¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Kasada

¿Qué hace Kasada?

Kasada es una plataforma de mitigación de bots y seguridad anti-automatización que utiliza scripts de desafío JavaScript en el lado del cliente para detectar y bloquear bots, ataques de relleno de credenciales y amenazas automatizadas. Establece cookies KP_* y recopila señales de comportamiento y huella de dispositivo procesadas en infraestructura de EE.UU. y Australia.

Qué es Kasada y cómo funciona

Kasada es una plataforma de mitigación de bots y seguridad anti-automatización desarrollada por la empresa australiana Kasada Pty Ltd. Protege aplicaciones web y APIs contra el relleno de credenciales, la toma de control de cuentas, el scraping y otras amenazas automatizadas mediante la inyección de un script JavaScript de desafío en el lado del cliente en las páginas web. Este script recopila señales de huella digital del dispositivo, patrones de comportamiento de ratón y teclado, propiedades del navegador y metadatos de red, y los envía a los servidores en la nube de Kasada para su puntuación en tiempo real. Las solicitudes identificadas como provenientes de bots se bloquean o someten a desafío antes de llegar a la aplicación protegida.

Datos y cookies recopilados

Kasada establece cookies en el espacio de nombres KP_* (por ejemplo KP_UIDz y KP_SESSIONID) para asociar sesiones de dispositivos con puntuaciones de riesgo de bots. El script JavaScript también recopila una amplia gama de señales de dispositivos: versión del navegador, fuentes instaladas, huellas de canvas y WebGL, resolución de pantalla, núcleos del procesador, capacidad táctil y características de temporización. También se muestrean señales de comportamiento como la entropía del movimiento del ratón y el ritmo de pulsaciones de teclas. Estas señales se transmiten a la infraestructura de Kasada para su puntuación y no se utilizan con fines publicitarios ni de seguimiento más allá de la detección de bots y la prevención del fraude.

Implicaciones del RGPD y ePrivacy

La huella digital de dispositivos y el establecimiento de identificadores de almacenamiento en los dispositivos de los usuarios finales está regulado por el artículo 5(3) de la Directiva ePrivacy, que requiere el consentimiento del usuario o una justificación de estricta necesidad. Kasada y muchos proveedores de seguridad argumentan que las cookies de detección de bots y la huella digital son estrictamente necesarias porque protegen la seguridad de las comunicaciones y previenen el fraude. Sin embargo, varias autoridades de protección de datos europeas han considerado que la huella digital de dispositivos que va más allá de la mera integridad de sesión hacia la identificación persistente del dispositivo no está exenta automáticamente y puede requerir consentimiento. La base jurídica más comúnmente invocada es el interés legítimo en virtud del artículo 6(1)(f) del RGPD, respaldada por una evaluación de interés legítimo documentada.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Requisitos de consentimiento: el debate sobre estrictamente necesario frente a consentimiento

La práctica predominante entre los operadores europeos es clasificar Kasada como estrictamente necesario para fines de seguridad y basarse en el interés legítimo en lugar del consentimiento. Este enfoque es defendible cuando el script se despliega únicamente para la prevención de bots y fraude, no se comparten datos con redes publicitarias, las cookies KP_* tienen ámbito de sesión o son de corta duración, y se documenta una evaluación de interés legítimo. Si el despliegue implica identificación persistente del dispositivo entre sesiones o si los datos se utilizan más allá de la detección de bots, la exención de estricta necesidad se debilita y el consentimiento puede volverse aconsejable.

Transferencias internacionales de datos

Kasada tiene su sede en Sídney, Australia, y opera infraestructura en la nube en EE.UU. y Australia. La UE no ha adoptado una decisión de adecuación para Australia, por lo que las transferencias de datos personales desde la UE a Kasada en Australia deben basarse en cláusulas contractuales tipo u otro mecanismo del artículo 46. Las transferencias a infraestructura en EE.UU. quedan amparadas por el Marco de Privacidad de Datos UE-EE.UU. si Kasada está certificado, o alternativamente por cláusulas contractuales tipo. Los operadores deben verificar el estado de certificación DPF actual de Kasada y asegurarse de que el acuerdo de tratamiento de datos haga referencia a las garantías de transferencia adecuadas.

Pasos prácticos de cumplimiento

Para desplegar Kasada de forma conforme con el RGPD: firmar un acuerdo de tratamiento de datos con Kasada en virtud del artículo 28, completar y documentar una evaluación de interés legítimo, revelar en su aviso de privacidad que Kasada es un encargado del tratamiento de seguridad que recibe datos de dispositivos y comportamiento, listar las cookies KP_* en su política de cookies bajo la categoría estrictamente necesario con una descripción clara del fin de seguridad, verificar las garantías de transferencia internacional (CCT para AU, DPF o CCT para EE.UU.) y considerar una EIPD si Kasada se despliega en páginas orientadas al consumidor con alto tráfico. Revise su auditoría de cookies al menos anualmente.

GDPR consent category

Esencial

Websites using Kasada must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Article 6(1)(f) GDPR) for fraud prevention and security; the strictly-necessary exemption under ePrivacy Directive Article 5(3) is argued for KP_* cookies on the basis that they are required to protect the integrity of the service and prevent credential stuffing. Device fingerprinting elements are debated: some DPAs treat fingerprinting-based bot detection as requiring consent if it is not genuinely indispensable. A documented legitimate-interest assessment (LIA) is strongly recommended.

Risk levelmedium

Applicable regulationsGDPR (Art. 6, Art. 13/14, Art. 28, Art. 46), ePrivacy Directive Art. 5(3) (strictly-necessary exemption), UK GDPR, CCPA/CPRA (if California visitors), EU-US Standard Contractual Clauses

DPIA considerations

Se recomienda una Evaluación de Impacto sobre la Protección de Datos (EIPD) para los despliegues de Kasada en los que se utilice la huella digital de dispositivos a gran escala. Los factores de riesgo clave incluyen la recopilación sistemática de señales de dispositivos y comportamiento de todos los visitantes sin consentimiento previo, la transferencia de dichos datos a servidores en EE.UU. y Australia sin una decisión de adecuación de la UE para Australia, y la ambigüedad del artículo 5(3) de la Directiva ePrivacy en cuanto a si la detección de bots mediante huella digital es estrictamente necesaria. La EIPD debe evaluar si una evaluación de interés legítimo mitiga el riesgo de forma suficiente y documentar la proporcionalidad frente a alternativas menos intrusivas.

Sample consent text

Utilizamos la tecnología de protección contra bots de Kasada en este sitio web. El script del lado del cliente de Kasada recopila características del dispositivo y señales de comportamiento para distinguir a los visitantes humanos de los bots automatizados y prevenir ataques de relleno de credenciales. Este tratamiento se basa en nuestro interés legítimo en proteger la seguridad e integridad de nuestros servicios (artículo 6(1)(f) del RGPD). Kasada establece cookies KP_* que son técnicamente necesarias para esta función de seguridad. Los datos se transfieren a la infraestructura de Kasada en EE.UU. y Australia mediante cláusulas contractuales tipo. Puede contactarnos en [[email protected]] para más información o para ejercer sus derechos.

Technical details

Tracking methodClient-side JavaScript challenge script that collects device fingerprint signals, behavioural patterns and network metadata. Sets KP_* session and device cookies. Server-side signal aggregation and scoring via Kasada cloud infrastructure.

Server locationUnited States and Australia (Kasada is headquartered in Sydney, AU; cloud infrastructure distributed across US and AU regions)

Data transferred outside the EUData is processed on Kasada infrastructure in the United States and Australia. Transfers from the EU to the US are covered under Standard Contractual Clauses (SCCs). No adequacy decision exists for Australia; transfers rely on SCCs or equivalent safeguards.

Third-party domains contacted

kasada.ioips.kasada.iokasadapartners.com

Cookies placed

Name	Type	Duration	Purpose
KP_UIDz	Security	1 year	Stores a device session identifier used by Kasada to associate the device with a bot-risk score across sessions. Enables persistent bot-risk profiling of the device.
KP_SESSIONID	Security	Session	Session-scoped cookie that holds the current Kasada challenge session token. Cleared when the browser session ends.
KP_UIDz-o	Security	1 year	Secondary Kasada device identifier cookie used in conjunction with KP_UIDz for cross-session bot detection continuity.
KP_CH	Security	Session	Kasada challenge response cookie set after a client-side JavaScript challenge is completed successfully. Verifies that the visitor passed the bot-detection challenge.

Kasada es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies establece Kasada en los navegadores de los visitantes de mi sitio web?

Kasada establece cookies en el espacio de nombres KP_*, generalmente KP_UIDz y KP_SESSIONID. Estas cookies almacenan un identificador de sesión del dispositivo y una puntuación de riesgo de bots utilizada por el mecanismo de desafío de Kasada. No son cookies publicitarias y no se comparten con redes publicitarias de terceros.

¿Se requiere el consentimiento del usuario para desplegar Kasada según el RGPD y las normas de ePrivacy?

En la mayoría de los despliegues en la UE, Kasada se trata como estrictamente necesario para fines de seguridad bajo la exención del artículo 5(3) de la Directiva ePrivacy, lo que significa que no se recoge el consentimiento antes de que se ejecute el script. Sin embargo, algunas Autoridades de Protección de Datos consideran que la huella digital persistente del dispositivo queda fuera de la exención de estrictamente necesario, por lo que una Evaluación de Interés Legítimo documentada es esencial.

¿Cuál es la base jurídica para el tratamiento de datos a través de Kasada?

La base jurídica principal bajo el RGPD es el interés legítimo (artículo 6(1)(f)), fundamentado en la necesidad de proteger la seguridad e integridad de los servicios en línea frente a ataques de bots y relleno de credenciales. Una evaluación de interés legítimo debe documentar que el beneficio de seguridad supera la intrusión en la privacidad de la huella digital del dispositivo, que los datos se utilizan únicamente para la puntuación de seguridad y que se han considerado alternativas menos intrusivas.

¿Transfiere Kasada datos personales fuera de la UE?

Sí. Kasada procesa datos en infraestructura en EE.UU. y Australia. Las transferencias a EE.UU. pueden estar cubiertas por el Marco de Privacidad de Datos UE-EE.UU. si Kasada posee una certificación DPF vigente, o por cláusulas contractuales tipo. Las transferencias a Australia deben basarse en cláusulas contractuales tipo u otro mecanismo del artículo 46, ya que la UE no ha emitido una decisión de adecuación para Australia.

¿Requiere el despliegue de Kasada una Evaluación de Impacto sobre la Protección de Datos?

Se recomienda una EIPD, aunque no es automáticamente obligatoria, cuando Kasada se utiliza para la huella digital masiva de dispositivos de visitantes del sitio web. La combinación de recopilación sistemática de señales en todos los usuarios, transferencias internacionales de datos a países sin decisiones de adecuación de la UE y el debate jurídico en curso sobre la huella digital bajo el artículo 5(3) de ePrivacy crea indicadores de riesgo suficientes para recomendar una EIPD.

¿Cómo implemento Kasada de forma conforme con el RGPD?

Firme un acuerdo de tratamiento de datos con Kasada en virtud del artículo 28 del RGPD. Complete y documente una evaluación de interés legítimo. Divulgue a Kasada en su aviso de privacidad como encargado del tratamiento de seguridad. Enumere las cookies KP_* en su política de cookies bajo la categoría estrictamente necesario con una descripción clara de la finalidad. Confirme las garantías de transferencia internacional y considere una EIPD para sitios de gran tráfico orientados al consumidor.

¿Existen alternativas más respetuosas con la privacidad a Kasada para la detección de bots?

Las alternativas incluyen la detección de bots del lado del servidor utilizando reputación de IP, limitación de velocidad y detección de anomalías sin huella digital del lado del cliente. Estas opciones pueden ser menos precisas pero tienen una menor huella en ePrivacy. Si se requieren soluciones basadas en huella digital por su eficacia, documente en su evaluación de interés legítimo por qué las alternativas menos intrusivas son insuficientes.

¿Cómo mantengo actualizada mi política de cookies al usar Kasada?

Realice una auditoría de sus cookies al menos una vez al año o cada vez que Kasada actualice su script. Asegúrese de que las cookies KP_* estén listadas individualmente por nombre, con información precisa sobre duración, finalidad y responsable del tratamiento. Si Kasada introduce nuevos nombres de cookies o amplía la vida útil de las cookies, actualice su política en un plazo razonable.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note