Ayuda y guíasSeguridad de cuenta › Detección brute force y auto-bloqueo

Detección brute force y auto-bloqueo

3 min de lectura · Seguridad de cuenta

Un atacante puede probar muchas contraseñas en un minuto. Por eso ePulz.io combina dos protecciones: un límite de intentos de inicio de sesión, que rechaza temporalmente los siguientes intentos, y una alerta para el administrador cuando desde una sola dirección IP llega un número sospechosamente alto de intentos fallidos. Ambas protecciones están activadas automáticamente para cada cuenta, no tiene que configurar nada.

Límite de intentos de inicio de sesión

El formulario de inicio de sesión está protegido por dos límites independientes. Una vez superados, el servidor devuelve una respuesta HTTP 429 y rechaza temporalmente los siguientes intentos:

  • Por dirección IP: como máximo 20 intentos de inicio de sesión por cada 15 minutos desde una sola IP. Una vez superado, los siguientes intentos desde esta dirección se rechazan temporalmente.
  • Por cuenta (correo electrónico): como máximo 10 intentos por cada 30 minutos para el mismo correo, incluso cuando el ataque proviene de varias direcciones IP. Este límite evita un ataque distribuido contra una cuenta concreta.

Tras un inicio de sesión correcto, el contador de ese correo se pone a cero.

Alerta para el administrador

Con independencia de los límites: si desde una sola dirección IP llegan 10 o más intentos fallidos en 15 minutos, el administrador recibe una alerta a través de Telegram (repetida como máximo una vez por hora para la misma IP). Sirve para detectar a tiempo un ataque dirigido.

Qué ve el usuario al superar el límite

Una vez superado el límite, aparece un aviso de que hubo demasiados intentos y que hay que esperar un número determinado de minutos. El enlace "Contraseña olvidada" sigue disponible, de modo que un usuario legítimo siempre tiene un camino de vuelta a su cuenta - la recuperación de contraseña por correo funciona incluso durante la restricción temporal.

Resumen de inicios de sesión (login audit)

Un resumen detallado de los intentos de inicio de sesión solo está disponible para el administrador en el panel de administración (Admin -> Inicios de sesión, /admin/login-audit). Muestra como máximo los 500 intentos más recientes, tanto correctos como fallidos. En cada registro ve:

  • la hora, el correo, la dirección IP con la bandera del país e información del navegador,
  • el estado (OK / FAIL) y el motivo: ok, contraseña incorrecta (invalid_credentials), límite superado (rate_limited, rate_limited_email), correo no verificado (unverified),
  • una sección aparte con las principales direcciones IP de las que llegan más intentos fallidos.

Al hacer clic en una IP de la lista, filtra todos los intentos de la misma dirección.

Qué puede hacer por la seguridad de la cuenta

La protección funciona automáticamente, no tiene que configurarla ni reaccionar ante ella. Para mayor tranquilidad recomendamos activar la autenticación de dos factores (2FA) y revisar de vez en cuando los dispositivos de confianza en la sección Ajustes -> Cuenta.

Si se ha bloqueado por error

  • Lo más sencillo es esperar el tiempo indicado - la restricción se levanta por sí sola al pasar la ventana.
  • Si necesita acceso de inmediato, use Contraseña olvidada. La recuperación de contraseña por correo funciona incluso durante la restricción temporal.
  • Si el problema persiste, contáctenos a través del soporte - le ayudaremos tras verificar su identidad.
¿Te ha resultado útil esta guía?
Siguiente →
GeoIP - países logins y visitas