Sección 1: Por qué los bots atacan los widgets de prueba
Los widgets de prueba virtual son un objetivo atractivo para los bots porque proporcionan generación gratuita de imágenes por IA. Un endpoint de prueba acepta una foto y una imagen de producto y devuelve un resultado compuesto por IA; desde la perspectiva de un bot, se trata de una API de generación de imágenes por IA gratuita y accesible públicamente. Los scripts automatizados pueden atacar el endpoint miles de veces por hora para generar imágenes de productos, retratos o datos de entrenamiento sintéticos con un coste cero para el atacante y el coste total del límite mensual para usted como comerciante.
El incentivo económico es significativo: una API de generación de imágenes de IA de calidad suele costar entre 0,05 y 0,20 dólares por imagen. Un endpoint de un widget de prueba sin protección contra bots está ofreciendo efectivamente este servicio gratis a cualquiera que realice ingeniería inversa del formato de la solicitud. A escala, una sola campaña de bots puede agotar toda la cuota mensual de pruebas de un comerciante en cuestión de horas, dejando a los compradores reales con un servicio degradado durante el resto del periodo de facturación.
Sección 2: La pila de defensa de cinco capas de Photta
Photta despliega cinco defensas independientes, cada una de las cuales captura un vector de ataque diferente. Capa 1 — hCaptcha: cada solicitud de prueba debe incluir un token hCaptcha válido generado en el navegador. Los bots sin interfaz (headless) y los clientes HTTP automatizados no pueden resolver hCaptcha sin interacción humana, lo que bloquea los ataques sencillos mediante scripts. Capa 2 — Huella digital BotD: el SDK ejecuta BotScore de FingerprintJS para detectar navegadores sin interfaz, marcos de automatización (Puppeteer, Playwright) y entornos de navegación sospechosos incluso antes de que el comprador envíe una foto.
Capa 3 — Lista blanca de dominios: su clave pk_live_ solo acepta solicitudes de los dominios que registre en Ajustes → Dominios permitidos. Las solicitudes de cualquier otro origen devuelven un error HTTP 403 inmediatamente, antes de que se produzca cualquier procesamiento de IA. Capa 4 — Limitación de velocidad de IP: más de 10 solicitudes de prueba por minuto desde una única dirección IP activa la ralentización automática; más de 30 por minuto activa un bloqueo temporal. Capa 5 — Tope mensual: el límite mensual de pruebas de su plan (500/2.000/10.000 según el nivel) tiene un tope máximo en el lado del servidor. Agotar el tope detiene todas las pruebas durante el resto del ciclo de facturación, evitando escenarios de costes descontrolados.
Sección 3: Supervise los intentos de bots en su panel de control
Inicie sesión en business.photta.app y vaya a Seguridad. El panel de Seguridad muestra tres gráficos actualizados en tiempo real: Intentos bloqueados (total por hora), Desglose de motivos de bloqueo (fallos de hCaptcha frente a detecciones de BotD frente a desajustes de dominio frente a activadores de límite de velocidad) y Top de IPs bloqueadas (las direcciones IP que generan más solicitudes bloqueadas en las últimas 24 horas). Una tienda saludable suele mostrar casi cero intentos bloqueados durante las horas normales de funcionamiento.
El panel de Seguridad también incluye una sección de Alertas de anomalías. La capa de análisis de Photta vigila picos repentinos en el volumen de pruebas o intentos bloqueados que se desvíen más de tres desviaciones estándar de su línea de base de 7 días. Cuando se detecta una anomalía, usted recibe una notificación por correo electrónico en un plazo de 15 minutos y la alerta aparece en el panel de control. Puede configurar los umbrales de notificación en Ajustes → Notificaciones → Alertas de seguridad.
Sección 4: Responder a la actividad sospechosa
Cuando vea patrones inusuales en el panel de Seguridad (un pico en las solicitudes bloqueadas, un grupo de intentos desde un rango de IP o una caída repentina en su cuota mensual), tome estas medidas en orden. Primero, compruebe la lista de Top de IPs bloqueadas. Si una o un pequeño número de IPs representan la mayoría de los intentos bloqueados, haga clic en 'Bloquear IP' junto a cada una para prohibirlas permanentemente en la capa Photta. Los bloqueos se aplican de inmediato y persisten hasta que los elimine manualmente.
Segundo, si el ataque utiliza varias IPs (una red de bots distribuida), póngase en contacto con el soporte de Photta a través del chat del panel de control con su ID de comerciante y el rango de tiempo del ataque. El equipo de seguridad de Photta puede aplicar un bloqueo a nivel de CIDR en la subred atacante en pocas horas. Tercero, si su cuota mensual se ha visto significativamente mermada por la actividad de los bots, abra un ticket de soporte; Photta ofrece una restauración de cuota única para ataques de bots documentados. Adjunte una captura de pantalla de la alerta de anomalía de su panel de Seguridad como prueba.
Sección 5: Cuándo añadir un CAPTCHA personalizado adicional
El hCaptcha integrado de Photta se ejecuta de forma invisible: la mayoría de los compradores legítimos nunca ven un desafío CAPTCHA. En casos muy raros (tiendas de gran valor, endpoints de widgets indexados públicamente), las defensas integradas pueden no ser suficientes si un atacante sofisticado utiliza granjas humanas de resolución de CAPTCHA. En este escenario, añada una segunda capa de CAPTCHA al nivel de su propia página de producto antes de llamar a photta.open(). Verifique su CAPTCHA personalizado en su servidor y, a continuación, pase un token de verificación firmado al SDK de Photta como photta.open({ verificationToken: 'su_token' }) para garantizar que solo las sesiones verificadas puedan iniciar una prueba.
El CAPTCHA personalizado es un último recurso para las tiendas que han experimentado ataques sofisticados repetidos. Para la gran mayoría de los comerciantes, la pila de cinco capas de Photta proporciona una protección suficiente sin fricciones visibles para el comprador. Si está evaluando si añadir una capa personalizada, compruebe primero el Desglose de motivos de bloqueo de su panel de Seguridad: si los fallos de hCaptcha representan menos del 1% de sus intentos bloqueados totales, la pila está funcionando y una capa adicional añade fricción sin una ganancia de seguridad significativa.