Uso de este grupo de reglas Etiquetas agregadas por este grupo de reglas Lista de reglas

AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude

VendorName:AWS, Nombre:AWSManagedRulesACFPRuleSet, WCU: 50

La Oficina de Prevención del AWS WAF Fraude para la creación de cuentas (ACFP) gestionó los grupos de reglas, etiquetó los grupos de reglas y gestionó las solicitudes que pudieran formar parte de intentos fraudulentos de creación de cuentas. Para ello, el grupo de reglas inspecciona las solicitudes de creación de cuentas que los clientes envían a los puntos de conexión de registro y creación de cuentas de la aplicación.

El grupo de reglas de la ACFP inspecciona los intentos de creación de cuentas de varias maneras para ofrecerte visibilidad y control sobre posibles interacciones maliciosas. El grupo de reglas utiliza los tokens de solicitud para recopilar información sobre el navegador del cliente y sobre el nivel de interactividad humana a la hora de crear la solicitud de creación de cuentas. El grupo de reglas detecta y gestiona los intentos de creación masiva de cuentas mediante la agregación de las solicitudes por dirección IP y sesión del cliente, y por la información de la cuenta proporcionada, como la dirección física y el número de teléfono. Además, el grupo de reglas detecta y bloquea la creación de nuevas cuentas con credenciales que se han visto comprometidas, lo que ayuda a proteger la posición de seguridad de la aplicación y de los nuevos usuarios.

Consideraciones sobre el uso de este grupo de reglas

Este grupo de reglas requiere una configuración personalizada, que incluye la especificación de las rutas de registro de cuenta y creación de cuenta de la aplicación. A menos que se indique lo contrario, las reglas de este grupo de reglas inspeccionan todas las solicitudes que los clientes envían a estos dos puntos de conexión. Para configurar e implementar este grupo de reglas, consulte las instrucciones en AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP).

nota

Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administrado. Para obtener más información, consulte AWS WAF Precios.

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener más información, consulte AWS WAF mitigación inteligente de amenazas.

Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en Las prácticas recomendadas para la mitigación inteligente de amenazas.

Este grupo de reglas no está disponible para su uso con grupos de usuarios de Amazon Cognito. No puede asociar una ACL web que utilice este grupo de reglas a un grupo de usuarios ni puede agregar este grupo de reglas a una ACL web que ya esté asociada a un grupo de usuarios.

Etiquetas agregadas por este grupo de reglas

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en la ACL web. AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Etiquetas en las solicitudes web y Etiquetar métricas y dimensiones.

Etiquetas de token

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente.

Para obtener información sobre los tókenes y su administración, consulte AWS WAF tokens de solicitud web.

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte AWS WAF requisitos de nomenclatura y sintaxis de etiquetas.

Etiqueta de sesión de cliente

La etiqueta awswaf:managed:token:id:identifier contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando.

nota

AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas

Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:

awswaf:managed:token:: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.
awswaf:managed:captcha:: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.

Etiquetas de estado del token: nombres de etiquetas

Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:

accepted: El token de solicitud está presente y contiene lo siguiente:
- Una solución válida del desafío o del CAPTCHA.
- Una marca de tiempo vigente del desafío o del CAPTCHA.
- Una especificación de dominio válida para la ACL web.
Ejemplo: la etiqueta awswaf:managed:token:accepted indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
rejected: El token de solicitud está presente, pero no cumple con los criterios de aceptación.

Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.
- rejected:not_solved: Al token le falta la solución del desafío o del CAPTCHA.
- rejected:expired: La marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en la ACL web.
- rejected:domain_mismatch: El dominio del token no coincide con la configuración del dominio del token de su ACL web.
- rejected:invalid— no se AWS WAF pudo leer el token indicado.
Ejemplo: las etiquetas awswaf:managed:captcha:rejected y awswaf:managed:captcha:rejected:expired indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad configurado en la ACL web.
absent: La solicitud no contiene el token o el administrador del token no ha podido leerlo.

Ejemplo: la etiqueta awswaf:managed:captcha:absent indica que la solicitud no tiene el token.

Etiquetas de ACFP

Este grupo de reglas genera etiquetas con el prefijo del espacio de nombres awswaf:managed:aws:acfp: seguido del espacio de nombres y el nombre de la etiqueta personalizados. El grupo de reglas puede agregar más de una etiqueta a una solicitud.

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al DescribeManagedRuleGroup. Las etiquetas aparecen en la propiedad AvailableLabels de la respuesta.

Lista de reglas de prevención contra fraude en la creación de cuentas

En esta sección se enumeran las reglas de la ACFP en AWSManagedRulesACFPRuleSet y las etiquetas que las reglas del grupo de reglas agrega a las solicitudes web.

nota

La información que publicamos sobre las reglas en los grupos de reglas AWS gestionadas tiene por objeto proporcionarle información suficiente para utilizarlas, pero no proporciona información que los delincuentes puedan utilizar para eludirlas. Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el centro de AWS Support.

Todas las reglas de este grupo de reglas requieren un token de solicitud web, excepto las dos primeras UnsupportedCognitoIDP y AllRequests. Para obtener una descripción de la información que proporciona el token, consulte AWS WAF características del token.

A menos que se indique lo contrario, las reglas de este grupo de reglas inspeccionan todas las solicitudes que sus clientes envían a las rutas de las páginas de registro y creación de cuentas que proporcione en la configuración del grupo de reglas. Para obtener información acerca de cómo configurar este grupo de reglas, consulte AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP).

Nombre de la regla	Descripción y etiqueta
`UnsupportedCognitoIDP`	Inspecciona el tráfico web que se dirige a un grupo de usuarios de Amazon Cognito. La ACFP no está disponible para su uso con los grupos de usuarios de Amazon Cognito y esta regla ayuda a garantizar que las demás reglas del grupo de reglas de la ACFP no se utilicen para evaluar el tráfico del grupo de usuarios. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:unsupported:cognito_idp`
`AllRequests`	Aplica la acción de regla a las solicitudes que acceden a la ruta de la página de registro. La ruta de la página de registro se configura al configurar el grupo de reglas. De forma predeterminada, esta regla aplica el Challenge a las solicitudes. Al aplicar esta acción, la regla garantiza que el cliente adquiera un token de desafío antes de que el resto de las reglas del grupo de reglas evalúen cualquier solicitud. Asegúrese de que los usuarios finales carguen la ruta de la página de registro antes de enviar una solicitud de creación de cuenta. Los tokens se agregan a las solicitudes de los SDK de integración de aplicaciones cliente y por las acciones de regla CAPTCHA y Challenge. Para la adquisición de tokens más eficiente, es muy recomendable que utilice los SDK de integración de aplicaciones. Para obtener más información, consulte AWS WAF integración de aplicaciones cliente. Acción de la regla: Challenge Etiqueta: ninguna
`RiskScoreHigh`	Inspecciona las solicitudes de creación de cuentas con direcciones IP u otros factores que se consideran muy sospechosos. Por lo general, esta evaluación se basa en varios factores que contribuyen, que se pueden ver en las etiquetas `risk_score` que el grupo de reglas agrega a la solicitud. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:risk_score:high` La regla también puede aplicar etiquetas de puntuación de riesgo `medium` o `low` a la solicitud. Si AWS WAF no logra evaluar la puntuación de riesgo de la solicitud web, la regla añade la etiqueta `awswaf:managed:aws:acfp:risk_score:evaluation_failed` Además, la regla agrega etiquetas con el espacio de nombres `awswaf:managed:aws:acfp:risk_score:contributor:` que incluyen el estado de la evaluación de la puntuación de riesgo y los resultados de los contribuyentes específicos a la puntuación de riesgo, como las evaluaciones de reputación de IP y de credenciales robadas.
`SignalCredentialCompromised`	Busca en la base de datos de credenciales robadas las credenciales que se enviaron en la solicitud de creación de la cuenta. Esta regla garantiza que los nuevos clientes inicialicen sus cuentas con una postura de seguridad positiva. nota Puede agregar una respuesta de bloqueo personalizada para describir el problema al usuario final e indicarle cómo proceder. Para obtener más información, consulte Ejemplo de ACFP: respuesta personalizada para credenciales comprometidas. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:signal:credential_compromised` El grupo de reglas aplica la siguiente etiqueta relacionada, pero no realiza ninguna acción al respecto, ya que no todas las solicitudes de creación de cuentas tendrán credenciales: `awswaf:managed:aws:acfp:signal:missing_credential`
`SignalClientHumanInteractivityAbsentLow`	Inspecciona el token de la solicitud de creación de la cuenta en busca de datos que indiquen una interactividad humana anómala con la aplicación. La interactividad humana se detecta mediante interacciones como los movimientos del ratón y las pulsaciones de teclas. Si la página tiene un formulario HTML, la interactividad humana incluye las interacciones con el formulario. nota Esta regla solo inspecciona las solicitudes de la ruta de creación de cuentas y solo se evalúa si ha implementado los SDK de integración de aplicaciones. Las implementaciones de los SDK capturan de forma pasiva la interactividad humana y almacenan la información en el token de solicitud. Para obtener más información, consulte AWS WAF características del token y AWS WAF integración de aplicaciones cliente. Acción de la regla: CAPTCHA Etiqueta: ninguna. La regla determina una coincidencia según diversos factores, por lo que no existe una etiqueta individual que se aplique a todos los escenarios de coincidencia posibles. El grupo de reglas puede aplicar una o varias de las siguientes etiquetas a las solicitudes: `awswaf:managed:aws:acfp:signal:client:human_interactivity:low/medium/high` `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data` `awswaf:managed:aws:acfp:signal:form_detected`.
`SignalAutomatedBrowser`	Inspecciona la solicitud en busca de indicadores de que el navegador del cliente podría estar automatizado. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:signal:automated_browser`
`SignalBrowserInconsistency`	Inspecciona el token de la solicitud para detectar datos de interrogación del navegador incoherentes. Para obtener más información, consulte AWS WAF características del token. Acción de la regla: CAPTCHA Etiqueta: `awswaf:managed:aws:acfp:signal:browser_inconsistency`
`VolumetricIpHigh`	Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas enviadas desde direcciones IP individuales. Un volumen elevado son más de 20 solicitudes en un período de 10 minutos. nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la acción de regla. Acción de la regla: CAPTCHA Etiqueta: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` La regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 15 solicitudes en un intervalo de 10 minutos) y volúmenes bajos (más de 10 solicitudes en un intervalo de 10 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` y`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`.
`VolumetricSessionHigh`	Inspecciona en busca de volúmenes elevados de solicitudes de creación de cuentas enviadas desde sesiones de clientes individuales. Un volumen elevado son más de 10 solicitudes en un período de 30 minutos. nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` El grupo de reglas aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes en un intervalo de 30 minutos) y volúmenes bajos (más de 1 solicitud en un intervalo de 30 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` y`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`.
`AttributeUsernameTraversalHigh`	Comprueba si hay una alta tasa de solicitudes de creación de cuentas procedentes de una sola sesión de cliente que utilizan nombres de usuario diferentes. El límite para una evaluación alta es de más de 10 solicitudes en 30 minutos. nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` El grupo de reglas aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes por período de 30 minutos) y volúmenes bajos (más de 1 solicitud por período de 30 minutos) de solicitudes de cruce de nombres de usuario, pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` y`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`.
`VolumetricPhoneNumberHigh`	Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas que utilizan el mismo número de teléfono. El límite para una evaluación alta es de más de 10 solicitudes en 30 minutos. nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` El grupo de reglas aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes por período de 30 minutos) y volúmenes bajos (más de 1 solicitud por período de 30 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` y`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`.
`VolumetricAddressHigh`	Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas que utilizan la misma dirección física. El umbral para una evaluación alta es más de 100 solicitudes por intervalo de 30 minutos. nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high`
`VolumetricAddressLow`	Inspecciona los volúmenes bajos y medios de solicitudes de creación de cuentas que utilizan la misma dirección física. El límite para una evaluación media es de más de 50 solicitudes por período de 30 minutos, y para una evaluación baja es de más de 10 solicitudes por período de 30 minutos. La regla aplica la acción a volúmenes medios o bajos. nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: CAPTCHA Etiqueta: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low` o `awswaf:managed:aws:acfp:aggregate:volumetric:address:medium`
`VolumetricIPSuccessfulResponse`	Comprueba si hay un gran volumen de solicitudes de creación de cuentas correctas para una sola dirección IP. Esta regla agrega las respuestas correctas del recurso protegido a las solicitudes de creación de cuentas. El umbral para una evaluación alta es más de 10 solicitudes por intervalo de 10 minutos. Esta regla ayuda a proteger contra los intentos de creación masiva de cuentas. Tiene un umbral inferior al de la regla `VolumetricIpHigh`, que solo cuenta las solicitudes. Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65 536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o fracaso. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web desde una dirección IP, en función de las respuestas correctas y fallidas del recurso protegido a los intentos de inicio de sesión recientes desde la misma dirección IP. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. nota AWS WAF solo evalúa esta regla en las ACL web que protegen las distribuciones de Amazon CloudFront . nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de creación de cuentas satisfactorios de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 10 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` para más de 1 solicitud correcta, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` para más de 1 solicitud correcta.
`VolumetricSessionSuccessfulResponse`	Comprueba si hay un bajo volumen de respuestas satisfactorias del recurso protegido a las solicitudes de creación de cuentas que se envían desde una sola sesión de cliente. Esto ayuda a proteger contra los intentos de creación masiva de cuentas. El umbral para una evaluación baja es más de 1 solicitud por intervalo de 30 minutos. Esto ayuda a proteger contra los intentos de creación masiva de cuentas. Esta regla usa un umbral inferior al de la regla `VolumetricSessionHigh`, que solo rastrea las solicitudes. Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web de una sesión de cliente, basándose en las respuestas de éxito y fracaso del recurso protegido a los intentos de inicio de sesión recientes de la misma sesión de cliente. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. nota AWS WAF solo evalúa esta regla en las ACL web que protegen las distribuciones de Amazon CloudFront . nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de creación de cuentas fallidos de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes. Todos los recuentos son para un período de 30 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` para más de 5 solicitud correcta, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` para más de 10 solicitudes fallidas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` para más de 5 solicitudes fallidas y `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` para más de 1 solicitud fallida.
`VolumetricSessionTokenReuseIp`	Inspecciona las solicitudes de creación de cuentas para detectar el uso de un único token entre más de 5 direcciones IP distintas. nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip`

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Grupos de reglas de reputación de IP

Grupo de reglas de prevención contra apropiación de cuentas