Volver a ShieldBuceo técnico profundo

Shield por dentro.

Una visión técnica de cómo Shield protege las entradas web, el chat AI existente, el proxy LLM y las herramientas MCP: arquitectura, flujo de decisiones, auditoría y comparación con WAF / reCAPTCHA.

¿Qué es Shield?

Protección de primera capa: ni un SIEM, ni una herramienta de análisis.

Shield es una capa de protección activa y pasiva para formularios, inicio de sesión, pago, cargas, chat AI, herramientas MCP y API. El panel muestra decisiones y eventos para que pueda ajustar la defensa, no como un explorador de registros. Los eventos son señales operativas, no inventario analítico.

Shield es:

  • Protección en línea para web/tienda electrónica/chat/MCP/backend
  • Decisión por solicitud: allow / monitor / challenge / block
  • Registro de auditoría firmado y a prueba de manipulaciones de cada decisión
  • SDK nativo móvil – iOS + Android – en la hoja de ruta (Sprint M)

Shield no es:

  • ×Un SIEM ni un agregador de logs
  • ×Un reemplazo para su WAF o CDN: se ubica una capa más profunda
  • ×Una herramienta de informes/análisis empresarial
  • ×Un producto de cumplimiento certificado: los controles se alinean con los marcos, la auditoría es suya
Arquitectura

Tres caminos de protección dependiendo de lo que necesites proteger.

Shield puede sentarse frente a su web, chat AI o herramientas MCP. Cada camino tiene un punto de decisión claro y un resultado auditable.

Capa 1

Web y formularios

El widget JS y el backend SDK protegen los formularios de contacto, el inicio de sesión, el pago y las cargas. Recopilan señales de seguridad, adjuntan un token HMAC y permiten permitir/desafiar/bloquear antes de que una solicitud alcance una lógica sensible.

Capa 2

Chat IA y LLM proxy

El prompt y la respuesta pasan por un firewall LLM. Shield puede anonimizar datos sensibles, bloquear prompt injection, comprobar fugas de instrucciones de sistema y funcionar delante del chat que ya utilizas.

Capa 3

Herramientas, políticas y auditoría MCP

Las llamadas MCP se evalúan por esquema, permisos y riesgo de acción. Las llamadas a herramientas destructivas o sensibles pueden requerir una puerta de aprobación. Cada decisión llega a un registro de auditoría del ámbito del inquilino.

Comparación

Qué cubre Shield vs. WAF vs. CAPTCHA.

Shield no reemplaza su protección perimetral existente. Se encuentra una capa más profunda.

CapacidadShieldWAFreCAPTCHA / Torniquete
Detección de bots sin cabezaSí, puntuación de múltiples señalesParcial (reputación de IP)Sí, en el borde
Prompt injection contra LLMSí, cortafuegos semánticoNoNo
Abuso de agentes MCPSí, motor de políticasNoNo
Spam de formularios / email desechableSí, 5 idiomasNoParcial
Escaneo de malware en uploadsSí - cuarentenaParcialNo
Payloads SQL injectionSí: validación ASTSí - expresión regularNo
Credential stuffing (distribuido)Sí: bloqueo por cuentaParcial (por IP)Parcial
Audit log a prueba de manipulacionesSí - exportableVariableNo
Matriz reducida de controles

Más de 40 capacidades concretas en 9 categorías.

Matriz categorizada completa. Los umbrales exactos, los pesos de señal y los elementos internos de detección están disponibles para los clientes en el portal.

Dinámica de pulsaciones de teclado, R² de la trayectoria del ratón, patrones de desplazamiento, eventos táctiles, tiempos de cumplimentación de formularios y permanencia en la página: señales múltiples que alimentan el scorer local y la canalización de puntuación del backend.

Protects against
Bots que rellenan formularios, automatización headless y envíos mediante scripts.

Canvas, WebGL, contexto de audio, detección de fuentes y huella de navigator se combinan en un hash de dispositivo SHA-256. Detecta navegadores headless y herramientas anti-detección.

Protects against
Frameworks de navegadores headless y herramientas de automatización anti-detección.

Al iniciar la sesión se toma una instantánea en caché efímera de device_hash, webgl_renderer, user_agent, zona horaria y screen_resolution. En los eventos sensibles (inicio de sesión, envío de formulario, pago) se compara la huella en vivo; cualquier deriva suma señales de riesgo importantes.

Protects against
Secuestro de sesión, repetición de tokens, ataques con cookies robadas y cambios de dispositivo a mitad de sesión.

URL base compatible con OpenAI y Anthropic. Shield analiza cada prompt antes de reenviarlo y cada completion antes de devolverla, bloquea cuando se infringe una política y elimina PII y secretos del stream.

Protects against
Inyección de prompts, jailbreak y exfiltración de PII y secretos desde aplicaciones LLM.

Detección basada en embeddings a través de numerosas categorías de ataque. «Desatiende las directivas anteriores» ≈ «Ignora las instrucciones previas» por similitud de coseno. Embeddings locales con Ollama: coste cero de API por solicitud.

Protects against
Inyección de prompts parafraseada, jailbreaks por sinónimos, ataques ofuscados y variantes en distintos idiomas.

Interceptación de llamadas a herramientas para agentes de Claude / Cursor / IDE. Validación de argumentos con JSON Schema, límite de pasos encadenados, lista de dominios permitidos y puertas de aprobación explícitas para las herramientas destructivas. Inspecciona cada invocación frente a las reglas de protección de agentes antes de ejecutarla.

Protects against
Abuso malicioso de herramientas, exfiltración de archivos o por shell, agentes de cadena de suministro y bucles descontrolados de agentes.

Más de 40 patrones que analizan la entrada, la salida y las llamadas a herramientas antes y después de la ejecución del modelo. Funciona junto al Firewall semántico para ofrecer una defensa por capas.

Protects against
Inyección de prompts, jailbreaks tipo DAN, envenenamiento de memoria, abuso de herramientas y exfiltración de datos.

5 herramientas expuestas vía MCP: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. Permiten que tu agente de Claude / Cursor investigue y actúe sobre los incidentes sin salir del chat.

Protects against
Respuesta administrativa a ciegas: los agentes pueden investigar y actuar sobre los incidentes de forma programática.

Validación de SQL analizado con AST. Bloquea UNION, INTO OUTFILE, pg_sleep e information_schema. LIMIT acotado. Las columnas sensibles (password, api_key, ssn) se redactan automáticamente. Huella de consultas y tablas trampa con honeytokens.

Protects against
Exfiltración por SQL, enumeración de esquemas, abuso de la paginación y filtraciones de datos sensibles.

Detección de monederos: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Análisis de frases semilla BIP-39 (12/24 palabras). Prompts de firma (EIP-712). Bloqueo de dominios de minería. Patrones de redirección de pagos.

Protects against
Robo de monederos, filtración de frases semilla, inyección de scripts de minería y redirecciones de pago.

Detección de galimatías por bigramas (EN / DE / CS / SK / ES), más de 100 dominios de correo desechable, patrones de spam (caracteres repetidos, MAYÚSCULAS, avalancha de URL) y detección de nombres sospechosos. El corpus de phishing y contenido malicioso abarca 9 idiomas (véase la tarjeta de Phishing). Puntuación aditiva con bonificaciones por agrupación.

Protects against
Spam en formularios, registros falsos, cuentas de usar y tirar y envíos sin sentido.

Escáner multicapa de correo y adjuntos. Detecta cuerpos en eslovaco, checo, polaco, alemán, francés, español y serbio despojados de diacríticos (la señal de phishing más sólida del mundo real), ingeniería social con pistas de contraseña en 9 idiomas, nombres de archivo que imitan mainframes y archivos PDF u Office protegidos con contraseña. La agrupación agnóstica a la marca atrapa la misma estructura sea cual sea el nombre de empresa suplantado.

Protects against
Cargas de phishing, recolección de credenciales, droppers de malware protegidos con contraseña e ingeniería social basada en adjuntos.

check_upload() acepta form_fields. Cuando una carga de archivo va acompañada de datos de formulario (título, descripción, nombre, mensaje), la Puntuación de calidad del contenido se ejecuta también sobre esos campos. Un PDF limpio con metadatos sin sentido se rechaza igualmente con una puntuación de alta confianza.

Protects against
Registros de cuentas falsas, spam de formularios de baja calidad con adjuntos y tickets de soporte rellenados por bots.

Cada archivo pasa por una puerta de cuarentena: lista de extensiones permitidas, detección de MIME por magic-byte, detección de macros de Office, JavaScript / Launch / OpenAction en PDF e inyección de scripts en SVG / HTML. Tamaño máximo y lista de extensiones configurables por tenant.

Protects against
Cargas de malware, virus de macros, JS incrustado en PDF, SVG-XSS y archivos políglotas.

Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Valida X-Shield-Token en cada solicitud. Sin token → 403. La verificación HMAC se almacena en una caché efímera por (token, ruta).

Protects against
Solicitudes que eluden el widget de JS (curl, Postman, requests de Python, HTTP en bruto).

Disyuntor de 3 estados (closed / open / half_open) en los tres SDK de backend. Tras errores de transporte consecutivos pasa a OPEN durante un breve intervalo y luego realiza 1 sondeo HALF_OPEN. Los 4xx no disparan el disyuntor. PHP usa APCu para mantener el estado entre workers de FPM. Se acabaron los timeouts en cada solicitud durante un incidente del upstream.

Protects against
Timeouts en cascada, tormentas de reintentos y acumulación de solicitudes durante caídas de la API de Shield.

Mapa Reason → (machine_code, human_hint). /shield/verify y los cuerpos de los 403 de los 3 SDK devuelven remediation y remediation_code. Los usuarios legítimos marcados como falsos positivos ven «Tu sesión ha caducado: recarga la página» en lugar de un 403 silencioso.

Protects against
Mala experiencia de usuario ante falsos positivos, carga sobre el soporte y confusión por fallos silenciosos.

Plugin PHP de integración directa: inyecta automáticamente el widget e incorpora un middleware que valida los tokens de Shield en /wp-login.php y en los endpoints de administración. Fail-closed por defecto y configurable.

Protects against
Fuerza bruta en WordPress, abuso de xmlrpc y enumeración de wp-admin en sitios de pymes de la UE.

Limitación de velocidad multidimensional: por IP, por dispositivo y por endpoint, con escalado progresivo. Contadores del lado del servidor con ventanas deslizantes.

Protects against
Fuerza bruta, credential stuffing, scraping y enumeración de API.

Geolocalización de IP mediante ip-api.com (caché efímera). Listas de países bloqueados o permitidos por sitio. Modificadores de puntuación para centros de datos y proxy / Tor. Bloqueo total al cargar la página con un overlay de acceso denegado antes de que el widget se inicialice.

Protects against
Tráfico de regiones no permitidas, infraestructura de anonimización y restricciones impuestas por cumplimiento normativo.

El widget impide el envío del formulario cuando la puntuación es de alta confianza. Overlay rojo: «Bloqueado por Corpilus Shield». Tokens HMAC-SHA256 firmados por el servidor que se adjuntan automáticamente a fetch() mediante un interceptor.

Protects against
Envíos de bots de alta confianza que llegan al backend.

278 patrones de detección compilados que se analizan automáticamente en cada evento: cubren todas las categorías del OWASP Top 10 2025. La inspección a nivel de payload ocurre antes de la puntuación.

Protects against
Inyección SQL, XSS, path traversal, inyección de comandos, SSRF, SSTI, inyección LDAP, XXE, inyección NoSQL, JNDI de log4j, sondeos de configuración insegura, typosquats de cadena de suministro y filtración de trazas de pila.

El analizador de IA analiza los eventos de forma continua. Contexto RAG fundamentado en una base de conocimiento de seguridad curada. Crea automáticamente amenazas y reglas a partir de observaciones reales.

Protects against
Patrones de ataque nuevos o desconocidos que las reglas estáticas no detectan.

Contexto de inteligencia de amenazas preconstruido (mini-CAG). Incorpora firmas de bots, patrones de ataque y muestras de OWASP: los sitios nuevos quedan protegidos desde la primera vista de página.

Protects against
Ceguera de arranque en frío: los sitios nuevos quedan protegidos de inmediato.

La colección Security Knowledge de Shield incluye documentos curados (OWASP Top 10, detección de bots, respuesta a incidentes). Los administradores pueden subir sus propios playbooks corporativos, informes post-mortem o inteligencia de amenazas específica de su dominio. Cada carga pasa por un análisis multicapa. Los documentos limpios quedan en trust_state='pending' hasta que un administrador los promueve explícitamente a 'active'. Solo los documentos activos llegan al contexto RAG del analizador de IA.

Protects against
Patrones de ataque específicos del tenant que los datos de entrenamiento genéricos nunca ven: esquemas de fraude interno, apropiación de cuentas propia del sector y ataques de integración tras fusiones y adquisiciones. El análisis y la puerta canary evitan el envenenamiento de la canalización de aprendizaje.

Compartición de patrones anonimizados: las IP se reducen a /24, se elimina la PII y se aplica una gradación de madurez (experimental → candidate → confirmed). El atacante confirmado de un tenant se convierte en una amenaza conocida para todos en cuestión de minutos.

Protects against
Campañas distribuidas que golpean varios sitios protegidos por Shield.

El MutationObserver del widget captura una instantánea de todas las etiquetas <script> al arrancar. Cualquier script inyectado posteriormente se reporta como telemetría script_integrity_violation con src, externo o del mismo origen, longitud del contenido y un hash estable. Limitado por carga de página. Lista de CDN de confianza permitidos por tenant.

Protects against
Ataques a la cadena de suministro, extensiones de navegador maliciosas, robo de tokens por XSS y overlays de fraude publicitario.

Contador de Redis por SHA-256(account_id). Cada fallo por encima del límite suma una puntuación de riesgo importante. Un ataque distribuido que reparte muchos intentos entre miles de IP sigue cayendo en el mismo cubo de la cuenta: el intento contra victim@corp.com activa un desafío sea cual sea la IP que lo haya enviado. El contador se reinicia tras un inicio de sesión correcto.

Protects against
Credential stuffing distribuido, fuerza bruta mediante proxies residenciales y adivinación de contraseñas low-and-slow.

GET /shield/password/breach-range/{prefix}: el cliente calcula SHA-1(password) localmente en el navegador, envía solo el prefijo hexadecimal de 5 caracteres, Shield hace de proxy con api.pwnedpasswords.com y devuelve en streaming la lista de sufijos y recuentos. El cliente compara su propio sufijo en local. El servidor nunca ve el texto plano NI el hash completo.

Protects against
Reutilización de credenciales, registros con contraseñas filtradas conocidas y exposición silenciosa a través de volcados en paste-bin.

Comprobación de registros A/AAAA y MX en el registro. Fail-open ante timeout. Caché efímera por dominio para que las oleadas rápidas de registros desde el mismo dominio desechable no martilleen el DNS.

Protects against
Dominios de registro desechables, typo-squats sin hosting y dominios de atacante creados poco antes del registro.

Más de 25 marcas protegidas (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, bancos y aseguradoras de SK/CZ). Detector de tres niveles: 1) coincidencia exacta normalizada mediante mapa de homóglifos, 2) distancia de Levenshtein para marcas largas, 3) subcadena de marca y sufijo decorativo (secure/login/support/verify/auth/signin/account/official/help).

Protects against
Registros con suplantación de marca, registros de infraestructura de phishing y dominios falsos de «soporte».

Contadores de velocidad por IP y por dispositivo. Requisito de inicio de sesión reciente: si no hay un inicio de sesión correcto reciente desde este dispositivo → señal de riesgo importante. Continuidad de sesión: password_change ya forma parte del conjunto de eventos SENSITIVE, de modo que una deriva total de la huella bloquea de inmediato. La clásica cadena «el atacante toma la sesión → cambia la contraseña → deja fuera al usuario» tiene que superar las tres puertas.

Protects against
Cadena de bloqueo por apropiación de cuentas, restablecimiento de contraseña por repetición de sesión y apropiación masiva mediante cookies robadas.

Correo (HTML), Slack, Discord y webhooks JSON genéricos. Informe de seguridad semanal con estadísticas, principales amenazas y tasa de bloqueo. Puerta de severidad por webhook (low / medium / high / critical).

Protects against
Detección tardía de incidentes: los administradores reciben aviso en segundos.

Cada cambio de regla, edición de la configuración del sitio, bloqueo manual y decisión de la IA se registra con el actor, la marca de tiempo y un diff de antes y después. Encadenado por hash, firmado y exportable como un paquete de evidencias listo para auditores.

Protects against
Manipulación silenciosa; además aporta un rastro documental completo cuando tu auditor (ISO, SOC 2, interno) lo solicita. Shield en sí no cuenta actualmente con certificación externa.

Los tokens HMAC-SHA256 se acuñan en el servidor a partir del secreto específico de cada sitio y se devuelven vía /shield/events. El widget nunca posee el secreto de firma: una site_key filtrada no puede usarse para falsificar tokens válidos.

Protects against
Falsificación de tokens a partir de una site_key pública robada.

Row-Level Security de PostgreSQL forzada en todas las tablas shield_*. Cada solicitud se ejecuta bajo un rol acotado al tenant: no es posible ningún bypass a nivel de aplicación, ni siquiera si la API tiene un bug.

Protects against
Filtraciones de datos entre tenants y fallos de control de acceso roto en el código de la aplicación.

Rastrea los intentos por BIN de tarjeta a lo largo de ventanas móviles. Los patrones de ráfaga compatibles con las pruebas de tarjetas activan un desafío progresivo o un bloqueo. Los umbrales son ajustables por tenant; los valores por defecto son conservadores.

Protects against
Campañas de prueba de tarjetas, enumeración de BIN y ráfagas de validación de tarjetas robadas.

Cuando la misma huella de tarjeta proporcionada por el PSP aparece en varios dispositivos, sesiones o tenants en una ventana corta, los intentos se correlacionan y se puntúan como un ataque coordinado. El PAN en bruto nunca sale de tu PSP.

Protects against
Pruebas de tarjetas distribuidas y evasión de la limitación de velocidad mediante rotación de IP o dispositivo.

Línea base acotada al tenant de la distribución por país del emisor. Una concentración repentina de intentos contra emisores de un número reducido de países, muy por encima de la línea base, señala probable tráfico de carding.

Protects against
Ataques dirigidos a emisores, campañas de volcados de tarjetas robadas y fraude agrupado geográficamente.

Agrega múltiples señales —dispersión diversa de BIN, mismo dispositivo o sesión, alta proporción de fallos— en un veredicto de carding identificado. Eleva la severidad de la decisión cuando se confirma con la retroalimentación del PSP posterior al cargo.

Protects against
Campañas coordinadas de prueba de tarjetas, tráfico de validación de fraude y evasión de penalizaciones del PSP.

Los ataques de combustión lenta ya no se cuelan. Shield observa todo el arco de la conversación, no solo un mensaje cada vez. Un atacante que charla de forma inocua durante muchos turnos y solo entonces vira hacia la extracción de datos o el phishing de credenciales queda atrapado en el momento en que emerge el patrón.

Protects against
Jailbreaks multivuelta, ingeniería social de giro lento y agentes de IA que empiezan amables y derivan hacia la extracción a lo largo de una sesión prolongada.

Antes de que tu agente ejecute una herramienta, Shield se pregunta: ¿la intención real del usuario es coherente con llamar a esta herramienta? Una petición para resumir un documento no debería desencadenar una exportación de base de datos. Un chat de reserva de viajes no debería estar llamando a una herramienta de pagos. Los desajustes se retienen para revisión.

Protects against
Agentes que llaman a herramientas sensibles bajo prompts de apariencia benigna, abuso de herramientas por inyección de prompts y operaciones destructivas accidentales.

Los agentes comprometidos y los LLM curiosos suelen explorar el entorno antes de actuar: listan directorios, leen rutas de configuración y enumeran variables de entorno. Shield marca este patrón de reconocimiento de forma temprana, antes de que ningún dato salga de la caja.

Protects against
Intentos de escape del sandbox, reconocimiento de contenedores, enumeración de secretos del entorno y sondeo por etapas del agente antes de la exfiltración.

Una sola conversación nunca podrá consumir en silencio todo tu presupuesto mensual de IA. Shield impone un techo por sesión sobre los tokens, las llamadas a herramientas y el tiempo transcurrido. Cuando se alcanza el límite, la sesión se pausa o se termina y se notifica al operador.

Protects against
Ataques de explosión de costes, fallos de agentes en bucle infinito, denegación de cartera (denial-of-wallet) y prompts descontrolados accidentales.

Shield aprende cómo es lo normal para cada usuario —horas habituales, acciones habituales, ritmo habitual— y marca discretamente el día en que ese patrón se rompe. Una sesión con sesión iniciada que de repente no se parece en nada al usuario real se trata como una posible apropiación.

Protects against
Cuentas comprometidas, secuestro de identidad tras el robo de credenciales, uso indebido de cuentas en modo interno y reutilización de sesión tras phishing.

Se plantan registros, archivos y credenciales señuelo en lugares donde solo un atacante hurgaría. Los usuarios reales nunca los ven. En el momento en que uno se toca, se accede a él o se usa, Shield obtiene una señal de brecha de alta confianza con falsos positivos prácticamente nulos.

Protects against
Brechas silenciosas que eluden otras detecciones, robo de datos por personal interno y movimiento lateral tras una intrusión.

Los atacantes ocultan payloads maliciosos dentro de codificaciones por capas —base64, hex, codificación porcentual, escapes unicode— para colarse por los filtros de cadenas simples. Shield desenvuelve estas capas antes de la puntuación, de modo que el ataque subyacente se compara con las mismas protecciones que una versión en texto plano.

Protects against
Contrabando codificado en base64 / hex / porcentaje, ofuscación de payloads multicapa y evasión de filtros basada en codificación.

Antes de publicar cualquier actualización de regla, modelo o scorer, se ejecuta contra un corpus en continuo crecimiento de escenarios de ataque del mundo real. Si una versión debilita por accidente la detección de una forma de amenaza conocida, el cambio se bloquea en CI, no después de que un cliente sufra una brecha.

Protects against
Regresiones silenciosas de detección, deriva accidental hacia falsos negativos durante las versiones y acumulación de deuda de seguridad entre versiones.

Cada decisión de seguridad y cada cambio de configuración se escriben en una cadena a prueba de manipulaciones. Las ediciones y eliminaciones son matemáticamente detectables. Auditores, reguladores y equipos de respuesta a incidentes obtienen una cronología fiable incluso en el peor escenario, en el que un atacante llega a las credenciales de administración.

Protects against
Personal interno reescribiendo la historia, manipulación forense, disputas regulatorias sobre qué ocurrió y cuándo, y lagunas en la atribución tras un incidente.

Cuando ocurre algo, no quieres pasar horas recopilando logs. Un solo clic genera un paquete cifrado y con marca de tiempo del estado relevante del tenant —eventos, reglas, decisiones, tráfico reciente— listo para entregar a tu equipo de seguridad, abogado o regulador.

Protects against
Respuesta lenta a incidentes, pérdida del estado forense entre la detección y la revisión, y divulgaciones de brechas que se salen del plazo del regulador.

Shield no te ata a un único proveedor de IA. Trae tu propia clave de OpenAI / Anthropic / Google, apunta a una instancia dedicada de Ollama o ejecútalo totalmente en local. Fija topes de coste estrictos y reglas de enrutamiento. Tus datos fluyen únicamente hacia los proveedores que apruebes de forma explícita.

Protects against
Dependencia de un proveedor (vendor lock-in), sobrecostes inesperados, lagunas de residencia de datos y restricciones regulatorias sobre el procesamiento de IA transfronterizo.

Para tus acciones de mayor riesgo, Shield puede exigir un gesto con raíz de hardware: Touch ID, Windows Hello o una llave de seguridad física. Son comprobaciones de presencia física que un agente impulsado por LLM o un atacante remoto no pueden resolver, por muy ingenioso que sea el prompt.

Protects against
CAPTCHAs resolubles por LLM, apropiación de cuentas solo remota, acciones privilegiadas dirigidas por agentes y flujos de verificación reforzada basados solo en contraseña.

Para entornos regulados, clasificados o desconectados, Shield se distribuye como un paquete autoalojado con artefactos de versión firmados y una vía de instalación totalmente sin conexión. Nada tiene que comunicarse con la internet pública, pero aun así recibes actualizaciones de reglas, modelos e inteligencia según tu propio calendario.

Protects against
Entornos restringidos por cumplimiento, redes clasificadas, zonas reguladas de soberanía de datos y ataques a la cadena de suministro en la vía de instalación.

Shield puede marcar los envíos de formularios, mensajes y documentos que parezcan generados por máquina en lugar de tecleados por una persona. Combinado con señales de comportamiento y de tiempos, esto ofrece a los operadores una respuesta clara a la pregunta «¿esto es real?» en formularios de solicitud, CV, tickets de soporte y reseñas.

Protects against
Spam de formularios por IA, fraude en CV o solicitudes escritas por IA, avalanchas de tickets de soporte generados por IA y reseñas falsas escritas por IA.

El widget captura una instantánea de fetch, XHR, navigator y userAgent al arrancar y vuelve a comprobarlos periódicamente. Si una extensión de navegador, un script inyectado o una etiqueta de terceros cambia navigator.webdriver, envuelve fetch, reemplaza XHR o muta los descriptores de navigator, Shield reporta la manipulación y puede negarse a emitir un token. El seguimiento de cambios por atributo en form.action o inputs ocultos está en el roadmap, todavía no implementado.

Protects against
Extensiones de navegador maliciosas, apropiaciones de formularios por inyección publicitaria, gestores de etiquetas de terceros maliciosos y secuestro de formularios de pago en el cliente.

Cada solicitud se comprueba en O(1) contra más de 48.000 indicadores de amenaza en tiempo real, actualizados con frecuencia. Sin configuración por parte del cliente: financiado por la plataforma. Suma un incremento de puntuación al coincidir.

Protects against
Llamadas C2 de botnets, scrapers, infraestructura de anonimización, rangos de IP de atacantes activos y bloques de red secuestrados.

Consulta a servicios de reputación premium solo en los eventos sospechosos. Claves cifradas con Fernet por tenant; sin claves compartidas de la plataforma, las consultas se realizan con tu propia cuota.

Protects against
IP de atacantes dirigidos marcadas por proveedores comerciales de inteligencia de amenazas, más allá de lo que detectan los feeds públicos.

Se abordan las diez categorías OWASP de 2025: A01 control de acceso, A02 configuración insegura, A03 cadena de suministro, A04 criptografía, A05 inyección, A06 diseño, A07 autenticación, A08 integridad, A09 registro, A10 gestión de excepciones. El conjunto de patrones procede de OWASP CRS v4, plantillas de nuclei y PayloadsAllTheThings.

Protects against
Todas las amenazas de aplicaciones web del catálogo OWASP 2025, desde la inyección clásica hasta las nuevas categorías de Cadena de suministro y Gestión incorrecta de condiciones excepcionales.

Identifica bots de OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com y más. El tenant elige bloquear, monitorizar o permitir por proveedor.

Protects against
Scraping no autorizado de tu contenido para el entrenamiento de LLM, permitiendo a la vez el paso de los motores de búsqueda legítimos (Bingbot, el Googlebot clásico).

Gadgets JNDI de log4j (${jndi:ldap://...}), inyección LDAP, XML External Entity e inyección de operadores NoSQL al estilo de MongoDB: todo bloqueado en la ingesta de /shield/events antes de llegar a tu backend.

Protects against
Los ataques de clase log4shell de la era 2021, bypass de no-SQL, exfiltración de entidades XML y escapes de consultas LDAP: categorías que la mayoría de los WAF solo añadieron recientemente.

Vista de solo lectura de los 278 patrones que Shield ejecuta en cada solicitud, agrupados por categoría. Los clientes ven exactamente qué les protege: sin afirmaciones de marketing que verificar.

Protects against
Brecha de transparencia: los auditores y equipos de seguridad pueden cotejar el conjunto real de detección de Shield con su propio registro de riesgos.

Haga clic en cualquier tarjeta para ampliarla y obtener la descripción completa y el modelo de amenaza.

Registro de auditoría: Shield v2.6

A prueba de manipulaciones, encadenado mediante hash y firmado criptográficamente.

El registro de auditoría es la columna vertebral legal y forense de Shield. Diseñado para que incluso un administrador comprometido no pueda reescribir el historial sin que sea visible.

Cadena de hash SHA-256

Cada registro de auditoría lleva el hash SHA-256 del registro anterior más el evento actual canonicalizado. Eliminar o modificar cualquier evento pasado rompe todos los hash posteriores y la cadena rechaza la verificación.

Firma Ed25519 por inquilino

Cada inquilino tiene su propio par de claves Ed25519. La clave pública se expone para verificación independiente; la clave privada firma cada registro de auditoría en el momento de la escritura. Un volcado de base de datos filtrado no se puede falsificar sin la clave privada.

Anclaje de tiempo RFC 3161

Los cabezales de cadena se anclan periódicamente contra una autoridad de sellado de tiempo externa RFC 3161. Esto vincula el registro a la hora absoluta del reloj de pared y demuestra que la cadena existía en esa forma antes de la marca de tiempo.

Higiene de solo agregar funciones de base de datos

La función Shield_app solo tiene INSERTAR: ACTUALIZAR y ELIMINAR se REVOCAN en el nivel PostgreSQL. Incluso un atacante con credenciales completas del contexto de la aplicación no puede reescribir filas; necesitarían escalar a una función de base de datos de superusuario, que a su vez se audita en la capa de plataforma.

Verificar y exportar puntos finales

GET /shield/audit/verify vuelve a recorrer la cadena hash y valida cada firma; GET /shield/audit/export transmite un archivo JSON firmado y delimitado por líneas para auditores internos o externos. Ambos tienen un alcance de inquilino y una tarifa limitada.

Mapeo de cumplimiento

Proporciona evidencia técnica que solicitan los marcos de seguridad comunes (registro inmutable, integridad firmada, monitoreo, alineación GDPR Art. 32). Shield en sí no está certificado externamente: la exportación respalda su auditoría, no la reemplaza.

Instantánea forense: Shield v2.6

Captura de incidente en un clic, cifrada, fuera del sitio.

Cuando algo va mal, necesita una imagen inmutable del momento. Shield la produce en menos de un minuto y la sella para que solo su clave privada pueda abrirla.

¿Qué hay dentro de una instantánea?

  • Eventos de seguridad (sin procesar + decisiones + códigos de motivo)
  • Corte de registro de auditoría con cabezal de cadena + firma
  • Sesiones activas y señales a nivel de sesión.
  • Reglas activas e historial de versiones de reglas
  • Caché de inteligencia de amenazas y eventos de amenazas recientes
  • Sitios protegidos y su configuración HMAC
  • Configuración de inquilinos e indicadores de funciones
  • Eventos de plataforma (implementación/copia de seguridad/derivación)
  • Metadatos del contenedor (imagen, versión, huella digital del host)

Cifrado de sobre híbrido

Una clave de datos AES-256-GCM de un solo uso cifra la carga útil. La clave de datos se empaqueta con RSA-OAEP-SHA256 con la clave pública del inquilino. Sólo el poseedor de la clave privada puede recuperar la clave AES y descifrar el paquete. La infraestructura Shield no puede leer instantáneas pasadas después de que salen del contenedor de producción.

Almacenamiento y operaciones

Las instantáneas se cargan en cualquier tienda compatible con S3 (AWS, Wasabi, MinIO, on-prem). El cron semanal opcional archiva automáticamente una instantánea nueva para una preparación forense continua. El objetivo de MTTR desde el activador hasta el archivo cargado y sellado es de aproximadamente 60 segundos.

Superficie de API

POST /shield/forensic/snapshot activa una nueva instantánea; GET /shield/forensic/snapshots enumera los existentes con metadatos, tamaño y estado sellado. Ambos tienen alcance de administrador y producen eventos de auditoría a nivel de plataforma.

Postura de seguridad

Compliance y auditabilidad sin promesas excesivas.

Shield proporciona evidencia técnica, registros y mapeos. Las certificaciones formales o las atestaciones del cliente dependen del alcance de implementación específico.

Pista de auditoría lista para el auditor

Shield produce registros de auditoría, motivos de decisión y exportaciones que pueden respaldar la revisión de seguridad y cumplimiento. La certificación o atestación formal se confirma individualmente según el alcance del cliente.

Soporte de evidencia del auditor

Los controles técnicos se pueden asignar a su marco de auditoría interna. El propio Shield no está certificado externamente.

MITRE ATT&CK

Las detecciones se pueden asignar a técnicas MITRE ATT&CK relevantes, especialmente acceso inicial, acceso a credenciales, exfiltración y comando y control.

OWASP OAT

Shield cubre múltiples clases de amenazas automatizadas de OWASP OAT. Se proporciona un mapeo detallado a los clientes en materiales técnicos.

Denial-of-Wallet

Ataques al coste de inferencia (RA-ICA): la cartera es ahora el objetivo

Una clase de ataque revisada por pares en 2026 (Hong Kong Polytechnic University) que no toca tus datos ni tu disponibilidad: multiplica de forma silenciosa tu factura de IA.

Un atacante coloca un documento envenenado en la web pública. Tu asistente RAG lo recupera para una consulta corriente y el modelo consume muchos más tokens: la respuesta sigue siendo correcta, así que nada parece ir mal hasta que llega la factura.

13.12×
más tokens consumidos
>90%
probabilidad de que el documento envenenado sea recuperado
100%
respuestas correctas: los filtros corrientes no detectan nada

Tres tácticas (marco CREEP)

Inyección de señuelos

Acertijos ocultos de matemáticas, lógica o planificación que el modelo resuelve sin advertirlo en pleno razonamiento, consumiendo tokens.

Inyección de contradicciones

Hechos mutuamente contradictorios que empujan al modelo a un razonamiento excesivo y generaciones largas.

Manipulación orientada a tareas

Una IA atacante optimiza el texto para maximizar el coste, manteniéndose discreta y evadiendo la detección.

Cómo lo detiene Shield, en cada fase

Fase del ataqueDefensa de ShieldEfecto
1 · El documento malicioso debe ser recuperadoEl filtro de relevancia y los umbrales mantienen fuera del contexto los documentos poco relevantes o inyectados de forma forzada.Filtra el envenenamiento oportunista.
2 · Instrucciones ocultas en el documentoSaneamiento del contenido recuperado (etiquetado como dato, «tratar solo como texto») + separación de fuentes no confiables.El modelo ignora las tareas incrustadas.
3 · Inflación de tokens de salida (el núcleo)Límite estricto de tokens de salida por solicitud + gestión del presupuesto de contexto (límite a la proporción dedicada a la recuperación, deduplicación).La amplificación de 13× queda acotada.
4 · Coste acumulado entre solicitudes (DoW)Limitación de tasa progresiva + presupuestos por sesión (tokens / coste / tiempo) + telemetría de puntuación de confianza del agente.Un bot no puede escalar el ataque.

El núcleo de RA-ICA es la inflación de salida (en el estudio, ~100 → 2,048 tokens). El límite estricto de tokens de salida por solicitud de Shield es precisamente lo que rompe la amplificación que hace rentable el ataque.

Cobertura

Una sola capa de defensa, toda la familia de amenazas de LLM (OWASP LLM Top 10)

RA-ICA se sitúa en la intersección de dos familias de ataque que Shield ya cubre: la misma capa protege contra todo el espectro.

Clase de ataqueCómo responde Shield
Coste de inferencia / Denial-of-WalletLímite de tokens de salida, presupuesto de contexto, limitación de tasa, presupuestos por sesión, patrones de agotamiento de recursos.
Envenenamiento de base de conocimiento / RAGSaneamiento del contenido recuperado, filtro de relevancia, separación de fuentes confiables y no confiables.
Inyección de prompts (directa e indirecta)Reglas por patrones + cortafuegos semántico; las inyecciones indirectas ocultas en documentos quedan neutralizadas.
Jailbreak (DAN, modo desarrollador, juego de roles)Las reglas y el cortafuegos semántico detectan variantes ofuscadas y parafraseadas por su significado.
Fuga del prompt de sistema / configuraciónEscaneo de entrada y salida; los intentos de extracción se bloquean y las fugas se ocultan en la salida.
Exfiltración de datos / PIIEscaneo de salida: contraseñas, claves de API, JWT, claves privadas, identificadores y contactos se detectan y se ocultan.
Abuso de herramientas / accionesInspección de los argumentos de las herramientas y una lista de operaciones peligrosas (ejecución de código, eliminación, acceso a archivos).
Ofuscación / codificación (Base64, ROT13, hex)Detección de cargas útiles codificadas e intentos de contrabando de tokens.
Suplantación de autoridadDetecta manipulaciones del tipo «soy tu desarrollador / administrador / prueba oficial».
Defensa en profundidad

Capas independientes: si una falla, no cae el conjunto.

La protección no es un único filtro. Son varias capas independientes.

01

Guardia de entrada

Patrones de reglas en 6 familias (inyección de prompts, jailbreak, abuso de herramientas, envenenamiento de memoria, fuga de datos, agotamiento de recursos). Se ejecuta antes del modelo.

02

Cortafuegos semántico

Más de 100 patrones de ataque curados en 16 tipos (incluido Denial-of-Wallet explícito), a nivel de significado (embeddings): detecta paráfrasis y ofuscación.

03

Guardarraíles de RAG

Saneamiento del contenido recuperado, filtro de relevancia, separación de fuentes no confiables, deduplicación y presupuesto de contexto.

04

Límite de tokens de salida

Límite estricto de longitud de generación por solicitud, ajustado a la tarea y al modelo.

05

Guardia de salida

Ocultación de fugas: credenciales, claves de API, JWT, claves privadas, PII; funciona también sobre respuestas en streaming.

06

Presupuestos por sesión

Límites de tokens, coste, tiempo y llamadas a herramientas dentro de una misma sesión.

07

Limitación de tasa

Por IP / dispositivo / endpoint, progresiva (monitorizar → ralentizar → desafiar → bloquear).

08

Telemetría y auditoría

Seguimiento del gasto de tokens y de la puntuación de confianza del agente, webhooks de amenazas y un registro de auditoría a prueba de manipulaciones.

Despliegue

Integra Shield como lo necesites.

Despliega según lo que necesites proteger.

LLM Proxy (drop-in)

Cambia una sola base_url para OpenAI / Anthropic. Shield escanea la entrada (bloquea antes del proveedor) y la salida (oculta fugas). Conserva tu clave de API, el streaming y las llamadas a herramientas.

Scan API

Endpoints para escanear entrada, salida y llamadas a herramientas, con integración a medida en tu pipeline existente.

Protección de RAG

Saneamiento, filtro de relevancia y separación de fuentes directamente en tu pipeline de chat / RAG.

Widget web

Protege formularios, inicios de sesión y APIs frente a bots y abusos (capa clásica de WAF + bots).

Informe técnico

Documento técnico detallado que incluye diagramas de integración, modelos de amenazas y puntos de referencia de rendimiento.

¿Necesitas más detalles?

Aviso sobre el alcance de la protección. Corpilus Shield es una capa de protección AI en tiempo real diseñada para extender los mecanismos de seguridad estándar para sitios web, tiendas electrónicas y aplicaciones LLM, no para reemplazarlos. No reemplaza el antivirus, el firewall, las pruebas de penetración ni una auditoría de seguridad formal. Para una protección integral, recomendamos combinar varias capas.