Prácticas recomendadas para protegerse frente a amenazas automatizadas

En este documento se describen las implementaciones recomendadas de reCAPTCHA y las estrategias de mitigación de fraudes para defenderse de las amenazas automatizadas críticas (amenazas automatizadas de OWASP (OAT) para aplicaciones web). Los arquitectos empresariales y las partes interesadas en la tecnología pueden consultar esta información para tomar una decisión fundamentada sobre la implementación de reCAPTCHA y la estrategia de mitigación del fraude en su caso práctico.

Este documento contiene la siguiente información sobre cada tipo de amenaza:

• Implementación óptima de reCAPTCHA. Esta implementación se ha diseñado con las funciones pertinentes de reCAPTCHA para ofrecer la mejor protección contra el fraude.

• Implementación mínima de reCAPTCHA. Esta implementación se ha diseñado para ofrecer una protección antifraude mínima.

• Estrategias de mitigación de fraudes recomendadas.

Elige la implementación y la estrategia de mitigación del fraude que mejor se adapten a tu caso práctico. Los siguientes factores pueden influir en la implementación y en la estrategia de mitigación del fraude que elijas:

• Las necesidades y las funciones antifraude de la organización.
• Entorno de la organización.

Para obtener más información sobre las estrategias de mitigación del fraude para tu caso práctico, ponte en contacto con nuestro equipo de Ventas.

Carding

El carding es una amenaza automatizada en la que los atacantes realizan varios intentos de autorización de pago para verificar la validez de los datos de tarjetas de pago robados en bloque.

Implementación mínima

1. Instala claves de sitio de casilla en todas las páginas en las que los usuarios finales deban introducir la información de su tarjeta de crédito. Para saber cómo instalar claves de sitio de casillas, consulta el artículo Instalar claves de sitio de casillas (prueba de casilla) en sitios web.

2. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que los usuarios finales deban introducir la información de su tarjeta de crédito. Especifique una acción en el parámetro action, como card_entry. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.

2. Instala reCAPTCHA en el flujo de trabajo de pago de tu sitio web. Para saber cómo proteger tu flujo de trabajo de pagos, consulta Proteger flujos de trabajo de pagos.

3. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

4. Guarda todos los IDs de las evaluaciones y anota las que se conviertan en compras fraudulentas o devoluciones de cargo como fraudulent. Para saber cómo anotar evaluaciones, consulta Anotar una evaluación.

Estrategia de mitigación del fraude

Una vez que hayas implementado reCAPTCHA, utiliza una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web frente al carding:

• Instala reCAPTCHA en el flujo de trabajo de pago de tu sitio web. Para saber cómo proteger tu flujo de trabajo de pagos, consulta Proteger flujos de trabajo de pagos.

• Configura las APIs de gestión de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y de que las puntuaciones sean superiores a su valor de umbral.

  Si las puntuaciones no alcanzan o superan el valor de umbral especificado, no ejecutes una autorización de tarjeta ni permitas que el usuario final utilice la tarjeta. Cuando sea posible, permite que la transacción se lleve a cabo en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

• Cuando cree evaluaciones, asegúrese de que cumplen los siguientes criterios para que la transacción se realice correctamente:

  • Todos los tokens evaluados son válidos y tienen una puntuación superior a un valor de umbral especificado.
  • El valor de expectedAction coincide con el valor de action que especificaste al instalar las claves de sitio basadas en una puntuación en tus páginas web. Para saber cómo verificar las acciones, consulta Verificar acciones.

  Si una transacción no cumple estos criterios, no ejecutes una autorización de tarjeta ni permitas que el usuario final utilice la tarjeta. Cuando sea posible, permite que la transacción se lleve a cabo en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

Card cracking

El descifrado de tarjetas es una amenaza automatizada en la que los atacantes identifican los valores que faltan de la fecha de inicio, la fecha de vencimiento y los códigos de seguridad de los datos de tarjetas de pago robadas probando diferentes valores.

Implementación mínima

1. Instala claves de sitio de casilla en todas las páginas en las que los usuarios finales tengan que introducir sus datos de pago, incluidas las funciones Tramitación de compra y Añadir método de pago. Para saber cómo instalar claves de sitio de casillas, consulta el artículo Instalar claves de sitio de casillas (prueba de casilla) en sitios web.

2. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en una puntuación en todas las páginas en las que los usuarios finales tengan que introducir sus datos para pagos. Especifica una acción en el parámetro action, como checkout o add_pmtmethod. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.

2. Instala reCAPTCHA en el flujo de trabajo de pago de tu sitio web. Para saber cómo proteger tu flujo de trabajo de pagos, consulta Proteger flujos de trabajo de pagos.

3. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

4. Guarda todos los IDs de las evaluaciones y anota las que se conviertan en compras fraudulentas o devoluciones de cargo como fraudulent. Para saber cómo anotar evaluaciones, consulta Anotar una evaluación.

Estrategia de mitigación del fraude

Una vez que hayas implementado reCAPTCHA, utiliza una de las siguientes estrategias de mitigación del fraude para proteger tu sitio web frente al cracking de tarjetas:

• Instala reCAPTCHA en el flujo de trabajo de pago de tu sitio web. Para saber cómo proteger tu flujo de trabajo de pagos, consulta Proteger flujos de trabajo de pagos.

• Implementa un modelo de respuesta y crea evaluaciones:

  1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en puntuaciones.

     En el siguiente ejemplo se muestra un modelo de respuesta de ejemplo:

     • Para umbrales de puntuación de riesgo de bajo a intermedio (0,0-0,5), usa la gestión de riesgos basada en el contexto, como limitar el número de intentos y bloquear las compras que superen un valor especificado.
     • En el caso del umbral de puntuación más alto (> 0,5), permite que el usuario final continúe sin ningún reto.

  2. Cuando cree evaluaciones, asegúrese de que el valor de expectedAction coincida con el valor de action que especificó al instalar las claves de sitio basadas en una puntuación en sus páginas web. Si no coinciden, no ejecutes una autorización de tarjeta ni permitas que el usuario final use la tarjeta. Cuando sea posible, permite que la transacción se lleve a cabo en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

Descifrado de credenciales

El descifrado de credenciales es una amenaza automatizada en la que los atacantes identifican credenciales de inicio de sesión válidas probando diferentes valores para nombres de usuario y contraseñas.

Implementación mínima

1. Instala claves de sitio de casilla en todas las páginas en las que los usuarios finales tengan que introducir sus credenciales, incluidas las funciones Iniciar sesión y He olvidado mi contraseña. Para saber cómo instalar claves de sitio de casillas, consulta el artículo Instalar claves de sitio de casillas (prueba de casilla) en sitios web.

2. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en una puntuación en todas las páginas en las que los usuarios finales tengan que introducir sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.
2. Recomendación: Implementa la defensa de contraseñas de reCAPTCHA en todos los intentos de autenticación. Para saber cómo usar la defensa de contraseñas, consulta Detectar contraseñas filtradas y credenciales vulneradas.
3. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un cortafuegos de aplicaciones web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA for WAF y Google Cloud Armor.
4. Implementa Account Defender de reCAPTCHA para monitorizar el comportamiento de los usuarios finales en los inicios de sesión y recibir señales adicionales que puedan indicar una apropiación de cuenta. Para saber cómo usar Account Defender de reCAPTCHA, consulta Detectar y evitar actividades fraudulentas relacionadas con cuentas.
5. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.
6. Guarda todos los IDs de evaluación y anota la evaluación que parezca fraudulenta, como las apropiaciones de cuentas (ATOs) o cualquier otra actividad fraudulenta. Para saber cómo anotar evaluaciones, consulta Anotar una evaluación.

Estrategia de mitigación del fraude

Una vez que hayas implementado reCAPTCHA, utiliza la siguiente estrategia de mitigación de fraudes para proteger tu sitio web frente al descifrado de contraseñas:

1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en puntuaciones.

   En el siguiente ejemplo se muestra un modelo de respuesta de ejemplo:

   • Para umbrales de puntuación de baja a intermedia (de 0,0 a 0,5), pide al usuario final que complete la autenticación multifactor por correo electrónico o SMS.
   • En el caso del umbral de puntuación más alto (> 0,5), permite que el usuario final continúe sin ningún reto.
2. Finaliza o interrumpe las sesiones de los usuarios finales que se autentiquen correctamente, pero reciban una respuesta credentialsLeaked: true de reCAPTCHA Password Defense, y envía un correo a los usuarios finales para que cambien su contraseña.
3. Cuando cree evaluaciones, asegúrese de que el valor de expectedAction coincida con el valor de action que especificó al instalar las claves de sitio basadas en una puntuación en sus páginas web. Si no coinciden, no permitas la autenticación.

Rellenado de credenciales

El relleno de credenciales es una amenaza automatizada en la que los atacantes usan intentos de inicio de sesión masivos para verificar la validez de pares de nombre de usuario y contraseña robados.

Implementación mínima

1. Instala claves de sitio de casilla en todas las páginas en las que los usuarios finales tengan que introducir sus credenciales, incluidas las funciones Iniciar sesión y He olvidado mi contraseña. Para saber cómo instalar claves de sitio de casillas, consulta el artículo Instalar claves de sitio de casillas (prueba de casilla) en sitios web.

2. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en una puntuación en todas las páginas en las que los usuarios finales tengan que introducir sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.
2. Recomendación: Implementa la defensa de contraseñas de reCAPTCHA en todos los intentos de autenticación. Para saber cómo usar la defensa de contraseñas, consulta Detectar contraseñas filtradas y credenciales vulneradas.
3. Implementa Account Defender de reCAPTCHA para monitorizar el comportamiento de los usuarios finales en los inicios de sesión y recibir señales adicionales que puedan indicar una apropiación de cuenta. Para saber cómo usar Account Defender de reCAPTCHA, consulta Detectar y evitar actividades fraudulentas relacionadas con cuentas.

4. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un cortafuegos de aplicaciones web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA for WAF y Google Cloud Armor.

5. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

6. Guarda todos los IDs de las evaluaciones y anota las que se conviertan en compras fraudulentas o devoluciones de cargo como fraudulent. Para saber cómo anotar evaluaciones, consulta Anotar una evaluación.

Estrategia de mitigación del fraude

Una vez que hayas implementado reCAPTCHA, utiliza la siguiente estrategia de mitigación de fraudes para proteger tu sitio web frente al relleno de credenciales:

1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en puntuaciones.

   En el siguiente ejemplo se muestra un modelo de respuesta de ejemplo:

   • En el caso del umbral de puntuación de reCAPTCHA más bajo (0,0), informa al usuario final de que su contraseña es incorrecta.
   • En el caso del umbral de puntuación intermedia (entre 0,1 y 0,5), solicita al usuario final que complete la autenticación multifactor por correo electrónico o SMS.
   • En el caso del umbral de puntuación más alto (> 0,5), permite que el usuario final continúe sin ningún reto.
2. Finaliza o interrumpe las sesiones de los usuarios finales que se autentiquen correctamente, pero reciban una respuesta credentialsLeaked: true de reCAPTCHA Password Defense, y envía un correo a los usuarios finales para que cambien su contraseña.
3. Cuando cree evaluaciones, asegúrese de que el valor de expectedAction coincida con el valor de action que especificó al instalar las claves de sitio basadas en una puntuación en sus páginas web. Si no coinciden, no permitas la autenticación.
4. En tu evaluación, si accountDefenderAssessment=PROFILE_MATCH, permite que el usuario final continúe sin ningún paso adicional.

Retirar dinero

El cashing out es una amenaza automatizada en la que los atacantes obtienen divisas o artículos de alto valor mediante el uso de tarjetas de pago robadas y validadas previamente.

Implementación mínima

1. Instala claves de sitio basadas en una puntuación en todas las páginas en las que se pueda completar la compra. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.
2. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en una puntuación en todas las páginas en las que los usuarios finales introduzcan la información de su tarjeta regalo. Especifica una acción, como add_gift_card. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.

2. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

3. Guarda todos los IDs de evaluación y anota las transacciones fraudulentas.

Estrategia de mitigación del fraude

Una vez que hayas implementado reCAPTCHA, utiliza la siguiente estrategia de mitigación de fraudes para proteger tu sitio web frente a la retirada de fondos:

• Instala reCAPTCHA en el flujo de trabajo de pago de tu sitio web. Para saber cómo proteger tu flujo de trabajo de pagos, consulta Proteger flujos de trabajo de pagos.

• Implementa un modelo de respuesta y crea evaluaciones:

  1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en puntuaciones.

     En el siguiente ejemplo se muestra un modelo de respuesta de ejemplo:

     • Para umbrales de puntuación de riesgo de bajo a intermedio (0,0-0,5), usa la gestión de riesgos basada en el contexto, como limitar el número de intentos y bloquear las compras que superen un valor especificado.
     • En el caso del umbral de puntuación más alto (> 0,5), permite que el usuario final continúe sin ningún reto.
  2. Cuando cree evaluaciones, asegúrese de que el valor de expectedAction coincida con el valor de action que especificó al instalar las claves de sitio basadas en una puntuación en sus páginas web. Si no coinciden, no permitas la autenticación. Cuando sea posible, permite que la transacción se lleve a cabo en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

Creación de cuentas

La creación de cuentas es una amenaza automatizada en la que los atacantes crean varias cuentas para usarlas de forma inadecuada posteriormente.

Implementación mínima

1. Instala claves de sitio de casilla en todas las páginas en las que los usuarios finales tengan que introducir sus credenciales, incluidas las funciones Iniciar sesión y He olvidado mi contraseña. Para saber cómo instalar claves de sitio de casillas, consulta el artículo Instalar claves de sitio de casillas (prueba de casilla) en sitios web.

2. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en una puntuación en todas las páginas en las que se creen cuentas. Especifique una acción en el parámetro action, como register. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.
2. Recomendación: Implementa la defensa de contraseñas de reCAPTCHA en todos los intentos de autenticación. Para saber cómo usar la defensa de contraseñas, consulta Detectar contraseñas filtradas y credenciales vulneradas.
3. Implementa Account Defender de reCAPTCHA para recibir señales adicionales que indiquen la creación de cuentas falsas. Para saber cómo usar Account Defender de reCAPTCHA, consulta Detectar y evitar actividades fraudulentas relacionadas con cuentas.

4. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un cortafuegos de aplicaciones web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA for WAF y Google Cloud Armor.

5. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

6. Guarda todos los IDs de evaluación y anota las transacciones fraudulentas.

Estrategia de mitigación del fraude

Una vez que hayas implementado reCAPTCHA, utiliza la siguiente estrategia de mitigación del fraude para proteger tu sitio web frente a la creación de cuentas:

1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en puntuaciones.

   En el siguiente ejemplo se muestra un modelo de respuesta de ejemplo:

   • En el caso del umbral de puntuación de reCAPTCHA más bajo (0,0), limita las acciones de la cuenta hasta que se realicen más comprobaciones de fraude.
   • En el caso del umbral de puntuación intermedia (entre 0,1 y 0,5), solicita al usuario final que complete la autenticación multifactor por correo electrónico o SMS.
   • En el caso del umbral de puntuación más alto (> 0,5), permite que el usuario final continúe sin ningún reto.
2. Finaliza o interrumpe las sesiones de los usuarios finales que se autentican correctamente, pero reciben una respuesta credentialsLeaked: true de reCAPTCHA Password Defense, y pide al usuario que elija una nueva contraseña.
3. Cuando cree evaluaciones, asegúrese de que el valor de expectedAction coincida con el valor de action que especificó al instalar las claves de sitio basadas en una puntuación en sus páginas web. Si no coinciden, no permitas el registro ni la creación de la cuenta.
4. En su evaluación, si accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restringe el acceso a la cuenta hasta que se pueda realizar una validación adicional.

Cambios fraudulentos en la cuenta y la dirección

Los atacantes pueden intentar cambiar los detalles de la cuenta, como las direcciones de correo electrónico, los números de teléfono o las direcciones postales, como parte de una actividad fraudulenta o de una apropiación de la cuenta.

Implementación mínima

1. Instala claves de sitio de casilla en todas las páginas en las que los usuarios finales tengan que introducir sus credenciales, incluidas las funciones Iniciar sesión y He olvidado mi contraseña. Para saber cómo instalar claves de sitio de casillas, consulta el artículo Instalar claves de sitio de casillas (prueba de casilla) en sitios web.

2. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en una puntuación en todas las páginas en las que se creen cuentas. Especifica una acción en el parámetro action, como change_telephone o change_physicalmail. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.

2. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

3. Implementa Account Defender de reCAPTCHA para monitorizar el comportamiento de los usuarios finales en los inicios de sesión y recibir señales adicionales que puedan indicar una apropiación de cuenta. Para saber cómo usar Account Defender de reCAPTCHA, consulta Detectar y evitar actividades fraudulentas relacionadas con cuentas.

4. Guarda todos los IDs de evaluación y anota las transacciones fraudulentas.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, utiliza la siguiente estrategia de mitigación de fraudes para proteger tu sitio web frente a cambios fraudulentos en cuentas y direcciones:

1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en puntuaciones.

   En el siguiente ejemplo se muestra un modelo de respuesta de ejemplo:

   • Para umbrales de puntuación de baja a intermedia (de 0,0 a 0,5), pide al usuario final que complete la autenticación multifactor por correo electrónico o SMS.
   • En el caso del umbral de puntuación más alto (> 0,5), permite que el usuario final continúe sin ningún reto.

2. Cuando cree evaluaciones, asegúrese de que el valor de expectedAction coincida con el valor de action que especificó al instalar las claves de sitio basadas en una puntuación en sus páginas web. Si no coinciden, no permitas que se hagan cambios en la cuenta.

3. En tu evaluación, si accountDefenderAssessment no tiene la etiqueta PROFILE_MATCH, pide al usuario final que complete la autenticación multifactor por correo electrónico o SMS.

Reventar tokens

El descifrado de tokens es una amenaza automatizada en la que los atacantes hacen una enumeración masiva de números de cupones, códigos de vales y tokens de descuento.

Implementación mínima

1. Instala claves de sitio de casilla en todas las páginas en las que los usuarios finales deban introducir la información de su tarjeta regalo. Para saber cómo instalar claves de sitio de casillas, consulta el artículo Instalar claves de sitio de casillas (prueba de casilla) en sitios web.

2. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en una puntuación en todas las páginas en las que los usuarios finales tengan que introducir la información de su tarjeta regalo. Especifica una acción, como gift_card_entry. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.

2. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un cortafuegos de aplicaciones web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA for WAF y Google Cloud Armor.

3. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

4. Guarda todos los IDs de evaluación y anota las evaluaciones que se conviertan en tarjetas o cupones de regalo fraudulentos.

Estrategia de mitigación del fraude

Una vez que hayas implementado reCAPTCHA, utiliza una de las siguientes estrategias de mitigación del fraude para proteger tu sitio web frente al descifrado de tokens:

• Configura las APIs de gestión de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y de que las puntuaciones sean superiores a su valor de umbral.

  Si las puntuaciones no alcanzan o superan el umbral especificado, no ejecutes una autorización de tarjeta de regalo o de crédito, ni permitas que el usuario final utilice el cupón o la tarjeta de regalo. Cuando sea posible, permite que la transacción se lleve a cabo en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

• Cuando cree evaluaciones, asegúrese de que cumplen los siguientes criterios para que la transacción se realice correctamente:

  • Todos los tokens evaluados son válidos y tienen una puntuación superior a un valor de umbral especificado.
  • El valor de expectedAction coincide con el valor de action que especificaste al instalar las claves de sitio basadas en una puntuación en tus páginas web. Para saber cómo verificar las acciones, consulta Verificar acciones.

  Si una transacción no cumple estos criterios, no ejecutes una autorización de tarjeta de regalo o de crédito, ni permitas que el usuario final utilice el cupón o la tarjeta de regalo. Cuando sea posible, permite que la transacción se lleve a cabo en el momento de la compra, pero cancélala más tarde para no alertar al atacante.

Especulación

El acaparamiento es una amenaza automatizada en la que los atacantes obtienen bienes o servicios preferentes y de disponibilidad limitada mediante métodos injustos.

Implementación mínima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que los usuarios finales tengan que introducir la información de su tarjeta regalo. Especifique una acción en el parámetro action, como add_to_cart. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.
2. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas en las que los usuarios finales tengan que introducir la información de su tarjeta regalo. Especifique una acción en el parámetro action, como add_to_cart. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.

2. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un cortafuegos de aplicaciones web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA for WAF y Google Cloud Armor.

3. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

4. Guarda todos los IDs de evaluación y anota las transacciones fraudulentas.

Estrategia de mitigación del fraude

Una vez que hayas implementado reCAPTCHA, utiliza la siguiente estrategia de mitigación de fraudes para proteger tu sitio web frente al acaparamiento de entradas:

1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en puntuaciones.

   En el siguiente ejemplo se muestra un modelo de respuesta de ejemplo:

   • Para umbrales de puntuación de riesgo de bajo a intermedio (0,0-0,5), usa la gestión de riesgos basada en el contexto, como limitar el número de intentos y bloquear las compras que superen un valor especificado.
   • En el caso del umbral de puntuación más alto (> 0,5), permite que el usuario final continúe sin ningún reto.

2. Cuando cree evaluaciones, asegúrese de que el valor de expectedAction coincida con el valor de action que especificó al instalar las claves de sitio basadas en una puntuación en sus páginas web. Si no coinciden, no ejecutes la autorización de la tarjeta regalo.

Desviación

El sesgo es una amenaza automatizada en la que los atacantes usan clics repetidos en enlaces, solicitudes de páginas o envíos de formularios para alterar alguna métrica.

Implementación mínima

1. Instala claves de sitio basadas en una puntuación en todas las páginas en las que sea posible que las métricas estén sesgadas. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.
2. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en una puntuación en todas las páginas en las que sea posible que las métricas estén sesgadas. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.

2. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un cortafuegos de aplicaciones web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA for WAF y Google Cloud Armor.

3. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

4. Guarda todos los IDs de evaluación y anota las transacciones fraudulentas.

Estrategia de mitigación del fraude

Una vez que hayas implementado reCAPTCHA, utiliza la siguiente estrategia de mitigación de fraudes para proteger tu sitio web frente a sesgos:

Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en puntuaciones.

En el siguiente ejemplo se muestra un modelo de respuesta de ejemplo:

• Para umbrales de puntuación de riesgo de bajo a intermedio (0,0-0,5), utilice la gestión de riesgos basada en el contexto, como hacer un seguimiento del número de veces que un usuario ha hecho clic en un anuncio o del número de veces que un usuario ha recargado la página. Usa estos datos para determinar si se debe contabilizar la métrica.
• En el caso del umbral de puntuación más alto (> 0,5), permite que el usuario final continúe sin ningún reto.

Raspado de datos

El scraping es una amenaza automatizada en la que los atacantes recogen datos o artefactos de sitios web de forma automatizada.

Implementación mínima

1. Instala claves de sitio basadas en una puntuación en todas las páginas que contengan información importante y en las páginas clave de interacción con el usuario final. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.
2. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en una puntuación en todas las páginas que contengan información importante y en las páginas clave de interacción con el usuario final. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.

2. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un cortafuegos de aplicaciones web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA for WAF y Google Cloud Armor.

3. Crea evaluaciones para todos los tokens. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

4. Guarda todos los IDs de evaluación y anota las transacciones fraudulentas.

Estrategia de mitigación del fraude

Una vez que hayas implementado reCAPTCHA, utiliza las siguientes estrategias de mitigación del fraude para proteger tu sitio web frente al raspado de datos:

• Habilita el bloqueo de interacciones de gran volumen y con puntuación de reCAPTCHA baja integrando reCAPTCHA con un cortafuegos de aplicaciones web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA for WAF y Google Cloud Armor
• Si el scraping implica APIs, usa las APIs de gestión de Apigee para obtener más información sobre cómo mitigar este problema.

Derrota de CAPTCHA

La superación de CAPTCHA es una amenaza automatizada en la que los atacantes usan la automatización para intentar analizar y determinar la respuesta a pruebas CAPTCHA visuales o auditivas y a puzles relacionados.

Implementación mínima

1. Instala claves de sitio basadas en puntuación en todas las páginas que impliquen la introducción de datos por parte de los usuarios finales, la creación de cuentas, la información para pagos o las interacciones de los usuarios finales con potencial de fraude. Especifica una acción descriptiva en el parámetro action. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.

2. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

Implementación óptima

1. Instala claves de sitio basadas en puntuación en todas las páginas que impliquen la introducción de datos por parte de los usuarios finales, la creación de cuentas, la información para pagos o las interacciones de los usuarios finales con potencial de fraude. Especifica una acción descriptiva en el parámetro action. Para saber cómo instalar claves de sitio basadas en una puntuación, consulta el artículo Instalar claves de sitio basadas en una puntuación (sin verificación) en sitios web.

2. Opcional: Para habilitar el bloqueo de interacciones de gran volumen y con una puntuación de reCAPTCHA baja, integra reCAPTCHA con un cortafuegos de aplicaciones web (WAF). Por ejemplo, puedes usar la integración de reCAPTCHA for WAF y Google Cloud Armor.

3. Crea evaluaciones para todos los tokens y asigna a expectedAction el valor de action que especificaste al instalar las claves de sitio basadas en puntuación. Para saber cómo crear evaluaciones, consulta el artículo Crear una evaluación.

4. Guarda todos los IDs de las evaluaciones y anota las que se conviertan en compras fraudulentas o devoluciones de cargo como fraudulent. Para saber cómo anotar evaluaciones, consulta Anotar una evaluación.

Estrategia de mitigación del fraude

Después de implementar reCAPTCHA, utiliza una de las siguientes estrategias de mitigación del fraude para proteger tu sitio web frente a la superación de CAPTCHA:

• Implementa un modelo de respuesta y crea evaluaciones:

  1. Crea e implementa un modelo de respuesta que se ajuste al riesgo basado en puntuaciones.

     En el siguiente ejemplo se muestra un modelo de respuesta de ejemplo:

     • Para umbrales de puntuación de baja a intermedia (de 0,0 a 0,5), pide al usuario final que complete la autenticación multifactor por correo electrónico o SMS.
     • En el caso del umbral de puntuación más alto (> 0,5), permite que el usuario final continúe sin ningún reto.
  2. Cuando cree evaluaciones, asegúrese de que el valor de expectedAction coincida con el valor de action que especificó al instalar las claves de sitio basadas en una puntuación en sus páginas web. Si no coinciden, no permitas la autenticación.

• Si los usuarios finales usan navegadores web que tienen JavaScript inhabilitado, haga lo siguiente:

  1. Bloquea a esos usuarios finales.
  2. Informa a los usuarios finales de que tu sitio web requiere JavaScript para continuar.

• Asegúrate de que se cumpla la promesa de grecaptcha.enterprise.ready para evitar que los navegadores de los usuarios finales bloqueen la carga de la secuencia de comandos de Google. Esto indica que reCAPTCHA se ha cargado por completo y no ha detectado ningún error.

• En el caso de las APIs solo para web, te recomendamos que envíes el token de reCAPTCHA o el resultado de la evaluación de reCAPTCHA a la API backend y que solo permitas la acción de la API si el token de reCAPTCHA es válido y cumple un valor de umbral de puntuación. De esta forma, se asegura de que el usuario final no use la API sin pasar por el sitio web.

Siguientes pasos

• Instala claves de sitio basadas en una puntuación.
• Instala claves de sitio de casillas.
• Crea evaluaciones.
• Anotar evaluaciones.
• Implementa la defensa de contraseñas.
• Implementar Account Defender.