**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Reglas administradas para AWS WAF
<a name="aws-managed-rule-groups"></a>

En esta sección se explica qué AWS WAF es AWS Managed Rules for.

AWS Managed Rules for AWS WAF es un servicio gestionado que proporciona protección contra las vulnerabilidades de las aplicaciones u otro tipo de tráfico no deseado. Tiene la opción de seleccionar uno o más grupos de reglas de las reglas AWS administradas para cada ACL web, hasta el límite máximo de unidades de capacidad (WCU) del paquete de protección (ACL web). 

**Mitigación de los falsos positivos y comprobación de los cambios en los grupos de reglas**  
Antes de usar cualquier grupo de reglas administradas en producción, pruébelo en un entorno que no sea de producción de acuerdo con las instrucciones de [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md). Siga las instrucciones de prueba y ajuste cuando agregue un grupo de reglas a su paquete de protección (ACL web), para probar una nueva versión de un grupo de reglas y siempre que un grupo de reglas no gestione su tráfico web como lo necesita. 

**Responsabilidades de seguridad compartidas**  
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos. 

**importante**  
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos. 

# AWS Lista de grupos de reglas de Managed Rules
<a name="aws-managed-rule-groups-list"></a>

En esta sección se proporciona una lista de los grupos de reglas de reglas AWS administradas disponibles.

En esta sección se describen las versiones más recientes de los grupos de reglas de reglas AWS administradas. Los verá en la consola al agregar un grupo de reglas administradas al paquete de protección (ACL web). A través de la API, puede recuperar esta lista junto con los grupos de AWS Marketplace reglas a los que está suscrito llamando`ListAvailableManagedRuleGroups`. 

**nota**  
Para obtener información sobre cómo recuperar las versiones de un grupo de reglas de reglas AWS administradas, consulte. [Recuperación de las versiones disponibles de un grupo de reglas administradas](waf-using-managed-rule-groups-versions.md) 

Todos los grupos de reglas de reglas AWS administradas admiten el etiquetado, y las listas de reglas de esta sección incluyen las especificaciones de las etiquetas. Puede recuperar las etiquetas de un grupo de reglas administradas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad AvailableLabels de la respuesta. Para obtener más información acerca de las etiquetas, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).

Pruebe y ajuste cualquier cambio en sus AWS WAF protecciones antes de utilizarlas para el tráfico de producción. Para obtener información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**Contents**
+ [Grupos de reglas de base de referencia](aws-managed-rule-groups-baseline.md)
  + [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
  + [Grupo de reglas administradas de protección de la administración](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
  + [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [Grupos de reglas específicos de casos de uso](aws-managed-rule-groups-use-case.md)
  + [grupo de reglas administradas de la base de datos SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
  + [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
  + [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
  + [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
  + [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
  + [WordPress grupo de reglas gestionado por la aplicación](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md)
  + [grupo de reglas administradas con lista de reputación de IP de Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
  + [grupo de reglas administradas con lista de direcciones IP anónimas](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md)
  + [Consideraciones para usar este grupo de reglas](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
  + [Etiquetas agregadas por este grupo de reglas](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
    + [Etiquetas de token](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
    + [Etiquetas de ACFP](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
  + [Lista de reglas de prevención contra fraude en la creación de cuentas](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md)
  + [Consideraciones para usar este grupo de reglas](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
  + [Etiquetas agregadas por este grupo de reglas](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
    + [Etiquetas de token](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
    + [Etiquetas de ATP](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
  + [Lista de reglas de prevención de apropiación de cuentas](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md)
  + [Niveles de protección](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
  + [Consideraciones para utilizar este grupo de reglas](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
  + [Etiquetas agregadas por este grupo de reglas](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
    + [Etiquetas de token](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
    + [Etiquetas de control de bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
  + [Listado de reglas de control de bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida](aws-managed-rule-groups-anti-ddos.md)
  + [Consideraciones para utilizar este grupo de reglas](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
  + [Etiquetas agregadas por este grupo de reglas](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
    + [Etiquetas de token](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
    + [Etiquetas DDo antiS](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
  + [Listado de reglas Anti- DDo S](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)

# Grupos de reglas de base de referencia
<a name="aws-managed-rule-groups-baseline"></a>

Los grupos de reglas administradas de base de referencia proporcionan protección general contra una amplia variedad de amenazas comunes. Elija uno o varios de estos grupos de reglas para establecer la protección de base de referencia para los recursos. 

## Grupo de reglas administradas del conjunto de reglas básicas (CRS)
<a name="aws-managed-rule-groups-baseline-crs"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesCommonRuleSet`, WCU: 700

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo de reglas del conjunto de reglas básicas (CRS) contiene reglas que son generalmente aplicables a las aplicaciones web. Este brinda protección contra la explotación de una amplia gama de vulnerabilidades, incluyendo algunas de las vulnerabilidades de alto riesgo y más comunes descritas en publicaciones de OWASP tales como [OWASP Top 10](https://owasp.org/www-project-top-ten/). Considere la posibilidad de utilizar este grupo de reglas para cualquier caso de AWS WAF uso.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| NoUserAgent\$1HEADER |  Inspecciona las solicitudes a las que les falta el encabezado HTTP `User-Agent`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`  | 
| UserAgent\$1BadBots\$1HEADER |  Comprueba si hay valores de encabezado `User-Agent` comunes que indiquen que la solicitud es un badbot. Los patrones de ejemplo incluyen `nessus` y `nmap`. Para obtener información sobre la administración de bots, consulte también [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:BadBots_Header`  | 
| SizeRestrictions\$1QUERYSTRING |  Inspecciona las cadenas de consulta de URI que superen los 2048 bytes.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`  | 
| SizeRestrictions\$1Cookie\$1HEADER |  Comprueba si los encabezados de las cookies tienen más de 10 240 bytes.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`  | 
| SizeRestrictions\$1BODY |  Inspecciona los cuerpos de las solicitudes que pesen más de 8 KB (8192 bytes).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`  | 
| SizeRestrictions\$1URIPATH |  Inspeccione las rutas de URI que superen los 1024 bytes.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`  | 
| EC2MetaDataSSRF\$1BODY |  Inspecciona los intentos de sustraer metadatos de Amazon EC2 del cuerpo de la solicitud.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`  | 
| EC2MetaDataSSRF\$1COOKIE |  Inspecciona los intentos de sustraer metadatos de Amazon EC2 de la cookie de la solicitud.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`  | 
| EC2MetaDataSSRF\$1URIPATH |  Inspecciona los intentos de sustraer metadatos de Amazon EC2 de la ruta del URI de la solicitud.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`  | 
| EC2MetaDataSSRF\$1QUERYARGUMENTS |  Inspecciona los intentos de sustraer metadatos de Amazon EC2 de los argumentos de consulta de la solicitud.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`  | 
| GenericLFI\$1QUERYARGUMENTS |  Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en los argumentos de la consulta. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`  | 
| GenericLFI\$1URIPATH |  Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en la ruta del URI. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`  | 
| GenericLFI\$1BODY |  Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en el cuerpo de la solicitud. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_Body`  | 
| RestrictedExtensions\$1URIPATH |  Comprueba si hay solicitudes cuyas rutas de URI contengan extensiones de archivos del sistema que no sean seguras de leer o ejecutar. Los patrones de ejemplo incluyen extensiones como `.log` y `.ini`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`  | 
| RestrictedExtensions\$1QUERYARGUMENTS |  Inspecciona las solicitudes cuyos argumentos de consulta contienen extensiones de archivo cuya lectura es insegura. Los patrones de ejemplo incluyen extensiones como `.log` y `.ini`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`  | 
| GenericRFI\$1QUERYARGUMENTS |  Inspecciona los valores de todos los parámetros de consulta para detectar intentos de aprovechar la RFI (inclusión remota de archivos) en aplicaciones web mediante URLs incrustaciones que contienen direcciones. IPv4 Los ejemplos incluyen patrones como`http://`,`https://`, y `ftp://` `ftps://``file://`, con un encabezado de IPv4 host en el intento de explotación.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`  | 
| GenericRFI\$1BODY |  Inspecciona el cuerpo de la solicitud para detectar intentos de aprovechar la RFI (inclusión remota de archivos) en aplicaciones web mediante incrustaciones URLs que contienen direcciones. IPv4 Los ejemplos incluyen patrones como`http://`,`https://`, y `ftp://` `ftps://``file://`, con un encabezado de IPv4 host en el intento de explotación.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_Body`  | 
| GenericRFI\$1URIPATH |  Inspecciona la ruta del URI para detectar intentos de aprovechar la RFI (inclusión remota de archivos) en aplicaciones web mediante URLs incrustaciones que contienen direcciones. IPv4 Los ejemplos incluyen patrones como`http://`,`https://`, y `ftp://` `ftps://``file://`, con un encabezado de IPv4 host en el intento de explotación.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`  | 
| CrossSiteScripting\$1COOKIE |  Inspecciona los valores de los encabezados de las cookies para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`.   Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas.   Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`  | 
| CrossSiteScripting\$1QUERYARGUMENTS |  Inspecciona los valores de los argumentos de consulta para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`.   Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas.   Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`  | 
| CrossSiteScripting\$1BODY |  Inspecciona el cuerpo de la solicitud para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`.   Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas.   Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`  | 
| CrossSiteScripting\$1URIPATH |  Inspecciona el valor de la ruta URI en busca de patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`.   Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas.   Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`  | 

## Grupo de reglas administradas de protección de la administración
<a name="aws-managed-rule-groups-baseline-admin"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesAdminProtectionRuleSet`, WCU: 100

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas que permiten bloquear el acceso externo a las páginas administrativas expuestas. Esto puede resultar útil si ejecuta software de terceros o si quiere reducir el riesgo de que un actor malintencionado obtenga acceso administrativo a la aplicación.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| AdminProtection\$1URIPATH |  Inspecciona las rutas del URI que generalmente están reservadas para la administración de un servidor web o una aplicación. Entre los patrones de ejemplo se incluye `sqlmanager`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`  | 

## Grupo de reglas administradas de entradas incorrectas conocidas
<a name="aws-managed-rule-groups-baseline-known-bad-inputs"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesKnownBadInputsRuleSet`, WCU: 200

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas para bloquear los patrones de solicitud que se conocen por no ser válidos y que están asociados a la explotación o el descubrimiento de vulnerabilidades. Esto puede ayudar a reducir el riesgo de que un actor malintencionado descubra una aplicación vulnerable.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| JavaDeserializationRCE\$1HEADER |  Inspecciona las claves y los valores de los encabezados de las solicitudes HTTP para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`.  Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`   | 
| JavaDeserializationRCE\$1BODY |  Inspecciona los cuerpos de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`  | 
| JavaDeserializationRCE\$1URIPATH |  Inspecciona el URI de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`  | 
| JavaDeserializationRCE\$1QUERYSTRING |  Inspecciona la cadena de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`  | 
| Host\$1localhost\$1HEADER |  Inspecciona el encabezado del host en la solicitud de patrones que indican localhost. Entre los patrones de ejemplo se incluye `localhost`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`  | 
| PROPFIND\$1METHOD |  Inspecciona el método HTTP en la solicitud de `PROPFIND`, que es un método similar a `HEAD`, pero con la intención adicional de sustraer objetos XML.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Propfind_Method`  | 
| ExploitablePaths\$1URIPATH |  Inspecciona la ruta del URI en busca de intentos de acceder a rutas de aplicaciones web vulnerables. Los patrones de ejemplo incluyen rutas como `web-inf`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`  | 
| Log4JRCE\$1HEADER |  Inspecciona las claves y los valores de los encabezados de las solicitudes para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y protege contra los intentos de ejecución remota de código (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`.  Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`  | 
| Log4JRCE\$1QUERYSTRING |  Inspecciona la cadena de consulta para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`  | 
| Log4JRCE\$1BODY |  Inspecciona el cuerpo para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`  | 
| Log4JRCE\$1URIPATH |  Inspecciona la ruta del URI cuerpo para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`  | 
| ReactJSRCE\$1BODY |  Inspecciona el cuerpo de la solicitud para detectar patrones que indiquen la presencia del CVE-2025-55182.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para el Equilibrador de carga de aplicación y AWS AppSync, el límite se estableció en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y AWS Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `CONTINUE` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body`  | 

# Grupos de reglas específicos de casos de uso
<a name="aws-managed-rule-groups-use-case"></a>

Los grupos de reglas para casos de uso específicos proporcionan una protección incremental para muchos casos de uso diferentes. AWS WAF Elija los grupos de reglas que correspondan a la aplicación. 

## grupo de reglas administradas de la base de datos SQL
<a name="aws-managed-rule-groups-use-case-sql-db"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesSQLiRuleSet`, WCU: 200

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas para bloquear los patrones de solicitud asociados a la explotación de bases de datos SQL, como los ataques de inyección de código SQL. Este puede ayudar a evitar la inyección remota de consultas no autorizadas. Valore el uso de este grupo de reglas si la aplicación interactúa con una base de datos SQL.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| SQLi\$1QUERYARGUMENTS |  Utiliza la función integrada AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar los valores de todos los parámetros de consulta en busca de patrones que coincidan con un código SQL malicioso.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_QueryArguments`  | 
| SQLiExtendedPatterns\$1QUERYARGUMENTS |  Inspecciona los valores de todos los parámetros de consulta en busca de patrones que coincidan con código SQL malicioso. La regla `SQLi_QUERYARGUMENTS` no cubre los patrones que inspecciona esta regla.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`  | 
| SQLi\$1BODY |  Utiliza el integrado AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar el cuerpo de la solicitud en busca de patrones que coincidan con un código SQL malicioso.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_Body`  | 
| SQLiExtendedPatterns\$1BODY |  Inspecciona el cuerpo de la solicitud en busca de patrones que coincidan con el código SQL malintencionado. La regla `SQLi_BODY` no cubre los patrones que inspecciona esta regla.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`  | 
| SQLi\$1COOKIE |  Utiliza la función integrada AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar los encabezados de las cookies de las solicitudes en busca de patrones que coincidan con un código SQL malicioso.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_Cookie`  | 
| SQLi\$1URIPATH |  Utiliza la función integrada AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar los encabezados de las cookies de las solicitudes en busca de patrones que coincidan con un código SQL malicioso.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_URIPath`  | 

## grupo de reglas administradas del sistema operativo Linux
<a name="aws-managed-rule-groups-use-case-linux-os"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesLinuxRuleSet`, WCU: 200

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de Linux, como los ataques de inclusión de archivos locales (LFI) específicos de Linux. Este puede ayudar a evitar ataques que expongan el contenido de un archivos o que ejecuten código que, en principio, tendría que ser inaccesible para los atacantes. Tiene que valorar este grupo de reglas si alguna parte de su aplicación se ejecuta en Linux. Tiene que utilizar este grupo de reglas junto con el grupo de reglas [Sistema operativo POSIX](#aws-managed-rule-groups-use-case-posix-os).

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| LFI\$1URIPATH |  Inspecciona la ruta de solicitud en busca de intentos de explotar las vulnerabilidades de inclusión de archivos locales (LFI) en las aplicaciones web. Los patrones de ejemplo incluyen archivos como `/proc/version`, que podrían proporcionar información del sistema operativo a los atacantes.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:linux-os:LFI_URIPath`  | 
| LFI\$1QUERYSTRING |  Inspecciona los valores de todas las cadenas de la solicitud en busca de intentos de explotar las vulnerabilidades de inclusión de archivos locales (LFI) en las aplicaciones web. Los patrones de ejemplo incluyen archivos como `/proc/version`, que podrían proporcionar información del sistema operativo a los atacantes.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:linux-os:LFI_QueryString`  | 
| LFI\$1HEADER |  Inspecciona los encabezados de la en busca de intentos de explotar las vulnerabilidades de inclusión de archivos locales (LFI) en las aplicaciones web. Los patrones de ejemplo incluyen archivos como `/proc/version`, que podrían proporcionar información del sistema operativo a los atacantes.  Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:linux-os:LFI_Header`  | 

## grupo de reglas administradas para el sistema operativo POSIX
<a name="aws-managed-rule-groups-use-case-posix-os"></a>

VendorName:`AWS`, Nombre:, WCU: `AWSManagedRulesUnixRuleSet` 100

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de POSIX y de sistemas operativos similares a este, como los ataques de inclusión de archivos locales (LFI). Este puede ayudar a evitar ataques que expongan el contenido de un archivos o que ejecuten código que, en principio, tendría que ser inaccesible para los atacantes. Tiene que valorar este grupo de reglas si alguna parte de su aplicación se ejecuta en un sistema operativo POSIX o similar a POSIX, entre los que se incluyen Linux, AIX, HP-UX, macOS, Solaris, FreeBSD y OpenBSD. 

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| UNIXShellCommandsVariables\$1QUERYSTRING |  Inspecciona los valores de la cadena de consulta en busca de intentos de explotar vulnerabilidades de inyección de comandos, LFI y recorrido de ruta en aplicaciones web que se ejecutan en sistemas Unix. Algunos ejemplos incluyen patrones como `echo $HOME` y `echo $PATH`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`  | 
| UNIXShellCommandsVariables\$1BODY |  Inspecciona el cuerpo de la solicitud en busca de intentos de explotar las vulnerabilidades de inyección de comandos, LFI y recorrido de ruta en aplicaciones web que se ejecutan en sistemas Unix. Algunos ejemplos incluyen patrones como `echo $HOME` y `echo $PATH`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body`  | 
| UNIXShellCommandsVariables\$1HEADER |  Inspecciona todos lo encabezados de la solicitud en busca de intentos de explotar las vulnerabilidades de inyección de comandos, LFI y recorrido de ruta en aplicaciones web que se ejecutan en sistemas Unix. Algunos ejemplos incluyen patrones como `echo $HOME` y `echo $PATH`.  Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header`  | 

## grupo de reglas administradas para el sistema operativo Windows
<a name="aws-managed-rule-groups-use-case-windows-os"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesWindowsRuleSet`, WCU: 200

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El grupo de reglas del sistema operativo Windows contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de Windows, como la ejecución remota de PowerShell comandos. Este puede ayudar a evitar la explotación de vulnerabilidades que permiten a un atacante ejecutar comandos no autorizados o ejecutar código malintencionado. Valore este grupo de reglas si alguna parte de la aplicación se ejecuta en un sistema operativo Windows.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en el paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| WindowsShellCommands\$1COOKIE |  Inspecciona los encabezados de las cookies de las solicitudes para detectar intentos de inyección de WindowsShell comandos en aplicaciones web. Los patrones de coincidencia representan WindowsShell comandos. Los patrones de ejemplo incluyen `\|\|nslookup` y `;cmd`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`   | 
| WindowsShellCommands\$1QUERYARGUMENTS |  Inspecciona los valores de todos los parámetros de consulta para detectar intentos de inyección de WindowsShell comandos en aplicaciones web. Los patrones de coincidencia representan WindowsShell comandos. Los patrones de ejemplo incluyen `\|\|nslookup` y `;cmd`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`   | 
| WindowsShellCommands\$1BODY |  Inspecciona el cuerpo de la solicitud para detectar intentos de inyección de WindowsShell comandos en aplicaciones web. Los patrones de coincidencia representan WindowsShell comandos. Los patrones de ejemplo incluyen `\|\|nslookup` y `;cmd`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:WindowsShellCommands_Body`   | 
| PowerShellCommands\$1COOKIE |  Inspecciona los encabezados de las cookies de solicitud para detectar intentos de inyección de PowerShell comandos en aplicaciones web. Los patrones de coincidencia representan PowerShell comandos. Por ejemplo, `Invoke-Expression`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`  | 
| PowerShellCommands\$1QUERYARGUMENTS |  Inspecciona los valores de todos los parámetros de consulta para detectar intentos de inyección de PowerShell comandos en aplicaciones web. Los patrones de coincidencia representan PowerShell comandos. Por ejemplo, `Invoke-Expression`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`  | 
| PowerShellCommands\$1BODY |  Inspecciona el cuerpo de la solicitud para detectar intentos de inyección de PowerShell comandos en aplicaciones web. Los patrones de coincidencia representan PowerShell comandos. Por ejemplo, `Invoke-Expression`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:PowerShellCommands_Body`   | 

## grupo de reglas administradas de la aplicación PHP
<a name="aws-managed-rule-groups-use-case-php-app"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesPHPRuleSet`, WCU: 100

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas para el uso del lenguaje de programación PHP, como la inyección de funciones PHP poco seguras. Este puede ayudar a evitar la explotación de vulnerabilidades que permiten a un atacante ejecutar de forma remota código o comandos sin autorización. Evalúe este grupo de reglas si PHP está instalado en cualquier servidor con el que interactúe su aplicación.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| PHPHighRiskMethodsVariables\$1HEADER |  Inspecciona todos los encabezados para buscar los intentos de inyección de código de script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`.  Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para gestionar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header`  | 
| PHPHighRiskMethodsVariables\$1QUERYSTRING |  Inspecciona todo lo que aparece después del primer `?` en la URL de la solicitud y busca intentos de inyección de código en un script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString`  | 
| PHPHighRiskMethodsVariables\$1BODY |  Inspecciona los valores del cuerpo de la solicitud para los intentos de inyección de código de script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body`  | 
| PHPHighRiskMethodsVariables\$1URIPATH |  Inspecciona la ruta de solicitud para detectar intentos de inyección de código de script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath`  | 

## WordPress grupo de reglas gestionado por la aplicación
<a name="aws-managed-rule-groups-use-case-wordpress-app"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesWordPressRuleSet`, WCU: 100

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El grupo de reglas de la WordPress aplicación contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de los WordPress sitios. Si está corriendo, debe evaluar este grupo de reglasWordPress. Este grupo de reglas debe utilizarse junto con los grupos de reglas [Base de datos SQL](#aws-managed-rule-groups-use-case-sql-db) y [Aplicaciones PHP](#aws-managed-rule-groups-use-case-php-app).

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| WordPressExploitableCommands\$1QUERYSTRING |  Inspecciona la cadena de consulta de la solicitud para detectar WordPress comandos de alto riesgo que puedan explotarse en instalaciones o complementos vulnerables. Ejemplos de patrones incluyen comandos como `do-reset-wordpress`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`  | 
| WordPressExploitablePaths\$1URIPATH |  Inspecciona la ruta del URI de la solicitud en busca de WordPress archivos como `xmlrpc.php` los que se sabe que tienen vulnerabilidades que se pueden explotar fácilmente.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`  | 

# Grupos de reglas de reputación de IP
<a name="aws-managed-rule-groups-ip-rep"></a>

Estos grupos bloquean solicitudes en función de su dirección IP de origen. 

**nota**  
Estas reglas utilizan la dirección IP de origen del origen de la solicitud web. Si el tráfico pasa por uno o más proxies o equilibradores de carga, el origen de la solicitud web contendrá la dirección del último proxy y no la dirección de origen del cliente. 

Elija uno o más de estos grupos de reglas si quiere reducir su exposición al tráfico de bots o los intentos de explotación o si está aplicando restricciones geográficas a su contenido. Para obtener información sobre la administración de bots, consulte también [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).

Los grupos de reglas de esta categoría no proporcionan notificaciones de control de versiones ni de actualizaciones de SNS. 

## grupo de reglas administradas con lista de reputación de IP de Amazon
<a name="aws-managed-rule-groups-ip-rep-amazon"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesAmazonIpReputationList`, WCU: 25

**nota**  
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores malintencionados lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El grupo de reglas de la lista de reputación de IP de Amazon contiene reglas basadas en la inteligencia de amenazas interna de Amazon. Es útil si quiere bloquear direcciones IP normalmente asociadas a bots u otras amenazas. El bloqueo de estas direcciones IP puede ayudar a mitigar los bots y a reducir el riesgo de que un actor malintencionado descubra una aplicación vulnerable.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| AWSManagedIPReputationList |  Inspecciona las direcciones IP que se hayan identificado como implicadas activamente en actividades maliciosas. AWS WAF recopila la lista de direcciones IP de varias fuentes MadPot, incluida una herramienta de inteligencia de amenazas que Amazon utiliza para proteger a los clientes de la ciberdelincuencia. Para obtener más información al respecto MadPot, consulte[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList`  | 
| AWSManagedReconnaissanceList |  Inspecciona las conexiones de las direcciones IP que realizan un reconocimiento de los recursos de AWS .  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList`  | 
| AWSManagedIPDDoSList |  Inspecciona las direcciones IP que se hayan identificado como activas en las actividades DDo de S.  Acción de la regla: Count Etiqueta: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList`  | 

## grupo de reglas administradas con lista de direcciones IP anónimas
<a name="aws-managed-rule-groups-ip-rep-anonymous"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesAnonymousIpList`, WCU: 50

**nota**  
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores malintencionados lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El grupo de reglas de lista de IP anónimas contiene reglas para bloquear las solicitudes de los servicios que permiten ocultar la identidad del visor. Estas incluyen solicitudes de servidores proxyVPNs, nodos de Tor y proveedores de alojamiento web. Este grupo de reglas resulta útil si desea filtrar los lectores que podrían intentar ocultar su identidad en la aplicación. El bloqueo de las direcciones IP de estos servicios puede ayudar a mitigar los bots y la evasión de restricciones geográficas.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en tu paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| AnonymousIPList |  Inspecciona una lista de direcciones IP de orígenes conocidos para anonimizar la información del cliente, como nodos TOR, proxies temporales y otros servicios de enmascaramiento.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList`  | 
| HostingProviderIPList | Inspecciona la lista de direcciones IP de proveedores de alojamiento web y nube, que tienen menos probabilidades de generar tráfico de usuario final. La lista de IP no incluye direcciones AWS IP. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` | 

# AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude
<a name="aws-managed-rule-groups-acfp"></a>

En esta sección se explica qué hace el AWS WAF grupo de reglas gestionado por el Control de Fraude para la creación de cuentas y prevención del fraude (ACFP).

VendorName:`AWS`, Nombre:`AWSManagedRulesACFPRuleSet`, WCU: 50

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

La Oficina de Prevención del AWS WAF Fraude para la creación de cuentas (ACFP, por sus siglas en inglés) gestionó los grupos de reglas para etiquetar y gestionar las solicitudes que podrían formar parte de intentos fraudulentos de creación de cuentas. Para ello, el grupo de reglas inspecciona las solicitudes de creación de cuentas que los clientes envían a los puntos de conexión de registro y creación de cuentas de la aplicación. 

El grupo de reglas de la ACFP inspecciona los intentos de creación de cuentas de varias maneras para ofrecerte visibilidad y control sobre posibles interacciones maliciosas. El grupo de reglas utiliza los tokens de solicitud para recopilar información sobre el navegador del cliente y sobre el nivel de interactividad humana a la hora de crear la solicitud de creación de cuentas. El grupo de reglas detecta y gestiona los intentos de creación masiva de cuentas mediante la agregación de las solicitudes por dirección IP y sesión del cliente, y por la información de la cuenta proporcionada, como la dirección física y el número de teléfono. Además, el grupo de reglas detecta y bloquea la creación de nuevas cuentas con credenciales que se han visto comprometidas, lo que ayuda a proteger la posición de seguridad de la aplicación y de los nuevos usuarios. 

## Consideraciones para usar este grupo de reglas
<a name="aws-managed-rule-groups-acfp-using"></a>

Este grupo de reglas requiere una configuración personalizada, que incluye la especificación de las rutas de registro de cuenta y creación de cuenta de la aplicación. A menos que se indique lo contrario, las reglas de este grupo de reglas inspeccionan todas las solicitudes que los clientes envían a estos dos puntos de conexión. Para configurar e implementar este grupo de reglas, consulte las instrucciones en [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md). 

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).

Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).

Este grupo de reglas no está disponible para su uso con grupos de usuarios de Amazon Cognito. No puede asociar un paquete de protección (ACL web) que use este grupo de reglas a un grupo de usuarios ni puede agregar este grupo de reglas a un paquete de protección (ACL web) que ya esté asociado a un grupo de usuarios.

## Etiquetas agregadas por este grupo de reglas
<a name="aws-managed-rule-groups-acfp-labels"></a>

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 

### Etiquetas de token
<a name="aws-managed-rule-groups-acfp-labels-token"></a>

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente. 

Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).

**Etiqueta de sesión de cliente**  
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. 

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiqueta de la huella digital del navegador**  
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**  
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA. 

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres: 
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token. 
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token. 

**Etiquetas de estado del token: nombres de etiquetas**  
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token: 
+ `accepted`: El token de solicitud está presente y contiene lo siguiente: 
  + Una solución válida del desafío o del CAPTCHA.
  + Una marca de tiempo vigente del desafío o del CAPTCHA.
  + Una especificación de dominio válida para el paquete de protección (ACL web). 

  Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación. 

  Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo. 
  + `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA. 
  + `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web). 
  + `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web). 
  + `rejected:invalid`— no se AWS WAF pudo leer el token indicado. 

  Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo. 

  Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token. 

### Etiquetas de ACFP
<a name="aws-managed-rule-groups-acfp-labels-rg"></a>

Este grupo de reglas genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:acfp:` seguido del espacio de nombres y el nombre de la etiqueta personalizados. El grupo de reglas puede agregar más de una etiqueta a una solicitud. 

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta. 

## Lista de reglas de prevención contra fraude en la creación de cuentas
<a name="aws-managed-rule-groups-acfp-rules"></a>

En esta sección se enumeran las reglas de la ACFP en `AWSManagedRulesACFPRuleSet` y las etiquetas que las reglas del grupo de reglas agrega a las solicitudes web.

Todas las reglas de este grupo de reglas requieren un token de solicitud web, excepto las dos primeras `UnsupportedCognitoIDP` y `AllRequests`. Para obtener una descripción de la información que proporciona el token, consulte [AWS WAF características del token](waf-tokens-details.md). 

A menos que se indique lo contrario, las reglas de este grupo de reglas inspeccionan todas las solicitudes que sus clientes envían a las rutas de las páginas de registro y creación de cuentas que proporcione en la configuración del grupo de reglas. Para obtener información acerca de cómo configurar este grupo de reglas, consulte [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md). 

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, usa el comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| UnsupportedCognitoIDP |  Inspecciona el tráfico web que se dirige a un grupo de usuarios de Amazon Cognito. La ACFP no está disponible para su uso con los grupos de usuarios de Amazon Cognito y esta regla ayuda a garantizar que las demás reglas del grupo de reglas de la ACFP no se utilicen para evaluar el tráfico del grupo de usuarios. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:unsupported:cognito_idp` y `awswaf:managed:aws:acfp:UnsupportedCognitoIDP`   | 
| AllRequests |  Aplica la acción de regla a las solicitudes que acceden a la ruta de la página de registro. La ruta de la página de registro se configura al configurar el grupo de reglas.  De forma predeterminada, esta regla aplica el Challenge a las solicitudes. Al aplicar esta acción, la regla garantiza que el cliente adquiera un token de desafío antes de que el resto de las reglas del grupo de reglas evalúen cualquier solicitud.  Asegúrese de que los usuarios finales carguen la ruta de la página de registro antes de enviar una solicitud de creación de cuenta.  Los tokens se añaden a las solicitudes mediante la integración de las aplicaciones del cliente SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para que la adquisición de los tokens sea más eficiente, le recomendamos encarecidamente que utilice la integración de aplicaciones SDKs. Para obtener más información, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).  Acción de la regla: Challenge Etiquetas: ninguna  | 
| RiskScoreHigh |  Inspecciona las solicitudes de creación de cuentas con direcciones IP u otros factores que se consideran muy sospechosos. Por lo general, esta evaluación se basa en varios factores que contribuyen, que se pueden ver en las etiquetas `risk_score` que el grupo de reglas agrega a la solicitud. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:risk_score:high` y `awswaf:managed:aws:acfp:RiskScoreHigh`  La regla también puede aplicar etiquetas de puntuación de riesgo `medium` o `low` a la solicitud.  Si AWS WAF no consigue evaluar la puntuación de riesgo de la solicitud web, la regla añade la etiqueta `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` Además, la regla agrega etiquetas con el espacio de nombres `awswaf:managed:aws:acfp:risk_score:contributor:` que incluyen el estado de la evaluación de la puntuación de riesgo y los resultados de los contribuyentes específicos a la puntuación de riesgo, como las evaluaciones de reputación de IP y de credenciales robadas.  | 
| SignalCredentialCompromised |  Busca en la base de datos de credenciales robadas las credenciales que se enviaron en la solicitud de creación de la cuenta.  Esta regla garantiza que los nuevos clientes inicialicen sus cuentas con una postura de seguridad positiva.   Puede agregar una respuesta de bloqueo personalizada para describir el problema al usuario final e indicarle cómo proceder. Para obtener información, consulte [Ejemplo de ACFP: respuesta personalizada para credenciales comprometidas](waf-acfp-control-example-compromised-credentials.md).  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:signal:credential_compromised` y `awswaf:managed:aws:acfp:SignalCredentialCompromised`  El grupo de reglas aplica la siguiente etiqueta relacionada, pero no realiza ninguna acción al respecto, ya que no todas las solicitudes de creación de cuentas tendrán credenciales: `awswaf:managed:aws:acfp:signal:missing_credential`  | 
| SignalClientHumanInteractivityAbsentLow |  Inspecciona el token de la solicitud de creación de la cuenta en busca de datos que indiquen una interactividad humana anómala con la aplicación. La interactividad humana se detecta mediante interacciones como los movimientos del ratón y las pulsaciones de teclas. Si la página tiene un formulario HTML, la interactividad humana incluye las interacciones con el formulario.   Esta regla solo inspecciona las solicitudes enviadas a la ruta de creación de la cuenta y solo se evalúa si has implementado la integración SDKs de la aplicación. Las implementaciones de los SDK capturan de forma pasiva la interactividad humana y almacenan la información en el token de solicitud. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md) y [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).  Acción de la regla: CAPTCHA Etiquetas: ninguna. La regla determina una coincidencia según diversos factores, por lo que no existe una etiqueta individual que se aplique a todos los escenarios de coincidencia posibles. El grupo de reglas puede aplicar una o varias de las siguientes etiquetas a las solicitudes:  `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High`  `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data`  `awswaf:managed:aws:acfp:signal:form_detected`.  | 
| AutomatedBrowser |  Inspecciona en busca de indicadores de que el navegador del cliente podría estar automatizado.  Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:acfp:signal:automated_browser` y `awswaf:managed:aws:acfp:AutomatedBrowser`  | 
| BrowserInconsistency |  Inspecciona el token de la solicitud para detectar datos de interrogación del navegador incoherentes. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md). Acción de la regla: CAPTCHA  Etiquetas: `awswaf:managed:aws:acfp:signal:browser_inconsistency` y `awswaf:managed:aws:acfp:BrowserInconsistency`  | 
| VolumetricIpHigh |  Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas enviadas desde direcciones IP individuales. Un volumen elevado son más de 20 solicitudes en un período de 10 minutos.  Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la acción de regla.  Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` y `awswaf:managed:aws:acfp:VolumetricIpHigh`  La regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 15 solicitudes en un intervalo de 10 minutos) y de volúmenes bajos (más de 10 solicitudes en un intervalo de 10 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` y. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`  | 
| VolumetricSessionHigh |  Inspecciona en busca de volúmenes elevados de solicitudes de creación de cuentas enviadas desde sesiones de clientes individuales. Un volumen elevado son más de 10 solicitudes en un período de 30 minutos.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` y `awswaf:managed:aws:acfp:VolumetricSessionHigh`  El grupo de regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes en un intervalo de 30 minutos) y de volúmenes bajos (más de 1 solicitud en un intervalo de 30 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` y `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`.  | 
| AttributeUsernameTraversalHigh |  Comprueba si hay una alta tasa de solicitudes de creación de cuentas procedentes de una sola sesión de cliente que utilizan nombres de usuario diferentes. El límite para una evaluación alta es de más de 10 solicitudes en 30 minutos.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` y `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh`  El grupo de regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes en un intervalo de 30 minutos) y de volúmenes bajos (más de 1 solicitud en un intervalo de 30 minutos) de solicitudes transversales de nombre de usuario, pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` y `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`.  | 
| VolumetricPhoneNumberHigh |  Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas que utilizan el mismo número de teléfono. El límite para una evaluación alta es de más de 10 solicitudes en 30 minutos.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` y `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` El grupo de regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes en un intervalo de 30 minutos) y de volúmenes bajos (más de 1 solicitud en un intervalo de 30 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` y `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`.  | 
| VolumetricAddressHigh |  Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas que utilizan la misma dirección física. El umbral para una evaluación alta es más de 100 solicitudes por intervalo de 30 minutos.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` y `awswaf:managed:aws:acfp:VolumetricAddressHigh`   | 
| VolumetricAddressLow |  Inspecciona los volúmenes bajos y medios de solicitudes de creación de cuentas que utilizan la misma dirección física. El límite para una evaluación media es de más de 50 solicitudes por intervalo de 30 minutos, y para una evaluación baja es de más de 10 solicitudes por intervalo de 30 minutos.  La regla aplica la acción a volúmenes medios o bajos.  Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` y `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium`   | 
| VolumetricIPSuccessfulResponse |  Comprueba si hay un gran volumen de solicitudes de creación de cuentas correctas para una sola dirección IP. Esta regla agrega las respuestas correctas del recurso protegido a las solicitudes de creación de cuentas. El umbral para una evaluación alta es más de 10 solicitudes por intervalo de 10 minutos.  Esta regla ayuda a proteger contra los intentos de creación masiva de cuentas. Tiene un umbral inferior al de la regla `VolumetricIpHigh`, que solo cuenta las solicitudes.  Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error.  Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web desde una dirección IP, en función de las respuestas correctas y fallidas del recurso protegido a los intentos de inicio de sesión recientes desde la misma dirección IP. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos.   AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de creación de cuentas satisfactorios de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` y `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse`  El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 10 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` para más de 1 solicitud correcta, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` para más de 1 solicitud correcta.   | 
| VolumetricSessionSuccessfulResponse |  Comprueba si hay un bajo volumen de respuestas satisfactorias del recurso protegido a las solicitudes de creación de cuentas que se envían desde una sola sesión de cliente. Esto ayuda a proteger contra los intentos de creación masiva de cuentas. El umbral para una evaluación baja es más de 1 solicitud por intervalo de 30 minutos.  Esto ayuda a proteger contra los intentos de creación masiva de cuentas. Esta regla usa un umbral inferior al de la regla `VolumetricSessionHigh`, que solo rastrea las solicitudes.  Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o fracaso.  Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web de una sesión de cliente, basándose en las respuestas de éxito y fracaso del recurso protegido a los intentos de inicio de sesión recientes de la misma sesión de cliente. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos.   AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de creación de cuentas fallidos de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` y `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse`  El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes. Todos los recuentos son para un período de 30 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` para más de 5 solicitud correcta, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` para más de 10 solicitudes fallidas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` para más de 5 solicitudes fallidas y `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` para más de 1 solicitud fallida.   | 
| VolumetricSessionTokenReuseIp |  Inspecciona las solicitudes de creación de cuentas para detectar el uso de un único token entre más de 5 direcciones IP distintas.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` y `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp`  | 

# AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude
<a name="aws-managed-rule-groups-atp"></a>

En esta sección se explica qué hace el grupo de reglas gestionado para la prevención de la apropiación de cuentas (ATP) para el Control del AWS WAF Fraude.

VendorName:`AWS`, Nombre:`AWSManagedRulesATPRuleSet`, WCU: 50

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El sistema de prevención de apropiación de cuentas (ATP) del Control de AWS WAF Fraude gestionaba las etiquetas de los grupos de reglas y gestionaba las solicitudes que pudieran ser parte de intentos malintencionados de apropiación de cuentas. Para ello, el grupo de reglas inspecciona los intentos de inicio de sesión que los clientes envían al punto de conexión de inicio de sesión de la aplicación. 
+ **Inspección de solicitudes**: la ATP le permite ver y controlar los intentos de inicio de sesión anómalos y los intentos de inicio de sesión que utilizan credenciales robadas con el fin de evitar la apropiación de cuentas que pueda dar lugar a actividades fraudulentas. La ATP comprueba las combinaciones de correo electrónico y contraseña con su base de datos de credenciales robadas, que se actualiza periódicamente a medida que se descubren nuevas credenciales filtradas en la web oscura. La ATP agrega los datos por dirección IP y sesión de cliente para detectar y bloquear a los clientes que envían demasiadas solicitudes de naturaleza sospechosa. 
+ **Inspección de respuestas**: en el caso de CloudFront las distribuciones, además de inspeccionar las solicitudes de inicio de sesión entrantes, el grupo de reglas de la ATP inspecciona las respuestas de la aplicación a los intentos de inicio de sesión para hacer un seguimiento de las tasas de éxito y fracaso. Con esta información, la ATP puede bloquear temporalmente las sesiones de los clientes o las direcciones IP que tengan demasiados errores de inicio de sesión. AWS WAF realiza una inspección de las respuestas de forma asíncrona, por lo que no aumenta la latencia del tráfico web. 

## Consideraciones para usar este grupo de reglas
<a name="aws-managed-rule-groups-atp-using"></a>

Este grupo de reglas requiere una configuración específica. Para configurar e implementar este grupo de reglas, consulte las instrucciones en [AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP)](waf-atp.md). 

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).

Este grupo de reglas no está disponible para su uso con grupos de usuarios de Amazon Cognito. No puede asociar un paquete de protección (ACL web) que use este grupo de reglas a un grupo de usuarios ni puede agregar este grupo de reglas a un paquete de protección (ACL web) que ya esté asociado a un grupo de usuarios.

## Etiquetas agregadas por este grupo de reglas
<a name="aws-managed-rule-groups-atp-labels"></a>

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 

### Etiquetas de token
<a name="aws-managed-rule-groups-atp-labels-token"></a>

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente. 

Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).

**Etiqueta de sesión de cliente**  
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. 

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiqueta de la huella digital del navegador**  
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**  
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA. 

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres: 
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token. 
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token. 

**Etiquetas de estado del token: nombres de etiquetas**  
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token: 
+ `accepted`: El token de solicitud está presente y contiene lo siguiente: 
  + Una solución válida del desafío o del CAPTCHA.
  + Una marca de tiempo vigente del desafío o del CAPTCHA.
  + Una especificación de dominio válida para el paquete de protección (ACL web). 

  Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación. 

  Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo. 
  + `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA. 
  + `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web). 
  + `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web). 
  + `rejected:invalid`— no se AWS WAF pudo leer el token indicado. 

  Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo. 

  Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token. 

### Etiquetas de ATP
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

Este grupo de reglas administradas por ATP genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:atp:` seguido del espacio de nombres y el nombre de la etiqueta personalizados. 

El grupo de reglas puede agregar cualquiera de las siguientes etiquetas además de las que aparecen en la lista de reglas:
+ `awswaf:managed:aws:atp:signal:credential_compromised`: indica que las credenciales que se enviaron en la solicitud se encuentran en la base de datos de credenciales robadas. 
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— Disponible solo para CloudFront distribuciones protegidas de Amazon. Indica que la sesión de un cliente ha enviado varias solicitudes que utilizaban una huella digital de TLS sospechosa. 
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`: indica el uso de un único token entre más de 5 direcciones IP distintas. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la etiqueta. 

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta. 

## Lista de reglas de prevención de apropiación de cuentas
<a name="aws-managed-rule-groups-atp-rules"></a>

En esta sección se enumeran las reglas de la ATP en `AWSManagedRulesATPRuleSet` y las etiquetas que las reglas del grupo de reglas agrega a las solicitudes web.

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, usa el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| UnsupportedCognitoIDP | Inspecciona el tráfico web que se dirige a un grupo de usuarios de Amazon Cognito. La ACFP no está disponible para su uso con los grupos de usuarios de Amazon Cognito y esta regla ayuda a garantizar que las demás reglas del grupo de reglas de la ATP no se utilicen para evaluar el tráfico del grupo de usuarios. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:unsupported:cognito_idp` y `awswaf:managed:aws:atp:UnsupportedCognitoIDP`   | 
| VolumetricIpHigh | Inspecciona en busca de altos volúmenes de solicitudes enviadas desde direcciones IP individuales. Un volumen elevado son más de 20 solicitudes en un período de 10 minutos.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la acción de regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` y `awswaf:managed:aws:atp:VolumetricIpHigh`  El grupo de reglas aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 15 solicitudes en un intervalo de 10 minutos) y de volúmenes bajos (más de 10 solicitudes en un intervalo de 10 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` y `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`. | 
| VolumetricSession |  Inspecciona los grandes volúmenes de solicitudes enviadas desde las sesiones individuales de los clientes. El umbral es de más de 20 solicitudes por período de 30 minutos.  Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y las acciones de las reglas CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).  Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:session` y `awswaf:managed:aws:atp:VolumetricSession`   | 
| AttributeCompromisedCredentials |  Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan credenciales robadas.  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` y `awswaf:managed:aws:atp:AttributeCompromisedCredentials`   | 
| AttributeUsernameTraversal |  Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan el nombre de usuario transversal.  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` y `awswaf:managed:aws:atp:AttributeUsernameTraversal`   | 
| AttributePasswordTraversal |  Comprueba si hay varias solicitudes con el mismo nombre de usuario que utilizan la contraseña transversal.  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` y `awswaf:managed:aws:atp:AttributePasswordTraversal`   | 
| AttributeLongSession |  Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan sesiones largas. El umbral es de más de 6 horas de tráfico con al menos una solicitud de inicio de sesión cada 30 minutos. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:long_session` y `awswaf:managed:aws:atp:AttributeLongSession`   | 
| TokenRejected |  Inspecciona las solicitudes con tokens que son rechazadas por la administración de AWS WAF tokens.  Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: Block Etiquetas: ninguna. Para comprobar si se ha rechazado el token, utilice una regla de coincidencia de etiquetas para que coincida con la etiqueta: `awswaf:managed:token:rejected`.   | 
| SignalMissingCredential |  Inspecciona las solicitudes con credenciales a las que les falte el nombre de usuario o la contraseña.  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:signal:missing_credential` y `awswaf:managed:aws:atp:SignalMissingCredential`   | 
| VolumetricIpFailedLoginResponseHigh |  Comprueba si hay direcciones IP que hayan originado recientemente una tasa demasiado alta de intentos fallidos de inicio de sesión. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una dirección IP en un período de 10 minutos.  Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error.  Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web desde una dirección IP, en función de las respuestas correctas y fallidas del recurso protegido a los intentos de inicio de sesión recientes desde la misma dirección IP. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos.   AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` y `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh`  El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 10 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` para más de 1 solicitud fallida, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` para más de 1 solicitud correcta.   | 
| VolumetricSessionFailedLoginResponseHigh |  Comprueba si hay sesiones de cliente que hayan originado recientemente una tasa demasiado alta de intentos de inicio de sesión fallidos. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una sesión de cliente en un período de 30 minutos.  Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o fracaso.  Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web de una sesión de cliente, basándose en las respuestas de éxito y fracaso del recurso protegido a los intentos de inicio de sesión recientes de la misma sesión de cliente. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos.   AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores.   Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones CAPTCHA de la regla y. Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` y `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh`  El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 30 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` para más de 1 solicitud fallida, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` para más de 1 solicitud correcta.   | 

# AWS WAF Grupo de reglas de control de bots
<a name="aws-managed-rule-groups-bot"></a>

En esta sección se explica lo que hace el grupo de reglas administradas de control de bots.

VendorName:`AWS`, Nombre:, WCU: `AWSManagedRulesBotControlRuleSet` 50

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita solicitar una nueva clasificación de bots para el Control de bots o necesita información adicional que no se incluya aquí, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).

El grupo de reglas administradas de control de bots proporciona reglas que gestionan las solicitudes de los bots. Los bots pueden consumir un exceso de recursos, distorsionar las métricas empresariales, provocar tiempos de inactividad y realizar actividades malintencionadas. 

## Niveles de protección
<a name="aws-managed-rule-groups-bot-prot-levels"></a>

El grupo de reglas administradas de control de bots ofrece dos niveles de protección entre los que puede elegir: 
+ **Común**: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar. 
+ **Objetivo**: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano. 
  + **`TGT_`**: las reglas que proporcionan una protección específica tienen nombres que comienzan por `TGT_`. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado. 
  + **`TGT_ML_`**: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por `TGT_ML_`. Estas reglas utilizan un análisis automatizado y de aprendizaje automático de las estadísticas de tráfico de sitios web para detectar comportamientos anómalos indicativos de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas horarias, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de aprendizaje automático de Bot Control. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el aprendizaje automático está desactivado, AWS WAF no evalúa estas reglas. 

Tanto el nivel de protección objetivo como la declaración de reglas AWS WAF basada en la velocidad proporcionan una limitación de la velocidad. Para ver una comparación de las dos opciones, consulte [Opciones para limitar las tasas en las reglas basadas en tasas y en las reglas específicas de control de bots](waf-rate-limiting-options.md).

## Consideraciones para utilizar este grupo de reglas
<a name="aws-managed-rule-groups-bot-using"></a>

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).

Actualizamos periódicamente nuestros modelos de machine learning (ML) para adaptarlos a las reglas basadas en ML con el nivel de protección específico, a fin de mejorar las predicciones de los bots. Las reglas basadas en ML tienen nombres que comienzan con `TGT_ML_`. Si observa un cambio repentino y sustancial en las predicciones de los bots según estas reglas, contáctenos a través de su administrador de cuentas o abra un caso en el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

## Etiquetas agregadas por este grupo de reglas
<a name="aws-managed-rule-groups-bot-labels"></a>

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 

### Etiquetas de token
<a name="aws-managed-rule-groups-bot-labels-token"></a>

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente. 

Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).

**Etiqueta de sesión de cliente**  
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. 

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiqueta de la huella digital del navegador**  
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**  
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA. 

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres: 
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token. 
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token. 

**Etiquetas de estado del token: nombres de etiquetas**  
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token: 
+ `accepted`: El token de solicitud está presente y contiene lo siguiente: 
  + Una solución válida del desafío o del CAPTCHA.
  + Una marca de tiempo vigente del desafío o del CAPTCHA.
  + Una especificación de dominio válida para el paquete de protección (ACL web). 

  Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación. 

  Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo. 
  + `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA. 
  + `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web). 
  + `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web). 
  + `rejected:invalid`— no se AWS WAF pudo leer el token indicado. 

  Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo. 

  Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token. 

### Etiquetas de control de bots
<a name="aws-managed-rule-groups-bot-labels-rg"></a>

Este grupo de reglas administradas para control de bots genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:bot-control:` seguido del espacio de nombres y el nombre de la etiqueta personalizados. El grupo de reglas puede agregar más de una etiqueta a una solicitud. 

Cada etiqueta refleja los resultados de la regla de control de bots: 
+ `awswaf:managed:aws:bot-control:bot:`: información sobre el bot asociado a la solicitud. 
  + `awswaf:managed:aws:bot-control:bot:name:<name>`: el nombre del bot, si hay alguno disponible, por ejemplo, los espacios de nombres personalizados `bot:name:slurp`, `bot:name:googlebot` y `bot:name:pocket_parser`. 
  + `awswaf:managed:aws:bot-control:bot:name:<rfc_name>`— Identifica el bot específico mediante el token de producto RFC de la firma de la AMB. Se utiliza para crear reglas personalizadas granulares para bots específicos. Por ejemplo, permite `GoogleBot` pero limita la frecuencia de otros rastreadores. 
  + `awswaf:managed:aws:bot-control:bot:category:<category>`— La categoría del bot, tal como se define, por ejemplo AWS WAF, en y. `bot:category:search_engine` `bot:category:content_fetcher` 
  + `awswaf:managed:aws:bot-control:bot:account:<hash>`—Solo para bots que usen Amazon Bedrock Agent Core. Esta etiqueta contiene un hash opaco que identifica de forma exclusiva la AWS cuenta propietaria del agente. Usa esta etiqueta para crear reglas personalizadas que permitan, bloqueen o limiten la frecuencia de los bots de AWS cuentas específicas sin exponer la cuenta IDs en los registros.
  + `awswaf:managed:aws:bot-control:bot:web_bot_auth:<status>`— Se aplica cuando se realiza la validación de la autenticación de bots web (WBA) en respuesta a una solicitud. El sufijo de estado indica el resultado de la verificación:
    + `web_bot_auth:verified`— La firma se validó correctamente en el directorio de claves públicas
    + `web_bot_auth:invalid`— La firma está presente, pero la validación criptográfica ha fallado
    + `web_bot_auth:expired`— La firma utilizó una clave criptográfica caducada
    + `web_bot_auth:unknown_bot`— El identificador de clave no se encuentra en el directorio de claves
**nota**  
Cuando la `web_bot_auth:verified` etiqueta está presente, las `TGT_TokenAbsent` reglas `CategoryAI` y no coinciden, lo que permite que los hosts WBA verificados puedan continuar.
  + `awswaf:managed:aws:bot-control:bot:organization:<organization>`: el publicador del bot, por ejemplo, `bot:organization:google`. 
  + `awswaf:managed:aws:bot-control:bot:verified`: se utiliza para indicar un bot que se identifica y que el control de bots ha podido verificar. Se usa para los bots más habituales y deseables, y puede resultar útil si se combina con etiquetas de categorías como `bot:category:search_engine` o etiquetas de nombres como `bot:name:googlebot`. 
**nota**  
El control de bots usa la dirección IP del origen de la solicitud web para ayudar a determinar si un bot está verificado. No puede configurarlo para que utilice la configuración IP reenviada de AWS WAF para inspeccionar el origen de direcciones IP diferente. Si ha verificado que los bots se enrutan a través de un proxy o un equilibrador de carga, puede agregar una regla que se ejecute antes que el grupo de reglas de control de bots para ayudarlo a solucionar este problema. Configura su nueva regla para usar la dirección IP reenviada y permitir de forma explícita las solicitudes de los bots verificados. Para obtener información acerca de usar direcciones IP reenviadas, consulte [Uso de direcciones IP reenviadas en AWS WAF](waf-rule-statement-forwarded-ip-address.md).
  + `awswaf:managed:aws:bot-control:bot:vendor:<vendor_name>`— Identifica al proveedor u operador de un bot verificado. Actualmente solo está disponible para Agentcore. Úselo para crear reglas personalizadas que permitan o bloqueen a proveedores de bots específicos, independientemente de los nombres de los bots individuales.
  + `awswaf:managed:aws:bot-control:bot:user_triggered:verified`: se utiliza para indicar un bot similar a un bot verificado, pero que los usuarios finales pueden invocar directamente. Las reglas de control de bots consideran que esta categoría de bot es un bot no verificado. 
  + `awswaf:managed:aws:bot-control:bot:developer_platform:verified`: se utiliza para indicar un bot similar a un bot verificado, pero que utiliza las plataformas de desarrolladores para crear scripts, por ejemplo, Google Apps Script. Las reglas de control de bots consideran que esta categoría de bot es un bot no verificado. 
  + `awswaf:managed:aws:bot-control:bot:unverified`: se usa para indicar un bot que se identifica a sí mismo, por lo que se le puede nombrar y clasificar, pero no publica información que pueda usarse para verificar su identidad de forma independiente. Estos tipos de firmas de bots se pueden falsificar y, por lo tanto, se consideran no verificadas. 
+ `awswaf:managed:aws:bot-control:targeted:<additional-details> `: se utiliza para etiquetas específicas de las protecciones específicas de control de bots. 
+ `awswaf:managed:aws:bot-control:signal:<signal-details>` y `awswaf:managed:aws:bot-control:targeted:signal:<signal-details> `: se utilizan para proporcionar información adicional sobre la solicitud en algunas situaciones. 

  Los siguientes son ejemplos de etiquetas de señal. No es una lista exhaustiva:
  + `awswaf:managed:aws:bot-control:signal:cloud_service_provider:<CSP>`: indica un proveedor de servicios en la nube (CSP) para la solicitud. Algunos ejemplos CSPs son la infraestructura `aws` de Amazon Web Services, la infraestructura `gcp` de Google Cloud Platform (GCP), `azure` los servicios en la nube de Microsoft Azure y `oracle` los servicios de Oracle Cloud. 
  + `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`: Indica la detección de una extensión del navegador que ayuda con la automatización, como Selenium IDE. 

    Esta etiqueta se agrega cada vez que un usuario tiene este tipo de extensión instalada, incluso si no la está utilizando activamente. Si implementa una regla de coincidencia de etiquetas para ello, tenga en cuenta la posibilidad de que se produzcan falsos positivos en la lógica de la regla y en la configuración de las acciones. Por ejemplo, puede utilizar una acción CAPTCHA en lugar de Block, o puede combinarla con otras coincidencias de etiquetas para aumentar su confianza de que se está utilizando la automatización.
  + `awswaf:managed:aws:bot-control:signal:automated_browser`: indica que la solicitud contiene indicadores de que el navegador del cliente podría estar automatizado.
  + `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— Indica que el AWS WAF token de la solicitud contiene indicadores de que el navegador del cliente podría estar automatizado.

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta. 

El grupo de reglas administradas de control de bots aplica etiquetas a un conjunto de bots verificables que suelen estar permitidos. El grupo de reglas no bloquea estos bots verificados. Si lo desea, puede bloquearlos o bloquear un subconjunto de ellos escribiendo una regla personalizada que utilice las etiquetas aplicadas por el grupo de reglas administradas de control de bots. Para obtener más información acerca de esto y ver ejemplos, consulte [AWS WAF Control de bots](waf-bot-control.md).

## Listado de reglas de control de bots
<a name="aws-managed-rule-groups-bot-rules"></a>

En esta sección se enumeran las reglas de control de bots.

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita solicitar una nueva clasificación de bots para el Control de bots o necesita información adicional que no se incluya aquí, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).


| Nombre de la regla | Description (Descripción) | 
| --- | --- | 
| CategoryAdvertising |  Inspecciona los bots que se utilizan con fines publicitarios. Por ejemplo, puede utilizar servicios de publicidad de terceros que necesiten acceder a su sitio web mediante programación.  Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:advertising` y `awswaf:managed:aws:bot-control:CategoryAdvertising`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryArchiver |  Inspecciona los bots que se utilizan con fines de archivo. Estos bots rastrean la web y capturan contenido con el fin de crear archivos. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:archiver` y `awswaf:managed:aws:bot-control:CategoryArchiver`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryContentFetcher |  Comprueba si hay bots que visiten el sitio web de la aplicación en nombre de un usuario, para buscar contenido, como fuentes RSS, o para verificar o validar su contenido.  Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:content_fetcher` y `awswaf:managed:aws:bot-control:CategoryContentFetcher`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryEmailClient |  Comprueba si hay bots que verifiquen los enlaces de los correos electrónicos que llevan al sitio web de la aplicación. Esto puede incluir bots gestionados por empresas y proveedores de correo electrónico para verificar los enlaces de los correos electrónicos y detectar los correos sospechosos. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:email_client` y `awswaf:managed:aws:bot-control:CategoryEmailClient`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryHttpLibrary |  Inspecciona las solicitudes generadas por los bots desde las bibliotecas HTTP de varios lenguajes de programación. Estas pueden incluir solicitudes de API que decidas permitir o supervisar. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:http_library` y `awswaf:managed:aws:bot-control:CategoryHttpLibrary`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryLinkChecker |  Inspecciona los bots que comprueban si hay enlaces rotos.  Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:link_checker` y `awswaf:managed:aws:bot-control:CategoryLinkChecker`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMiscellaneous |  Inspecciona varios bots que no coinciden con otras categorías.  Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:miscellaneous` y `awswaf:managed:aws:bot-control:CategoryMiscellaneous`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMonitoring |  Inspecciona los bots que se utilizan con fines de monitorización. Por ejemplo, puede usar servicios de monitorización de bots que hagan ping periódicamente al sitio web de su aplicación para monitorizar aspectos como el rendimiento y el tiempo de actividad. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:monitoring` y `awswaf:managed:aws:bot-control:CategoryMonitoring`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryPagePreview |  Comprueba si hay bots que generen vistas previas de páginas y vistas previas de enlaces cuando el contenido se comparte en plataformas de mensajería, redes sociales o herramientas de colaboración. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:page_preview` y `awswaf:managed:aws:bot-control:CategoryPagePreview`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryScrapingFramework |  Inspecciona los bots en los sistemas de rastreo web, que se utilizan para automatizar el rastreo y la extracción de contenido de los sitios web.  Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:scraping_framework` y `awswaf:managed:aws:bot-control:CategoryScrapingFramework`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySearchEngine |  Inspecciona los bots de los motores de búsqueda, que rastrean los sitios web para indexar el contenido y hacer que la información esté disponible para los resultados de los motores de búsqueda. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:search_engine` y `awswaf:managed:aws:bot-control:CategorySearchEngine`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySecurity |  Inspecciona los bots que escanean las aplicaciones web en busca de vulnerabilidades o que realizan auditorías de seguridad. Por ejemplo, puede utilizar un proveedor de seguridad externo que escanee, supervise o audite la seguridad de su aplicación web. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:security` y `awswaf:managed:aws:bot-control:CategorySecurity`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySeo |  Inspecciona los bots que se utilizan para la optimización de motores de búsqueda. Por ejemplo, puede usar herramientas de motores de búsqueda que rastreen su sitio para ayudarlo a mejorar su posicionamiento entre los motores de búsqueda.  Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:seo` y `awswaf:managed:aws:bot-control:CategorySeo`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySocialMedia |  Inspecciona los bots que utilizan las plataformas de redes sociales para proporcionar resúmenes de contenido cuando los usuarios comparten su contenido. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:social_media` y `awswaf:managed:aws:bot-control:CategorySocialMedia`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryWebhooks |  Comprueba si hay bots que envíen notificaciones y actualizaciones de datos automatizadas de una aplicación a otra mediante llamadas HTTP. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:webhooks` y `awswaf:managed:aws:bot-control:CategoryWebhooks`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryAI |  Inspecciona los bots de inteligencia artificial (IA).  Esta regla aplica la acción a todas las coincidencias, independientemente de si los bots están verificados o no. Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:ai` y `awswaf:managed:aws:bot-control:CategoryAI`  En el caso de los bots verificados, el grupo de reglas cumple con esta regla y realiza una acción. Además, agrega el nombre del bot y el etiquetado de la categoría, el etiquetado de las reglas y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| SignalAutomatedBrowser |  Inspecciona solicitudes que no son de bots verificados en busca de indicadores de que el navegador del cliente podría estar automatizado. Se pueden usar navegadores automatizados para probar o rastrear. Por ejemplo, puede utilizar estos tipos de navegadores para monitorizar o verificar el sitio web de su aplicación. Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:bot-control:signal:automated_browser` y `awswaf:managed:aws:bot-control:SignalAutomatedBrowser`  En el caso de los bots verificados, el grupo de reglas no coincide con esta regla y no aplica ninguna etiqueta de señal o regla.  | 
| SignalKnownBotDataCenter |  Inspecciona las solicitudes que no son de bots verificados de los centros de datos que suelen utilizar los bots.  Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:bot-control:signal:known_bot_data_center` y `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter`  En el caso de los bots verificados, el grupo de reglas no coincide con esta regla y no aplica ninguna etiqueta de señal o regla.  | 
| SignalNonBrowserUserAgent |  Inspecciona las solicitudes que no son de bots verificados para las cadenas de los agentes de usuario que no parecen provenir de un navegador web. Esta categoría puede incluir solicitudes API.  Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:bot-control:signal:non_browser_user_agent` y `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent`  En el caso de los bots verificados, el grupo de reglas no coincide con esta regla y no aplica ninguna etiqueta de señal o regla.  | 
| TGT\$1VolumetricIpTokenAbsent |  Inspecciona solicitudes que no son de bots verificados con 5 solicitudes o más de un solo cliente en los últimos 5 minutos que no incluyan un token de desafío válido. Para obtener información acerca de los tokens, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).  Es posible que esta regla coincida en una solicitud que tiene un token si a las solicitudes del mismo cliente les han faltado tokens recientemente.  El umbral al que se aplica esta regla puede variar ligeramente debido a la latencia.   Esta regla gestiona los tokens faltantes de manera diferente al etiquetado de los tokens: `awswaf:managed:token:absent`. El etiquetado de los tokens etiqueta las solicitudes individuales que no tienen un token. Esta regla mantiene un recuento de las solicitudes a las que les falta su token para cada IP de cliente y las compara con los clientes que superan el límite.  Acción de la regla: Challenge  Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` y `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent`   | 
| TGT\$1TokenAbsent |  Inspecciona solicitudes que no son de bots verificados que no incluyan un token de desafío. Para obtener información acerca de los tokens, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).  Acción de la regla: Count  Etiquetas: `awswaf:managed:aws:bot-control:TGT_TokenAbsent`   | 
| TGT\$1VolumetricSession |  Inspecciona un número anormalmente alto de solicitudes que no son de bots verificados de una sola sesión de cliente en un periodo de 5 minutos. La evaluación se basa en una comparación con las líneas base volumétricas estándar, que se basa en patrones de tráfico históricos AWS WAF .  Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla y. CAPTCHA Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).  Esta regla puede tardar 5 minutos en entrar en vigor después de activarla. Bot Control identifica el comportamiento anómalo del tráfico web comparando el tráfico actual con las líneas base de tráfico que calcula. AWS WAF   Acción de la regla: CAPTCHA  Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` y `awswaf:managed:aws:bot-control:TGT_VolumetricSession`  El grupo de reglas aplica las siguientes etiquetas a las solicitudes de volumen medio y bajo que superan un umbral mínimo. Para estos niveles, la regla no realiza ninguna acción, independientemente de si el cliente está verificado: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` y `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`.  | 
| TGT\$1VolumetricSessionMaximum |  Inspecciona un número anormalmente alto de solicitudes que no son de bots verificados de una sola sesión de cliente en un periodo de 5 minutos. La evaluación se basa en una comparación con las líneas base volumétricas estándar, que se basa en patrones de tráfico históricos. AWS WAF  Esta regla indica la máxima confianza en la evaluación. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla y. CAPTCHA Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).  Esta regla puede tardar 5 minutos en entrar en vigor después de activarla. Bot Control identifica el comportamiento anómalo del tráfico web comparando el tráfico actual con las líneas base de tráfico que calcula. AWS WAF   Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` y `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum`   | 
| TGT\$1SignalAutomatedBrowser |  Inspecciona los tókenes de solicitudes que no son de bots verificados en busca de indicadores de que el navegador del cliente podría estar automatizado. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md). Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación y mediante las acciones de la regla SDKs y. CAPTCHA Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: CAPTCHA  Etiquetas: `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` y `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser`   | 
| TGT\$1SignalBrowserAutomationExtension |  Inspecciona solicitudes que no son de bots verificados en busca de la presencia de una extensión del navegador que ayude con la automatización, como Selenium IDE. Esta regla coincide cada vez que un usuario tiene este tipo de extensión instalada, incluso si no la utiliza activamente.  Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: CAPTCHA  Etiquetas: `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` y `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension`  | 
| TGT\$1SignalBrowserInconsistency |  Inspecciona solicitudes que no son de bots verificados en busca de datos de interrogación del navegador que sean incoherentes. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md). Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: CAPTCHA  Etiquetas: `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` y `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency`   | 
|  TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh  |  Inspecciona solicitudes que no son de bots verificados en busca de comportamientos anómalos que sean coherentes con la actividad distribuida y coordinada de los bots. Los niveles de las reglas indican el nivel de confianza de que un grupo de solicitudes participen en un ataque coordinado.   Estas reglas solamente se ejecutan si el grupo de reglas está configurado para usar el machine learning (ML). Para obtener información acerca de cómo configurar esta opción, consulte [Añadir el grupo de reglas gestionado por AWS WAF Bot Control a su ACL web](waf-bot-control-rg-using.md).   Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   AWS WAF realiza esta inspección mediante un análisis de aprendizaje automático de las estadísticas de tráfico del sitio web. AWS WAF analiza el tráfico web cada pocos minutos y optimiza el análisis para detectar bots de baja intensidad y larga duración que se distribuyen en muchas direcciones IP.  Es posible que estas reglas coincidan en un número muy reducido de solicitudes antes de determinar que no se está produciendo un ataque coordinado. Por lo tanto, si solo ve una o dos coincidencias, los resultados podrían ser falsos positivos. Sin embargo, si ve muchas coincidencias de estas reglas, es probable que esté siendo víctima de un ataque coordinado.   Estas reglas pueden tardar hasta 24 horas en entrar en vigor si activa las reglas específicas del control de bots con la opción de ML. Bot Control identifica el comportamiento anómalo del tráfico web comparando el tráfico actual con las líneas base de tráfico calculadas. AWS WAF AWS WAF Solo calcula las líneas de base cuando utilizas las reglas específicas de Bot Control con la opción de aprendizaje automático, y establecer líneas de base significativas puede llevar hasta 24 horas.   Actualizamos periódicamente nuestros modelos de machine learning para adaptarlos a estas reglas, a fin de mejorar las predicciones de los bots. Si observa un cambio repentino y sustancial en las predicciones de los bots que hacen estas reglas, póngase en contacto con su administrador de cuentas o abra un caso en el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).  Acciones de las reglas:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High`   | 
|  TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh  |  Inspecciona las solicitudes que no provienen de bots verificados para utilizar un único token entre varios IPs en los últimos 5 minutos. Cada nivel tiene un límite en cuanto al número de elementos distintos IPs:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acciones de las reglas:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High`   | 
|  TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh  |  Inspecciona las solicitudes que no son de bots verificados para el uso de un único token en varios países en los últimos 5 minutos. Cada nivel tiene un límite para la cantidad de países distintos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acciones de las reglas:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High`   | 
|  TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh  |  Inspecciona las solicitudes que no provienen de bots verificados para el uso de un único token en varios números de sistemas autónomos de redes (ASNs) en los últimos 5 minutos. Cada nivel tiene un límite en cuanto al número de elementos distintos ASNs:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acciones de las reglas:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High`   | 

# AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida
<a name="aws-managed-rule-groups-anti-ddos"></a>

En esta sección se describe el grupo de reglas AWS WAF gestionadas para la protección contra los ataques distribuidos de denegación de servicio (DDoS).

VendorName:`AWS`, Nombre:`AWSManagedRulesAntiDDoSRuleSet`, WCU: 50

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El grupo de reglas gestionadas DDo Anti-S proporciona reglas que detectan y gestionan las solicitudes que participan o que es probable que participen en ataques DDo tipo S. Además, el grupo de reglas etiqueta todas las solicitudes que evalúa durante un evento probable. 

## Consideraciones para utilizar este grupo de reglas
<a name="aws-managed-rule-groups-anti-ddos-using"></a>

Este grupo de reglas proporciona mitigaciones flexibles y estrictas para las solicitudes web que llegan a recursos que están siendo atacados por el tipo DDo S. Para detectar distintos niveles de amenaza, puede ajustar la sensibilidad de ambos tipos de mitigación a niveles de sospecha altos, medios o bajos.
+ **Mitigación suave**: el grupo de reglas puede enviar desafíos de navegador silenciosos en respuesta a solicitudes que puedan lidiar con los intersticios del desafío. Para obtener información acerca de los requisitos para ejecutar el desafío, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md).
+ **Mitigación estricta**: el grupo de reglas puede bloquear las solicitudes por completo. 

Para obtener más información acerca del funcionamiento y la configuración del grupo de reglas, consulte [Protección Anti- DDo S avanzada mediante el grupo de reglas gestionado AWS WAF Anti- DDo S](waf-anti-ddos-advanced.md). 

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).

Para minimizar los costes y optimizar la gestión del tráfico, use este grupo de reglas de acuerdo con las directrices de prácticas recomendadas. Consulte, [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).

## Etiquetas agregadas por este grupo de reglas
<a name="aws-managed-rule-groups-anti-ddos-labels"></a>

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 

### Etiquetas de token
<a name="aws-managed-rule-groups-anti-ddos-labels-token"></a>

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente. 

Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).

**Etiqueta de sesión de cliente**  
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. 

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiqueta de la huella digital del navegador**  
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**  
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA. 

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres: 
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token. 
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token. 

**Etiquetas de estado del token: nombres de etiquetas**  
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token: 
+ `accepted`: El token de solicitud está presente y contiene lo siguiente: 
  + Una solución válida del desafío o del CAPTCHA.
  + Una marca de tiempo vigente del desafío o del CAPTCHA.
  + Una especificación de dominio válida para el paquete de protección (ACL web). 

  Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación. 

  Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo. 
  + `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA. 
  + `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web). 
  + `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web). 
  + `rejected:invalid`— no se AWS WAF pudo leer el token indicado. 

  Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo. 

  Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token. 

### Etiquetas DDo antiS
<a name="aws-managed-rule-groups-anti-ddos-labels-rg"></a>

El grupo de reglas gestionado por Anti- DDo S genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:anti-ddos:` seguido de cualquier espacio de nombres personalizado y del nombre de la etiqueta. Cada etiqueta refleja algún aspecto de las conclusiones de Anti- S. DDo

El grupo de reglas puede agregar cualquiera de las siguientes etiquetas a una solicitud, además de las que se agregan mediante reglas individuales. 
+ `awswaf:managed:aws:anti-ddos:event-detected`— Indica que la solicitud va a un recurso protegido para el que el grupo de reglas gestionado detecta un evento DDo S. El grupo de reglas administradas detecta eventos cuando el tráfico hacia el recurso presenta una desviación significativa con respecto a la línea base de tráfico del recurso. 

  El grupo de reglas agrega esta etiqueta a todas las solicitudes que se envían al recurso mientras se encuentra en este estado, por lo que el tráfico legítimo y el tráfico de ataque reciben esta etiqueta. 
+ `awswaf:managed:aws:anti-ddos:ddos-request`: indica que la solicitud proviene de una fuente sospechosa de participar en un evento. 

  Además de la etiqueta general, el grupo de reglas agrega las siguientes etiquetas que indican el nivel de confianza. 

  `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— Indica una probable solicitud de ataque DDo S.

  `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— Indica una solicitud de ataque DDo S muy probable.

  `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— Indica una solicitud de ataque DDo S muy probable.
+ `awswaf:managed:aws:anti-ddos:challengeable-request`: indica que el URI de la solicitud es capaz de gestionar la acción Challenge. El grupo de reglas administrado lo aplica a cualquier solicitud cuyo URI no esté exento. URIs están exentos si coinciden con las expresiones regulares de URI exentas del grupo de reglas. 

  Para obtener información sobre los requisitos de las solicitudes que puedan tomar un desafío de navegador silencioso, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md).

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta. 

El grupo de reglas gestionado por Anti- DDo S aplica etiquetas a las solicitudes, pero no siempre actúa en consecuencia. La administración de las solicitudes depende de la confianza con la que el grupo de reglas determine la participación en un ataque. Si lo desea, puede administrar las solicitudes que etiqueta el grupo de reglas con la adición de una regla de coincidencia de etiquetas que se ejecute después del grupo de reglas. Para obtener más información acerca de esto y ver ejemplos, consulte [AWS WAF Prevención de denegación de servicio (DDoS) distribuida](waf-anti-ddos.md).

## Listado de reglas Anti- DDo S
<a name="aws-managed-rule-groups-anti-ddos-rules"></a>

En esta sección se enumeran las reglas DDo antiS.

 

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 


| Nombre de la regla | Description (Descripción) | 
| --- | --- | 
| ChallengeAllDuringEvent |  Coincide con las solicitudes que tienen la etiqueta `awswaf:managed:aws:anti-ddos:challengeable-request` de cualquier recurso protegido que esté bajo ataque actualmente.  Acción de la regla: Challenge Solo puede anular esta acción de regla para Allow o Count. No se recomienda el uso de Allow. Para cualquier configuración de acción de regla, la regla solo coincide con las solicitudes que tienen la etiqueta `challengeable-request`. La configuración de esta regla afecta a la evaluación de la siguiente regla,`ChallengeDDoSRequests`. AWS WAF solo evalúa esa regla cuando la acción para esta regla se ha establecido en la configuración de la ACL web del grupo de reglas administrado. Count  Si su carga de trabajo es vulnerable a cambios inesperados en el volumen de solicitudes, le recomendamos que rechace todas las solicitudes impugnables al mantener la configuración de acción predeterminada de Challenge. En el caso de las aplicaciones menos sensibles, puede establecer la acción de esta regla en Count y, a continuación, ajustar la sensibilidad de sus Challenge respuestas con la regla `ChallengeDDoSRequests`.  Etiquetas: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`   | 
| ChallengeDDoSRequests |  Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los desafíos que configura el grupo de reglas durante los momentos en los que el recurso está bajo ataque.  Acción de la regla: Challenge Solo puede anular esta acción de regla para Allow o Count. No se recomienda el uso de Allow. En cualquier caso, la regla solo coincide con las solicitudes que tienen la etiqueta `challengeable-request`. AWS WAF solo evalúa esta regla si se anula la acción de la regla anteriorCount,. `ChallengeAllDuringEvent`  Etiquetas: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`   | 
| DDoSRequests |  Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los bloques configurada del grupo de reglas durante los momentos en los que el recurso está bajo ataque.  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:anti-ddos:DDoSRequests`   | 

# Implementaciones para grupos de reglas de reglas AWS administradas versionados
<a name="waf-managed-rule-groups-deployments"></a>

En esta sección, se presenta cómo se AWS implementan las actualizaciones en los grupos de reglas de reglas AWS administradas.

AWS implementa los cambios en sus grupos de reglas de AWS Managed Rules versionados en tres implementaciones estándar: la versión candidata, la versión estática y la versión predeterminada. Además, a veces es AWS posible que necesite lanzar una implementación de excepción o revertir una implementación de versión predeterminada. 

**nota**  
Esta sección solo se aplica a los grupos de reglas de AWS Managed Rules que están versionados. Los únicos grupos de reglas sin control de versiones son los grupos de reglas de reputación de IP. 

**Topics**
+ [Notificaciones para despliegues de grupos de reglas de AWS Managed Rules](waf-managed-rule-groups-deployments-notifications.md)
+ [Descripción general de las implementaciones estándar de las reglas AWS administradas](waf-managed-rule-groups-deployments-standard.md)
+ [Estados de versión típicos de las reglas AWS administradas](waf-managed-rule-groups-typical-version-states.md)
+ [Publicar las implementaciones candidatas para AWS Managed Rules](waf-managed-rule-groups-deployments-release-candidate.md)
+ [Implementaciones de versiones estáticas para reglas AWS administradas](waf-managed-rule-groups-deployments-static-version.md)
+ [Implementaciones de versiones predeterminadas para AWS Managed Rules](waf-managed-rule-groups-deployments-default-version.md)
+ [Implementaciones de excepciones para reglas AWS administradas](waf-managed-rule-groups-deployments-exceptions.md)
+ [Reversiones de implementación predeterminadas para las reglas AWS administradas](waf-managed-rule-groups-deployments-default-rollbacks.md)

# Notificaciones para despliegues de grupos de reglas de AWS Managed Rules
<a name="waf-managed-rule-groups-deployments-notifications"></a>

En esta sección se explica cómo funcionan las notificaciones de Amazon SNS con los grupos de reglas de AWS Managed Rules.

Todos los grupos de reglas de AWS Managed Rules versionados proporcionan notificaciones de actualización de SNS para las implementaciones y todos usan el mismo tema de SNS Amazon Resource Name (ARN). Los únicos grupos de reglas que no se someten a control de versiones son los grupos de reglas de reputación IP. 

En el caso de las implementaciones que afectan a sus protecciones, como los cambios en la versión predeterminada, AWS proporciona notificaciones de SNS para informarle sobre las implementaciones planificadas y para avisarle de cuándo se está iniciando una implementación. En el caso de las implementaciones que no afectan a sus protecciones, como las de versión candidata y estática, es posible que AWS le notifique una vez que la implementación haya comenzado o incluso una vez finalizada. Al finalizar la implementación de una nueva versión estática, AWS actualiza esta guía en el registro de cambios [AWS Registro de cambios de reglas administradas](aws-managed-rule-groups-changelog.md) y en la página del historial del documento en. [Historial de documentos](doc-history.md) 

Para recibir todas las actualizaciones relacionadas con AWS los grupos de reglas de reglas AWS administradas, suscríbase a la fuente RSS desde cualquier página HTML de esta guía y suscríbase al tema de SNS relativo a los grupos de reglas de reglas AWS administradas. Para obtener más información sobre la suscripción a notificaciones de SNS, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones de un grupo de reglas administradas](waf-using-managed-rule-groups-sns-topic.md).

**Contenido de las notificaciones de SNS**  
Los campos de las notificaciones de Amazon SNS siempre incluyen el asunto, el mensaje y. MessageAttributes Los campos adicionales dependen del tipo de mensaje y del grupo de reglas administradas al que se destine la notificación. A continuación, se muestra un ejemplo de lista de notificaciones para `AWSManagedRulesCommonRuleSet`.

```
{
    "Type": "Notification",
    "MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
    "TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
    "Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
    "Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
    "Timestamp": "2021-08-24T11:12:19.810Z",
    "SignatureVersion": "1",
    "Signature": "EXAMPLEHXgJm...",
    "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
    "SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
    "MessageAttributes": {
        "major_version": {
            "Type": "String",
            "Value": "v1"
        },
        "managed_rule_group": {
            "Type": "String",
            "Value": "AWSManagedRulesCommonRuleSet"
        }
    }
}
```

# Descripción general de las implementaciones estándar de las reglas AWS administradas
<a name="waf-managed-rule-groups-deployments-standard"></a>

AWS implementa la nueva funcionalidad de reglas AWS administradas mediante tres etapas de implementación estándar: versión candidata, versión estática y versión predeterminada. 

En el siguiente diagrama, se muestran estas implementaciones estándar. Cada uno de estos se describe con mayor detalle en las secciones siguientes. 

![\[Cuatro carriles verticales muestran diferentes etapas de implementación estándar. El carril situado más a la izquierda muestra la versión predeterminada establecida en la versión estática recomendada 1.4. El segundo carril muestra la configuración predeterminada de una versión candidata (RC) a ser lanzada para probarla y ajustarla. La versión RC contiene las reglas de 1.4 y las reglas de RC. Una nota indica que, tras las pruebas, la predeterminada vuelve a la versión estática recomendada. El tercer carril muestra la creación de una versión estática 1.5 a partir de las reglas de la versión candidata a ser lanzada. El cuarto carril muestra la versión por defecto ajustada a la nueva versión estática recomendada 1.5.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)


# Estados de versión típicos de las reglas AWS administradas
<a name="waf-managed-rule-groups-typical-version-states"></a>

Normalmente, un grupo de reglas gestionado versionado tiene varias versiones estáticas que no han caducado y la versión predeterminada apunta a la versión estática recomendada. AWS En la siguiente imagen, se muestra un ejemplo del conjunto típico de versiones estáticas y de la configuración de la versión predeterminada. 

![\[Las tres versiones estáticas Version_1.2, Version_1.3 y Version_1.4 están apiladas, con la Version_1.4 en la parte superior. La Version_1.4 tiene dos reglas, la RuleA y la RuleB, ambas con acción de producción. Un indicador de versión predeterminado señala la Version_1.4.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-diagram.png)


La acción de producción para la mayoría de las reglas en una versión estática es Block, pero puede estar configurada en algo diferente. Para obtener información detallada sobre la configuración de las acciones de reglas, consulte la lista de reglas de cada grupo de reglas en [AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md). 

# Publicar las implementaciones candidatas para AWS Managed Rules
<a name="waf-managed-rule-groups-deployments-release-candidate"></a>

En esta sección se explica cómo funciona la implementación temporal de una versión candidata a ser lanzada.

Cuando AWS un conjunto de reglas candidato cambia para un grupo de reglas gestionado, los pone a prueba en una implementación candidata de versión temporal. AWS evalúa las reglas candidatas en el modo de recuento comparándolas con el tráfico de producción y realiza las últimas actividades de ajuste, incluida la mitigación de los falsos positivos. AWS Las pruebas publican las reglas candidatas de esta forma para todos los clientes que utilizan la versión predeterminada del grupo de reglas. Las implementaciones de la versión candidata a ser lanzada no se aplican a los clientes que usan una versión estática del grupo de reglas.

Si utiliza la versión predeterminada, una implementación de la versión candidata a ser lanzada no alterará la forma en que el grupo de reglas administra su tráfico web. Es posible que observe lo siguiente mientras se prueban las reglas candidatas: 
+ El nombre de la versión predeterminada cambia de `Default (using Version_X.Y)` a `Default (using Version_X.Y_PLUS_RC_COUNT)`. 
+ Métricas de recuento adicionales en Amazon CloudWatch con `RC_COUNT` sus nombres. Estas se generan mediante las reglas candidatas a ser lanzadas.

AWS prueba una versión candidata durante aproximadamente una semana, luego la elimina y restablece la versión predeterminada a la versión estática recomendada actualmente. 

AWS lleva a cabo los siguientes pasos para la implementación de una versión candidata: 

1. **Crear la versión candidata**: AWS añade una versión candidata en función de la versión estática recomendada actualmente, que es la versión a la que apunta la versión predeterminada. 

   El nombre de la versión candidata a ser lanzada es el nombre de la versión estática al que se añade `_PLUS_RC_COUNT`. Por ejemplo, si la versión estática actualmente recomendada es `Version_2.1`, la versión candidata a ser lanzada recibirá el nombre `Version_2.1_PLUS_RC_COUNT`.

   La versión candidata a ser lanzada contiene las siguientes reglas: 
   + Las reglas se copiaron exactamente de la versión estática recomendada actualmente, sin cambios en la configuración de las reglas. 
   + Reglas candidatas nuevas con la acción de regla configurada en Count y cuyos nombres terminen en `_RC_COUNT`. 

     La mayoría de las reglas de las versiones candidatas incluyen propuestas de mejora para las reglas que ya existen en el grupo de reglas. El nombre de cada una de estas reglas es el nombre de la regla existente al que se añade `_RC_COUNT`. 

1. **Defina la versión predeterminada como la versión candidata y pruébela**: AWS configura la versión predeterminada para que apunte a la nueva versión candidata, a fin de realizar pruebas comparándolas con el tráfico de producción. Las pruebas suelen tardar alrededor de una semana.

    Verá que el nombre de la versión predeterminada cambia de una versión que solo indica la versión estática, por ejemplo `Default (using Version_1.4)`, a una que indica la versión estática más las reglas de la versión candidata a ser lanzada, por ejemplo `Default (using Version_1.4_PLUS_RC_COUNT)`. Este esquema de nomenclatura le permite identificar qué versión estática utiliza para gestionar el tráfico web. 

   El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo en este momento.   
![\[En la parte superior de la imagen, hay tres versiones estáticas apiladas, con Version_1.4 en la parte superior. La versión Version_1.4_PLUS_RC_COUNT es independiente de la pila de versiones estáticas. Esta versión contiene las reglas de la Version_1.4 y también contiene dos reglas candidatas a ser lanzadas, Ruleb_RC_Count y Rulez_RC_Count, ambas con acción de recuento. El indicador de versión predeterminado señala la Version_1.4_PLUS_RC_COUNT.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)

   Las reglas candidatas a ser lanzadas siempre se configuran con una acción Count, por lo que no alteran la forma en que el grupo de reglas administra el tráfico web. 

   Las reglas de release candidate generan métricas de CloudWatch recuento de Amazon que se AWS utilizan para verificar el comportamiento e identificar los falsos positivos. AWS realiza los ajustes necesarios para ajustar el comportamiento de las reglas de recuento de candidatos a publicación. 

   La versión candidata a ser lanzada no es estática y no puede seleccionarla de la lista de versiones de grupos de reglas estáticas. Solamente puede ver el nombre de la versión candidata a ser lanzada en la especificación de la versión predeterminada.

1. **Devuelve la versión predeterminada a la versión estática recomendada**: tras probar las reglas de la versión candidata, AWS vuelve a establecer la versión estática recomendada actualmente para la versión predeterminada. La configuración predeterminada del nombre de la versión elimina la `_PLUS_RC_COUNT` terminación y el grupo de reglas deja de generar métricas de CloudWatch recuento para las reglas de la versión candidata. Se trata de un cambio silencioso y no es lo mismo que implementar una reversión de una versión predeterminada.

   El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo una vez finalizadas las pruebas de la candidata a ser lanzada.   
![\[De nuevo, esta es la imagen de los estados de versión típicos. Tres versiones estáticas, las Version_1.2, Version_1.3 y Version_1.4, están apiladas, con la Versión_1.4 en la parte superior. La Version_1.4 tiene dos reglas, la RuleA y la RuleB, ambas con acción de producción. Un indicador de versión predeterminado señala la Version_1.4.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)

**Calendario y notificaciones**  
AWS despliega versiones candidatas según sea necesario, para probar las mejoras en un grupo de reglas. 
+ **SNS**: AWS envía una notificación de SNS al inicio de la implementación. La notificación indica el tiempo estimado durante el que se probará la versión candidata. Una vez finalizadas las pruebas, devuelve AWS silenciosamente la configuración predeterminada de la versión estática, sin necesidad de una segunda notificación.
+ **Registro de cambios**: AWS no actualiza el registro de cambios ni otras partes de esta guía para este tipo de implementación.

# Implementaciones de versiones estáticas para reglas AWS administradas
<a name="waf-managed-rule-groups-deployments-static-version"></a>

Cuando AWS determina que una versión candidata proporciona cambios valiosos al grupo de reglas, AWS implementa una nueva versión estática para el grupo de reglas basada en la versión candidata. Esta implementación no cambia la versión predeterminada del grupo de reglas. 

La nueva versión estática contiene las siguientes reglas para la versión candidata: 
+ Reglas de la versión estática anterior que no tienen un candidato de reemplazo entre las reglas de la candidata a ser lanzada. 
+ Reglas candidatas a ser lanzadas con los cambios siguientes: 
  + AWS cambia el nombre de la regla eliminando el sufijo `_RC_COUNT` Release Candidate.
  + AWS cambia las acciones de la regla Count a sus acciones de la regla de producción. 

   En el caso de las reglas candidatas a ser lanzadas que sustituyan a reglas anteriores existentes, se sustituirá la funcionalidad de las reglas anteriores de la nueva versión estática. 

El siguiente diagrama muestra la creación de la nueva versión estática a partir de la candidata a ser lanzada. 

![\[En la parte superior de la imagen aparece la versión candidata a ser lanzada Version_1.4_PLUS_RC_COUNT con las mismas reglas que en la figura de implementación de candidata a ser lanzada anterior. Esta versión contiene las reglas de la Version_1.4 y también contiene dos reglas candidatas, Ruleb_RC_Count y Rulez_RC_Count, ambas con acción de recuento. A continuación, en la parte inferior de la imagen, hay una versión estática, la Version_1.5, que contiene las reglas RuleA, RuleB y RuleZ, todas ellas con acción de producción. Las flechas señalan desde la versión RC a la Version_1.5 para indicar que la RuleA se ha copiado de las reglas de la Version_1.4 y la RuleB y la RuleZ se han copiado de las reglas candidatas a ser lanzadas. Todas las reglas de la Version_1.5 incluyen acciones de producción.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)


Tras la implementación, la nueva versión estática está disponible para que la pruebe y la utilice en sus protecciones si así lo desea. Puede revisar las acciones y descripciones de las reglas nuevas y actualizadas en las listas de reglas del grupo de reglas en [AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md). 

Una versión estática es inmutable tras el despliegue y solo cambia cuando AWS caduca. Para obtener información sobre el ciclo de vida de las versiones, consulte [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md).

**Calendario y notificaciones**  
AWS implementa una nueva versión estática según sea necesario para implementar mejoras en la funcionalidad de los grupos de reglas. La implementación de una versión estática no afecta a la configuración de la versión predeterminada.
+ **SNS**: AWS envía una notificación de SNS cuando se completa la implementación.
+ **Registro de cambios**: una vez completada la implementación en todos los lugares disponibles, AWS actualiza la definición del grupo de reglas de esta guía según sea necesario y, a continuación, anuncia la publicación en el registro de cambios del grupo de reglas de reglas AWS administradas y en la página del historial de la documentación. AWS WAF 

# Implementaciones de versiones predeterminadas para AWS Managed Rules
<a name="waf-managed-rule-groups-deployments-default-version"></a>

Cuando AWS determina que una nueva versión estática proporciona una protección mejorada para el grupo de reglas en comparación con la versión predeterminada actual, AWS actualiza la versión predeterminada a la nueva versión estática. AWS podría publicar varias versiones estáticas antes de convertir una de ellas en la versión predeterminada del grupo de reglas. 

El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo después de AWS mover la configuración de la versión predeterminada a la nueva versión estática. 

![\[Es similar a la imagen de los estados de versión típicos, pero con Version_1.5 en la parte superior de la pila y el indicador predeterminado señalando hacia ella.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)


Antes de implementar este cambio en la versión predeterminada, AWS proporciona notificaciones para que pueda probar los próximos cambios y prepararse para ellos. Si utiliza la versión predeterminada, no podrá realizar ninguna acción y permanecer en ella durante la actualización. Si, por el contrario, desea retrasar el cambio a la nueva versión, antes del inicio planificado de la implementación de la versión predeterminada, puede configurar explícitamente su grupo de reglas para que utilice la versión estática establecida de forma predeterminada. 

**Calendario y notificaciones**  
AWS actualiza la versión predeterminada cuando recomienda una versión estática diferente para el grupo de reglas que la que se está utilizando actualmente. 
+ **SNS**: AWS envía una notificación de SNS al menos una semana antes del día de implementación previsto y, después, otra el día de la implementación, al inicio de la implementación. Cada notificación incluye el nombre del grupo de reglas, la versión estática a la que se actualiza la versión predeterminada, la fecha de despliegue y el momento programado del despliegue para cada AWS región en la que se realiza la actualización. 
+ **Registro de cambios**: AWS no actualiza el registro de cambios ni otras partes de esta guía para este tipo de implementación.

# Implementaciones de excepciones para reglas AWS administradas
<a name="waf-managed-rule-groups-deployments-exceptions"></a>

AWS podrían omitir las etapas de implementación estándar para implementar rápidamente actualizaciones que aborden los riesgos de seguridad críticos. Una implementación excepcional puede incluir cualquiera de los tipos de implementación estándar y puede implementarse rápidamente en todas las AWS regiones. 

AWS proporciona una notificación con la mayor antelación posible para las implementaciones de excepciones. 

**Calendario y notificaciones**  
AWS realiza despliegues de excepciones solo cuando es necesario. 
+ **SNS**: AWS envía una notificación de SNS con la mayor antelación posible al día de despliegue previsto y, a continuación, otra al inicio del despliegue. Cada notificación incluye el nombre del grupo de reglas, el cambio que se está realizando y la fecha de implementación. 
+ **Registro de cambios**: si la implementación es para una versión estática, una vez completada la implementación en todos los lugares disponibles, AWS actualiza la definición del grupo de reglas de esta guía según sea necesario y, a continuación, anuncia la versión en el registro de cambios del grupo de reglas de reglas AWS administradas y en la página del historial de la documentación. AWS WAF 

# Reversiones de implementación predeterminadas para las reglas AWS administradas
<a name="waf-managed-rule-groups-deployments-default-rollbacks"></a>

En determinadas condiciones, AWS podría revertir la versión predeterminada a su configuración anterior. La reversión suele tardar menos de diez minutos en todas las AWS regiones.

AWS realiza una reversión solo para mitigar un problema importante en una versión estática, como un nivel inaceptablemente alto de falsos positivos. 

Tras revertir la configuración de la versión predeterminada, AWS acelera tanto la caducidad de la versión estática que tiene el problema como el lanzamiento de una nueva versión estática para solucionar el problema. 

**Calendario y notificaciones**  
AWS revierte las versiones predeterminadas solo cuando es necesario. 
+ **SNS**: AWS envía una única notificación de SNS en el momento de la reversión. La notificación incluye el nombre del grupo de reglas, la versión en la que se está configurando la versión predeterminada y la fecha de implementación. Este tipo de implementación es muy rápido, por lo que la notificación no proporciona información sobre los plazos de las regiones. 
+ **Registro de cambios**: AWS no actualiza el registro de cambios ni otras partes de esta guía para este tipo de implementación.

# AWS Registro de cambios de reglas administradas
<a name="aws-managed-rule-groups-changelog"></a>

En esta sección, se enumeran los cambios en las reglas AWS gestionadas AWS WAF desde su publicación en noviembre de 2019.

**nota**  
Este registro de cambios informa de los cambios en las reglas y los grupos de reglas de AWS Managed Rules for. AWS WAF  
En el caso de [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md), este registro de cambios informa de los cambios en las reglas y el grupo de reglas e informa de los cambios significativos en los orígenes de las listas de direcciones IP que utilizan las reglas. No informa de los cambios en las propias listas de direcciones IP, debido a la naturaleza dinámica de esas listas. Si tiene preguntas sobre las listas de direcciones IP, póngase en contacto con su administrador de cuentas o abra un caso en el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 


| Reglas y grupos de reglas | Description (Descripción) | Fecha | 
| --- | --- | --- | 
| [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Se lanzó la versión estática 2.2 de este grupo de reglas.  Se han mejorado las detecciones y se ha añadido una regla. `PHPHighRiskMethodsVariables_URIPATH`  | 24-03-2020 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Reglas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión 5.0 estática de este grupo de reglas. Se han añadido más de 400 bots nuevos en varias categorías, incluidas dos nuevas categorías de bots con sus respectivas reglas: Page Preview y Webhooks. **Mejoras clave** Se mejoró la precisión de las señales de detección de bots y la coincidencia de patrones de bots genéricos, lo que permitió una clasificación del tráfico más precisa.  Esta actualización cambia la forma en que el grupo de reglas gestionado prioriza la detección de bots. Los patrones de bots específicos no verificados ahora se evalúan antes que los patrones genéricos y las señales de detección. Esto significa que es más probable que las solicitudes se clasifiquen en función de sus características más específicas que de indicadores genéricos. **Qué significa esto para su tráfico:** El patrón genérico de los bots ahora coincidirá con menos frecuencia. Estos patrones solo se aplican cuando ninguna regla de bot más específica ya ha identificado el tráfico. Esto reduce la sobreclasificación y garantiza que las solicitudes se etiqueten con la identificación de bots más precisa disponible. Las señales de detección, como los indicadores de que una solicitud proviene de un proveedor de servicios en la nube, de un centro de datos de bots conocido o de que utiliza un agente de usuario ajeno a un navegador, ahora se aplican después de las reglas de identificación de bots. Esto garantiza que las clasificaciones de bots específicas tengan prioridad sobre las señales de tráfico genéricas. **Impacto:** Es posible que veas menos etiquetas para los patrones genéricos de bots en tus registros de tráfico, ya que las solicitudes ahora se clasifican con mayor precisión según reglas de bots específicas. Esto proporciona una visión más clara de la naturaleza real del tráfico automatizado y reduce el ruido que provoca una coincidencia de patrones demasiado amplia. Las clasificaciones de bots no verificadas serán más destacadas y precisas, lo que le ayudará a comprender y gestionar mejor las solicitudes automatizadas a sus aplicaciones. **Nota:** Esta versión incluye las actualizaciones de `awswaf:managed:aws:bot-control:bot:web_bot_auth` etiquetas y reglas de la versión 4.0, pero la `Web Bot Auth` funcionalidad solo está disponible en esta versión. CloudFront  | 25 de febrero de 2020 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Publicada la versión estática 3.2 de este grupo de reglas.  Se han mejorado las firmas de detección para todas las reglas.  | 15/01/2020 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión estática 1.25 de este grupo de reglas. Se actualizó `ReactJSRCE_BODY` para mejorar la detección.  | 2025-12-08 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Se publicó la versión estática 3.1 de este grupo de reglas.  Se han mejorado las firmas de detección para todas las reglas.  | 2025-12-08 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión estática 1.24 de este grupo de reglas. Se actualizó `ReactJSRCE_BODY` para mejorar la detección.  | 2025-12-04 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Etiquetas nuevas:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Alcance: CloudFront |  Se implementó la nueva `AWSManagedRulesBotControlRuleSet` versión estática Version\$14.0 con compatibilidad con la autenticación de bots web (WBA) para la verificación de bots criptográficos. Esta versión debe seleccionarse de forma explícita y no actualiza automáticamente las implementaciones existentes mediante la versión predeterminada. Nuevas capacidades: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Actualizaciones de reglas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  La versión\$14.0 es solo una versión estática; no cambia el comportamiento de la versión predeterminada. Para usar las funciones de la WBA, seleccione explícitamente la versión \$14.0 al configurar su ACL web.   | 2025-11-20 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Nuevas etiquetas de bots verificadas:Publicidad:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)OBJETIVO:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Buscador de contenido:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Redes sociales:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Mejoras clave:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  Las reglas de categoría de bots de Bot Control solo se activan en los bots no verificados, excepto en el caso de la categoría AI, que también se activa en los bots verificados. La versión\$13.3 es solo una versión estática; no cambia el comportamiento predeterminado de la versión.   | 17-11-2025 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Se lanzó la versión estática 1.20 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas de falsificación de solicitudes del lado del servidor (SSRF).  | 2025-10-02 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión estática 1.19 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas de script entre sitios.  | 14 de agosto de 2025 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión estática 1.18 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas de script entre sitios.  | 18-06-2020 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Etiquetas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión estática 3.2 de este grupo de reglas.  Se agregaron las nuevas etiquetas enumeradas.   | 29 de mayo de 2020 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Se lanzó la versión estática 1.17 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas de script entre sitios.  | 2025-03-03 | 
| [grupo de reglas administradas de la base de datos SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.3 de este grupo de reglas.  Se agregó la doble transformación de texto `URL_DECODE_UNI` a las reglas enumeradas.  | 2025-01-24 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Publicada la versión estática 2.6 de este grupo de reglas.  Se agregaron firmas para mejorar la detección.   | 24 de enero de 2025 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Nueva etiqueta con el nombre del bot en las etiquetas de control de bots: `awswaf:managed:aws:bot-control:bot::name:nytimes`  | Se publicó la versión estática 3.1 de este grupo de reglas.  Se agregó la etiqueta New York Times a la lista de etiquetas con los nombres de los bots.   | 07-11-2020 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.16 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas de script entre sitios.   | 2024-10-16 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Reglas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Reglas eliminadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Etiquetas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Etiquetado adicional en las reglas existentes.  | Se lanzaron las versiones estáticas 2.0 y 3.0 de este grupo de reglas. La versión 2.0 es la misma que la versión 3.0, pero con las acciones de regla para todas las reglas nuevas configuradas en Count. Esta guía documenta la versión más reciente de cada grupo de reglas.  Se agregaron las nuevas reglas enumeradas.  Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón `awswaf:managed:aws:bot-control:<RuleName>`.  Se agregaron etiquetas del proveedor de servicios en la nube a las etiquetas de señal de control de bots.  Se agregaron nuevas etiquetas con los nombres de los bots que se inspeccionan según las reglas de las categorías de bots.   | 2024-09-13 | 
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) Todas las reglas  | Se lanzó la versión estática 1.1 de este grupo de reglas.  Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón `awswaf:managed:aws:atp:<RuleName>`.   | 2024-09-13 | 
| [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md) Todas las reglas  | Se lanzó la versión estática 1.1 de este grupo de reglas.  Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón `awswaf:managed:aws:acfp:<RuleName>`.   | 2024-09-13 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Todas las reglas  | Se lanzó la versión estática 2.5 de este grupo de reglas.  Se agregaron firmas para mejorar la detección.   | 2024-09-02 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.15 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas genéricas de LFI.   | 2024-08-30 | 
| [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.3 de este grupo de reglas.  Se ajustaron las firmas de detección en las reglas enumeradas para reducir los falsos positivos.   | 2024-08-28 | 
| [WordPress grupo de reglas gestionado por la aplicación](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.3 de este grupo de reglas.  Se agregó la transformación de texto JS\$1DECODE a la regla enumerada.   | 2024-07-15 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.4 de este grupo de reglas.  Se agregó la transformación de texto JS\$1DECODE a la regla enumerada.   | 2024-07-12 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.14 de este grupo de reglas.  Se agregó la transformación de texto JS\$1DECODE a las reglas enumeradas.   | 2024-07-09 | 
| [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.1 de este grupo de reglas.  Se agregó la transformación de texto JS\$1DECODE a las reglas enumeradas.   | 2024-07-03 | 
| [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.2 de este grupo de reglas.  Se agregó la transformación de texto JS\$1DECODE a las reglas enumeradas.   | 2024-07-03 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Todas las reglas  | Se lanzó la versión estática 2.3 de este grupo de reglas.  Se agregaron firmas para mejorar la detección.   | 2024-06-06 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md)  | Los grupos de reglas de bots y fraudes ahora cuentan con control de versiones. Si utiliza alguno de estos grupos de reglas, esta actualización no cambia la forma en que gestionan el tráfico web.  Esta actualización establece la versión actual del grupo de reglas en la versión estática 1.0 y establece la versión predeterminada para que la señale a ella.  Para obtener más información acerca de las reglas administradas con control de versiones, consulte lo siguiente:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 2024-05-29 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 3.0 de este grupo de reglas.  Se eliminó `UNIXShellCommandsVariables_QUERYARGUMENTS` y se reemplazó por `UNIXShellCommandsVariables_QUERYSTRING`. Si tiene reglas que coinciden en la etiqueta para `UNIXShellCommandsVariables_QUERYARGUMENTS`, cuando utilice esta versión, cámbielas para que coincidan con las de la etiqueta para `UNIXShellCommandsVariables_QUERYSTRING`. La nueva etiqueta es `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`. Se agregó la regla `UNIXShellCommandsVariables_HEADER`, que coincide con todos los encabezados. Se actualizaron todas las reglas del grupo de reglas administradas con una lógica de detección mejorada.  Se corrigió el uso de mayúsculas documentado en la etiqueta para `UNIXShellCommandsVariables_BODY`.   | 2024-05-28 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.12 de este grupo de reglas.  Se agregaron firmas a todas las reglas de scripts entre sitios para mejorar la detección y reducir los falsos positivos.  | 2024-05-21 | 
| [grupo de reglas administradas de la base de datos SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Se lanzó la versión estática 1.2 de este grupo de reglas. Se agregó la transformación de texto `JS_DECODE` a las reglas enumeradas.   | 2024-05-14 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.22 de este grupo de reglas. Se agregó la transformación de texto `JS_DECODE` a las reglas enumeradas.   | 2024-05-08 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  | Se lanzó la versión estática 2.2 de este grupo de reglas.  Se agregó la transformación de texto `JS_DECODE` a ambas reglas.   | 2024-05-08 | 
| [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.1 de este grupo de reglas.  Se agregaron firmas a `PowerShellCommands_BODY` para mejorar la detección.   | 2024-05-03 | 
| [grupo de reglas administradas con lista de reputación de IP de Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se actualizaron los orígenes de la lista de reputación IP para mejorar la identificación de las direcciones que participan de forma activa en actividades maliciosas y reducir los falsos positivos.  Esta actualización no incluye una nueva versión porque este grupo de reglas no cuenta con control de versiones.   | 2024-03-13 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)  | Se lanzó la versión estática 1.21 de este grupo de reglas. Se agregaron firmas para mejorar la detección y reducir los falsos positivos.   | 2023-12-16 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.20 de este grupo de reglas. Se actualizó la regla `ExploitablePaths_URIPATH` para agregar la detección de las solicitudes que coincidan con la vulnerabilidad de autorización inadecuada CVE-2023-22518 de Atlassian Confluence. Esta vulnerabilidad afecta a todas las versiones del centro de datos y del servidor de Confluence. Para obtener más información, consulte [NIST: National Vulnerability Database: CVE-2023-22518 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22518).  | 2023-12-14 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.11 de este grupo de reglas.  Se agregaron firmas a todas las reglas de scripts entre sitios para mejorar la detección y reducir los falsos positivos.  | 2023-12-06 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó la etiqueta de actividad coordinada baja a las etiquetas de nivel de protección específicas del grupo de reglas. Esta etiqueta no está asociada a ninguna regla. Este etiquetado se suma a las reglas y etiquetas de nivel medio y alto.  | 2023-12-05 | 
| [Etiquetas de control de bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó una etiqueta de señal al grupo de reglas que indica la detección de una extensión del navegador que ayuda a la automatización. Esta etiqueta no es específica de una regla individual.   | 14-11-2020 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.10 de este grupo de reglas.  Se actualizó una regla para mejorar la detección y reducir los falsos positivos.  | 2023-11-02 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.9 de este grupo de reglas.  Se actualizaron una regla para mejorar la detección y reducir los falsos positivos.  | 2023-10-30 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.1 de este grupo de reglas.  Se actualizó la regla de argumentos de consulta para mejorar la detección.   | 2023-10-12 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.8 de este grupo de reglas.  Se actualizaron las reglas para mejorar la detección.  | 2023-10-11 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Implementación de excepción: publicada la versión estática 1.19 de este grupo de reglas. Se actualizó la versión predeterminada para usar la versión 1.19. Se actualizó la regla `ExploitablePaths_URIPATH` para agregar la detección de las solicitudes que coincidan con la vulnerabilidad de escalamiento de privilegios CVE-2023-22515 de Atlassian Confluence. Esta vulnerabilidad afecta a algunas versiones de Atlassian Confluence. Para obtener más información, consulte [NIST: National Vulnerability Database: CVE-2023-22515 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22515) y [Atlassian Support: FAQ for CVE-2023-22515](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html). Para obtener información sobre este tipo de implementación, consulte [Implementaciones de excepciones para reglas AWS administradas](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Implementación de excepción: publicada la versión estática 1.18 de este grupo de reglas. Se trata de una implementación rápida de esta versión estática para adaptarla a la creación e implementación de la versión 1.19.  Se actualizaron la regla `Host_localhost_HEADER` y todas las reglas de deserialización de Log4J y Java para mejorar la detección.  Para obtener información sobre este tipo de implementación, consulte [Implementaciones de excepciones para reglas AWS administradas](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregaron reglas al grupo de reglas con la acción Count.  La regla de IP de reutilización de tokens detecta y cuenta el uso compartido de tokens entre direcciones IP.  Las reglas de actividad coordinada utilizan un análisis automatizado del tráfico del sitio web mediante machine learning (ML) para detectar la actividad relacionada con los bots. En la configuración del grupo de reglas, puede desactivar el uso de ML. Con esta versión, los clientes que actualmente utilizan el nivel de protección específicas optan por el uso del ML. Al excluirse, se deshabilitan las reglas de actividad coordinada.  | 2023-09-06 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó la regla `CategoryAI` al grupo de reglas.  | 2023-08-30 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.7 de este grupo de reglas.  Se actualizaron las reglas SSRF de metadatos de EC2 y extensiones restringidas para mejorar la detección y reducir los falsos positivos.  | 2023-07-26 | 
| [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md) Todas las reglas están en un nuevo grupo de reglas  | Se agregó el grupo de reglas de AWSManagedRulesACFPRuleSet.  | 2023-06-13 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.2 de este grupo de reglas.  Se agregaron firmas para mejorar la detección.   | 2023-05-22 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.6 de este grupo de reglas.  Se actualizaron el scripting entre sitios (XSS) y las reglas de extensiones restringidas para mejorar la detección y reducir los falsos positivos.  | 2023-04-28 | 
| [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.0 de este grupo de reglas.  Se agregaron firmas para mejorar la detección en todas las reglas.  Se reemplazó la regla `PHPHighRiskMethodsVariables_QUERYARGUMENTS` por `PHPHighRiskMethodsVariables_QUERYSTRING`, que inspecciona toda la cadena de consulta en lugar de solo los argumentos de la consulta.  Se agregó la regla `PHPHighRiskMethodsVariables_HEADER` para ampliar la cobertura e incluir todos los encabezados. Se actualizaron las siguientes etiquetas para alinearlas con el etiquetado estándar AWS de las reglas administradas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 27 de febrero de 2023 | 
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregaron reglas de inspección de respuestas de inicio de sesión para su uso con CloudFront distribuciones protegidas de Amazon. Estas reglas pueden bloquear nuevos intentos de inicio de sesión desde direcciones IP y sesiones de clientes que recientemente hayan provocado demasiados intentos fallidos de inicio de sesión.  | 15-02-2021 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.5 de este grupo de reglas.  Se actualizaron los filtros de scripting entre sitios (XSS) para mejorar la detección.  | 2023-01-25 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.1 de este grupo de reglas.  Se eliminaron la regla `LFI_COOKIE` y su etiqueta `awswaf:managed:aws:linux-os:LFI_Cookie`, y se sustituyeron por la nueva regla `LFI_HEADER` y su etiqueta `awswaf:managed:aws:linux-os:LFI_Header`. Este cambio amplía la inspección a varios encabezados.  Se han agregado transformaciones de texto y firmas a todas las reglas para mejorar la detección.  | 15 de diciembre de 2022 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.4 de este grupo de reglas.  Se agregó una transformación de texto a `NoUserAgent_HEADER` para eliminar todos los bytes nulos. Se actualizaron los filtros de reglas scripting entre sitios (XSS) para mejorar la detección.  | 2022-12-05 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.17 de este grupo de reglas.  Se actualizaron las reglas de deserialización de Java para agregar la detección de las solicitudes que coincidan con la CVE-2022 42889 de Apache, una vulnerabilidad de ejecución remota de código (RCE) presente en las versiones de Apache Commons Text anteriores a la 1.10.0. Para obtener más información, consulte [NIST: National Vulnerability Database: CVE-2022-42889 Detail](https://nvd.nist.gov/vuln/detail/CVE-2022-42889) y [CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om). Detección mejorada en `Host_localhost_HEADER`. | 2022-10-20 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.16 de este grupo de reglas.  Se eliminaron los falsos positivos AWS identificados en la versión 1.15. | 05/10/2022 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)  [WordPress grupo de reglas gestionado por la aplicación](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)   | Se corrigieron los nombres de las etiquetas documentados.   | 2022-09-19 | 
| [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Este cambio no altera la forma en que el grupo de reglas gestiona el tráfico web. Se agregó una nueva regla con Count acciones para inspeccionar las direcciones IP que participan activamente en actividades DDo S, según la inteligencia de amenazas de Amazon.  | 30 de agosto de 2022 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.15 de este grupo de reglas.  Se quitó `Log4JRCE` y se sustituyó por `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` y `Log4JRCE_BODY`, para una monitorización y una gestión más precisas de los falsos positivos.  Se agregaron firmas para mejorar la detección y el bloqueo de `PROPFIND_METHOD`, y todas las reglas `JavaDeserializationRCE*` y `Log4JRCE*`.  Se han actualizado las etiquetas para corregir el uso de mayúsculas y minúsculas en `Host_localhost_HEADER` y en todas las reglas `JavaDeserializationRCE*`.  Se corrigió la descripción de `JavaDeserializationRCE_HEADER`. | 2022-08-22 | 
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó una regla para impedir el uso del grupo de reglas administradas de prevención de apropiación de cuentas para el tráfico web del grupo de usuarios de Amazon Cognito.  | 2022-08-11 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)  | AWS ha programado la caducidad de las versiones `Version_1.2` y `Version_2.0` del grupo de reglas. Las versiones vencerán el 9 de septiembre de 2022. Para obtener más información sobre la caducidad de versiones, consulte [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md). | 9 de junio de 2022 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.3 de este grupo de reglas. Esta versión actualiza las firmas de coincidencia en las reglas `GenericLFI_URIPATH` y `GenericRFI_URIPATH` para mejorar la detección.  | 2022-05-24 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó la regla `CategoryEmailClient` al grupo de reglas.  | 2022-04-06 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.14 de este grupo de reglas. Las cuatro reglas `JavaDeserializtionRCE` pasan al modo Block. | 2022-03-31 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.13 de este grupo de reglas. Se actualizó la transformación del texto para las vulnerabilidades RCE de Spring Core y Cloud Function. Estas reglas están en modo de recuento para recopilar métricas y evaluar los patrones coincidentes. La etiqueta se puede usar para bloquear las solicitudes en una regla personalizada. Se implementará una versión posterior con estas reglas en modo de bloqueo. | 2022-03-31 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.12 de este grupo de reglas. Se agregaron firmas para las vulnerabilidades RCE de Spring Core y Cloud Function. Estas reglas están en modo de recuento para recopilar métricas y evaluar los patrones coincidentes. La etiqueta se puede usar para bloquear las solicitudes en una regla personalizada. Se implementará una versión posterior con estas reglas en modo de bloqueo. Se eliminaron las reglas `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` y `Log4JRCE_BODY` ,y se sustituyeron por la regla `Log4JRCE`. | 2022-03-30 | 
| [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se actualiza la regla de AWSManagedReconnaissanceList para cambiar la acción de contar en bloque.  | 2022-02-15 | 
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) Todas las reglas están en un nuevo grupo de reglas  | Se agregó el grupo de reglas de AWSManagedRulesATPRuleSet.  | 2022-02-11 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.9 de este grupo de reglas. Se ha eliminado la regla `Log4JRCE` y se ha sustituido por las reglas `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` y `Log4JRCE_BODY` para aumentar la flexibilidad en el uso de esta funcionalidad. Se agregaron firmas para mejorar la detección y el bloqueo. | 2022-01-28 | 
| Conjunto de reglas básicas (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Se lanzó la versión 2.0 de este grupo de reglas. Para estas reglas, se ajustaron las firmas de detección para reducir los falsos positivos. Se reemplazó la transformación de texto de `URL_DECODE` por la transformación de texto doble de `URL_DECODE_UNI`. Se agregó la transformación de texto de `HTML_ENTITY_DECODE`.  | 2022-01-10 | 
| Conjunto de reglas básicas (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Como parte del lanzamiento de la versión 2.0 de este grupo de reglas, se agregó la transformación de texto de `URL_DECODE_UNI`. Se ha eliminado la transformación de texto de `URL_DECODE` de `RestrictedExtensions_URIPATH`.  | 2022-01-10 | 
| Base de datos SQL [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Se lanzó la versión 2.0 de este grupo de reglas. Se reemplazó la transformación de texto de `URL_DECODE` por la transformación de texto doble de `URL_DECODE_UNI` y se añadió la transformación de texto de `COMPRESS_WHITE_SPACE`. Se agregaron más firmas de detección a `SQLiExtendedPatterns_QUERYARGUMENTS`. Se agregó la inspección JSON a `SQLi_BODY`. Se agregó la regla `SQLiExtendedPatterns_BODY`. Se ha eliminado la regla `SQLi_URIPATH`.  | 2022-01-10 | 
| Entradas incorrectas conocidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.8 de la regla `Log4JRCE` para mejorar la inspección de los encabezados y los criterios de coincidencia. | 2021-12-17 | 
| Entradas incorrectas conocidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.4 de la regla `Log4JRCE` para mejorar los criterios de coincidencia y la inspección de encabezados adicionales. Se lanzó la versión 1.5 para mejorar los criterios de coincidencia. | 2021-12-11 | 
| Entradas incorrectas conocidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó la versión 1.2 de la regla `Log4JRCE` en respuesta al problema de seguridad recientemente revelado en Log4j. Para obtener información, consulte [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228). Esta regla inspecciona las rutas de URI comunes, las cadenas de consulta, los primeros 8 KB del cuerpo de la solicitud y los encabezados comunes. La regla usa transformaciones de texto dobles de `URL_DECODE_UNI`. Se lanzó la versión 1.3 de la regla `Log4JRCE` para mejorar los criterios de coincidencia y la inspección de encabezados adicionales.  Se ha eliminado la regla `BadAuthToken_COOKIE_AUTHORIZATION`.  | 2021-12-10 | 

En la siguiente tabla, se muestran los cambios realizados antes de diciembre de 2021. 


| Reglas y grupos de reglas | Description (Descripción) | Fecha | 
| --- | --- | --- | 
| Lista de reputación de IP de Amazon | `AWSManagedReconnaissanceList` | Se agregó la regla AWSManagedReconnaissanceList en el modo de supervisión/recuento. Esta regla contiene direcciones IP que realizan un reconocimiento de los recursos. AWS  | 2021-11-23 | 
| Sistema operativo Windows |  `WindowsShellCommands` `PowerShellCommands`  |  Se agregaron tres nuevas reglas para los WindowsShell comandos:`WindowsShellCommands_COOKIE`, y`WindowsShellCommands_QUERYARGUMENTS`. `WindowsShellCommands_BODY` Se agregó una nueva PowerShell regla:`PowerShellCommands_COOKIE`. Reestructuró la denominación de las reglas `PowerShellComands` eliminando las cadenas \$1Set1 y \$1Set2. Se agregaron firmas de detección más completas a `PowerShellRules`. Se agregó la transformación de texto de `URL_DECODE_UNI` a todas las reglas del sistema operativo Windows.  | 2021-11-23 | 
| Sistema operativo Linux |  `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE`  |  Se reemplazó la transformación de texto doble de `URL_DECODE` por `URL_DECODE_UNI` doble. Se agregó `NORMALIZE_PATH_WIN` como segunda transformación de texto. Se reemplazó la regla `LFI_BODY` por la regla `LFI_COOKIE`. Se agregaron firmas de detección más completas para todas las reglas de `LFI`.  | 2021-11-23 | 
| Conjunto de reglas básicas (CRS) |  `SizeRestrictions_BODY`  | Se ha reducido el límite de tamaño para bloquear las solicitudes web con cargas de cuerpo de más de 8 KB. Anteriormente, el límite era de 10 KB.  | 2021-10-27 | 
| Conjunto de reglas básicas (CRS) |  `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS`  | Se agregaron más firmas de detección. Se ha agregado una doble decodificación de URL unicode para mejorar el bloqueo.  | 2021-10-27 | 
| Conjunto de reglas básicas (CRS) |  `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`  | Se ha agregado una doble decodificación de URL unicode para mejorar el bloqueo.  | 2021-10-27 | 
| Conjunto de reglas básicas (CRS) |  `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH`  | Se actualizaron las firmas de reglas para reducir los falsos positivos en función de los comentarios de los clientes. Se ha agregado una doble decodificación de URL unicode para mejorar el bloqueo.  | 2021-10-27 | 
| Todos | Todas las reglas | Se agregó la compatibilidad con AWS WAF etiquetas a todas las reglas que aún no lo admitían.  | 2021-10-25 | 
| Lista de reputación de IP de Amazon | `AWSManagedIPReputationList_xxxx` | Se reestructuró la lista de reputación IP, se eliminaron los sufijos del nombre de la regla y se agregó compatibilidad con las etiquetas. AWS WAF  | 04-05-2021 | 
| Lista de IP anónimas | `AnonymousIPList` `HostingProviderList` | Se agregó soporte para etiquetas. AWS WAF  | 04/05/2021 | 
| Control de bots | Todos | Se agregó el conjunto de reglas de control de bots.  | 2021-04-01 | 
| Conjunto de reglas básicas (CRS) | `GenericRFI_QUERYARGUMENTS`  | Se ha agregado una doble decodificación de URL.  | 2021-03-03 | 
| Conjunto de reglas básicas (CRS) | `RestrictedExtensions_URIPATH`  | Se mejoró la configuración de las reglas y se agregó una decodificación de URL adicional.  | 2021-03-03 | 
| Protección de administración | `AdminProtection_URIPATH`  | Se ha agregado una doble decodificación de URL.  | 2021-03-03 | 
| Entradas incorrectas conocidas | `ExploitablePaths_URIPATH`  | Se mejoró la configuración de las reglas y se agregó una decodificación de URL adicional.  | 2021-03-03 | 
| Sistema operativo Linux | `LFI_QUERYARGUMENTS`  | Se mejoró la configuración de las reglas y se agregó una decodificación de URL adicional.  | 2021-03-03 | 
| Sistema operativo Windows | Todos | Se ha mejorado la configuración de las reglas.  | 2020-09-23 | 
| Aplicaciones PHP | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY`  | Se ha cambiado la transformación de texto de la decodificación de HTML a la decodificación de URL, para mejorar el bloqueo.  | 2020-09-16 | 
| Sistema operativo POSIX | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY`  | Se ha cambiado la transformación de texto de la decodificación de HTML a la decodificación de URL, para mejorar el bloqueo.  | 2020-09-16 | 
| Conjunto de reglas básicas | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY  | Se ha cambiado la transformación de texto de la decodificación de HTML a la decodificación de URL, para mejorar el bloqueo.  | 2020-08-07 | 
| Sistema operativo Linux | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY`  | Se ha cambiado la transformación de texto de la decodificación de entidades HTML a la decodificación de URL, para mejorar la detección y el bloqueo.  | 2020-05-19 | 
| Lista de direcciones IP anónimas | Todos | Nuevo grupo de reglas en [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md) para bloquear solicitudes de servicios que permiten ocultar la identidad del lector, para ayudar a mitigar los bots y para evadir las restricciones geográficas.  | 2020-03-06 | 
| WordPress solicitud | `WordPressExploitableCommands_QUERYSTRING`  | Nueva regla que comprueba si hay comandos vulnerables en la cadena de consulta. | 2020-03-03 | 
| Conjunto de reglas básicas (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH`  | Se han ajustado las restricciones de valor de tamaño para mejorar la precisión.  | 2020-03-03 | 
| Base de datos SQL | `SQLi_URIPATH`  | Las reglas ahora comprueban el URI del mensaje. | 2020-01-23 | 
| Base de datos SQL | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE`  | Transformaciones de texto actualizadas. | 2019-12-20 | 
| Conjunto de reglas básicas (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE`  | Transformaciones de texto actualizadas. | 2019-12-20 |