Comprender el bombardeo de listas y cómo eliminar perfiles falsos

Aprox. 7 min. de lectura

Actualizado el 5 ago 2025, 2:21 p.m. EST

Infórmate sobre los ataques de bombardeo de listas y sobre cómo puedes eliminar direcciones de correo electrónico falsas para proteger tu lista. Los ataques de bombardeo de listas llenan tu cuenta de perfiles falsos y pueden dañar tu reputación de remitente, tus datos y mucho más.

¿Qué es el bombardeo de listas?

El bombardeo de listas es un ataque malicioso en el que el atacante explota un formulario de registro o una página de pago realizando un gran número de envíos falsos, llenando la lista asociada con correo electrónico y números de teléfono que no han dado su consentimiento o que no son válidos. Aunque un aumento de suscriptores de correo electrónico puede parecer inicialmente algo bueno para tu marca, esto sólo es cierto si todos los nuevos clientes potenciales son legítimos.

Si envías a perfiles falsos creados mediante un ataque de lista bomba, puede afectar negativamente a tu capacidad de entrega de las siguientes formas:

Mayor tasa de rebote duro
Mayores quejas por spam
Tasa de apertura más baja
Impacto negativo en la reputación del remitente
Posibles aciertos en la trampa de spam
Posibles listas de bloqueo que provoquen el bloqueo del tráfico de correo electrónico

No todos los perfiles enviados como parte de un ataque de lista bomba son direcciones de correo electrónico falsas. Los robots pueden rellenar formularios con direcciones de correo electrónico reales, y se están añadiendo a la lista de marketing perfiles de personas que no tienen conocimiento de ello. Cuando una empresa envía correo electrónico a cantidades masivas de perfiles enviados por bots, muchos de ellos marcan el correo electrónico como spam.

Estos son algunos de los formularios que los bots atacan con más frecuencia. Ten en cuenta que ésta no es una lista exhaustiva; los robots pueden enviar perfiles en cualquier lugar donde haya un formulario desprotegido:

ecommerce página de pago
Se han observado bots, especialmente en clientes que utilizan una plataforma ecommerce (como Shopify). Los bots pueden iniciar una página de pago y abandonarla utilizando el correo electrónico de una persona real, y el evento se sincronizará con Klaviyo.
Formulario de pie de página de la página de inicio
Los formularios de pie de página de una página de inicio que recogen direcciones de correo electrónico y ninguna otra información han sido un objetivo específico de los robots para Registrar correo electrónico.
código de cupón ("$$OFF", o "%OFF") en la página de inicio
Los robots se dirigen a estos formularios específicamente para obtener código de cupón que luego colocan en sitios web de cupones / códigos promocionales para dirigir las visitas a esas páginas.
Formularios sin captcha
Los formularios sin captchas son susceptibles de ser rellenados por bots.
interfaz de programación de aplicaciones (API)
Bots enviados por formularios de terceros y sincronizados con Klaviyo a través de nuestra interfaz pública de programación de aplicaciones (API).

Cómo identificar un ataque con lista bomba

El primer indicador de bombardeo de listas es si has experimentado un repentino pico de nuevos suscriptores. Esto es especialmente cierto si no has planificado ninguna campaña de crecimiento de listas, por lo que no hay nada a lo que vincular este pico. Si esto ocurre, examina el suscriptor de correo electrónico reciente, buscando las siguientes tendencias:

Todos los correos electrónicos entraron por un único punto de entrada (por ejemplo, el mismo formulario de registro)
Hubo un plazo concreto en el que se capturó la afluencia de correo electrónico
Todos los correos electrónicos son del mismo dominio (por ejemplo, todos son de @phish.com)
Los contactos tienen nombres y apellidos poco convencionales
Todos los envíos proceden de la misma fuente IP

¿Cómo te proteges contra el bombardeo de listas?

CAPTCHA en formularios

CAPTCHA es una herramienta que requiere que los remitentes de formularios completen una breve tarea para verificar que son una persona real y no un bot. Cuando Klaviyo detecte un comportamiento sospechoso o actividad bot histórica desde la dirección IP de un usuario, se le pedirá que resuelva un CAPTCHA.

Ejemplo de reCAPTCHA

Esta funcionalidad se activa automáticamente para los formularios que recopilan clientes potenciales por correo electrónico o SMS, o que utilizan un código de cupón. Además, sólo a los usuarios que hayan tenido una actividad sospechosa se les pedirá que completen el CAPTCHA.

El usuario debe completar correctamente el CAPTCHA para poder ver su código de cupón y enviar el formulario.

doble confirmación de suscripción

La doble confirmación de suscripción es un proceso mediante el cual un nuevo suscriptor debe confirmar su suscripción antes de suscribirse a una lista determinada. Es el mismo para correo electrónico y SMS suscriptor, y está activado por defecto en Klaviyo.

Cuando está activada la doble confirmación de suscripción, el nuevo suscriptor recibirá un mensaje de confirmación inmediatamente después de suscribirse. Este mensaje les pedirá que confirmen su suscripción. Sólo los suscriptores que confirmen su suscripción se añadirán con éxito a la lista, lo que dificulta a los actores maliciosos el bombardeo de listas.

lista bombardeo gestión IP

Klaviyo dispone de un sistema para evitar el bombardeo de listas llamado Gestión de IP de Bombardeo de Listas. El objetivo de este sistema es marcar o bloquear direcciones IP concretas que estén realizando un gran número de envíos de formularios o llamadas a la interfaz de programación de aplicaciones (API) en un breve periodo de tiempo. Si te bombardean con listas, este sistema bloquearía las direcciones IP con un gran número de solicitudes iniciales de suscripción para proteger tu cuenta de más suscripciones de perfil.

Ten en cuenta que el bloqueo de IP sólo se produce cuando el ataque ya ha comenzado, para proteger tu cuenta de daños mayores. Este método de mitigación del bombardeo de listas no puede evitar un ataque por completo.

Campo de formulario Honeypot

Este método requiere un desarrollador y acceso al HTML del formulario. Si tus formularios se crean a través del editor de formularios de Klaviyo, considera la posibilidad de crear un formulario personalizado.

Añadir un campo "honeypot" al formulario de un sitio web es un método que puedes poner en práctica para identificar fácilmente si te están bombardeando con listas. Si utilizas un formulario personalizado que no sea de Klaviyo, puedes colocar un campo oculto que sea invisible en el front-end. Si el formulario se envía con un valor establecido para el campo honeypot, puedes atribuir el envío a un bot y no a un usuario humano.

Asegúrate de que tu honeypot añade una propiedad personalizada a Klaviyo que no plan utilices en ningún otro sitio. Esto te permite utilizar la propiedad personalizada del campo honeypot para identificar el perfil enviado por un bot con segmentación en Klaviyo:

Ejemplo de segmento de honeypot

Para obtener instrucciones sobre cómo crear un campo honeypot, te recomendamos que leas el siguiente recurso:

Cómo crear un sencillo Honeypot para proteger tus Formularios contra los Spammers

Qué hacer si sufres un bombardeo de listas

Si experimentas un bombardeo de listas, lo siguiente que debes hacer es limpiar los perfiles creados. Basándote en las tendencias que observes con las nuevas suscripciones, toma los puntos de datos y crea un segmento que te ayude a tirar de todos los correos electrónicos que se enviaron durante el ataque.

Un segmento que puedes utilizar para identificar perfiles que probablemente se hayan enviado como parte de un intento de bombardeo de listas es:

Si alguien puede o no recibir marketing > La persona puede recibir marketing por correo electrónico
Y
Lo que alguien ha hecho > La persona ha recibido un correo electrónico es al menos 3 en los últimos 180 días
Y
Lo que alguien ha hecho > La persona ha abierto el correo electrónico 0 veces en todo el tiempo
Y
Lo que alguien ha hecho > La persona ha Pulsado correo electrónico 0 veces en todo el tiempo
Y
Lo que alguien ha hecho > La persona ha hecho un pedido 0 veces en todo el tiempo

Una vez creado el segmento, suprime el perfil para que no puedan recibir ningún envío tuyo.

Si tienes preguntas sobre cómo construir un segmento que capture perfiles creados mediante un ataque de bombardeo de listas, alcanza a nuestro equipo de asistencia.

También es una buena práctica volver a activar la doble confirmación de suscripción en tu lista si has sido víctima de un ataque de bombardeo de listas. Una vez que una marca ha sido seleccionada, es más probable que vuelva a serlo en el futuro. Asegurando tus formularios mediante la doble confirmación de suscripción, puedes prevenir futuros ataques.

Recursos adicionales

¿Te resultó útil este artículo?

Usa este formulario solo para enviar comentarios sobre el artículo. Más información sobre cómo contactar al equipo de asistencia.

Descubre más sobre Klaviyo

Comunidad

Conecta con colegas, socios y expertos de Klaviyo para inspirarte, compartir ideas y resolver todas tus dudas.

Visita la comunidad

Capacitación en vivo

Únete a una sesión en tiempo real con expertos de Klaviyo para conocer las mejores prácticas, cómo configurar funciones clave y mucho más.

Regístrate ahora

Asistencia

Accede a la asistencia a través de tu cuenta.

Asistencia por correo electrónico (prueba gratuita y cuentas de pago) Disponible 24/7

Asistencia virtual/por chat
La disponibilidad varía según la ubicación y el tipo de plan

Iniciar sesión