Saltar al contenido
Ayuda
Español
العربيةČeštinaDeutschΕλληνικάEnglishEspañolFrançaisItalianaPolskiPortuguêsRomâniaРусскийSlovenčinaKiswahiliTürkçeاردو简体中文
Seguridad y antifraude

Bloquear fraude con Shield

Usa la aplicación Shield para añadir CAPTCHA, bloquear pedidos duplicados, limitar pedidos por cliente, exigir un retraso antes del pago, validar números de WhatsApp, filtrar agentes de usuario de bots y bloquear tráfico según los parámetros de la URL de destino.

Shield es una aplicación de seguridad que debes instalar desde el mercado de aplicaciones antes de que su configuración esté disponible. Una vez instalada, añade múltiples capas de protección al proceso de compra de tu tienda para bloquear bots, patrones de pedidos fraudulentos y números de teléfono falsos. Ve a Aplicaciones, encuentra Shield en la colección Seguridad y privacidad, instálalo y haz clic en el icono de configuración para configurarlo.

Abrir la configuración de Shield

Tras la instalación, ve a Aplicaciones y haz clic en el icono de engranaje junto a Shield, o navega directamente a /apps/shield. Se abre un panel de configuración con todos los controles disponibles.

Captcha

Cuando se habilita Captcha, aparece una entrada CAPTCHA con un código de imagen en el formulario de pago. Los clientes deben escribir los números que se muestran para realizar un pedido. Esto bloquea bots, scripts y abuso basado en macros. Solo los usuarios reales que puedan leer la imagen pueden completar el proceso de compra.

Bloqueador de pedidos duplicados

Cuando se habilita el Bloqueador de pedidos duplicados, los nuevos pedidos se comprueban contra pedidos anteriores del mismo cliente, usando dirección de correo electrónico y número de teléfono. Si se detecta un duplicado, el pedido se bloquea automáticamente. Esto evita compras repetidas o fraudulentas desde la misma identidad.

Modo señuelo

Cuando se habilita el Modo señuelo, los visitantes cuyo dispositivo ha sido bloqueado o cuyo pedido es rechazado por otra regla de Shield ven una tienda completamente normal: carrito real, validación real, totales reales. Luego reciben una confirmación de pedido falsa construida con los datos que ingresaron. No se crea ningún pedido real, no se envían notificaciones y no se activan píxeles publicitarios. Los atacantes creen que sus pedidos se procesaron correctamente y pierden tiempo reintentando, mientras que tus datos reales de pedidos se mantienen limpios.

Habilitar o deshabilitar el Modo señuelo actualiza de inmediato cómo los dispositivos bloqueados experimentan tu tienda. Con el modo señuelo activado, esos visitantes ven la tienda con normalidad y reciben una confirmación falsa; con el modo señuelo desactivado, reciben la respuesta de bloqueo estándar.

Protección contra pegado

Cuando se habilita la Protección contra pegado, los clientes no pueden pegar texto en los campos del proceso de compra. Esto obliga a la entrada manual y bloquea los scripts automatizados y los ataques de bots basados en portapapeles que rellenan formularios de forma programática.

Validador de WhatsApp

Cuando se habilita el Validador de WhatsApp, el número de teléfono proporcionado por el cliente se valida contra la API de WhatsApp. Si el número de teléfono no está asociado a una cuenta de WhatsApp real, no se puede realizar el pedido. Esto es especialmente eficaz para tiendas que usan flujos de confirmación de pedidos basados en WhatsApp, ya que los pedidos fraudulentos a menudo usan números de teléfono inventados o inexistentes.

Máximo de pedidos por cliente

Cuando se habilita el Máximo de pedidos por cliente, los clientes están restringidos a no realizar más pedidos que el número especificado. El campo Máximo de pedidos por cliente acepta un número entre 1 y 3. Establecerlo en 1 significa que cada cliente (identificado por correo electrónico y teléfono) solo puede realizar un pedido en total. Esto evita abusos y limita las compras fraudulentas masivas desde una sola identidad.

Retraso mínimo para realizar pedidos

Cuando se habilita el Retraso mínimo para realizar pedidos, el botón de pedido del proceso de compra permanece inactivo durante un número requerido de segundos después de que se carga la página. El retraso se establece con un control deslizante llamado Tiempo de retraso requerido, con un rango de 2 a 20 segundos. El cliente no ve ninguna cuenta atrás ni temporizador. El botón simplemente no hace nada cuando se hace clic hasta que ha pasado el tiempo. Esto garantiza que los bots y scripts que envían de inmediato no puedan realizar pedidos, sin revelar el umbral de seguridad a los posibles atacantes.

Una sugerencia en pantalla dice: «Consejo: usa esta función para bloquear bots y scripts que envían al instante. Establecer el tiempo demasiado largo puede frustrar a los clientes genuinos.»

Palabras clave de agente de usuario bloqueadas

El área de texto Palabras clave de agente de usuario bloqueadas acepta una palabra clave por línea, hasta 50 palabras clave. Cada palabra clave debe tener entre 2 y 100 caracteres. Cada visita entrante se comprueba: si alguna palabra clave aparece en el identificador del navegador del visitante, la solicitud se bloquea. Las entradas típicas pueden incluir nombres de herramientas como scrapy, selenium, headless o apifybot. Deja el campo vacío para deshabilitar completamente esta comprobación. Cuando el Modo señuelo también está habilitado, los visitantes que coincidan ven una tienda falsa en lugar de ser bloqueados directamente.

Parámetros de URL bloqueados

El área de texto Parámetros de URL bloqueados te permite marcar a los visitantes según los parámetros de seguimiento que lleva el enlace por el que llegaron. Cada visita se comprueba contra esta lista: si la URL de destino del visitante contiene un parámetro coincidente, la solicitud se bloquea. Introduce una regla por línea, hasta 50 reglas. Cada regla puede tener hasta 100 caracteres, y el nombre de su parámetro puede contener letras, dígitos, guiones bajos y guiones.

Hay dos tipos de regla:

  • Nombre con un valor: escrito como name=value, por ejemplo utm_source=an. Solo coincide cuando ese parámetro aparece exactamente con ese valor.
  • Solo nombre: escrito solo como el nombre del parámetro, por ejemplo gclid. Coincide siempre que ese parámetro aparece en la URL de destino, sea cual sea su valor.

Esto es útil para cortar el tráfico que sabes que es fraudulento o automatizado, como una fuente de anuncios, campaña o identificador de clic específico que sigue produciendo pedidos de pago contra entrega falsos. Deja el campo vacío para deshabilitar completamente esta comprobación. Cuando el Modo señuelo también está habilitado, los visitantes que coincidan ven una tienda completamente normal y cada pedido que envían se falsifica de forma silenciosa en lugar de ser bloqueado directamente.

Protección adicional

Una nota en el panel explica que, más allá de las reglas configurables de Shield, Storeep ejecuta múltiples medidas de seguridad en capas de forma silenciosa en segundo plano, incluida la detección avanzada de comportamiento y automatizadores, para mantener tu tienda y tus pedidos seguros en todo momento.

Cada pedido registra el dispositivo y la dirección IP del cliente. Puedes bloquear un dispositivo o IP específico directamente desde la página de detalles del pedido; esos bloqueos aparecen en Configuración > Sesiones bloqueadas. Ver Sesiones y sesiones bloqueadas para saber cómo revisar y liberar bloqueos.

Guardar

Haz clic en Guardar. Un mensaje de éxito confirma la actualización. Los errores de validación aparecen en línea junto al campo correspondiente si un valor está fuera del rango permitido.