Comprender el bombardeo de listas y cómo eliminar perfiles falsos

Estimados 6 minutos de lectura

Actualizado 3 ene 2025, 12:14 EST

Conozca los ataques de bombardeo de listas y cómo puede eliminar las direcciones de correo electrónico falsas para proteger sus listas. Los ataques de bombardeo de listas llenan su cuenta de perfiles falsos y pueden dañar su reputación de remitente, sus datos y mucho más.

¿Qué es el bombardeo de listas?

El bombardeo de listas es un ataque malicioso en el que el atacante explota un formulario de registro o una página de pago realizando un gran número de envíos falsos, llenando la lista asociada con correos electrónicos y números de teléfono que no han dado su consentimiento o que no son válidos. Aunque un aumento de suscriptores de correo electrónico puede parecer inicialmente algo bueno para su marca, esto sólo es cierto si todos los nuevos clientes potenciales son legítimos.

Si envía a perfiles falsos creados mediante un ataque de bombardeo de listas, puede afectar negativamente a su capacidad de entrega de las siguientes maneras:

Mayores tasas de rebote permanente
Mayores quejas por spam
Tasas de apertura más bajas
Impacto negativo en la reputación del remitente
Posibles aciertos en la trampa de spam
Posibles listas de bloqueo que provoquen el bloqueo del tráfico de correo electrónico

No todos los perfiles enviados como parte de un ataque de bombardeo de listas son direcciones de correo electrónico falsas. Los robots pueden rellenar formularios con direcciones de correo electrónico reales, y se están añadiendo perfiles de personas que no tienen conocimiento de ello a las listas de marketing. Cuando una empresa envía correos electrónicos a cantidades masivas de perfiles enviados por bots, muchos de ellos marcan el correo como spam.

Éstos son algunos de los formularios más comúnmente atacados por los robots. Tenga en cuenta que no se trata de una lista exhaustiva; los robots pueden enviar perfiles en cualquier lugar donde haya un formulario desprotegido:

plataforma de comercio electrónico caja
Se han observado bots, especialmente para clientes que utilizan una plataforma de comercio electrónico (como Shopify). Los bots pueden iniciar una caja y abandonarla utilizando el correo de una persona real, y el evento se sincronizará con Klaviyo.
Formulario de pie de página de la página de inicio
Los formularios de pie de página en una página de inicio que recogen direcciones de correo y ninguna otra información han sido un objetivo específico de los bots para suscribirse al correo.
Códigos de cupón ("$$OFF", o "%OFF") en la página de inicio
Los robots se dirigen a estos formularios específicamente para obtener códigos de cupones que luego colocan en sitios web de cupones / códigos promocionales para dirigir las visitas a esas páginas.
Formularios sin captcha
Los formularios sin captchas son susceptibles de ser rellenados por bots.
API
Bots enviados por formularios de terceros y sincronizados con Klaviyo a través de nuestra API pública.

Cómo identificar un ataque de bombardeo de listas

El primer indicador de bombardeo de listas es si ha experimentado un repentino aumento de nuevos suscriptores. Esto es especialmente cierto si no ha planificado ninguna campaña de crecimiento de listas, por lo que no hay nada a lo que vincular este pico. Si esto ocurre, examine los suscriptores de correo electrónico recientes, buscando las siguientes tendencias:

Los correos electrónicos llegaron todos a través de un único punto de entrada (por ejemplo, el mismo formulario de inscripción)
Hubo un marco temporal específico en el que se captó la afluencia de correos electrónicos
Todos los correos electrónicos proceden del mismo dominio (por ejemplo, todos son de @phish.com)
Los contactos tienen nombres y apellidos poco convencionales
Todos los envíos proceden de la misma fuente IP

¿Cómo se protege contra el bombardeo de listas?

CAPTCHA en formularios

CAPTCHA es una herramienta que requiere que los remitentes de formularios completen una tarea corta para verificar que son una persona real y no un bot. Cuando Klaviyo detecte un comportamiento sospechoso o un historial de actividad de bots desde la dirección IP de un usuario, se le pedirá que resuelva un CAPTCHA.

Ejemplo de reCAPTCHA

Esta funcionalidad se activa automáticamente para los formularios que recogen clientes potenciales por correo electrónico o SMS, o que utilizan un código de cupón. Además, sólo a los usuarios que hayan tenido una actividad sospechosa se les pedirá que completen el CAPTCHA.

El usuario debe completar correctamente el CAPTCHA para poder ver su código de cupón y enviar el formulario.

Doble opt-in

El doble opt-in es un proceso mediante el cual un nuevo suscriptor debe confirmar su suscripción antes de ser inscrito en una lista determinada. Es el mismo para los suscriptores de correo electrónico y de SMS, y está activado por defecto en Klaviyo.

Cuando el opt-in doble está activado, los nuevos suscriptores recibirán un mensaje de confirmación inmediatamente después de inscribirse. Este mensaje les pedirá que confirmen su suscripción. Sólo los suscriptores que confirmen su suscripción se añadirán con éxito a la lista, lo que dificulta a los actores maliciosos la tarea de poner bombas en la lista.

Lista de gestión de IP de bombardeo

Klaviyo dispone de un sistema para evitar el bombardeo de listas denominado Gestión de IP de bombardeo de listas. El propósito de este sistema es marcar o bloquear direcciones IP específicas que estén realizando un gran número de envíos de formularios o llamadas a la API de suscripción en un corto periodo de tiempo. Si le bombardean con listas, este sistema bloquearía las direcciones IP con un gran número de solicitudes de suscripción iniciales para proteger su cuenta de nuevas suscripciones de perfiles.

Ten en cuenta que el bloqueo de IP sólo se produce cuando el ataque ya ha comenzado, para proteger tu cuenta de daños mayores. Este método de mitigación del bombardeo de listas no puede evitar un ataque por completo.

Campo de formulario Honeypot

Este método requiere un desarrollador y acceso al HTML del formulario. Si sus formularios se construyen a través del editor de formularios de Klaviyo, considere la posibilidad de crear un formulario personalizado.

Añadir un campo "honeypot" al formulario de un sitio web es un método que puede aplicar para identificar fácilmente si le están bombardeando con listas. Si utiliza un formulario personalizado que no sea de Klaviyo, puede colocar un campo oculto que sea invisible en el front-end. Si el formulario se envía con un valor establecido para el campo honeypot, puede atribuir el envío a un bot en lugar de a un usuario humano.

Asegúrese de que su honeypot añade una propiedad personalizada a Klaviyo que no piensa utilizar en ningún otro sitio. Esto le permite utilizar la propiedad personalizada del campo honeypot para identificar los perfiles enviados por un bot con segmentación en Klaviyo:

Ejemplo de segmento de honeypot

Para obtener instrucciones sobre cómo crear un campo honeypot, le recomendamos que lea el siguiente recurso:

Cómo crear un sencillo Honeypot para proteger sus Formularios contra los Spammers

Qué hacer si experimenta un bombardeo de listas

Si experimenta un bombardeo de listas, lo siguiente que debe hacer es limpiar los perfiles creados. Basándose en las tendencias que observe con las nuevas suscripciones, tome los puntos de datos y cree un segmento que le ayude a extraer todos los correos electrónicos que se enviaron durante el ataque.

Un segmento que puede utilizar para identificar los perfiles que probablemente se envíen como parte de un intento de bombardeo de listas es:

Si alguien puede o no recibir marketing > La persona puede recibir marketing por correo electrónico
Y
Lo que alguien ha hecho > La persona ha recibido correo electrónico es al menos 3 en los últimos 180 días
Y
Lo que alguien ha hecho > La persona ha abierto el correo electrónico 0 veces en todo el tiempo
Y
Lo que alguien ha hecho > La persona ha hecho clic en Email 0 veces en todo el tiempo
Y
Lo que alguien ha hecho > La persona ha hecho un pedido 0 veces en todo el tiempo

Una vez creado el segmento, suprima los perfiles para que no puedan recibir ningún envío suyo.

Si tiene alguna pregunta sobre la creación de un segmento que capture los perfiles creados mediante un ataque de bombardeo de listas, póngase en contacto con nuestro equipo de asistencia.

También es una buena práctica volver a activar el doble opt-in en sus listas si ha sido víctima de un ataque de bombardeo de listas. Una vez que una marca ha sido objeto de un ataque, es más probable que vuelva a serlo en el futuro. Asegurando sus formularios mediante el doble opt-in, puede prevenir futuros ataques.

Recursos adicionales

¿Te ha resultado útil este artículo?

Utiliza este formulario solo para enviar comentarios sobre el artículo. Más información sobre cómo contactar con el servicio de asistencia.

Descubre más sobre Klaviyo

Klaviyo Community

Conecta con compañeros, socios y expertos de Klaviyo para encontrar ideas, compartir información y resolver todas tus dudas.

Visitar Klaviyo Community

Formación en tiempo real

Únete a una sesión en tiempo real con expertos de Klaviyo para conocer las prácticas recomendadas, cómo configurar funciones clave y mucho más.

Registrarse ahora

Asistencia

Accede al servicio de asistencia a través de tu cuenta.

Asistencia por correo electrónico (prueba gratuita y cuentas de pago) Disponible 24/7

Asistencia por chat/virtual
La disponibilidad varía según la ubicación y el tipo de plan

Iniciar sesión