Saltar al contenido principal

Antes de empezar

Debe habilitar Bot Detection y configurar un proveedor de CAPTCHA.
La función de monitoreo de Bot Detection de Auth0 es un sistema de alerta temprana para detectar botnets y ataques. A continuación, se ofrece orientación para identificar bots que intentan iniciar sesión en su inquilino.

Encontrar eventos de registro de interés

Al planificar una respuesta, primero revise los mensajes de registro del posible ataque. Para realizar un análisis avanzado, habilite log streaming y conéctelo a la herramienta externa que prefiera. Los siguientes tipos de eventos de registro son relevantes al investigar un aumento de la actividad de bots.
Tipo de evento de registroDescripción
plaSe genera antes del inicio de sesión y supervisa la detección de bots, incluso si esta solo está en modo de supervisión y no usa CAPTCHA para identificar bots.
fuEventos de error de inicio de sesión de usuario debidos a un username no válido, lo que puede indicar intentos de enumeración de nombres de usuario o de apropiación de cuentas.
fpEventos de error de inicio de sesión de usuario debidos a una contraseña no válida, lo que puede indicar intentos de ataques de credential stuffing.
pwd_leakEventos de intento de inicio de sesión con una contraseña filtrada, lo que puede indicar intentos de ataques de credential stuffing.
limit_wcEventos de bloqueo de IP por >10 intentos fallidos de inicio de sesión en una sola cuenta, lo que indica que la dirección IP probablemente pertenece a un bot.
limit_sulEventos de bloqueo de usuario por >20 intentos de inicio de sesión por minuto desde la misma dirección IP, lo que indica una probable actividad de bots.
limit_muEventos de bloqueo de IP por >100 intentos fallidos de inicio de sesión o >50 intentos de registro desde la misma dirección IP, lo que indica una probable actividad de bots.
fcoaEventos fallidos de autenticación de origen cruzado, lo que indica que los atacantes usan automatización para apropiarse de cuentas.
scoaEventos exitosos de autenticación de origen cruzado, lo que indica que los atacantes usan automatización para apropiarse de cuentas cuando se originan desde un número reducido de direcciones IP en múltiples usuarios.

Respuesta ante un ataque

Aunque establecer el nivel de en Alto mitiga el ataque de inmediato, una estrategia integral equilibra la tolerancia al riesgo y las capacidades técnicas de su empresa con la experiencia que tendrán sus usuarios al iniciar sesión. Al hacerlo, tenga en cuenta dos factores principales:
  • Fricción para el usuario: evalúe el impacto de las medidas de mitigación (por ejemplo, la frecuencia de los CAPTCHA) en la experiencia del usuario.
  • Capacidad técnica: evalúe su capacidad para implementar bloqueo de IP, reglas de WAF y exigir .
Auth0 recomienda un enfoque de seguridad por capas que combine múltiples técnicas de mitigación para lograr una protección óptima.

Estrategias de mitigación

Para lograr una protección óptima contra ataques, considere las siguientes estrategias:
  • Active CAPTCHA para uno o varios flujos y aumente la frecuencia de CAPTCHA según sea necesario, pero recuerde que CAPTCHA es un elemento disuasorio, no una solución.
  • Cambie su proveedor de CAPTCHA si los atacantes logran eludir el CAPTCHA actual, o considere migrar a Auth0 Auth Challenge o a otro proveedor compatible.
  • Si sospecha que hay una campaña de fraude en el registro, impida temporalmente que se registren nuevos usuarios en su aplicación desde endpoints públicos no autenticados.
  • Modifique las reglas de su firewall de aplicaciones web con un proveedor perimetral o use listas de control de acceso del inquilino para bloquear IP maliciosas, números de sistema autónomo, ubicaciones geográficas, clientes TLS o elementos de encabezado HTTP como cadenas user-agent, y considere usar un proxy inverso.
  • Refuerce los umbrales de Brute Force y Suspicious IP para reducir los límites de conexión permitidos y mitigar los ataques de fuerza bruta. Para obtener más información sobre los ataques de fuerza bruta, lea la guía práctica de Brute Force.
  • Deshabilite los endpoints que no use modificando la configuración de Cross-Origin Authentication. Si sospecha ataques con contraseñas comprometidas, lea la guía práctica de Breached Password.
  • Aplique step-up MFA a las cuentas comprometidas, incluso hasta exigir MFA para cuentas potencialmente comprometidas.
  • Migre a opciones de MFA más seguras para mitigar ataques de SMS pumping o fraude de peaje, sustituyendo la MFA basada en SMS o voz por OTP o WebAuthn.