Esta traducción es generada por máquina y está pendiente de revisión. Cambiar a inglés
Panel

Categorías de Amenazas

Seis categorías de amenaza. Cada una ajustada para detectar automatización, fraude y abuso — sin desafiar erróneamente a clientes reales.

La detección no es una sola comprobación. El fraude del mundo real combina automatización, infraestructura y comportamiento. Mapeamos cada categoría al tipo de decisión que tu equipo realmente toma — bloquear, desafiar, permitir, observar.

Las categorías están ordenadas aproximadamente de “ruidosas” — automatización claramente maliciosa — a “silenciosas” — señales de comportamiento sutiles. Son entradas independientes a la misma puntuación de riesgo calibrada. Una sesión puede ser marcada por una categoría, por varias o por ninguna.

01. Automatización y Bots

Navegadores headless, marcos de automatización y abuso con scripts — incluidas las variantes “sigilosas” diseñadas para evadir la detección. Detectamos tanto el carril rápido como el lento.

Qué buscamos

  • Navegadores headless invisibles y la familia de parches sigilosos que intentan ocultarlos.
  • Las huellas que los marcos de automatización dejan atrás, incluso después de que se les indica que cubran sus rastros.
  • Señales de que una sesión está siendo controlada por una herramienta remota en lugar de por una persona.
  • Contradicciones internas que delatan un script que pretende ser un navegador real.

Resultado

Reconocer el tráfico automatizado antes de que llegue al inicio de sesión, el registro o el pago.

Ajuste

La ponderación por defecto aquí es alta — el tráfico automatizado que supera nuestras comprobaciones es la señal más fiable de intención maliciosa en todo el modelo. Si tienes un caso de uso de automatización legítimo, como la monitorización de disponibilidad o los informes programados, ponlo en lista de permitidos por clave en lugar de relajar los pesos para todos.

02. Manipulación de Fingerprint

Sesiones donde el navegador miente sobre sí mismo. Tests de renderizado falsificados, comportamiento manipulado del navegador, herramientas anti-fingerprint que aplican contramedidas agresivas.

Qué buscamos

  • Un resultado de test de renderizado que no coincide con el navegador y el sistema operativo que la sesión dice ser.
  • Una firma de gráficos que contradice el resto de lo que el dispositivo reporta.
  • La identidad declarada del navegador que no concuerda con lo que realmente renderiza.
  • El rastro que dejan las herramientas anti-fingerprint agresivas.

Resultado

Detectar intentos deliberados de evasión sin bloquear elecciones honestas de privacidad.

Ajuste

Separamos mentir de proteger. Un usuario de navegador de privacidad tiene un perfil coherente y declarado — eso produce una señal de navegador de privacidad (ver 04), no una señal de manipulación. La manipulación significa que la sesión afirma ser una cosa mientras todo lo demás dice que es otra.

03. Abuso de Infraestructura

Tráfico de centros de datos, proxies de anonimización, comportamiento de red obsoleto y rangos conocidos como problemáticos. Marcamos los patrones sin bloquear a usuarios reales que casualmente están en una VPN corporativa.

Qué buscamos

  • Tráfico de los principales proveedores de nube — los carriles del fraude al por mayor.
  • Rangos conocidos como problemáticos de fuentes de inteligencia de amenazas, incluidos proxies residenciales vendidos a anillos de fraude.
  • Comportamiento de red obsoleto o degradado que sugiere encadenamiento de proxies.
  • Señales de zona horaria, idioma y ubicación que se contradicen entre sí — señal de que un proxy reescribe la superficie pero no la sesión subyacente.

Resultado

Identificar la señal de fraude al por mayor — sin disparar contra trabajadores remotos.

Ajuste

El tráfico de centros de datos no es automáticamente malicioso. Una VPN corporativa, un empleado en un espacio de trabajo en la nube, un periodista detrás de un relay hospedado — todos estos pueden parecer “infraestructura marcada” sin ser maliciosos. Lo tratamos como una señal débil que solo escala cuando se combina con otras categorías.

04. Tratamiento de Navegadores de Privacidad

Navegadores de privacidad reconocidos, tratados con indulgencia calibrada. Los usuarios conscientes de la privacidad siguen siendo bienvenidos; los bots que se esconden detrás de navegadores de privacidad, no.

Qué buscamos

  • Las formas conocidas de los navegadores de privacidad populares.
  • Coherencia en lugar de manipulación — un navegador de privacidad real produce un perfil estable que podemos reconocer.
  • Una verificación cruzada contra las señales de hardware (05) y de comportamiento (06) para distinguir a un humano consciente de la privacidad de un bot que usa el mismo navegador.

Resultado

Dar la bienvenida a los usuarios de privacidad legítimos sin dejar de detectar a los actores que se esconden entre ellos.

Ajuste

Esta es una de las categorías más importantes para la prevención de falsos positivos. El valor por defecto es permitir los navegadores de privacidad reconocidos. La puntuación de red e infraestructura sigue aplicando, pero suprimimos las señales de “bajo detalle” que de otro modo dispararían erróneamente contra el perfil deliberadamente uniforme de un navegador de privacidad.

05. Comprobaciones de Hardware

Las comprobaciones a nivel de dispositivo detectan emuladores, máquinas virtuales y ataques de reproducción. Los bots que superan las comprobaciones solo del navegador fallan la comprobación de hardware.

Qué buscamos

  • Firmas de gráficos que revelan renderizado por software — a menudo una máquina virtual o emulador en lugar de un dispositivo real.
  • Capacidades gráficas que no coinciden con el hardware declarado del dispositivo.
  • Firmas de audio que revelan una ruta de audio real frente a una simulada.
  • Las características habituales de dispositivo que una máquina real tiene pero un contenedor nuevo y desechable a menudo no.

Resultado

Verificar que el dispositivo es lo que dice ser — no solo el navegador que corre en él.

Ajuste

El hardware es la señal más fuerte que tenemos, y la más cara de falsificar a escala. Los anillos de fraude pueden alquilar proxies residenciales barato; no pueden alquilar millones de dispositivos reales barato. Ponderamos los desajustes de hardware en consecuencia.

06. Anomalías de Comportamiento

Patrones de timing de ratón, teclado, desplazamiento y post-desafío. La forma de un usuario real — y la de uno automatizado — difieren hasta el milisegundo.

Qué buscamos

  • Movimiento del ratón: los humanos tienen variaciones, microcorrecciones y límites naturales de velocidad. Los scripts a menudo dibujan líneas rectas y perfectamente suaves.
  • Ritmo de escritura: la escritura real varía; la entrada programática tiende a caer en una ventana sospechosamente estrecha.
  • Desplazamiento: el desplazamiento real desacelera de forma natural; el programático a menudo no.
  • Timing tras un desafío: los humanos hacen una pausa; los scripts continúan inmediatamente.

Resultado

Detectar las sesiones que parecen humanas sobre el papel pero no se comportan como una persona.

Ajuste

Las señales de comportamiento son las más silenciosas del modelo. Son la diferencia entre una sesión que supera todas las demás categorías y una que aun así no parece correcta. Las usamos para escalar sesiones que de otro modo estarían limpias, no como señal de bloqueo principal — juzgar solo por el comportamiento penalizaría a usuarios con diferencias motoras, tecnología asistiva o simplemente hábitos inusuales.

Cómo se Combinan las Categorías

Cada categoría produce una puntuación de riesgo calibrada y una medida de confianza — no un veredicto. Tu equipo es dueño de la política final. Nosotros solo nos aseguramos de que las entradas sean honestas.

El flujo es sencillo: el navegador recopila el perfil, las seis categorías aportan su peso, esas entradas ponderadas se combinan en un único nivel de riesgo calibrado, y tu código decide qué hacer — bloquear, desafiar o permitir.

La medida de confianza refleja cuánto nos dio realmente la sesión con qué trabajar. Una sesión que pasó solo unos segundos en la página nos dice menos que una con un minuto completo de interacción, independientemente de su nivel de riesgo.

Lecturas relacionadas