Funciones de Seguridad Avanzada

Disponible en:

Post Affiliate Pro , Post Affiliate Pro Ultimate , Post Affiliate Network

Post Affiliate Pro proporciona funciones de seguridad de nivel empresarial diseñadas para proteger tu programa de afiliados de accesos no autorizados, abusos y fraude. Esta guía cubre los mecanismos de seguridad avanzada integrados en la plataforma.

Métodos de Autenticación API

La API v3 de Post Affiliate Pro usa estándares de autenticación modernos para asegurar el acceso seguro a los datos y operaciones de tu programa de afiliados.

Autenticación con Clave API

Las claves API proporcionan un método seguro para comunicación servidor a servidor. Cada clave API en Post Affiliate Pro incluye:

• Token ID y Hash: Las claves API usan un formato de token seguro con un identificador único y secreto hasheado criptográficamente. El token en texto plano nunca se almacena en la base de datos.
• Fecha de Expiración: Puedes establecer una fecha de expiración para las claves API para asegurar rotación regular.
• Acceso Basado en Roles: Cada clave hereda permisos del rol de usuario asociado.
• Restricciones de Alcance: Define alcances específicos para limitar qué operaciones puede realizar la clave API.
• Lista Blanca de IP: Restringe el uso de la clave API a direcciones IP específicas o rangos CIDR.
• Seguimiento de Uso: El sistema rastrea cuándo se usó cada clave por última vez y cuántas veces ha sido accedida.

Para autenticar con una clave API, inclúyela como token Bearer en el encabezado de Authorization:

Authorization: Bearer pap_XXXXXXXXXX_YYYYYYYYYYYYYYYYYYYYYYYYYYYY

Autenticación OAuth 2.0

Para integraciones de terceros y acceso temporal, Post Affiliate Pro soporta tokens bearer OAuth 2.0 con validación de alcance. El autenticador OAuth:

• Valida tokens bearer contra la base de datos de claves API
• Verifica que el token tenga todos los alcances requeridos para la operación solicitada
• Retorna mensajes de error claros para permisos insuficientes (HTTP 403)
• Se integra perfectamente con el sistema de limitación de velocidad

Los permisos basados en alcances permiten control detallado sobre lo que cada token puede acceder, asegurando que las integraciones de terceros solo tengan acceso a los datos que necesitan.

Limitación de Velocidad

Post Affiliate Pro implementa limitación inteligente de velocidad para proteger tu programa de afiliados de abusos, intentos de denegación de servicio y scripts de automatización descontrolados.

Límites Globales de Velocidad API

La API v3 aplica los siguientes límites de velocidad:

• 100 solicitudes por minuto para todos los endpoints de API
• 10 intentos de autenticación fallidos por minuto por dirección IP para autenticación con token bearer

Cuando excedes el límite de velocidad, la API retorna:

• Código de estado HTTP 429 (Demasiadas Solicitudes)
• Encabezado Retry-After indicando cuándo puedes reintentar
• Encabezado X-RateLimit-Limit mostrando el máximo de solicitudes permitidas
• Encabezado X-RateLimit-Remaining mostrando las solicitudes restantes en la ventana actual
• Encabezado X-RateLimit-Reset mostrando cuándo se reinicia el límite de velocidad

Algoritmo Token Bucket

La limitación de velocidad usa un algoritmo de token bucket que proporciona:

• Ventanas de tiempo configurables (segundo, minuto, hora, día, semana, mes)
• Recarga gradual de solicitudes disponibles a lo largo del tiempo
• Protección contra abuso sostenido y ataques de ráfaga
• Buckets separados para diferentes tipos de operaciones (autenticación, restablecimiento de contraseña, registros, etc.)

Limitación de Velocidad de Autenticación

Los intentos de autenticación fallidos se rastrean por separado para prevenir ataques de fuerza bruta:

• Las autenticaciones fallidas con token bearer consumen tokens de un bucket específico por IP
• Después de 10 intentos fallidos dentro de un minuto, los intentos de autenticación adicionales se bloquean
• La autenticación exitosa reinicia el contador de fallos para esa IP
• El estado del límite de velocidad se registra para monitoreo de seguridad

Seguridad de Sesiones

Post Affiliate Pro implementa gestión robusta de sesiones para proteger las cuentas de usuario.

Funciones de Gestión de Sesiones

• IDs de Sesión Seguros: Las sesiones usan identificadores de 32 caracteres criptográficamente seguros
• Validación de Sesión: Cada solicitud valida el estado de la sesión y el módulo asociado
• Expiración de Sesión: Las sesiones expiradas se detectan y manejan automáticamente
• Almacenamiento de Sesiones: Las sesiones pueden almacenarse en base de datos o Redis para entornos de alto rendimiento
• Control Multi-Sesión: Los usuarios pueden tener sus otras sesiones terminadas cuando ocurren cambios sensibles de seguridad

Terminación de Sesión en Eventos de Seguridad

Cuando ocurren eventos críticos de seguridad, Post Affiliate Pro termina automáticamente las sesiones relacionadas:

• Habilitar autenticación de dos factores invalida todas las otras sesiones activas
• Los cambios de contraseña pueden disparar la invalidación de sesiones
• La eliminación de claves API termina las sesiones asociadas
• Los cambios de estado de cuenta disparan la limpieza de sesiones

Protección de Inicio de Sesión

Post Affiliate Pro proporciona protección completa de inicio de sesión con configuraciones configurables para paneles de comerciante y afiliado.

Restricciones Basadas en IP

Direcciones IP Prohibidas: Bloquea intentos de inicio de sesión desde direcciones IP o rangos específicos. El sistema:

• Valida direcciones IP contra la lista de prohibidos antes de procesar el inicio de sesión
• Te previene de prohibir accidentalmente tu propia IP actual
• Soporta listas de prohibidos separadas para paneles de comerciante y afiliado

Direcciones IP Permitidas: Restringe el acceso de inicio de sesión a una lista blanca de direcciones IP aprobadas:

• Solo los usuarios que se conectan desde IPs en lista blanca pueden iniciar sesión
• Soporta tanto direcciones IP individuales como rangos de IP
• Te protege de bloquearte a ti mismo validando que tu IP actual está en la lista antes de guardar

Limitación de Velocidad para Inicios de Sesión

Los intentos de inicio de sesión están limitados en velocidad para prevenir ataques de fuerza bruta:

• Limitación de Velocidad por IP: Limita el número de intentos de inicio de sesión desde una sola dirección IP por hora
• Limitación de Velocidad por Nombre de Usuario: Limita los intentos contra un nombre de usuario específico para prevenir ataques dirigidos
• Límites configurables para paneles de comerciante y afiliado
• Los intentos fallidos se rastrean usando el sistema de token bucket

Servicio de Clave de Inicio de Sesión

Para inicio de sesión único seguro y funcionalidad “Iniciar Sesión Como”, Post Affiliate Pro usa claves de inicio de sesión temporales:

• Las claves de inicio de sesión son válidas solo por 30 segundos
• Cada clave solo puede usarse una vez (se consume al usar)
• Las claves se generan criptográficamente usando funciones aleatorias seguras
• Las verificaciones de permisos aseguran que solo los usuarios autorizados puedan generar claves de inicio de sesión para otras cuentas

Protección contra Fraude de Ventas

Post Affiliate Pro incluye un plugin dedicado de Protección contra Fraude de Seguimiento de Ventas que usa checksums MD5 para verificar la autenticidad de las transacciones.

Cómo Funciona

1. Cuando se rastrea una venta, el sistema calcula un checksum MD5 usando el costo total, ID de pedido y una clave secreta
2. Este checksum debe incluirse con la solicitud de seguimiento de venta
3. El sistema recalcula el checksum y lo compara con el valor enviado
4. Si los checksums no coinciden, la transacción se rechaza

Opciones de Configuración

• Clave Secreta Global: Establece una clave secreta predeterminada para todas las campañas
• Claves Específicas por Campaña: Anula la clave global con claves únicas por campaña para seguridad adicional
• Parámetro de Checksum: Elige qué campo de datos lleva el checksum (data1 a data5)

Esta protección asegura que solo ventas legítimas de tu sitio web se rastreen, previniendo envíos fraudulentos de transacciones desde fuentes externas.

Protección contra Fraude de Clics

Post Affiliate Pro monitorea todos los clics y puede rechazar o descartar automáticamente los fraudulentos.

Métodos de Detección

Detección de Clics Duplicados: Identifica clics desde la misma dirección IP dentro de un período de tiempo configurable:

• Establece la ventana de tiempo en segundos
• Opcionalmente requiere el mismo user agent para detección de duplicados
• Opcionalmente requiere el mismo banner o campaña para detección más estricta
• Elige rechazar (marcar como fraudulento) o no guardar el clic

Protección de IP Prohibidas: Bloquea clics de actores maliciosos conocidos:

• Define direcciones IP y rangos prohibidos
• Los clics de IPs prohibidas se rechazan o descartan automáticamente
• Configuraciones separadas disponibles por cuenta

Protección de Referrer Prohibido: Bloquea clics de URLs de referencia sospechosas:

• Define patrones para URLs de referencia prohibidas
• Previene fraude de clics desde ciertos sitios web o fuentes de tráfico

Listas de IP/Referrer Permitidos: Crea listas blancas para tráfico legítimo:

• Solo acepta clics de rangos de IP aprobados
• Solo acepta clics de URLs de referencia aprobadas
• Opción para permitir referrers vacíos
• Opción para permitir dominios de destino de banners

Acciones de Protección contra Fraude

Para cada tipo de detección, puedes elegir:

• Rechazar: Guardar el clic pero marcarlo como rechazado (visible en informes)
• No Guardar: Descartar el clic completamente (no se guarda en la base de datos)

Protección contra Fraude de Acciones/Ventas

Existen protecciones similares para el seguimiento de ventas y leads.

Detección de Duplicados

Pedidos Duplicados de la Misma IP: Detecta múltiples ventas desde la misma dirección IP:

• Ventana de tiempo configurable en segundos
• Coincidencia opcional por user agent, campaña, ID de producto, ID de pedido o tipo de comisión
• Previene envíos fraudulentos de ventas rápidas

IDs de Pedido Duplicados: Detecta ventas con el mismo ID de pedido:

• Ventana de tiempo configurable en horas
• Coincidencia opcional por campaña o ID de producto
• Previene pagos de comisiones duplicados por refrescos de página o ataques de repetición

Bloqueo de Pedidos

Al procesar una venta, el sistema bloquea temporalmente el ID de pedido:

• Previene condiciones de carrera cuando el mismo pedido se envía múltiples veces simultáneamente
• El bloqueo expira después de 60 segundos
• Los pedidos duplicados bloqueados reciben mensajes de error claros

Protección de IP y Referrer

Las ventas heredan las mismas protecciones de IP y referrer prohibidos/permitidos que los clics:

• Bloquear ventas de direcciones IP prohibidas
• Bloquear ventas de URLs de referencia prohibidas
• Permitir ventas solo de IPs o referrers en lista blanca
• Mensajes de rechazo personalizados para cada tipo de protección

Autenticación de Dos Factores

Post Affiliate Pro soporta autenticación de dos factores TOTP (Contraseña de Un Solo Uso Basada en Tiempo) para mayor seguridad de cuenta.

Implementación

• Usa el algoritmo TOTP estándar compatible con Google Authenticator y apps similares
• Genera una clave secreta única por usuario almacenada de forma segura en atributos de usuario
• Proporciona códigos QR para configuración fácil en apps móviles
• Valida códigos con una ventana de 90 segundos (3 períodos de 30 segundos cada uno)

Funciones de Seguridad

• Limitación de Velocidad: La validación de código de dos factores está limitada a 5 intentos por minuto
• Invalidación de Sesión: Habilitar 2FA invalida todas las otras sesiones activas para ese usuario
• Invalidación de Solicitudes de Contraseña: Las solicitudes pendientes de restablecimiento de contraseña se invalidan cuando se habilita 2FA
• Registro de Auditoría: La activación de 2FA se registra en el rastro de auditoría

Disponibilidad

La autenticación de dos factores está disponible tanto para:

• Usuarios del panel de comerciante
• Usuarios del panel de afiliados

Cada usuario puede habilitar 2FA independientemente a través de la configuración de su perfil.

Mejores Prácticas de Seguridad

Para maximizar la seguridad de tu instalación de Post Affiliate Pro:

Seguridad API

1. Rota las claves API regularmente: Establece fechas de expiración y reemplaza claves periódicamente
2. Usa alcances mínimos: Solo otorga los permisos que cada integración realmente necesita
3. Implementa listas blancas de IP: Restringe el acceso API a IPs de servidor conocidas
4. Monitorea el uso: Revisa los conteos de uso de claves API y timestamps de último uso
5. Usa OAuth para terceros: Prefiere tokens OAuth de corta duración para integraciones externas

Seguridad de Cuentas

1. Habilita autenticación de dos factores: Requiere 2FA para todas las cuentas de comerciante
2. Usa contraseñas fuertes: Combina con 2FA para máxima protección
3. Configura límites de velocidad de inicio de sesión: Establece límites apropiados para prevenir ataques de fuerza bruta
4. Implementa restricciones de IP: Usa listas de IP permitidas para cuentas sensibles
5. Revisa registros de auditoría: Revisa regularmente el registro de auditoría por actividad sospechosa

Prevención de Fraude

1. Habilita protección contra fraude de ventas: Usa la verificación de checksum MD5 para todas las campañas
2. Configura detección de duplicados: Establece ventanas de tiempo apropiadas para tu modelo de negocio
3. Usa prohibición de IP proactivamente: Bloquea rangos de IP fraudulentos conocidos
4. Monitorea transacciones rechazadas: Revisa clics y ventas rechazadas por patrones
5. Personaliza mensajes de fraude: Los mensajes claros ayudan a usuarios legítimos a entender los rechazos

Recursos de Base de Conocimientos

Para instrucciones detalladas de configuración, visita nuestra documentación de soporte:

• Documentación de API v3
• Gestión de Claves API
• Creación de Token OAuth
• Configuración de Protección contra Fraude