Prácticas recomendadas para la protección contra amenazas automatizadas

En este documento, se describen las implementaciones recomendadas de reCAPTCHA y las estrategias de mitigación de fraudes para defenderse de las amenazas automatizadas críticas (Amenazas automatizadas (OAT) de OWASP para aplicaciones web). Los arquitectos empresariales y las partes interesadas en la tecnología pueden revisar esta información para tomar una decisión fundamentada sobre la implementación de reCAPTCHA y la estrategia de mitigación de fraudes para su caso de uso.

Este documento contiene la siguiente información para cada tipo de amenaza:

  • Implementación óptima de reCAPTCHA. Esta implementación está diseñada con las funciones relevantes de reCAPTCHA para brindar la mejor protección contra el fraude.

  • Tiene una implementación mínima de reCAPTCHA. Esta implementación es diseñados para un mínimo de protección contra fraude.

  • Estrategias recomendadas de mitigación de fraudes

Elige la estrategia de implementación y mitigación de fraudes que mejor se adapte a tu caso de uso. Los siguientes factores podrían influir en la implementación y la mitigación de fraudes estrategia que elijas:

  • Las necesidades y capacidades de la organización en materia de prevención de fraudes
  • Entorno existente de la organización.

Obtén más información sobre las estrategias de mitigación de fraudes de tu caso de uso: comunícate con nuestro equipo de ventas.

Tarjetas

El carding es una amenaza automatizada en la que los atacantes realizan varios intentos de autorización de pago para verificar la validez de los datos de tarjetas de pago robados en grandes cantidades.

Implementación mínima

  1. Instala claves de sitio de casilla de verificación en todas las páginas en las que los usuarios finales deban ingresar su información de tarjeta de crédito. Para obtener información sobre cómo instalar claves de sitios de casillas de verificación, consulta Instala claves de sitios de casillas de verificación (desafío de casilla de verificación) en sitios web.

  2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar su la información de la tarjeta de crédito. Especifica una acción en el parámetro action, como card_entry. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.

  2. Instala reCAPTCHA para el flujo de trabajo de pagos en tu sitio web. Para aprender a proteger para tu flujo de trabajo de pago, consulta Protege los flujos de trabajo de pago.

  3. Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

  4. Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para aprender a anotar evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del robo de tarjetas:

  • Instala reCAPTCHA para el flujo de trabajo de pago en tu sitio web. Para aprender a proteger para tu flujo de trabajo de pago, consulta Protege los flujos de trabajo de pago.

  • Configura las APIs de administración de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y las puntuaciones son superiores al valor de umbral.

    Si las puntuaciones no cumplen o superan el valor de umbral especificado, no ejecutes una autorización de la tarjeta ni permitas que el usuario final la use. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancela la transacción más adelante para evitar alertar al atacante.

  • Cuando crees evaluaciones, asegúrate de que cumplan con los siguientes criterios para que la transacción se realice correctamente:

    • Todos los tokens evaluados son válidos y tienen una puntuación superior a un valor de umbral especificado.
    • El valor de expectedAction coincide con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuación en tus páginas web. Para obtener información sobre cómo verificar acciones, consulta Cómo verificar acciones.

    Si una transacción no cumple con estos criterios, no ejecutes una autorización de la tarjeta ni permitas que el usuario final la use. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancela la transacción más adelante para evitar alertar al atacante.

Piratería informática en las tarjetas

El descifrado de tarjetas es una amenaza automatizada en la que los atacantes identifican los valores faltantes de la fecha de inicio, la fecha de vencimiento y los códigos de seguridad de los datos de tarjetas de pago robados probando diferentes valores.

Implementación mínima

  1. Instala claves de sitio de casilla de verificación en todas las páginas en las que los usuarios finales deban ingresar sus detalles de pago, incluidas las funciones de confirmación de la compra y agregar forma de pago. Si deseas obtener información para instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

  2. Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deban ingresar sus detalles de pago. Especifica una acción en el parámetro action, como checkout o add_pmtmethod. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.

  2. Instala reCAPTCHA para el flujo de trabajo de pago en tu sitio web. Para aprender a proteger para tu flujo de trabajo de pago, consulta Protege los flujos de trabajo de pago.

  3. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

  4. Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para aprender a anotar evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del descifrado de tarjetas:

  • Instala reCAPTCHA para el flujo de trabajo de pago en tu sitio web. Para aprender a proteger para tu flujo de trabajo de pago, consulta Protege los flujos de trabajo de pago.

  • Implementa un modelo de respuesta y crea evaluaciones:

    1. Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.

      En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

      • Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras superiores a un valor especificado.
      • Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin cualquier desafío.

    2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalar claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no ejecutes una autorización de la tarjeta ni permitas que el usuario final la use. Si es posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que se dé aviso al atacante.

Craqueo de credenciales

El descifrado de credenciales es una amenaza automatizada en la que los atacantes identifican accesos válidos las credenciales con diferentes valores de nombres de usuario y contraseñas.

Implementación mínima

  1. Instala claves de sitios de cuadros de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones de acceso y olvidé mi contraseña. Si deseas obtener información para instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

  2. Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
  2. Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener información sobre cómo usar la detección de filtración de contraseñas, consulta Cómo detectar filtraciones de contraseñas y credenciales vulneradas.
  3. Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicaciones web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
  4. Implementa el defensor de la cuenta de reCAPTCHA para asegurar tendencias el comportamiento de los usuarios en los accesos y recibir señales adicionales que pueden indicar el equipo de ATO. Para obtener información sobre cómo usar la protección de cuentas de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
  5. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.
  6. Guarda todos los IDs de evaluación y anota la evaluación que parezca fraudulenta, como apropiaciones de cuentas (ATO) o cualquier otra actividad fraudulenta. Si deseas obtener información para anotar evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente mitigación de fraudes para proteger tu sitio web de la piratería informática:

  1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

    En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:

    • Para un umbral de puntuación bajo a intermedio (de 0.0 a 0.5), desafía al usuario final con la autenticación de varios factores. autenticación por correo electrónico o SMS.
    • Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin cualquier desafío.
  2. Finalizar o interrumpir las sesiones de los usuarios finales que se autentican correctamente, pero recibir una respuesta credentialsLeaked: true de reCAPTCHA detección de filtración de contraseñas y enviar un correo electrónico a los usuarios finales para que cambien su contraseña.
  3. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalar claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas la autenticación.

Uso excesivo de credenciales

El uso excesivo de credenciales es una amenaza automatizada en la que los atacantes usan accesos masivos intenta verificar la validez de los pares de nombre de usuario/contraseña robados.

Implementación mínima

  1. Instalar claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deben ingresar sus credenciales incluidas las funciones login y olvidé mi contraseña. Si deseas obtener información para instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

  2. Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
  2. Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener información sobre cómo usar la detección de filtración de contraseñas, consulta Cómo detectar filtraciones de contraseñas y credenciales vulneradas.
  3. Implementa el defensor de la cuenta de reCAPTCHA para asegurar tendencias el comportamiento de los usuarios en los accesos y recibir señales adicionales que pueden indicar el equipo de ATO. Si quieres obtener información para usar el defensor de la cuenta de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
  4. Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicaciones web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.

  5. Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

  6. Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para aprender a anotar evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del uso excesivo de credenciales:

  1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

    En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:

    • Para el umbral de puntuación de reCAPTCHA más bajo (0.0), infórmale al usuario final que su contraseña es incorrecta.
    • Para el umbral de puntuación intermedia (de 0.1 a 0.5), desafía al usuario final con la autenticación de varios factores. autenticación por correo electrónico o SMS.
    • Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  2. Finalizar o interrumpir las sesiones de los usuarios finales que se autentican correctamente, pero recibir una respuesta credentialsLeaked: true de reCAPTCHA detección de filtración de contraseñas y enviar un correo electrónico a los usuarios finales para que cambien su contraseña.
  3. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no permitas la autenticación.
  4. En tu evaluación, si accountDefenderAssessment=PROFILE_MATCH, permite que el usuario final continúe sin ningún desafío.

Cómo retirar dinero

El retiro de dinero es una amenaza automatizada en la que los atacantes obtienen dinero o valor artículos mediante la utilización de tarjetas de pago robadas previamente validadas.

Implementación mínima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se pueda confirmar la compra. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
  2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales ingresan la información de su tarjeta de regalo. Especifica una acción, como add_gift_card. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
  2. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

  3. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del retiro de efectivo:

  • Instala reCAPTCHA para el flujo de trabajo de pago en tu sitio web. Para aprender a proteger para tu flujo de trabajo de pago, consulta Protege los flujos de trabajo de pago.

  • Implementa un modelo de respuesta y crea evaluaciones:

    1. Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.

      En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

      • Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras superiores a un valor especificado.
      • Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin cualquier desafío.
    2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalar claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas la autenticación. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancela la transacción más adelante para evitar alertar al atacante.

Creación de la cuenta

La creación de cuentas es una amenaza automatizada en la que los atacantes crean varias cuentas para su posterior uso inadecuado.

Implementación mínima

  1. Instalar claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deben ingresar sus credenciales incluidas las funciones login y olvidé mi contraseña. Para obtener información sobre cómo instalar claves de sitios de casillas de verificación, consulta Instala claves de sitios de casillas de verificación (desafío de casilla de verificación) en sitios web.

  2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se crean cuentas. Especifica una acción en el parámetro action, como register. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
  2. Recomendado: Implementa la detección de filtración de contraseñas de reCAPTCHA para todos intentos de autenticación. Para obtener información sobre cómo usar la detección de filtraciones de contraseñas, consulta Cómo detectar filtraciones de contraseñas y credenciales vulneradas.
  3. Implementa el defensor de la cuenta de reCAPTCHA para recibir que indican creaciones falsas de cuentas. Si quieres obtener información para usar el defensor de la cuenta de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
  4. Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.

  5. Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

  6. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web contra la creación de cuentas:

  1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

    En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:

    • Para obtener el umbral de puntuación más bajo de reCAPTCHA (0.0), limita las acciones de la cuenta hasta que se someta a más verificaciones de fraudes.
    • Para el umbral de puntuación intermedia (de 0.1 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
    • Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  2. Finalizar o interrumpir las sesiones de los usuarios finales que se autentican correctamente, pero recibir una respuesta credentialsLeaked: true de reCAPTCHA la detección de filtración de contraseñas y le pedirán al usuario que seleccione una nueva.
  3. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalar claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas el registro ni la creación de la cuenta.
  4. En tu evaluación, si accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restringir el acceso de la cuenta hasta que se pueda realizar una validación adicional.

Cambios fraudulentos en la cuenta y la dirección

Los atacantes podrían intentar cambiar los detalles de la cuenta, como las direcciones de correo electrónico, números de teléfono o direcciones de correo postal como parte de actividades fraudulentas apropiación de cuentas.

Implementación mínima

  1. Instala claves de sitios de cuadros de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones de acceso y olvidé mi contraseña. Si deseas obtener información para instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

  2. Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se crean las cuentas. Especifica una acción en el parámetro action, como change_telephone o change_physicalmail. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.

  2. Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

  3. Implementa el defensor de cuentas de reCAPTCHA para detectar tendencias en el comportamiento del usuario final en todos los accesos y recibir indicadores adicionales que puedan indicar una ATO. Si quieres obtener información para usar el defensor de la cuenta de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.

  4. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa el seguir la estrategia de mitigación de fraudes para proteger tu sitio web de actividades cambios en la cuenta y la dirección:

  1. Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.

    En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:

    • Para un umbral de puntuación bajo a intermedio (de 0.0 a 0.5), desafía al usuario final con la autenticación de varios factores. autenticación por correo electrónico o SMS.
    • Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin cualquier desafío.

  2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no permitas cambios en la cuenta.

  3. En tu evaluación, si accountDefenderAssessment no tiene la Etiqueta PROFILE_MATCH, desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.

Descifrado de tokens

El descifrado de tokens es una amenaza automatizada en la que los atacantes realizan una enumeración masiva de números de cupones, códigos de cupones y tokens de descuento.

Implementación mínima

  1. Instala claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deben ingresar su información de la tarjeta de regalo. Si deseas obtener información para instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

  2. Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar su información de la tarjeta de regalo. Especifica una acción, como gift_card_entry. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.

  2. Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicaciones web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.

  3. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

  4. Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en tarjetas de regalo o cupones fraudulentos.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del descifrado de tokens:

  • Configura las APIs de administración de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y las puntuaciones sean superiores a su valor de umbral.

    Si las puntuaciones no alcanzan o superan el umbral especificado, no ejecutes un una autorización de tarjeta de crédito o de regalo, o permitir que el usuario final utilice el cupón, tarjeta de regalo. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancela la transacción más adelante para evitar alertar al atacante.

  • Cuando crees evaluaciones, asegúrate de que cumplan con los siguientes criterios para que la transacción se realice correctamente:

    • Todos los tokens evaluados son válidos y tienen una puntuación superior a un valor de umbral especificado.
    • El valor de expectedAction coincide con el valor de action que especificaste cuando instalar claves de sitios basadas en puntuaciones en tus páginas web. Para obtener información sobre cómo verificar acciones, consulta Cómo verificar acciones.

    Si una transacción no cumple con estos criterios, no ejecutes un una autorización de tarjeta de crédito o de regalo, o permitir que el usuario final utilice el un cupón o una tarjeta de regalo. Cuando sea posible, permite que la transacción se realice en el momento de la compra, pero cancela la transacción más adelante para evitar alertar al atacante.

Escalamiento

El scalping es una amenaza automatizada en la que los atacantes obtienen bienes o servicios preferidos y de disponibilidad limitada con métodos desleales.

Implementación mínima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que deben ingresar los usuarios finales la información de su tarjeta de regalo. Especifica una acción en el parámetro action, como add_to_cart. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.
  2. Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que deben ingresar los usuarios finales la información de su tarjeta de regalo. Especifica una acción en el parámetro action, como add_to_cart. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.

  2. Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.

  3. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

  4. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente mitigación de fraudes para proteger tu sitio web de las operaciones de actualización:

  1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

    En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

    • Para el umbral de puntuación de baja a intermedia (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras superiores a un valor especificado.
    • Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin cualquier desafío.

  2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalar claves de sitios basadas en puntuaciones en tus páginas web. Si no coinciden, no los la autorización de la tarjeta de regalo.

Sesgo

El sesgo es una amenaza automatizada en la que los atacantes utilizan clics repetidos en vínculos, páginas solicitudes o envíos de formularios para alterar alguna métrica.

Implementación mínima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que sea posible el sesgo de métricas. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
  2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que sea posible el sesgo de métricas. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.

  2. Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.

  3. Crea evaluaciones para todos los tokens y establece expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

  4. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente mitigación de fraudes para proteger tu sitio web de sesgos:

Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en la puntuación.

En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:

  • Para un umbral de puntuación de bajo a intermedio (0.0 a 0.5), usa la administración de riesgos basada en el contexto, como hacer un seguimiento de la cantidad de veces que un usuario hizo clic en un anuncio o la cantidad de veces que volvió a cargar la página. Usa estos datos para determinar si se debe contar la métrica.
  • Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.

Raspado

El scraping es una amenaza automatizada en la que los atacantes recopilan datos o artefactos del sitio web de forma automatizada.

Implementación mínima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se encuentra información importante y en aplicaciones las páginas de interacción del usuario final. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
  2. Crea evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

Implementación óptima

  1. Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se encuentra información importante y en aplicaciones las páginas de interacción del usuario final. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.

  2. Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.

  3. Crear evaluaciones para todos los tokens. Para obtener información sobre cómo crear evaluaciones, consulta Crea una evaluación.

  4. Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa las siguientes estrategias de mitigación de fraudes para proteger tu sitio web del scraping:

Derrota del CAPTCHA

La derrota de los CAPTCHA es una amenaza automatizada en la que los atacantes utilizan la automatización en un intentan analizar y determinar la respuesta a un CAPTCHA visual o auditivo y los acertijos relacionados.

Implementación mínima

  1. Instala claves de sitios basadas en puntuaciones en todas las páginas que incluyan entradas del usuario final, creación de cuentas, información de pago o interacciones del usuario final con el potencial de fraude. Especifica una acción descriptiva en el parámetro action. Para obtener información sobre cómo instalar claves de sitios basadas en puntuaciones, consulta Instala claves de sitios basadas en puntuaciones (sin desafíos) en sitios web.

  2. Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

  1. Instala claves de sitios basadas en puntuaciones en todas las páginas que incluyan entradas del usuario final, creación de cuentas, información de pago o interacciones del usuario final con el potencial de fraude. Especifica una acción descriptiva en el parámetro action. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
  2. Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicaciones web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.

  3. Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en la puntuación. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

  4. Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones de cargos como fraudulent. Para aprender a anotar evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa uno de los siguientes métodos de fraude: estrategias de mitigación para proteger tu sitio web de la anulación de CAPTCHA:

  • Implementa un modelo de respuesta y crea evaluaciones:

    1. Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.

      En el siguiente ejemplo, se muestra un modelo de respuesta de ejemplo:

      • Para un umbral de puntuación bajo a intermedio (de 0.0 a 0.5), desafía al usuario final con la autenticación de varios factores. autenticación por correo electrónico o SMS.
      • Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin cualquier desafío.
    2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitios basadas en la puntuación en tus páginas web. Si no coinciden, no permitas la autenticación.
  • Si los usuarios finales usan navegadores web que tienen inhabilitado JavaScript, haz lo siguiente:

    1. Bloquea a esos usuarios finales.
    2. Notifica a los usuarios finales que tu sitio web requiere JavaScript para continuar.
  • Asegúrate de que se cumpla la promesa grecaptcha.enterprise.ready para evitar de los usuarios finales navegadores que no permiten que se cargue la secuencia de comandos de Google. Esto indica que reCAPTCHA está completamente cargado y no se produjo un error.

  • En el caso de las APIs solo web, te recomendamos que pases el token de reCAPTCHA o el resultado de la evaluación de reCAPTCHA a la API de backend y, luego, solo permitas la acción de la API si el token de reCAPTCHA es válido y cumple con un valor de umbral de puntuación. Esto garantiza que el final el usuario no usa la API sin pasar por el sitio web.

¿Qué sigue?