Se usó la API de Cloud Translation para traducir esta página.

Prácticas recomendadas para la protección contra amenazas automatizadas

En este documento, se describen las implementaciones recomendadas de reCAPTCHA y las estrategias de mitigación de fraudes para defenderse de las amenazas automatizadas críticas (OWASP Automated Threats (OAT) to Web Applications). Los arquitectos empresariales y las partes interesadas en la tecnología pueden revisar esta información para tomar una decisión fundamentada sobre la implementación de reCAPTCHA y la estrategia de mitigación de fraudes para su caso de uso.

Este documento contiene la siguiente información para cada tipo de amenaza:

Implementación óptima de reCAPTCHA. Esta implementación está diseñada con las funciones relevantes de reCAPTCHA para ofrecer la mejor protección contra fraude.
Tiene una implementación mínima de reCAPTCHA. Esta implementación está diseñada para tener una protección mínima contra fraude.
Estrategias recomendadas para la mitigación de fraudes.

Elige la estrategia de implementación y mitigación de fraudes que mejor se adapte a tu caso de uso. Los siguientes factores pueden influir en la estrategia de implementación y mitigación de fraudes que elijas:

Necesidades y capacidades antifraude de la organización.
Entorno existente de la organización.

Para obtener información sobre la implementación general recomendada de reCAPTCHA, consulta Prácticas recomendadas para usar reCAPTCHA.

Si quieres obtener más información sobre las estrategias de mitigación de fraudes en tu caso de uso, comunícate con nuestro equipo de Ventas.

Tarjetas

El uso de tarjetas es una amenaza automatizada en la que los atacantes realizan varios intentos de autorización de pagos para verificar la validez de los datos de tarjetas de pago robadas de forma masiva.

Implementación mínima

Instala claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deben ingresar la información de su tarjeta de crédito. Para obtener información sobre cómo instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar la información de su tarjeta de crédito. Especifica una acción en el parámetro action, como card_entry. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Instala reCAPTCHA para el flujo de trabajo de pago en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pago, consulta Protege flujos de trabajo de pago.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones del cargo como fraudulent. Si deseas obtener información para anotar las evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web de las tarjetas:

Instala reCAPTCHA para el flujo de trabajo de pago en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pago, consulta Protege flujos de trabajo de pago.
Configura las APIs de administración de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y que las puntuaciones sean superiores a su valor de umbral.

Si las puntuaciones no cumplen o superan el valor límite especificado, no ejecutes una autorización de tarjeta ni permitas que el usuario final la use. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante libere.
Cuando crees evaluaciones, asegúrate de que cumplan con los siguientes criterios para que la transacción se realice correctamente:
- Todos los tokens evaluados son válidos y tienen una puntuación mayor que un valor de umbral especificado.
- El valor de expectedAction coincide con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones en tus páginas web. Si quieres obtener información para verificar acciones, consulta Cómo verificar acciones.
Si una transacción no cumple con estos criterios, no ejecutes una autorización de tarjeta ni permitas que el usuario final la use. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante libere.

Piratería informática en las tarjetas

El descifrado de tarjetas es una amenaza automatizada en la que los atacantes identifican valores faltantes para la fecha de inicio, la fecha de vencimiento y los códigos de seguridad de los datos de tarjetas de pago robados probando diferentes valores.

Implementación mínima

Instala claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus detalles de pago, incluidas las funciones de confirmación de la compra y agregar forma de pago. Para obtener información sobre cómo instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar sus detalles del pago. Especifica una acción en el parámetro action, como checkout o add_pmtmethod. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Instala reCAPTCHA para el flujo de trabajo de pago en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pago, consulta Protege flujos de trabajo de pago.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones del cargo como fraudulent. Si deseas obtener información para anotar las evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web de la piratería de tarjetas:

Instala reCAPTCHA para el flujo de trabajo de pago en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pago, consulta Protege flujos de trabajo de pago.
Implementar un modelo de respuesta y crear evaluaciones:
1. Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.
  
  En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
  - Para el umbral de puntuación bajo a intermedio (de 0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras que superen un valor especificado.
  - Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  Nota: Los umbrales de puntuación pueden variar según los usuarios y atacantes. Te recomendamos usar el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones sobre las que tomar medidas.
2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones en tus páginas web. Si no coinciden, no ejecutes una autorización de tarjeta ni permitas que el usuario final la use. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante libere.

Descifrado de credenciales

El descifrado de credenciales es una amenaza automatizada en la que los atacantes identifican credenciales de acceso válidas probando diferentes valores de nombres de usuario y contraseñas.

Implementación mínima

Instala claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones acceso y olvidar mi contraseña. Para obtener información sobre cómo instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener información sobre cómo usar la detección de filtración de contraseñas, consulta Cómo detectar filtraciones de contraseñas y credenciales vulneradas.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Implementa el defensor de la cuenta de reCAPTCHA para conocer las tendencias del comportamiento de los usuarios finales en los distintos accesos y recibir señales adicionales que puedan indicar una ATO. Si quieres obtener información para usar el defensor de la cuenta de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota la evaluación que parezca fraudulenta, como la apropiación de cuentas (ATO) o cualquier otra actividad fraudulenta. Si deseas obtener información para anotar las evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de la piratería de credenciales:

Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
- Para un umbral de puntuación bajo a intermedio (de 0.0 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Los umbrales de puntuación pueden variar según los usuarios y atacantes. Te recomendamos usar el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones sobre las que tomar medidas.
Finalizar o interrumpir las sesiones de los usuarios finales que se autentican correctamente, pero reciben una respuesta credentialsLeaked: true de la detección de filtración de contraseñas de reCAPTCHA, y envían un correo electrónico a los usuarios finales para que cambien su contraseña.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas la autenticación.

Se produjeron casos de uso excesivo de credenciales.

El uso excesivo de credenciales es una amenaza automatizada en la que los atacantes intentan acceder de forma masiva para verificar la validez de los pares de nombre de usuario y contraseña robados.

Implementación mínima

Instala claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones acceso y olvidar mi contraseña. Para obtener información sobre cómo instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar sus credenciales. Especifica una acción en el parámetro action, como login o authenticate. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener información sobre cómo usar la detección de filtración de contraseñas, consulta Cómo detectar filtraciones de contraseñas y credenciales vulneradas.
Implementa el defensor de la cuenta de reCAPTCHA para conocer las tendencias del comportamiento de los usuarios finales en los distintos accesos y recibir señales adicionales que puedan indicar una ATO. Si quieres obtener información para usar el defensor de la cuenta de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones del cargo como fraudulent. Si deseas obtener información para anotar las evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web del uso excesivo de credenciales:

Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
- Para obtener el umbral de puntuación más bajo de reCAPTCHA (0.0), infórmale al usuario final que su contraseña es incorrecta.
- Para el umbral de puntuación intermedia (de 0.1 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Los umbrales de puntuación pueden variar según los usuarios y atacantes. Te recomendamos usar el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones sobre las que tomar medidas.
Finalizar o interrumpir las sesiones de los usuarios finales que se autentican correctamente, pero reciben una respuesta credentialsLeaked: true de la detección de filtración de contraseñas de reCAPTCHA, y envían un correo electrónico a los usuarios finales para que cambien su contraseña.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas la autenticación.
En tu evaluación, si accountDefenderAssessment=PROFILE_MATCH, permite que el usuario final continúe sin ningún desafío.

Transferencia

El retiro de dinero es una amenaza automatizada en la que los atacantes obtienen dinero o artículos de alto valor mediante el uso de tarjetas de pago robadas y validadas con anterioridad.

Implementación mínima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se pueda confirmar la compra. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales ingresan la información de su tarjeta de regalo. Especifica una acción, como add_gift_card. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de los cobros:

Instala reCAPTCHA para el flujo de trabajo de pago en tu sitio web. Para obtener información sobre cómo proteger tu flujo de trabajo de pago, consulta Protege flujos de trabajo de pago.
Implementar un modelo de respuesta y crear evaluaciones:
1. Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.
  
  En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
  - Para el umbral de puntuación bajo a intermedio (de 0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras que superen un valor especificado.
  - Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  Nota: Los umbrales de puntuación pueden variar según los usuarios y atacantes. Te recomendamos usar el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones sobre las que tomar medidas.
2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas la autenticación. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante libere.

Creación de cuentas

La creación de cuentas es una amenaza automatizada en la que los atacantes crean varias cuentas para su posterior uso inadecuado.

Implementación mínima

Instala claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones acceso y olvidar mi contraseña. Para obtener información sobre cómo instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se crean cuentas. Especifica una acción en el parámetro action, como register. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Recomendación: Implementa la detección de filtración de contraseñas de reCAPTCHA para todos los intentos de autenticación. Para obtener información sobre cómo usar la detección de filtración de contraseñas, consulta Cómo detectar filtraciones de contraseñas y credenciales vulneradas.
Implementa el defensor de la cuenta de reCAPTCHA para recibir indicadores adicionales que indiquen creaciones de cuentas falsas. Si quieres obtener información para usar el defensor de la cuenta de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de la creación de cuentas:

Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
- Para obtener el umbral de puntuación más bajo de reCAPTCHA (0.0), limita las acciones de la cuenta hasta que se someta a más verificaciones de fraudes.
- Para el umbral de puntuación intermedia (de 0.1 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Los umbrales de puntuación pueden variar según los usuarios y atacantes. Te recomendamos usar el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones sobre las que tomar medidas.
Finalizar o interrumpir las sesiones de los usuarios finales que se autentiquen con éxito, pero reciben una respuesta credentialsLeaked: true de la detección de filtración de contraseñas de reCAPTCHA y le solicitan al usuario que seleccione una contraseña nueva
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas el registro ni la creación de cuentas.
En tu evaluación, si accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restringe el acceso de la cuenta hasta que se pueda realizar una validación adicional.

Cambios fraudulentos en la cuenta y la dirección

Los atacantes podrían intentar cambiar los detalles de la cuenta, como direcciones de correo electrónico, números de teléfono o direcciones de correo postal, como parte de actividades fraudulentas o de apropiación de cuentas.

Implementación mínima

Instala claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deban ingresar sus credenciales, incluidas las funciones acceso y olvidar mi contraseña. Para obtener información sobre cómo instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se crean cuentas. Especifica una acción en el parámetro action, como change_telephone o change_physicalmail. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Implementa el defensor de la cuenta de reCAPTCHA para conocer las tendencias del comportamiento de los usuarios finales en los distintos accesos y recibir señales adicionales que puedan indicar una ATO. Si quieres obtener información para usar el defensor de la cuenta de reCAPTCHA, consulta Detecta y evita actividades fraudulentas relacionadas con las cuentas.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de cambios fraudulentos en la cuenta y la dirección:

Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
- Para un umbral de puntuación bajo a intermedio (de 0.0 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
- Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Los umbrales de puntuación pueden variar según los usuarios y atacantes. Te recomendamos usar el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones sobre las que tomar medidas.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas que se realicen cambios en las cuentas.
En tu evaluación, si accountDefenderAssessment no tiene la etiqueta PROFILE_MATCH, desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.

Descifrado de tokens

El descifrado de tokens es una amenaza automatizada en la que los atacantes enumeran de forma masiva números de cupones, códigos de cupones y tokens de descuento.

Implementación mínima

Instala claves de sitio con casillas de verificación en todas las páginas en las que los usuarios finales deben ingresar la información de la tarjeta de regalo. Para obtener información sobre cómo instalar claves de sitio con casillas de verificación, consulta Instala claves de sitio con casillas de verificación (desafío de la casilla de verificación) en sitios web.

Nota: Las claves de sitio con casillas de verificación aumentan la fricción del usuario y pueden afectar los porcentajes de conversiones.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar la información de su tarjeta de regalo. Especifica una acción, como gift_card_entry. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en tarjetas de regalo o cupones fraudulentos.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web de la piratería de tokens:

Configura las APIs de administración de tarjetas para asegurarte de que los tokens de reCAPTCHA sean válidos y que las puntuaciones sean superiores a su valor de umbral.

Si las puntuaciones no alcanzan ni superan el umbral especificado, no ejecutes una autorización de tarjeta de regalo o de crédito, ni permitas que el usuario final utilice el cupón o la tarjeta de regalo. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante libere.
Cuando crees evaluaciones, asegúrate de que cumplan con los siguientes criterios para que la transacción se realice correctamente:
- Todos los tokens evaluados son válidos y tienen una puntuación mayor que un valor de umbral especificado.
- El valor de expectedAction coincide con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones en tus páginas web. Si quieres obtener información para verificar acciones, consulta Cómo verificar acciones.
Si una transacción no cumple con estos criterios, no ejecutes una autorización de tarjeta de regalo o de crédito, ni permitas que el usuario final use el cupón o la tarjeta de regalo. Cuando sea posible, permite que la transacción continúe en el momento de la compra, pero cancélala más tarde para evitar que el atacante libere.

Escalamiento

El escalamiento es una amenaza automatizada en la que los atacantes obtienen una disponibilidad limitada y bienes o servicios preferidos a través de métodos injustos.

Implementación mínima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar la información de su tarjeta de regalo. Especifica una acción en el parámetro action, como add_to_cart. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que los usuarios finales deben ingresar la información de su tarjeta de regalo. Especifica una acción en el parámetro action, como add_to_cart. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web de la escalabilidad:

Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
- Para el umbral de puntuación bajo a intermedio (de 0.0 a 0.5), usa la administración de riesgos basada en el contexto, como limitar la cantidad de intentos y bloquear las compras que superen un valor especificado.
- Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
Nota: Los umbrales de puntuación pueden variar según los usuarios y atacantes. Te recomendamos usar el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones sobre las que tomar medidas.
Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones en tus páginas web. Si no coinciden, no ejecutes la autorización de tarjeta de regalo.

Sesgo

El sesgo es una amenaza automatizada en la que los atacantes usan clics repetidos en vínculos, solicitudes de páginas o envíos de formularios para modificar alguna métrica.

Implementación mínima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que sea posible el sesgo de métricas. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que sea posible el sesgo de métricas. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa la siguiente estrategia de mitigación de fraudes para proteger tu sitio web contra el sesgo:

Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.

En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:

Para un umbral de puntuación bajo a intermedio (de 0.0 a 0.5), usa la administración de riesgos basada en el contexto, como realizar un seguimiento de la cantidad de veces que un usuario hizo clic en un anuncio o la cantidad de veces que volvió a cargar la página. Usa estos datos para determinar si se debe contar la métrica.
Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.

Raspado

El scraping es una amenaza automatizada en la que los atacantes recopilan datos o artefactos de sitios web de forma automática.

Implementación mínima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se encuentra información importante y en páginas clave de interacción del usuario final comunes. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas en las que se encuentra información importante y en páginas clave de interacción del usuario final comunes. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crear evaluaciones para todos los tokens. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota las transacciones que fueron fraudulentas.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa las siguientes estrategias de mitigación de fraudes para proteger tu sitio web de la recopilación:

Habilita el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA a través de la integración de reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Si la recopilación implica APIs, usa las APIs de administración de Apigee para una mitigación adicional.

Rechazo de CAPTCHA

La derrota de CAPTCHA es una amenaza automatizada en la que los atacantes utilizan la automatización para analizar y determinar la respuesta a las pruebas de CAPTCHA visuales o auditivas y los acertijos relacionados.

Implementación mínima

Instala claves de sitio basadas en puntuaciones en todas las páginas que implican entradas del usuario final, creación de cuentas, información de pago o interacciones del usuario final con el potencial de fraude. Especifica una acción descriptiva en el parámetro action. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.

Implementación óptima

Instala claves de sitio basadas en puntuaciones en todas las páginas que implican entradas del usuario final, creación de cuentas, información de pago o interacciones del usuario final con el potencial de fraude. Especifica una acción descriptiva en el parámetro action. Para obtener información sobre cómo instalar claves de sitio basadas en puntuaciones, consulta Instala claves de sitio basadas en puntuaciones (sin desafío) en sitios web.
Opcional: Para habilitar el bloqueo de interacciones de alto volumen y baja puntuación de reCAPTCHA, integra reCAPTCHA con un firewall de aplicación web (WAF). Por ejemplo, puedes usar reCAPTCHA para la integración de WAF y Google Cloud Armor.
Crea evaluaciones para todos los tokens y configura expectedAction para que coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones. Si quieres aprender a crear evaluaciones, consulta Cómo crear una evaluación.
Guarda todos los IDs de evaluación y anota las evaluaciones que se convierten en compras fraudulentas o devoluciones del cargo como fraudulent. Si deseas obtener información para anotar las evaluaciones, consulta Cómo anotar una evaluación.

Estrategia de mitigación de fraudes

Después de implementar reCAPTCHA, usa una de las siguientes estrategias de mitigación de fraudes para proteger tu sitio web de la anulación de CAPTCHA:

Implementar un modelo de respuesta y crear evaluaciones:
1. Crea e implementa un modelo de respuesta que se ajuste para el riesgo basado en puntuaciones.
  
  En el siguiente ejemplo, se muestra un modelo de respuesta de muestra:
  - Para un umbral de puntuación bajo a intermedio (de 0.0 a 0.5), desafía al usuario final con la autenticación de varios factores por correo electrónico o SMS.
  - Para el umbral de puntuación más alto (> 0.5), permite que el usuario final continúe sin ningún desafío.
  Nota: Los umbrales de puntuación pueden variar según los usuarios y atacantes. Te recomendamos usar el panel de estadísticas de reCAPTCHA para determinar las mejores puntuaciones sobre las que tomar medidas.
2. Cuando crees evaluaciones, asegúrate de que el valor de expectedAction coincida con el valor de action que especificaste cuando instalaste las claves de sitio basadas en puntuaciones en tus páginas web. Si no coinciden, no permitas la autenticación.
Si los usuarios finales usan navegadores web que tienen inhabilitado JavaScript, haz lo siguiente:
1. Bloquea a esos usuarios finales.
2. Notifica a los usuarios finales que tu sitio web requiere JavaScript para continuar.
Asegúrate de que se cumpla la promesa grecaptcha.enterprise.ready para evitar que los navegadores de los usuarios finales que bloqueen la secuencia de comandos de Google Esto indica que reCAPTCHA está completamente cargado y no se produjo un error.
Para las APIs solo en la Web, recomendamos pasar el token de reCAPTCHA o el resultado de la evaluación de reCAPTCHA a la API de backend y, luego, permitir la acción de la API solo si el token de reCAPTCHA es válido y cumple con un valor de umbral de puntuación. Esto garantiza que el usuario final no use la API sin pasar por el sitio web.

Prácticas recomendadas para la protección contra amenazas automatizadas

Tarjetas

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Piratería informática en las tarjetas

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Descifrado de credenciales

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Se produjeron casos de uso excesivo de credenciales.

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Transferencia

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Creación de cuentas

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Cambios fraudulentos en la cuenta y la dirección

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Descifrado de tokens

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Escalamiento

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Sesgo

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Raspado

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

Rechazo de CAPTCHA

Implementación mínima

Implementación óptima

Estrategia de mitigación de fraudes

¿Qué sigue?