Saltar al contenido principal

Antes de comenzar

Para usar una de las integraciones compatibles con proveedores de CAPTCHA de terceros, necesitas los datos de configuración del proveedor. Para obtener más información, consulta Configurar integraciones con proveedores de CAPTCHA de terceros.
mitiga los ataques automatizados al detectar cuándo es probable que una solicitud provenga de un bot. A estos tipos de ataques a veces se les llama ataques de credential stuffing o de validación de listas. La detección de bots ofrece protección contra ciertos ataques y añade muy poca fricción a los usuarios legítimos. Auth Challenge es nuestra respuesta predeterminada para la detección de bots y proporciona una verificación de usuario sin CAPTCHA. Para obtener más información, consulta Credential Stuffing Attacks: What Are They and How to Combat Them. Auth0 usa una gran cantidad de datos y modelos estadísticos para identificar patrones que indiquen cuándo es probable que ráfagas de tráfico de inicio de sesión, registro o restablecimiento de contraseña provengan de un bot o script. Los usuarios que intentan iniciar sesión, crear cuentas o restablecer contraseñas desde direcciones IP con una alta probabilidad de formar parte de un ataque de credential stuffing deben completar un paso de verificación adicional. Estos mecanismos detectan el tráfico relacionado con estos ataques sin añadir fricción innecesaria a los usuarios legítimos.

Configurar la detección de bots

Cuando está habilitada, puede personalizar las preferencias de detección de bots, como el modelo de detección y las acciones de respuesta; estas se aplican a todas las conexiones de su inquilino. Si no configura acciones de Respuesta con la detección de bots habilitada, la detección de bots funciona en modo Monitoring. El modo Monitoring registra eventos relacionados, incluidos los detalles de la evaluación de riesgos, en los registros del inquilino para su revisión. Para obtener más información, consulte Ver eventos de log de protección contra ataques. Puede habilitar los registros del inquilino para Risk Assessment en el Auth0 Dashboard.
  1. Vaya a Dashboard > Security > protección contra ataques y seleccione Bot Detection.
  2. En la sección Detection, active el interruptor.
    Sección Detection de la pantalla de protección contra ataques
    Si no ve el interruptor para habilitar los registros del inquilino para Risk Assessment, es posible que deba actualizar su plan.
  3. En la sección Response, elija una respuesta de detección de bots.
    Dashboard - protección contra ataques - Bot Detection
    Al usar Auth Challenge, el interruptor Fail open está deshabilitado de forma predeterminada. Si habilita el interruptor Fail Open:
    • Cuando no se puede acceder al servicio de detección de bots, Auth0 prioriza el proceso de autenticación y continúa sin un desafío CAPTCHA. Los usuarios finales no ven ningún mensaje de error y aun así pueden iniciar sesión o registrarse.
    • Cuando se puede acceder al servicio de detección de bots, el proceso de autenticación continúa con un desafío CAPTCHA.
    Auth Challenge es la respuesta predeterminada de detección de bots y ofrece una experiencia web sin CAPTCHA, con mayor privacidad y una mejor experiencia de usuario.Como se indica en el dashboard, esta experiencia de inicio de sesión requiere JavaScript; si su experiencia de inicio de sesión debe funcionar sin JavaScript, seleccione Simple CAPTCHA.
  4. Seleccione cuándo desea exigir CAPTCHA para los flujos con contraseña, los flujos sin contraseña y los flujos de restablecimiento de contraseña.
    • Nunca: Nunca exija a sus usuarios completar un CAPTCHA para iniciar sesión.
    • Cuando haya riesgo: Exija a sus usuarios completar un CAPTCHA solo si el inicio de sesión coincide con la configuración de Nivel de detección de bots.
    • Siempre: Exija siempre a sus usuarios completar un CAPTCHA para iniciar sesión.
  5. Si elige Cuando haya riesgo o Siempre, el campo Proveedores de CAPTCHA aparecerá en la sección Response. Seleccione Auth Challenge (proporcionado por Auth0), Simple CAPTCHA (proporcionado por Auth0) o una de las integraciones compatibles con proveedores externos (requiere configuración y registro externos).
    • Si elige Auth Challenge o Simple CAPTCHA, ya habrá terminado. Si su experiencia de inicio de sesión no admite JavaScript, debe seleccionar Simple CAPTCHA.
    • Si elige una de nuestras integraciones con proveedores externos, introduzca los detalles de configuración del proveedor. Para obtener más información, consulte Configurar integraciones de proveedores de CAPTCHA de terceros.
    • Si elige Simple CAPTCHA, la imagen CAPTCHA no es legible para los lectores de pantalla.
  6. Si elige Cuando haya riesgo, el campo Nivel de detección de bots aparecerá en la sección Response. Seleccione el nivel de seguridad que mejor se adapte a su caso de uso. Para obtener más información, consulte Configurar el nivel de detección de bots.
  7. Seleccione Guardar.

Configurar el nivel de detección de bots

Configure la opción Nivel de detección de bots de acuerdo con su tolerancia al riesgo y las necesidades de su empresa. Hay tres opciones para elegir:
  1. Bajo: Activa el CAPTCHA cuando hay una alta probabilidad de actividad de bots, lo que proporciona una experiencia relativamente fluida para los usuarios reales.
  2. Medio: Predeterminado. Activa el CAPTCHA cuando hay una probabilidad moderada de actividad de bots, lo que ofrece un equilibrio entre seguridad y experiencia para los usuarios reales.
  3. Alto: Activa el CAPTCHA cuando hay una baja probabilidad de actividad de bots, lo que proporciona más seguridad, pero también puede generar más fricción para los usuarios reales.
Auth0 Dashboard > Security > Protección contra ataques para acceder a este control deslizante

Permita que las direcciones IP de confianza omitan la detección de bots

Puede hacer que hasta 100 direcciones IP individuales y/o rangos CIDR (IPv4 o IPv6) queden excluidos de la detección de bots agregándolos al campo IP AllowList. Auth0 no aplica bloqueos ni envía alertas para las direcciones IP o los rangos CIDR de esta lista.
  1. Vaya a Dashboard > Seguridad > Protección contra ataques y seleccione Detección de bots.
  2. En el campo IP AllowList, introduzca las direcciones IP y/o los rangos CIDR que desea excluir de la detección de bots. Separe varias direcciones o rangos con comas.

Configurar el modelo de detección de registros para la página de inicio de sesión personalizada y la experiencia Classic Login

Auth0 ofrece un modelo de aprendizaje automático para la detección de registros, distinto del modelo de inicio de sesión, que aborda diferentes tipos de ataques mediante el análisis de señales específicas. Este modelo permite que el CAPTCHA se comporte de manera diferente en los flujos de registro e inicio de sesión para ofrecer una protección más sólida contra ataques de registro y ajustarse a los avances de seguridad más recientes.
Asegúrate de que todas las aplicaciones que usan Auth0.js y/o Lock utilicen las versiones más recientes de las bibliotecas antes de habilitar este modelo:
  • Auth0.js: 9.28.0+
  • Lock: 13.0+
Si habilitas este modelo mientras usas una biblioteca desactualizada, tu aplicación puede presentar errores.
Puedes configurar en el el modelo de detección que usa la detección de bots para los flujos de registro cuando utilizas una página de inicio de sesión personalizada o la experiencia Classic Login.
  1. Ve a Dashboard > Security > protección contra ataques y selecciona detección de bots.
  2. Busca la sección Modelos de detección.
  3. Habilita el interruptor de Modelos de detección de registros para páginas de inicio de sesión personalizadas y Classic Login.

Restricciones y limitaciones

Limitaciones de los flujos

La detección de bots funciona en aplicaciones web y móviles que usan Auth0 Universal Login. En las aplicaciones que no usan , el soporte es limitado, en particular para los flujos que no pueden admitir un desafío CAPTCHA o reCAPTCHA. Asegúrese de que todas sus experiencias de inicio de sesión sean compatibles antes de habilitar la detección de bots; de lo contrario, podría introducir errores en su aplicación.
FlujoLimitación
Universal LoginCompatible de forma predeterminada.
Classic Login (sin personalizaciones)Compatible de forma predeterminada.
Classic Login (página de inicio de sesión personalizada con la plantilla de Lock)Compatible si usa la versión 12.4.0 o superior del SDK lock.js.
Classic Login (página de inicio de sesión personalizada con la plantilla Custom Login Form)Compatible si usa la versión 9.24 o superior del SDK auth0.js y adapta su código para gestionar un desafío CAPTCHA o reCAPTCHA.
Aplicaciones nativasCompatibles si usa uno de los siguientes SDKs:
  • Auth0.swift versión 1.28.0+
  • Auth0.Android versión 1.25.0+
  • Lock.Swift versión 2.19.0+
  • Lock.Android versión 2.22.0+
Aplicaciones web convencionales o nativas que usan Resource Owner Password FlowCompatibles de forma limitada. Una respuesta de detección de bots, como CAPTCHA, requiere un flujo interactivo y, por lo tanto, no es compatible. Si el SDK devuelve el error requires_verification, debe iniciar un flujo de inicio de sesión web para que el usuario complete la autenticación.
Flujos no alojados por Auth0 que usan los SDK lock.js o auth0.js y realizan autenticación entre orígenes (endpoint co/authenticate)No compatible.

Limitaciones de los tipos de conexión

Según los tipos de conexión que utilice, la detección de bots tiene las siguientes limitaciones.
Tipo de conexiónLimitación
Base de datosSe admite si el inicio de sesión usa un flujo de inicio de sesión compatible, como se describe en la tabla de limitaciones de Flow.
Base de datos personalizadaSe admite si el inicio de sesión usa un flujo de inicio de sesión compatible, como se describe en la tabla de limitaciones de Flow.
Active Directory/LDAPSe admite si el inicio de sesión usa un flujo de inicio de sesión compatible, como se describe en la tabla de limitaciones de Flow.
EnterpriseNo se admite.
Inicio de sesión socialNo se admite.
Sin contraseñaSe admite si el inicio de sesión usa un flujo de inicio de sesión compatible, como se describe en la tabla de limitaciones de Flow.

Compatibilidad con páginas de inicio de sesión personalizadas

Si crea una página de inicio de sesión personalizada con Auth0.js, puede habilitar la detección de bots para mostrar un paso de CAPTCHA cuando Auth0 determine que una solicitud de inicio de sesión presenta un alto riesgo. El código de su formulario de inicio de sesión personalizado debe gestionar los casos en los que se pida al usuario que complete un paso de CAPTCHA. Para obtener más información, consulte Añadir la detección de bots a las páginas de inicio de sesión personalizadas.

Compatibilidad con aplicaciones nativas

Si desarrolla aplicaciones nativas con un SDK de Auth0 para el flujo de inicio de sesión, puede habilitar la detección de bots para mostrar un paso de CAPTCHA cuando Auth0 determine que una solicitud de inicio de sesión presenta un riesgo elevado. El código de su formulario de inicio de sesión personalizado debe contemplar los casos en los que se pida al usuario completar un paso de CAPTCHA. Para obtener más información, consulte Agregar detección de bots a aplicaciones nativas.

Más información