Hoy, Cloudflare estrena un nuevo paquete de funciones para prevenir el fraude, diseñado para detener el uso indebido de cuentas antes de que ocurra. Llevamos años ayudando a los clientes de Cloudflare a proteger sus aplicaciones frente a los ataques automatizados, pero el panorama de amenazas ha cambiado. La industrialización de los ataques híbridos, que combinan medios automatizados y humanos, supone un complejo desafío de seguridad para los propietarios de sitios web. Pensemos, por ejemplo, en una única cuenta a la que se accede desde Nueva York, Londres y San Francisco en los mismos cinco minutos. La pregunta clave en este caso no es "¿se trata de un proceso automatizado?" sino más bien "¿es auténtico?".
Los propietarios de sitios web necesitan herramientas para poner fin a los usos indebidos en sus sitios web, independientemente de quién los cometa.
Durante nuestra Semana aniversario en 2024, ofrecimos la detección de credenciales filtradas a todos los clientes, incluidos los que tienen un plan gratuito. Desde entonces, hemos incorporado identificadores de detección de apropiación de cuentas como parte de nuestra solución de gestión de bots para ayudarte a identificar los bots que atacan tus páginas de inicio de sesión.
Ahora estamos combinando estas potentes herramientas con otras nuevas. La verificación de correos electrónicos temporales y la gestión de riesgos de correo electrónico te ayudan a aplicar las preferencias de seguridad para los usuarios que se registran con direcciones de correo temporales, una táctica habitual para crear cuentas falsas y abusar de las promociones, o cuyos correos se consideran de riesgo según los patrones de uso y la infraestructura. También nos alegra mucho presentar los Id. de usuario con hash, identificadores por dominio generados mediante el hash criptográfico de los nombres de usuario, que ofrecen a los clientes una mejor visión de la actividad sospechosa en las cuentas y una mayor capacidad para mitigar el tráfico potencialmente fraudulento, sin comprometer la privacidad del usuario final.
Las nuevas funciones que anunciamos hoy van más allá de la automatización, ya que detectan comportamientos abusivos e identidades de riesgo tanto entre usuarios humanos como entre bots. La protección contra el uso indebido de cuentas ya está disponible en acceso anticipado, y cualquier cliente de Bot Management del plan Enterprise puede usar estas funciones sin coste adicional durante un tiempo limitado, hasta que la prevención contra el fraude de Cloudflare esté disponible para todos a finales de este año. Si quieres saber más sobre esta función de acceso anticipado, regístrate aquí.
Las credenciales filtradas hacen que los inicios de sesión sean demasiado vulnerables
El umbral para cometer fraudes es peligrosamente bajo, sobre todo con la disponibilidad de enormes conjuntos de datos y el acceso a herramientas automatizadas que permiten cometer fraudes en cuentas a gran escala. Los propietarios de sitios web no solo se enfrentan a hackers individuales, sino a un fraude a gran escala. El año pasado, destacamos que el 41 % de los inicios de sesión en nuestra red se realiza con credenciales filtradas. Esta cifra no ha hecho más que aumentar tras la revelación de una base de datos con 16 000 millones de registros, y desde entonces han salido a la luz numerosas filtraciones de gran repercusión.
Además, los usuarios reutilizan las contraseñas en varias plataformas, lo que significa que una sola filtración de hace años puede seguir dando acceso hoy en día a una cuenta de una tienda de gran valor o incluso a una cuenta bancaria. Nuestra función gratuita de comprobación de credenciales filtradas comprueba si una contraseña se ha filtrado en una fuga de datos conocida de otro servicio o aplicación en Internet. Se trata de un servicio de comprobación de credenciales que preserva la privacidad y que ayuda a proteger a nuestros usuarios de credenciales en riesgo, lo que significa que Cloudflare realiza estas comprobaciones sin acceder ni almacenar las contraseñas de los usuarios finales en texto sin formato. Las contraseñas se someten a un proceso de hash, es decir, se convierten en una cadena aleatoria de caracteres mediante un algoritmo criptográfico, con el fin de compararlas con una base de datos de credenciales filtradas. Si aún no has activado nuestra función comprobación de credenciales filtradas, hazlo ahora para proteger tus cuentas de piratas informáticos.
El acceso a una gran base de datos de credenciales filtradas solo es útil si un atacante puede probarlas rápidamente en muchos sitios web para identificar qué cuentas siguen siendo vulnerables debido a la reutilización de contraseñas. En nuestro análisis del Black Friday de 2024, observamos que más del 60 % del tráfico hacia las páginas de inicio de sesión de nuestra red era automatizado. Son muchos bots que intentan entrar.
Para ayudar a los clientes a proteger sus puntos de finales de acceso de inicio de sesión frente a los constantes ataques, hemos añadido detecciones específicas contra la apropiación de cuentas (ATO) para señalar los patrones de tráfico sospechosos. Esto forma parte de nuestro enfoque reciente en las detecciones por cliente, en las que proporcionamos detección de anomalías de comportamiento únicas para cada cliente de nuestra solución de gestión de bots. Ahora, los clientes del servicio de gestión de bots pueden detectar y mitigar los intentos de ataques de ATO en sus solicitudes de inicio de sesión directamente en el panel de análisis de seguridad.
En la pestaña de la izquierda del panel de control de análisis de seguridad, puedes ver y abordar los intentos de usurpación de cuentas.
En la última semana, nuestras detecciones combinadas de ATO detectaron una media de 6900 millones de intentos de inicio de sesión sospechosos al día en toda nuestra red. Estas detecciones de ATO, junto con los muchos otros mecanismos de detección de nuestra solución de gestión de bots, crean una defensa por capas contra los ataques ATO y otros ataques maliciosos automatizados.
De la automatización a la intención y la identidad
¿Distinguir la automatización o distinguir la intención y la identidad? Esa es la cuestión. Nuestra respuesta: sí y sí, ya que ambas son capas fundamentales para una estrategia de seguridad sólida. Los atacantes operan ahora a una escala que antes solo veían los servicios empresariales. Aprovechan filtraciones masivas de credenciales, utilizan redes de fraude gestionadas por personas para suplantar dispositivos y ubicaciones, y crean identidades sintéticas para mantener miles, incluso millones, de cuentas falsas con fines promocionales y para abusar de las plataformas. Una persona que utilice herramientas automatizadas podría estar vaciando cuentas, abusando de las promociones, cometiendo fraude en los pagos o todo lo anterior.
Además, la automatización está más al alcance que nunca, sobre todo ahora que los usuarios se están acostumbrando cada vez más a usar agentes de IA e incluso los navegadores "tradicionales" de toda la vida están incorporando capacidades agénticas de forma predeterminada. Ya sea un individuo que utiliza un agente de IA o una campaña de fraude coordinada, la amenaza no se reduce a un simple script — puede implicar una intención humana, combinada con una ejecución automatizada.
Echa un vistazo a estas situaciones que nos han contado nuestros clientes:
Tenemos 1000 usuarios nuevos este mes, pero más de la mitad de ellos son identidades falsas que se benefician de una prueba gratuita y luego desaparecen.
El atacante ha iniciado sesión con la contraseña correcta, así que, ¿cómo sé que no es el usuario real?
Esta entidad actúa a un ritmo normal, y están vaciando las cuentas.
Estos problemas no se pueden resolver solo con la automatización, hay que comprobar también la autenticidad y la integridad. Esta es la carencia que nuestras soluciones especializadas en prevención del fraude buscan resolver.
Cómo evaluar los correos electrónicos sospechosos
Empecemos por analizar el primer punto en el que podría producirse un uso indebido de la cuenta: la creación de la cuenta. La creación de cuentas falsas o en masa es uno de los temas más recurrentes en los debates sobre fraudes en sitios web, ya que puede abrir la puerta a que los atacantes accedan a una aplicación, o incluso a todo un modelo de negocio.
Cloudflare ofrece a sus clientes herramientas para detectar la creación de cuentas sospechosas desde el origen de dos maneras:
Comprobación de correos electrónicos temporales: detecta cuándo los usuarios se registran con direcciones de correo electrónico temporales, que suelen utilizarse para el spam y la creación de cuentas falsas. Estos servicios de correo electrónico temporal permiten a los atacantes crear miles de cuentas "únicas" sin necesidad de mantener una infraestructura real, sobre todo cuentas de correo temporales sin autenticación que ofrecen acceso inmediato sin necesidad de crear una cuenta, o alias de correo ilimitados y gratuitos. Los clientes pueden usar este campo binario cuando crean reglas para aplicar sus preferencias de seguridad, ya sea bloqueando directamente todos los correos electrónicos temporales o quizás solicitando una verificación a cualquiera que intente crear una cuenta con un correo electrónico temporal.
Riesgo del correo electrónico: Cloudflare analiza los patrones y la infraestructura del correo electrónico para establecer niveles de riesgo (bajo, medio, alto) que los clientes pueden utilizar en sus reglas de seguridad. Sabemos que no todas las direcciones de correo electrónico son iguales. Una dirección con el formato firstname.lastname@knowndomain.com presenta características de riesgo diferentes a las de xk7q9m2p@newdomain.xyz. Los niveles de riesgo por correo electrónico permiten a los clientes indicar su tolerancia al riesgo y a las complicaciones en el momento de crear la cuenta.
Tanto la verificación de correo electrónico temporal como el riesgo de correo electrónico ya están disponibles en los análisis de seguridad y las reglas de seguridad, lo que permite a los propietarios de sitios web proteger el proceso de creación de cuentas. Estas detecciones abordan un problema fundamental. Cuando una cuenta ya está cometiendo abusos, ya es demasiado tarde. El propietario del sitio web ya ha pagado los costes de adquisición, el usuario fraudulento ha gastado los créditos promocionales y la solución del problema requiere una revisión manual. Para reducir el riesgo de los correos sospechosos, hay que añadir los controles adecuados en el momento del registro, que es cuando más importa.
Novedad: Id. de usuario con hash
Comprender los patrones de abuso requiere visibilidad, no solo de la red, sino también de la actividad de la cuenta. Tradicionalmente, la seguridad ha consistido en analizar direcciones IP y solicitudes HTTP aisladas para detectar actividades automatizadas, pero los propietarios de sitios web no solo se fijan en las señales de red, también tienen en cuenta a sus usuarios y las cuentas conocidas. Por eso, estamos ampliando nuestro conjunto de herramientas de mitigación para que coincida con la forma en que se estructuran realmente las aplicaciones, centrándonos en la detección de la actividad fraudulenta basada en el usuario.
Los atacantes pueden cambiar de dirección IP sin ningún problema para borrar sus huellas. Sin embargo, obligarlos a crear una y otra vez cuentas nuevas y fiables genera un montón de problemas, sobre todo si se suma a las medidas de seguridad para la creación de cuentas. Si miramos más allá de la capa de red y relacionamos las acciones fraudulentas con una cuenta concreta que ha sido vulnerada o está siendo utilizada de forma abusiva, podemos detectar comportamientos selectivos vinculados a un único individuo persistente y poner fin al abuso. De esta forma, estamos cambiando la estrategia de defensa para centrarla en las cuentas, en lugar de jugar a un juego de nunca acabar con direcciones IP rotativas y proxies residenciales. Esto significa que nuestros clientes pueden mitigar el comportamiento abusivo en función de la forma en que sus aplicaciones separan la identidad.
Para que los propietarios de sitios web puedan aprovechar esta función, Cloudflare lanza un Id. de usuario con hash que los clientes pueden utilizar en análisis de seguridad, reglas de seguridad y transformaciones gestionadas. Los Id. de usuario son versiones con hash criptográfico, específicas para cada dominio, de los valores del campo "nombre de usuario", y cada Id. de usuario es un identificador cifrado, único y estable que se genera para un nombre de usuario concreto en la aplicación de un cliente. Es importante destacar que Cloudflare no registra ni almacena el nombre de usuario real como parte de este servicio. Al igual que con la comprobación de credenciales filtradas y la detección de ATO, que identifican el tráfico de inicio de sesión y luego encriptan las credenciales para compararlas, damos prioridad a la privacidad del usuario final al tiempo que permitimos a nuestros clientes tomar medidas contra los comportamientos fraudulentos.
Con el acceso a los Id. de usuario con hash, los propietarios de sitios web pueden:
Ver los principales usuarios: ¿qué cuentas tienen más actividad?
Comprobar cuándo un usuario único inicia sesión desde un país en el que no suele hacerlo, ¡o desde varios países en un día!
Mitigar el tráfico basándose en usuarios únicos, como bloquear a un usuario con historial de actividad sospechosa.
Combinar campos para ver cuándo las cuentas están siendo objeto de ataque con credenciales robadas.
Consultar qué patrones o señales de red están asociados a usuarios únicos.
Visualización ampliada de un único Id. de usuario cifrado en el panel de análisis de seguridad, que muestra los detalles de la actividad de ese usuario concreto, incluida su ubicación de inicio de sesión y su navegador.
Esta visibilidad a nivel de usuario transforma la forma en que los propietarios de sitios web pueden investigar y mitigar el tráfico. En lugar de examinar las solicitudes individuales de forma aislada, nuestros clientes pueden ver el panorama completo de cómo los atacantes se dirigen y se esconden entre los usuarios legítimos.
Anímate a proteger tu cuenta hoy mismo
Si quieres saber más sobre esta función de acceso anticipado, regístrate aquí. Todos los clientes de Bot Management en el plan Enterprise pueden activar estas nuevas funciones de protección contra el uso indebido de cuentas desde hoy mismo, y nos encantaría hablar con todos y cada uno de los posibles clientes de Bot Management.
Si bien la detección de bots seguirá abordando la cuestión de la automatización y la intención, la detección de fraudes se centra en la cuestión de la autenticidad. Juntos, ofrecen a los propietarios de sitios web herramientas completas para luchar contra todo tipo de abusos en las cuentas. Este paquete forma parte de nuestra inversión continua para proteger todo el recorrido del usuario, desde la creación de la cuenta y el inicio de sesión hasta los procesos de pago seguros y la integridad de cada interacción.