API de validación en tiempo real: cómo evitar robos en el nuevo año

Cuando se trata de evitar que ingresen datos incorrectos a su CRM, la validación en tiempo real puede marcar una gran diferencia. Pero, ¿sabía que también puede poner en riesgo a su empresa?

El robo es un problema común con las API de validación en tiempo real. Preparar su negocio para enfrentar el robo puede ayudarlo a proteger sus datos, ahorrar dinero y prevenir futuros ataques.

Si bien se ha centrado en hacer crecer su lista de correo y maximizar los ingresos en esta temporada navideña, existe la posibilidad de que haya dejado a su empresa vulnerable al robo.

Profundicemos más en las API de validación en tiempo real, los desafíos que presentan y los pasos que puede seguir para proteger su negocio en el nuevo año.

¿Qué es la validación en tiempo real?

Digamos que un cliente hace clic en uno de los CTA en su correo electrónico o campaña de redes sociales. Estás ofreciendo un 20 por ciento de descuento en su compra a cambio de un boletín informativo mensual. ¡Suena como una buena oferta! Entonces, deciden agregar su dirección de correo electrónico al formulario de registro.

Excepto que no lo hacen. Ingresan una dirección de correo electrónico aleatoria con la esperanza de eludir su parte del trato. O tal vez escriben su dirección de correo electrónico real, pero accidentalmente dejan un error tipográfico. De cualquier manera, cuando van a enviar, reciben un amable mensaje de retroalimentación: “Parece que su dirección de correo electrónico puede no ser válida. ¿Puedes comprobarlo de nuevo?

Acaba de asegurarse de que un cliente actúe de buena fe y que el otro se recupere con gracia de un error genuino. Esa es la validación en tiempo real.

La validación en tiempo real funciona realizando una verificación de validación (usando una API de validación de terceros) en información como direcciones de correo electrónico, direcciones postales y números de teléfono antes de que un cliente envíe un formulario. Se puede hacer para suscripciones a boletines, formularios de compra, formularios de registro o cualquier otro tipo de entrada de generación de clientes potenciales.

La validación en tiempo real mantiene la información incorrecta fuera de sus listas de contactos al evitar que llegue allí en primer lugar. Esto es importante porque el envío rutinario a direcciones no válidas puede dañar su reputación con los proveedores de buzones y causar problemas de capacidad de entrega.

El desafío con las API de validación en tiempo real

Todo esto suena genial. Pero desafortunadamente, los piratas informáticos también lo creen.

El robo es uno de los mayores problemas que enfrentará cuando se trata de API de validación en tiempo real. Dependiendo de qué tan bien cuente con los recursos de su equipo de ingeniería, puede ser difícil de anticipar. Pero si se pasa por alto por completo, puede convertirse rápidamente en un grave riesgo empresarial.

Estos son dos de los principales tipos de robo que debe tener en cuenta:

Robo de validación

Poner la validación en un formulario público significa que cualquiera tiene acceso a él. Esto es bueno, ¿verdad?

Si y no. Significa que los malos actores también pueden acceder a él. A estas personas también les gustaría que se validen sus listas de correo. Si descubren que su formulario puede hacer eso, pueden escribir scripts automatizados para ingresar repetidamente sus direcciones de correo electrónico en su formulario, activar el paso de validación y recopilar los resultados. En pocas palabras, están realizando validaciones en su moneda de diez centavos.

Este tipo de ataques pueden costar a las empresas desprevenidas decenas de miles de dólares en cuestión de minutos. Los equipos de ingeniería experimentados pueden (y deben) protegerse contra este tipo de ataque, pero requiere horas adicionales de planificación y desarrollo que pueden no considerarse al comienzo de un proyecto de integración o simplemente no estar disponibles debido a los recursos.

Robo de clave API

Los servicios de validación le darán una clave API con su cuenta que le permitirá acceder a su API. Quien posea esta clave tiene acceso a los servicios que está pagando. La clave API también es necesaria para la validación en tiempo real en sus formularios, por lo que debe incluirse en su código.

Cargar una página web es como hornear un pastel. Al principio, la receta completa (incluido el ingrediente secreto o, en este caso, la clave API) solo la conoce el panadero. Pero una vez horneado, muchos de los ingredientes son fijos y visibles para cualquiera.

Lo mismo ocurre con la web. Simplemente abra cualquier navegador, cargue una página, abra el inspector de código y verá los ingredientes visibles (o el código orientado al cliente). Las partes visibles de su código suelen ser inocuas. Pero si su equipo de ingeniería decide tomar la ruta fácil e incluir la clave API en el código de cara al cliente, cualquier malhechor puede aparecer, tomar la clave y usar los créditos de validación que pagó.

Los equipos de ingeniería experimentados pueden protegerse contra esto al crear una forma para que la clave API permanezca en secreto (en la parte secreta de la receta o en el código de back-end). Pero esto puede pasarse por alto fácilmente y requiere más trabajo para implementarlo de manera segura y rápida.

Lo que está en juego es mayor durante los períodos de ventas de gran volumen.

La oportunidad de hacer crecer las listas de correo y generar ingresos es enorme durante los períodos de ventas de gran volumen, como la temporada navideña, el comienzo del nuevo año e incluso el Día de San Valentín. Sin embargo, estos también son tiempos perfectos para los malos actores que buscan formularios desprotegidos y claves API para aprovecharse de su negocio.

Introduce la clave pública

Una clave API estándar es una clave privada . Los esfuerzos para mantener esa privacidad requieren más tiempo, habilidad y mayores costos de desarrollo (si tiene los recursos para eso).

Una buena solución es aquella que no requiere privacidad: una clave de API pública .

Piense en las claves públicas y privadas como las puertas dobles que usa para ingresar a una tienda por departamentos (si todavía hace ese tipo de cosas). Ambas puertas existen para proteger el interior de la tienda de las inclemencias del tiempo. Todo lo que está afuera queda capturado en el espacio entre la primera puerta (la clave pública) y la segunda puerta (la clave privada).

Veamos cómo abordan nuestros dos problemas de robo:

• Robo de validación: no puede evitar que un mal actor visite su sitio e intente secuestrar su formulario, pero puede mitigar el riesgo. La belleza de usar una clave pública (o la "puerta exterior") es que controlas el espacio intermedio.

Dado que las llamadas de validación deben ingresar a ese espacio, puede decidir qué hacer con ellas. Al limitar la cantidad de veces que un usuario determinado puede realizar una llamada de validación (por minuto o por segundo), limita en gran medida el daño que puede causar un secuestrador. También presentas un objetivo mucho menos atractivo. Si tiene los recursos, su equipo de ingeniería puede crear una funcionalidad personalizada para hacer esto, o puede dejar que un servicio que proporciona limitación a través de claves API públicas lo haga por usted.

• Robo de clave API: debido a que las claves públicas están destinadas a usarse en el código orientado al cliente, no necesita desarrollar métodos sofisticados para mantenerlo en secreto. Literalmente, puede dejarlo expuesto, porque media el espacio entre las puertas.

Puede restringir las llamadas de validación por su dominio de origen, lo que significa que puede rechazar cualquier llamada a la API que provenga de dominios con los que no está asociado. Entonces, incluso si un mal actor roba la llave, será de mucho menos valor para ellos. Cualquier implementación de claves públicas (ya sea su propia solución personalizada o un servicio de validación) debe usar al menos dos factores para mediar en las solicitudes que entran por sus puertas. La regulación de velocidad y la inclusión en la lista blanca de dominios son un buen comienzo.

La mejor parte de usar un servicio de validación que admita claves públicas es que puede dejar de preocuparse por el tiempo y los recursos de desarrollo. El trabajo de integración de una API de validación con una clave pública es mucho más simple (por lo tanto, más rápido), ya que muchas de las cuestiones relacionadas con la seguridad se resuelven con anticipación.

Conclusión

El nuevo año presentará muchas oportunidades para hacer crecer su lista de correo, por lo que es importante asegurarse de que solo ingresen datos válidos a su CRM. Asegúrese de evitar que los malos actores capitalicen su API de validación mediante el uso de un servicio de validación que admita claves públicas.

BriteVerify, por ejemplo, puede ayudarlo a mitigar el riesgo de robo de API y al mismo tiempo garantizar que los contactos ingresen datos precisos en sus formularios web.

Para obtener más información, programe una demostración con nosotros hoy.