarios y los atacantes. Te recomendamos que uses el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones en las que debes tomar medidas.
Finaliza o interrumpe las sesiones de los usuarios finales que se autentican correctamente, pero que reciben una respuesta credentialsLeaked: true de la detección de filtraciones de contraseñas de reCAPTCHA, y envía un correo electrónico a los usuarios finales para que cambien su contraseña.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no permitas la autenticación.

Uso excesivo de credenciales

El uso excesivo de credenciales es una amenaza automatizada en la que los atacantes usan intentos de acceso masivos para verificar la validez de los pares de nombres de usuario y contraseñas robados.

Implementación mínima

Instala claves de sitios de cuadros de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones de acceso y olvidé mi contraseña. Para obtener información sobre cómo instalar claves de sitios de casillas de verificación, consulta Instala claves de sitios de casillas de verificación (desafío de casilla de verificación) en sitios web.

Nota: Las claves de sitios de casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener información sobre cómo usar la detección de filtraciones de contraseñas, consulta Detecta filtraciones de contraseñas y credenciales vulneradas.
Implementa el defensor de cuentas de reCAPTCHA para detectar tendencias en el comportamiento del usuario final en todos los accesos y recibir indicadores adicionales que puedan indicar una ATO. Para obtener información sobre cómo usar la protección de cuentas de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para aprender a anotar evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del uso excesivo de credenciales:

Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:
- Para el umbral de puntuación de reCAPTCHA más bajo (0.0), infórmale al usuario final que su contraseña es incorrecta.
- Para el umbral de puntuación intermedio (0.1 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Los umbrales de puntuación pueden variar según los usuarios y los atacantes. Te recomendamos que uses el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones en las que debes tomar medidas.
Finaliza o interrumpe las sesiones de los usuarios finales que se autentican correctamente, pero que reciben una respuesta credentialsLeaked: true de la detección de filtraciones de contraseñas de reCAPTCHA, y envía un correo electrónico a los usuarios finales para que cambien su contraseña.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no permitas la autenticación.
En tu evaluación, si accountDefenderAssessment=PROFILE_MATCH, permite que el usuario final continúe sin ningún desafío.

Cómo retirar dinero

El retiro de efectivo es una amenaza automatizada en la que los atacantes obtienen moneda o artículos de alto valor mediante el uso de tarjetas de pago robadas y validadas con anterioridad.

Implementación mínima

Instala claves de sitios basadas en puntuaciones en todas las páginas en las que sea posible realizar la confirmación de la compra. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales ingresan la información de su tarjeta de regalo. Especifica una acción, como add_gift_card. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del retiro de efectivo:

Instala reCAPTCHA para el flujo de trabajo de pagos en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pagos, consulta Protege los flujos de trabajo de pagos.
Implementa un modelo de respuesta y crea evaluaciones:
1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.
  
  En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:
  - Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras superiores a un valor especificado.
  - Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  Nota: Los umbrales de puntuación pueden variar según los usuarios y los atacantes. Te recomendamos que uses el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones en las que debes tomar medidas.
2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no permitas la autenticación. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cálcala más adelante para evitar alertar al atacante.

Creación de la cuenta

La creación de cuentas es una amenaza automatizada en la que los atacantes crean varias cuentas para un uso inadecuado posterior.

Implementación mínima

Instala claves de sitios de cuadros de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones de acceso y olvidé mi contraseña. Para obtener información sobre cómo instalar claves de sitios de casillas de verificación, consulta Instala claves de sitios de casillas de verificación (desafío de casilla de verificación) en sitios web.

Nota: Las claves de sitios de casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuación en todas las páginas en las que se crean las cuentas. Especifica una acción en el parámetro action, como register. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener información sobre cómo usar la detección de filtraciones de contraseñas, consulta Detecta filtraciones de contraseñas y credenciales vulneradas.
Implementa la protección de cuentas de reCAPTCHA para recibir indicadores adicionales que indiquen la creación de cuentas falsas. Para obtener información sobre cómo usar la protección de cuentas de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web contra la creación de cuentas:

Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:
- Para el umbral de puntuación de reCAPTCHA más bajo (0.0), limita las acciones de la cuenta hasta que se someta a más verificaciones de fraude.
- Para el umbral de puntuación intermedio (0.1-0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Los umbrales de puntuación pueden variar según los usuarios y los atacantes. Te recomendamos que uses el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones en las que debes tomar medidas.
Finaliza o interrumpe las sesiones de los usuarios finales que se autentican correctamente, pero que reciben una respuesta credentialsLeaked: true de la detección de filtraciones de contraseñas de reCAPTCHA y pídeles que seleccionen una contraseña nueva.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no permitas el registro ni la creación de la cuenta.
En tu evaluación, si accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, limita el acceso de la cuenta hasta que se pueda realizar una validación adicional.

Cambios fraudulentos de cuentas y direcciones

Los atacantes pueden intentar cambiar los detalles de la cuenta, como las direcciones de correo electrónico, los números de teléfono o las direcciones de correo postal, como parte de una actividad fraudulenta o de un robo de cuenta.

Implementación mínima

Instala claves de sitios de cuadros de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones de acceso y olvidé mi contraseña. Para obtener información sobre cómo instalar claves de sitios de casillas de verificación, consulta Instala claves de sitios de casillas de verificación (desafío de casilla de verificación) en sitios web.

Nota: Las claves de sitios de casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuación en todas las páginas en las que se crean las cuentas. Especifica una acción en el parámetro action, como change_telephone o change_physicalmail. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Implementa el defensor de cuentas de reCAPTCHA para detectar tendencias en el comportamiento del usuario final en todos los accesos y recibir indicadores adicionales que puedan indicar una ATO. Para obtener información sobre cómo usar la protección de cuentas de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de cambios fraudulentos de cuentas y direcciones:

Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:
- Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Los umbrales de puntuación pueden variar según los usuarios y los atacantes. Te recomendamos que uses el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones en las que debes tomar medidas.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no permitas cambios en la cuenta.
En tu evaluación, si accountDefenderAssessment no tiene la etiqueta PROFILE_MATCH, desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.

Cracking de tokens

El descifrado de tokens es una amenaza automatizada en la que los atacantes realizan una enumeración masiva de números de cupones, códigos de cupones y tokens de descuento.

Implementación mínima

Instala claves de sitios de casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar la información de su tarjeta de regalo. Para obtener información sobre cómo instalar claves de sitios de casillas de verificación, consulta Instala claves de sitios de casillas de verificación (desafío de casilla de verificación) en sitios web.

Nota: Las claves de sitios de casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar la información de su tarjeta de regalo. Especifica una acción, como gift_card_entry. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en tarjetas de regalo o cupones fraudulentos.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del descifrado de tokens:

Configura las APIs de administración de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y las puntuaciones sean superiores a su valor de umbral.

Si las puntuaciones no cumplen o superan el umbral especificado, no ejecutes una autorización de tarjeta de regalo o de crédito, ni permitas que el usuario final use el cupón o la tarjeta de regalo. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cálcala más adelante para evitar alertar al atacante.
Cuando crees evaluaciones, asegúrate de que cumplan con los siguientes criterios para que la transacción se realice correctamente:
- Todos los tokens evaluados son válidos y tienen una puntuación superior a un valor de umbral especificado.
- El valor de expectedAction coincide con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuación en tus páginas web. Para obtener información sobre cómo verificar acciones, consulta Cómo verificar acciones.
Si una transacción no cumple con estos criterios, no ejecutes una autorización de tarjeta de crédito ni de tarjeta de regalo, ni permitas que el usuario final use el cupón o la tarjeta de regalo. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cálcala más adelante para evitar alertar al atacante.

Scalping

El scalping es una amenaza automatizada en la que los atacantes obtienen bienes o servicios preferidos y de disponibilidad limitada con métodos desleales.

Implementación mínima

Instala claves de sitios basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar la información de su tarjeta de regalo. Especifica una acción en el parámetro action, como add_to_cart. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitios basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar la información de su tarjeta de regalo. Especifica una acción en el parámetro action, como add_to_cart. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del scalping:

Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:
- Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras superiores a un valor especificado.
- Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Los umbrales de puntuación pueden variar según los usuarios y los atacantes. Te recomendamos que uses el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones en las que debes tomar medidas.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no ejecutes la autorización de la tarjeta de regalo.

Skewing

El sesgo es una amenaza automatizada en la que los atacantes usan clics repetidos en vínculos, solicitudes de página o envíos de formularios para alterar algunas métricas.

Implementación mínima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que sea posible que se produzcan sesgos de métricas. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que sea posible que se produzcan sesgos de métricas. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del sesgo:

Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:

Para un umbral de puntuación de bajo a intermedio (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como hacer un seguimiento de la cantidad de veces que un usuario hizo clic en un anuncio o la cantidad de veces que volvió a cargar la página. Usa estos datos para determinar si se debe registrar la métrica.
Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.

Scraping

El raspado es una amenaza automatizada en la que los atacantes recopilan datos o artefactos del sitio web de forma automática.

Implementación mínima

Instala claves de sitio basadas en puntuación en todas las páginas en las que reside información importante y en las páginas de interacción comunes clave del usuario final. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuación en todas las páginas en las que reside información importante y en las páginas de interacción comunes clave del usuario final. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del raspado:

Habilita el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA mediante la integración de reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Si el raspado incluye APIs, usa las APIs de Apigee Management para mitigar el problema.

Derrota del CAPTCHA

La derrota de CAPTCHA es una amenaza automatizada en la que los atacantes usan la automatización para intentar analizar y determinar la respuesta a las pruebas de CAPTCHA visuales o auditivas y los rompecabezas relacionados.

Implementación mínima

Instala claves de sitios basadas en puntuaciones en todas las páginas que incluyan entradas del usuario final, creación de cuentas, información de pago o interacciones del usuario final con el potencial de fraude. Especifica una acción descriptiva en el parámetro action. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

Instala claves de sitios basadas en puntuaciones en todas las páginas que incluyan entradas del usuario final, creación de cuentas, información de pago o interacciones del usuario final con el potencial de fraude. Especifica una acción descriptiva en el parámetro action. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para aprender a anotar evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web contra la derrota de CAPTCHA:

Implementa un modelo de respuesta y crea evaluaciones:
1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.
  
  En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:
  - Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
  - Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  Nota: Los umbrales de puntuación pueden variar según los usuarios y los atacantes. Te recomendamos que uses el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones en las que debes tomar medidas.
2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no permitas la autenticación.
Si los usuarios finales usan navegadores web que tienen inhabilitado JavaScript, haz lo siguiente:
1. Bloquea a esos usuarios finales.
2. Notifica a los usuarios finales que tu sitio web requiere JavaScript para continuar.
Asegúrate de que se cumpla la promesa de grecaptcha.enterprise.ready para evitar que se carguen los navegadores de los usuarios finales que bloquean la secuencia de comandos de Google. Esto indica que reCAPTCHA se cargó por completo y no encontró un error.
En el caso de las APIs solo web, te recomendamos que pases el token de reCAPTCHA o el resultado de la evaluación de reCAPTCHA a la API de backend y, luego, solo permitas la acción de la API si el token de reCAPTCHA es válido y cumple con un valor de umbral de puntuación. Esto garantiza que el usuario final no use la API sin pasar por el sitio web.

Prácticas recomendadas para protegerse de amenazas automatizadas

Carding

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Piratería informática en las tarjetas

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Craqueo de credenciales

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Uso excesivo de credenciales

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Cómo retirar dinero

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Creación de la cuenta

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Cambios fraudulentos de cuentas y direcciones

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Cracking de tokens

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Scalping

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Skewing

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Scraping

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Derrota del CAPTCHA

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

¿Qué sigue?