brain_protect
Protección contra el SPAM de formularios para TYPO3
brain_protect detiene el SPAM de formularios de forma inmediata y eficaz
brain_protect surte efecto inmediatamente después de su instalación: todos los formularios en línea* están protegidos de forma inmediata y eficaz.
- ✅ No es necesaria ninguna configuración, ni personalización de los formularios existentes.
- ✅ Sin captchas ni otros obstáculos para los visitantes de sus formularios en línea.
- ✅ Sin tareas adicionales para los editores web.
- ✅Eficacia probada del 99,2%.
- ✅ 100% compatible con GDPR.
- ✅ 100% libre de barreras.
- ✅ Independiente de herramientas externas como Google reCAPTCHA o Friendly Captcha.
¿Por qué proteger?
La web se ha vuelto dura. Los sitios web sufren constantes ataques automatizados (D)DoS y un sinfín de spam de formularios.
Lo que parece inofensivo puede convertirse rápidamente en una catástrofe
- Los servidores se colapsan bajo la carga, los visitantes sólo ven mensajes de error.
- Las bases de datos se desbordan, los buzones de correo explotan con spam inútil.
- Los dominios acaban en listas negras, la comunicación por correo electrónico se bloquea, a veces durante días.
Las contramedidas habituales apenas son eficaces
- Los CAPTCHA frustran a los usuarios reales, pero ya no detienen a los bots.
- Herramientas como "Buster: Captcha Solver for Humans", servicios de resolución de captchas y, cada vez más, sistemas basados en IA los superan sin esfuerzo.
- Los honeypots son reconocidos e ignorados.
- La ofuscación de JavaScript se anula rápidamente.
- Incluso los modelos más sencillos de inteligencia artificial analizan el código fuente y encuentran en cuestión de segundos la forma de eludir estos mecanismos de protección.
Los atacantes se están armando con algoritmos cada vez más inteligentes, redes de bots automatizadas e IA adaptativa. Cualquiera que quiera proteger su sitio web también debe seguir el ejemplo. Sólo aquellos que modernicen constantemente sus medidas se mantendrán un paso por delante de la ola.
Dos capas de protección, una extensión: brain_protect para TYPO3
Con la extensión brain_protect de TYPO3 puede proteger su sitio web dos veces: contra ataques (D)DoS y contra el spam de formularios.
Protección fiable contra SPAM para formularios online
brain_protect es una alternativa eficaz a los clásicos (re)captchas que cumple con la normativa GDPR.
Para cada entrada de formulario, la extensión genera una firma criptográfica de corta duración en el servidor basada en el algoritmo Time-based One-Time Password (TOTP). Esta firma se envía automáticamente al enviar el formulario y es comprobada por el servidor. Sólo se aceptan las solicitudes válidamente firmadas. Todos los formularios de Extbase ya están protegidos en la configuración estándar.
Esto mantiene fuera el spam de forma fiable, sin captchas, sin sesiones y sin conexiones a servicios externos. La protección sigue siendo efectiva incluso si los métodos convencionales como honeypots, reCaptchas o la ofuscación de JavaScript han sido eludidos hace tiempo.
Protección contra (D)DoS mediante limitación inteligente de velocidad
Si los mecanismos de protección convencionales a nivel de servidor o centro de datos no son suficientes, brain_protect interviene:
La extensión limita específicamente el número de peticiones por unidad de tiempo incluso antes de que lleguen al front-end o a la base de datos de TYPO3, que consumen muchos recursos. De este modo, los ataques (D)DoS se interceptan en una fase temprana y las cargas del servidor se reducen eficazmente.
La limitación de velocidad funciona sin sesiones, reacciona dinámicamente a la situación actual y puede personalizarse mediante numerosas opciones: Para una protección óptima a nivel de aplicación.
Eficacia probada: 99,2% de detección de SPAM de formularios
El 18 de septiembre de 2024 presentamos por primera vez la nueva alternativa captcha sin barreras para la protección contra el SPAM de formularios para TYPO3 a un público experto en las Jornadas Universitarias TYPO3 en Leipzig (t3ud24).
La evaluación de la posterior prueba beta de un año con una tasa de detección del 99,2% del SPAM de formularios confirma: brain_protect es la solución universal contra el SPAM de formularios para sistemas TYPO3.
Enlace a Youtube: https: //www.youtube.com/watch?v=wry0AaLfUR8
- 03:01 Razones típicas para hacer algo contra el SPAM de formularios
- 04:41 Enfoques contra el SPAM de formularios
- 07:56 Problemas con soluciones anteriores
- 13:08 Nuestra motivación para brain_protect
- 17:40 Enfoque universal: Cómo funciona brain_protect
- 22:59 Casos extremos + características
- 26: 32 Beta privada de noviembre de 2024 a octubre de 2025
Resumen de precios
| Duración | Precio normal |
|---|---|
| 1 año | 300 € |
| 2 años | 600 € |
| 3 años | 900 € |
Una vez transcurrido el plazo seleccionado, se aplica el precio anual regular de 300 euros (357,50 euros, IVA incluido) o según la lista de precios vigente.
A menos que se indique lo contrario, todos los precios son netos más el 19% de IVA.
Transferencia del software
La licencia de uso del software brain_protect es no exclusiva, intransferible e ilimitada en el tiempo. Es válida para una (1) instalación TYPO3 (normalmente un sistema productivo) y para una (1) instalación TYPO3 asociada (normalmente un sistema de prueba o staging), para cualquier número de sitios web dentro de la instalación TYPO3 y para cualquier número de formularios en un sitio web TYPO3.
Condiciones
El contrato (plazo) comienza el día en que se proporciona el Auth-Token. A menos que se acuerde lo contrario, la instalación se lleva a cabo por el cliente. La extensión y la información sobre la funcionalidad exacta no pueden ser transmitidas a terceros o publicadas. No se pueden desarrollar conceptos o herramientas que puedan eludir o socavar brain_protect. El precio de la licencia se cobra por adelantado por el plazo seleccionado (1, 2 o 3 años). Una vez transcurrido el plazo acordado, la licencia se prorrogará un (1) año más en cada caso, a menos que se rescinda por escrito con un (1) mes de antelación a la finalización del plazo.
Solicitar presupuesto / pedir licencia(s)
PREGUNTAS FRECUENTES
La extensión brain_protect de TYPO3 es compatible con TYPO3 v10, v11, v12 y v13.
Con brain_protect, la protección contra el SPAM de formularios no es responsabilidad del editor web.
Así que nada cambia para los editores y no hay nada que deban tener en cuenta.
Tras la instalación, todos los formularios basados en Extbase quedan inmediatamente protegidos.
La protección de otros formularios en línea puede configurarse en unos sencillos pasos.
No es necesario personalizar los formularios existentes.
Toda la configuración opcional se realiza de forma centralizada a través de la configuración de la extensión.
Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) es un test que generan y evalúan los ordenadores para determinar si el usuario es un humano o un programa automatizado (bot). Una de sus principales desventajas es la reducida accesibilidad: quien no pueda ver lo que aparece como CAPTCHA en la pantalla queda prácticamente bloqueado.
reCAPTCHA es ampliamente utilizado y ofrece opciones visibles e invisibles. Fue desarrollado por Google. Al utilizar el servicio, los datos personales de los visitantes del sitio (por ejemplo, la dirección IP) se transfieren a servidores de Estados Unidos. Google afirma que sólo utiliza la información para analizar riesgos. Sin embargo, resulta problemático transmitir los datos a terceros proveedores fuera de la UE.
El visitante del sitio web debe seleccionar todas las imágenes que tengan una determinada característica. Por ejemplo, "Haga clic en todas las imágenes que muestren un semáforo". Este procedimiento suele ser mejor que un simple captcha, pero quien tenga que rellenar constantemente estos captchas se fastidiará rápidamente. Y también hay problemas de protección de datos, porque el servicio lo ofrecen a menudo terceros proveedores con servidores situados fuera de la UE.
Con esta versión del captcha, se reproduce una versión de audio de la prueba en lugar de una imagen. El visitante del sitio tiene que introducir las palabras o números que se le reproducen desde un archivo de audio. Este método se utiliza a menudo como complemento de las adivinanzas con imágenes o como alternativa para las personas con problemas de visión para garantizar la accesibilidad. La barrera en este caso puede ser el idioma en el que se reproduce el audio.
La ofuscación de JavaScript modifica el código JavaScript del sitio web para que resulte difícil de leer y entender para los humanos, pero siga siendo ejecutable para los ordenadores. Esto suele hacerse por motivos de seguridad o para proteger la propiedad intelectual, a fin de evitar que el código fuente pueda copiarse o analizarse fácilmente.
Entre las técnicas típicas de ofuscación de JavaScript figuran el cambio de variables y nombres de funciones, la eliminación de espacios y comentarios, el cifrado de cadenas y la confusión de estructuras de flujo de control.
Ventajas de la ofuscación
- Dificulta la comprensión del código para evitar la imitación y el uso no autorizado, protegiendo así contra la ingeniería inversa.
- Oculta secciones críticas del código a posibles atacantes, lo que mejora en cierta medida la seguridad (percibida)
- La eliminación de partes innecesarias (como espacios y comentarios) puede reducir el tamaño del archivo y, por tanto, mejorar el tiempo de carga del sitio web.
Desventajas de la ofuscación
- El código modificado es más difícil de depurar y mantener.
- En algunos casos, la ofuscación puede aumentar el tiempo de ejecución del código
- La ofuscación no proporciona una protección absoluta, ya que los desarrolladores experimentados pueden seguir siendo capaces de analizar y comprender el código.
La ofuscación de JavaScript puede ser útil, pero no es una protección completa en sí misma y requiere salvaguardas adicionales.
TOTP ("time based one time password") es un método muy extendido y eficaz que utiliza contraseñas que sólo son válidas durante un tiempo limitado. Se utiliza a menudo para la autenticación de dos factores (2FA). TOTP se basa en el algoritmo HMAC-SHA-1, en el que se utiliza la hora actual como parte de la entrada.
Las contraseñas generadas sólo son válidas durante un breve periodo de tiempo, normalmente de 30 a 60 segundos. Cada contraseña generada sólo puede utilizarse una vez.
Al configurar TOTP, el usuario y el servidor comparten una clave criptográfica. Tanto el servidor como el usuario utilizan la hora actual para generar la contraseña única. Como las contraseñas sólo son válidas durante un breve periodo de tiempo y son únicas, el riesgo de uso indebido se reduce considerablemente. La complejidad sigue siendo relativamente baja.
La vulnerabilidad potencial de un ataque man-in-the-middle (MitM) no es problemática con un certificado SSL válido.
Un honeypot es un campo de entrada adicional, invisible y vacío en un formulario. Este campo no es visible para los usuarios humanos y, por tanto, no debe rellenarse. Sin embargo, los bots, que a menudo están programados para rellenar todos los campos de un formulario, suelen rellenar este campo de todos modos. Un campo honeypot rellenado es, por tanto, un signo de SPAM de formulario. En este caso, se bloquea el envío del formulario o se etiqueta el registro de datos como spam.
Se pueden tomar medidas adicionales para garantizar que el campo honeypot no sea rellenado inadvertidamente por usuarios humanos. Esto incluye dar al campo un nombre que sea engañoso para los humanos u ocultarlo de forma que sea invisible para los lectores de pantalla. Este método no debería afectar al flujo normal de usuarios, ya que los usuarios reales no verán el campo honeypot. Esto no suele funcionar de forma fiable; en particular, el enfoque de honeypot tiene problemas de accesibilidad y genera falsos positivos debido al autocompletado de formularios por parte del navegador.
Un formulario protegido por un honeypot puede ser pirateado con relativa facilidad, por lo que el nivel de protección es bastante bajo. Los bots más avanzados pueden reconocer e ignorar los honeypots. Un honeypot es ineficaz contra ataques simples pero dirigidos.
Los falsos positivos son casos en los que usuarios humanos legítimos son reconocidos erróneamente como bots. Esto provoca frustración, pérdida de interacciones y, en ocasiones, daña la reputación de un sitio web. Las causas pueden incluir tareas CAPTCHA difíciles, problemas técnicos, falta de accesibilidad y comportamiento atípico de los usuarios. A veces también se debe a campos honeypot invisibles rellenados por una función de autorrelleno del navegador.