Las campañas de marketing en las que los usuarios pueden ganar premios a menudo atraen a participantes que intentan aplicar prácticas deshonestas o fraudulentas. Los concursos de votos online o las promociones que ofrecen premios directos, como una Ruleta de premios, son los tipos de campañas que tienden a acumular más intentos de fraude. Gracias a la experiencia acumulada gestionando promociones digitales, Easypromos ha diseñado y mantiene un sistema de seguridad integral que detecta y bloquea las principales prácticas maliciosas de los participantes. El éxito de tu campaña empieza con su seguridad.

En este tutorial te explicamos en detalle cómo funciona el sistema de control de fraude de la plataforma Easypromos para proteger tus promociones ante el fraude de los participantes.

 

Éstos son los contenidos de este tutorial:

1. Principales amenazas

2. Mecanismos de seguridad preventivos

   • 2.1. Mecanismos de control de emails

   • 2.2. Mecanismos de control de teléfonos

   • 2.3. Mecanismos de control de IPs

   • 2.4. Mecanismos de control anti-robots

   • 2.5. Múltiples sistemas de Login

3. Centro de seguridad

   • 3.1. Indicador de nivel de seguridad

   • 3.2. Acciones bloqueadas

   • 3.3. Herramienta de análisis de IPs

   • 3.4. Herramienta de análisis de dominios

4. Bloqueo de usuarios

5. Seguridad en los juegos online

6. Seguridad en los tíquets de compra

7. Equipo de seguridad de Easypromos

1. Principales amenazas

Cuando los usuarios tienen la posibilidad de ganar premios y se encuentran en un entorno digital, aumenta la probabilidad de que intenten prácticas fraudulentas. Los tipos de promociones digitales que mayor nivel de fraude tienen son:

• Concursos de votaciones: Los usuarios intentarán registrar votos falsos para ser el más votado.
• Promociones que entregan premios directos: Los usuarios intentarán registrarse con datos falsos para conseguir el premio. Es habitual en promociones tipo Ruleta de premios o un Rasca y Gana.
• Juegos online de habilidad: Los usuarios quieren estar arriba de todo del ranking, e intentarán manipular el propio juego.
• Promociones condicionadas a pruebas de compra: Los usuarios intentarán falsear las pruebas de compra para tener más opciones de conseguir un premio.

Así, las principales amenazas en una promoción debido a las malas prácticas de los usuarios son las siguientes:

1. Registro de emails falsos: Los usuarios participan en la promoción utilizando emails inventados para así tener más oportunidades de participar en la promoción y optar así a un premio. 
2. Registro de emails temporales: Los emails temporales son herramientas que se pueden encontrar online y que permiten tener una cuenta de correo electrónico sin necesidad de establecer una contraseña ni darse de alta o crearse una cuenta, basta con inventarse cualquier dirección de email. Son emails desechables pues se eliminan después de unas horas de forma automática. 
3. Registro de teléfonos falsos y temporales: De la misma forma, existen herramientas online que permiten a los usuarios crear números de teléfono falsos y temporales.
4. Uso de VPN y proxys: Uso de programas informáticos o sistemas de bots para automatizar el registro.
5. Manipulación de contadores en juegos online: Usar programas para manipular y alterar los contadores de tiempo de los juegos y las puntuaciones conseguidas.
6. Promociones condicionadas a pruebas de compra: Subir tíquets de compra duplicados o falsos.
7. Canjeo de cupones duplicados: Intentar canjear un premio dos veces o duplicar cupones ganados en una promoción.

2. Mecanismos de seguridad preventivos

Easypromos ha diseñado y mantiene un sistema de seguridad integral que detecta y bloquea las principales prácticas maliciosas de los participantes con el objetivo de ayudar a los administradores a organizar promociones seguras.

A continuación, enumeramos los controles principales del sistema de Seguridad de Easypromos contra el fraude de los participantes.

2.1. Mecanismos de control de emails

La primera de las medidas de seguridad preventivas del sistema de Seguridad tiene relación con el control del email utilizado por los usuarios que participan en la promoción con el objetivo de evitar que los usuarios participen con emails falsos o que no son de su propiedad. Para ello, el sistema de Seguridad de Easypromos lleva a cabo las siguientes medidas preventivas como parte del control de los emails de los participantes:

Base de datos de emails temporales

Easypromos mantiene una base de datos de dominios de correo electrónico temporales y prohibidos para prevenir el registro de usuarios falsos, mejorando la calidad de los registros. De esta forma, el sistema es capaz de detectar si un usuario participa con un email temporal, y en caso de intentarlo, el usuario verá por pantalla el mensaje de "Acceso no autorizado".

Control de emails escritos de forma incorrecta

En caso de detectar que el usuario escribe el dominio del email de forma incorrecta (por ejemplo, escribir gmai en lugar de gmail o hotmai en lugar de hotmail) el sistema no permite al usuario registrarse.

Control de alias de email

Easypromos no permite a los usuarios utilizar los alias de emails (por ejemplo, escribir el símbolo + en el correo electrónico: nombreusuario+1@gmail.com).

Verificación de email

Easypromos permite, en todas sus promociones, habilitar la verificación de email, de forma que tras registrarse, el usuario recibirá un email que deberá validar antes de poder participar, garantizando de esta forma que los usuarios participan con un email válido y que es de su propiedad.

Para configurar la verificación de email se deberá marcar la siguiente opción, que aparece junto al método de Login seleccionado:

Lista negra de emails de la cuenta

Easypromos permite a los administradores añadir a los usuarios que realizan prácticas fraudulentas a una lista negra de la cuenta, para poder así excluirlos de los sorteos y evitar que puedan participar en las campañas que organice.

Esta lista negra se mantiene y gestiona a nivel de cuenta, por lo que aplica a todas las campañas organizadas desde la misma cuenta.

Para gestionar esta lista negra de emails se debe acceder al menú Configuración > Utilidades > Lista negra: 

Restringir la participación a un grupo de emails

El administrador tiene la posibilidad de restingir qué emails pueden participar en la promoción, a través de las siguientes dos opciones:

1. E-mails o dominios permitidos: Permite limitar el registro a un e-mail o conjunto de e-mails, o bien a un dominio de correo electrónico concreto.
2. E-mails o dominios prohibidos: Permite introducir un e-mail o un conjunto de e-mails, o un dominio o un conjunto de dominios que no permites registrar en la promoción.

Estas dos opciones las podrás encontrar en el apartado Editor > General > Restricciones > Direcciones de email:

2.2. Mecanismos de control de números de teléfono

Esta medida de seguridad preventiva tiene por objetivo controlar el número de teléfono utilizado por los usuarios que participan en la promoción con el objetivo de evitar que los usuarios participen con números de teléfono falsos o que no son de su propiedad. Para ello, el sistema de Seguridad de Easypromos lleva a cabo las siguientes medidas preventivas como parte del control de los números de teléfono de los participantes:

Base de datos de teléfonos temporales

Easypromos mantiene una base de datos de números de teléfono temporales y prohibidos para prevenir el registro de usuarios falsos, mejorando la calidad de los registros. De esta forma, el sistema es capaz de detectar si un usuario participa con un número de teléfono temporal, y en caso de intentarlo, el usuario verá por pantalla el mensaje de "Acceso no autorizado".

Doble factor de autenticación (2FA) vía SMS

Permite habilitar el doble factor de autenticación con envío de SMS de verificación, que permite garantizar que el usuario participa con un número de teléfono real y de su propiedad.

2.3. Mecanismos de control de IPs

El sistema de Seguridad de Easypromos también controla la dirección IP utilizada por los usuarios que participan en la promoción, a través de las siguientes medidas preventivas:

Base de datos de direcciones IP

Easypromos mantiene una base de datos actualizada de direccions IP con un historial de actividad maliciosa, lo que permite bloquear de forma preventiva cualquier intento de acceso de forma fraudulenta.

Lista negra de IPs maliciosas

Además, el administrador de la promoción tiene la posibilidad de añadir a una lista negra interna las direcciones de IPs fraudulentas, para así bloquer acciones maliciosas realizadas por los usuarios desde estas direcciones IP.

Geolocalización IP

Permite al administrador restringir la participación y acceso a la promoción a uno o varios países determinados. De esta forma, el sistema detecta la IP del usuario que intenta acceder y en caso que no cumpla con la configuración establecida por el administrador, al usuario se le denegará el acceso a la promoción.

Esta opción la podrás encontrar accediendo al apartado Editor > General > Restricciones > Países:

Control de frecuencia de IP

Permite limitar los registros y la frecuencia de conexiones por dirección IP, para así controlar el número de veces que se puede participar y con qué frecuencia desde una misma dirección IP. 

Esta opción la podrás encontrar accediendo al apartado Editor > Login y registro > Opciones de seguridad:

2.4. Sistema anti-robots

Todas las promociones cuentan con un sistema para detectar y bloquear accesos automatizados de programas y scripts informáticos. Esto incluye las siguientes herramientas:

Sistema reCaptcha

Se trata de un control de seguridad para minimizar el impacto de bots y sistemas de spam en las promociones, y así incrementar la calidad de los usuarios registrados en la promoción. Concretamente, se utiliza la versión de reCAPTCHA con Checkbox, donde el usuario participante debe hacer clic en el botón de "No soy un robot".

Nota: Consulta este tutorial donde explicamos paso a paso cómo habilitar el sistema ReCAPTCHA.

Tokens CSRF

Los tokens CSRF (Cross-Site Request Forgery) son medidas de seguridad utilizados en el formulario de registro de participantes de la promoción, para prevenir ataques CSRF. En este contexto, CSRF implica que un atacante engañe al navegador del usuario para realizar acciones no deseadas en un sitio web donde el usuario está autenticado. Para evitar esto, los desarrolladores generan tokens CSRF únicos asociados a la sesión del usuario y los incluyen en los formularios como campos ocultos. Cuando el usuario envía el formulario, el token se envía y se verifica en el servidor para asegurar que coincide con el token asociado.

Enmascaramiento de parámetros

Todos los datos que se envían durante el registro y la participación de un usuario en la promoción están cifrados para garantizar su integridad y confidencialidad. Además los parámetros de entrada están enmascarados para dificultar las acciones maliciosas de los usuarios que intentan abusar del registro de datos.

2.5. Múltiples mecanismos de Login

El sistema de registro de Easypromos permite habilitar múltiples métodos de identificación. De esta forma, aparte de poder configurar el Login con Email y número de teléfono, el administrador tiene las siguientes opciones:

Limitar la participación a usuarios de redes sociales

Se podrá limitar la participación de los usuarios a la promoción a las siguientes redes sociales: Facebook, Google, Linkedin y Twitch.

Integración con sistemas de autenticación y registro de usuarios externos (SSO)

Easypromos dispone de 2 soluciones diferentes para integrarse con el SSO de una marca: API de Autologin y conexión vía Open ID Connect. Los usuarios participarán en las promociones con las credenciales propias de la marca. 

Nota: Consulta el tutorial donde explicamos en detalle los diferentes métodos de identificación para los usuarios.

3. Centro de Seguridad

El Centro de Seguridad es una consola para el administrador de la promoción que incluye todos los registros y eventos de seguridad detectados y bloqueados en una promoción. También ofrece herramientas para el análisis de las direcciones IP y correos electrónicos de la promoción, con opciones de bloqueo de usuarios y mantenimiento de listas negras.

El Centro de Seguridad está disponible para cualquier promoción de Easypromos que utilice el sistema de Login y su acceso se sitúa en el menú lateral de la promoción:

Al acceder, el administrador encuentra las siguientes herramientas que tienen por objetivo mantener la seguridad de la promoción:

3.1. Indicador de nivel de seguridad

Indica el nivel de seguridad actual del sistema de identificación y registro de la promoción (Bajo, Medio o Alto). Para calcular el nivel de seguridad de la promoción el sistema tiene en cuenta la configuración realizada en la promoción, de forma que en esta pantalla el administrador puede revisar los puntos de seguridad que se recomienda habilitar en la promoción para conseguir un proceso de identificación y registro de usuarios seguro. 

Al acceder a esta pantalla, el administrador puede ver rápidamente las configuraciones recomendadas que tiene habilitadas en la promoción, así como los puntos que el sistema recomienda habilitar también para conseguir ampliar la seguridad en la promoción.

En concreto, las medidas de seguridad que aparecen en esta pantalla son las siguientes:

• Habilitar la verificación de email.
• Habilitar el control del límite de registros por Navegador/IP.
• Habilitar el control de frecuencia de dirección IP.
• Habilitar la restricción por país de conexión.
• Habilitando el sistema anti-bot (reCaptcha).

En la medida de lo posible, recomendamos siempre que el nivel de seguridad de la promoción sea alto.

Nota: Estas medidas de seguridad están recomendadas para la mayoría de promociones, que utilizan  el sistema de Login y registro propios de Easypromos. Sin embargo, estas medidas no aplican en los siguientes casos: (1) Cuando la promoción se desarrolla en un entorno cerrado (como por ejemplo, cuando el registro de usuarios se realiza en una feria desde el mismo dispositivo), (2) Cuando se habilita el registro Anónimo, o (3) Cuando se utilizan sistemas de autenticación y registro de usuarios externos (SSO). 

3.2. Acciones bloqueadas

Esta herramienta permite ver un listado de las acciones de usuario bloqueadas por el sistema de seguridad. Disponer de este listado de las acciones bloqueadas por parte del sistema de forma preventiva puede ayudar al administrador a analizar la actividad de los usuarios a partir de las alertas generadas, para así poder detectar otras acciones fraudulentas y bloquear así a los usuarios que realizan prácticas fraudulentas.

Así, para cada una de las acciones bloqueadas por el sistema de seguridad de la promoción, el administrador puede consultar el detalle del usuario que generó la alerta, así como su dirección IP.

Las acciones bloquedas pueden ser las siguientes:

Disposable

¿Qué es? Un usuario ha intentado registrarse a la promoción con una dirección de correo electrónico temporal o disposable. Un correo electrónico temporal es una dirección utilizada de manera efímera y desechable, a menudo con el fin de eludir restricciones como el control de verificación de email. Esta mala práctica es común en concursos de votaciones y en promociones que reparten premios directos.

Recomendación: El administrador puede hacer clic en la dirección IP de la acción bloqueada para analizar si tiene más actividad fraudulenta. En caso de ver usuarios con correos sospechosos, recomendamos bloquear la dirección IP.

Phone blacklist

¿Qué es? Un usuario ha intentado registrarse con un número de teléfono temporal. Existen páginas web que proporcionan un número de teléfono temporal y un buzón de SMS. Se utilizan para que los usuarios no tengan que poner su número de teléfono real para recibir un sms de validación. Esta mala práctica es común en concursos de votaciones y en promociones que reparten premios directos.

Recomendación: Recomendamos hacer clic en la dirección IP de la acción bloqueada para analizar si tiene más actividad maliciosa. Podrás bloquear la IP para que no pueda volver a participar.

reCaptcha

¿Qué es? Un usuario ha intentado registrarse pero no ha superado el control de Anti-Bots basado en el sistema de reCaptcha.

Recomendación: Si tienes varias alertas de seguridad, y crees que son falsos positivos porque los usuarios son legítimos, baja un nivel la sensibilidad del control. Por ejemplo de nivel estricto a nivel medio, o de nivel medio a nivel bajo.

IP blacklist

¿Qué es? Un usuario ha intentado acceder a la promoción con una dirección IP que tienes en tu lista negra.
Recomendación: Desde esta dirección IP no podrán acceder, pero no bajes la guardia, porque los usuarios pueden utilizar programas para cambiar su dirección IP. Revisa periódicamente la información del centro de seguridad para que no se te escape nada.

Invalid game

¿Qué es? Se ha bloqueado la participación de un usuario en un juego por actividad anómala, por ejemplo utilizar programas y técnicas informáticos para manipular los contadores de tiempo o puntuación del juego.
Recomendación: Este bloqueo podría ser un falso positivo. Recomendamos hacer clic en el usuario para analizar su actividad. Si el usuario tiene más de 3 acciones de juego inválido, te recomendamos que bloquees el usuario, para que no pueda volver a participar.

3.3. Análisis de direcciones IP

Esta herramienta presenta un listado con las 50 direcciones IP con más usuarios registrados. 

Para cada IP se muestra una vista unificada de todos los usuarios, participaciones y acciones bloqueadas realizadas por el sistema. De esta forma, el administrador puede identificar patrones fraudulentos, con la opción de poder bloquear la IP y todos sus usuarios, para que no puedan seguir participando en la promoción. Además, al bloquear una IP, ésta se añadirá a la lista negra de IPs de la cuenta.

3.4. Análisis de dominios de correo

Esta herramienta permite ver en un click el listado de todos los dominios de correo electrónico utilizados por los usuarios. Se muestran únicamente esos dominios que debería revisar el administrador. No se muestran los dominios genéricos (gmail.com, hotmail.com, etc...) y otros dominios que Easypromos tiene marcados como válidos.

El objetivo de esta herramienta es poder detectar dominios temporales de recién creación, que pueden no estar aun en la base de datos de emails temporales y maliciosos, y presenta la opción de poder bloquear los dominios que el administrador considere que son fraudulentos.

Conoce la amenaza de los emails temporales de recién creación.

4. Bloqueo de usuarios

Este conjunto de herramientas permiten al administrador disponer de información para revisar la actividad registrada en la promoción y detectar cualquier práctica fraudulenta o maliciosa por parte de los usuarios que participan en la promoción. 

De esta forma, en caso de detectar usuarios que realizan malas prácticas, el administrador podrá bloquearlos para así evitar que su participación en la promoción sea válida. 

Concretamente, se podrá bloquear usuarios de forma individual desde dos puntos diferentes:

1. Desde la herramientas de Análisis de IPs

Para ello, se deberá hacer clic en una dirección IP, lo que abrirá el listado de usuarios que se han conectado desde esa IP, y para cada usuario, el administrador encontrará la opción de "Bloquear usuario":

2. Desde la herramienta de Análisis de dominios de correo

Para ello, se deberá hacer clic en un dominio de correo, lo que abrirá el listado de usuarios que han utilizado ese dominio de correo, y para cada usuario, el administrador encontrará la opción de "Bloquear usuario":

Al bloquear un usuario, el sistema realiza las siguientes acciones:

1. El usuario aparece con un punto rojo en el apartado de "Usuarios" de la promoción.

2. El usuario no podrá seguir participando en la promoción.

3. Todas las participaciones realizadas por el usuario quedarán rechazadas. Ejemplo: En caso de haber realizado un voto, su voto será marcado como un voto fraudulento.

4. El administrador podrá añadir el usuario a la lista negra de la cuenta para así evitar que pueda participar en futuras promociones organizadas por la cuenta.

5. Seguridad en los juegos online

Easypromos ha implementado un sistema destinado a identificar los intentos de los participantes de manipular los contadores de tiempo y puntos en juegos de habilidad, tales como el Puzzle, Memory o la Sopa de letras.

Es común que usuarios con conocimientos básicos de informática y programación intenten abusar del sistema mediante técnicas informáticas. Por ejemplo, es habitual que utilicen las herramientas de desarrolladores incluidas en los navegadores y otras extensiones o plugins para detener los contadores de tiempo o las animaciones del juego en su propio beneficio. Por ejemplo, en un puzzle o una sopa de letras, un usuario puede fácilmente detener la ejecución del juego desde las herramientas de desarrolladores del navegador y luego analizar los movimientos para completarlo.

Con el fin de prevenir estas prácticas, Easypromos cuenta con sistemas de detección de manipulación de contadores de tiempo y puntuación por parte del usuario. En caso de que esto ocurra, el juego se invalida y se genera un evento de seguridad en el centro de seguridad del administrador de la promoción. Esto le permite revisar la actividad del usuario, incluida su dirección IP, y bloquearlo si se considera necesario.

6. Seguridad en los tíquets de compra

En promociones organizadas por una única tienda o marca donde los tiquets de compra generados incluyen un número de factura único que utiliza el mismo formato, el organizador tiene la posibilidad de agregar una seguridad adicional para asegurarse de que los clientes no intenten participar varias veces subiendo distintas fotos del mismo tiquet de compra.

Para lograrlo, además de subir la imagen del tiquet, se solicita al cliente que introduzca el código de la factura, lo que permite prevenir el fraude en los tiquets de compra. El usuario no podrá volver a participar con el mismo tiquet, ya que el código de la factura se habrá validado previamente.

Consulta detalladamente cómo configurar la promoción correctamente para evitar que los usuarios puedan subir el mismo tíquet de compra.

7. Equipo de seguridad de Easypromos

Easypromos cuenta con un equipo humano especializado que supervisa la actividad de los concursos y los diversos indicadores de seguridad. Este equipo trabaja de manera proactiva para bloquear prácticas fraudulentas y mejorar el sistema de seguridad.

A diario, el equipo revisa todos los eventos de seguridad relevantes, como juegos invalidados por intentos de fraude, uso de correos electrónicos o números de teléfono temporales, así como intentos de acceso desde direcciones IP maliciosas. A partir de estos eventos, el equipo examina la actividad relacionada en la campaña para detectar posibles patrones maliciosos. En caso de evidenciarse prácticas maliciosas, el equipo de seguridad procederá a bloquear direcciones IP y usuarios participantes.