Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Volver al blog
Blog · 6 de marzo de 2026

Protección de la Verificación de Identidad: Límites y Throttling de API (ES)

Implementar límites de tasa de API y throttling robustos es crucial para proteger los puntos finales de verificación de identidad contra el abuso, asegurando la estabilidad del sistema y manteniendo la calidad del servicio.

Por DiditActualizado el
securing-identity-verification-api-rate-limits-and-throttling.png

Protección contra el AbusoLa limitación de tasa y el throttling son defensas esenciales contra ataques de Denegación de Servicio (DoS), intentos de fuerza bruta y "credential stuffing" en APIs sensibles de verificación de identidad.

Garantía de Estabilidad del SistemaAl controlar el volumen de solicitudes, estos mecanismos previenen la sobrecarga de la API, asegurando un rendimiento consistente y la disponibilidad de recursos para usuarios legítimos.

Mantenimiento de la Integridad de los DatosPrevenir solicitudes excesivas ayuda a salvaguardar la integridad de los datos de identidad y la precisión de los procesos de verificación, como los que implican Verificación de ID y Controles de Vida.

Defensa Multicapa de DiditDidit implementa límites de tasa globales y específicos por punto final, junto con encabezados X-RateLimit claros y guía para el cliente, para asegurar su plataforma de identidad de manera efectiva.

El Papel Crítico de la Limitación de Tasa en la Verificación de Identidad

En el panorama digital actual, la verificación de identidad es primordial para la confianza y la seguridad. Las empresas dependen de las APIs para realizar comprobaciones críticas como la Verificación de ID, la Detección de Vida y el Cribado AML. Sin embargo, estos potentes puntos finales también son objetivos principales para actores maliciosos. Sin las salvaguardias adecuadas, pueden ser explotados para el robo de datos, el fraude o simplemente para interrumpir servicios a través de ataques de Denegación de Servicio (DoS). Aquí es donde la limitación de tasa y el throttling de API se vuelven indispensables.

La limitación de tasa es una estrategia para controlar el número de solicitudes que un cliente puede hacer a una API dentro de un período de tiempo determinado. El throttling, un concepto relacionado, implica ajustar dinámicamente la tasa de solicitudes en función de la capacidad del sistema o límites predefinidos. Juntos, forman una línea de defensa crucial, asegurando que su infraestructura de verificación de identidad permanezca estable, segura y disponible para usuarios legítimos. Imagine un escenario en el que un atacante intenta forzar millones de comprobaciones de identidad utilizando credenciales robadas; sin límites de tasa, esto podría abrumar rápidamente sus sistemas, lo que llevaría a interrupciones del servicio y posibles violaciones de datos. Didit, con su plataforma de identidad nativa de IA, comprende profundamente estos desafíos e incorpora una limitación de tasa multicapa directamente en su arquitectura.

Comprendiendo los Límites Globales vs. Específicos por Punto Final

Una limitación de tasa efectiva requiere un enfoque matizado, distinguiendo entre el uso general de la API y las operaciones de alto impacto. Un límite único para todos puede ser demasiado restrictivo para operaciones comunes o demasiado indulgente para las que consumen muchos recursos. Por lo tanto, un sistema robusto emplea límites tanto globales como específicos por punto final.

Límites Globales

Los límites globales se aplican a amplias categorías de solicitudes de API. Por ejemplo, Didit implementa límites globales de 300 solicitudes por minuto por aplicación para todos los puntos finales GET y otras 300 solicitudes por minuto para todos los puntos finales de escritura/eliminación (POST, PATCH, DELETE). Estos límites genéricos proporcionan una capa fundamental de protección, actuando como una barrera para el consumo general de la API. Están diseñados para prevenir el abuso generalizado sin afectar indebidamente los flujos operativos normales.

Límites Específicos por Punto Final

Más allá de los límites globales, ciertas operaciones de API son inherentemente más intensivas en recursos o sensibles, lo que justifica controles más estrictos. La plataforma de Didit define alcances adicionales y más restrictivos para tales operaciones de alto impacto. Por ejemplo:

  • session-v2-create (POST /v2/session/): Este punto final, crucial para iniciar flujos de trabajo de verificación de identidad, tiene un límite dedicado de 600 solicitudes por minuto. Esto asegura que, si bien la creación de sesiones es frecuente, no abruma el motor de orquestación del flujo de trabajo.
  • session-decision (GET /v2/session/<id>/decision/): La recuperación de decisiones de sesión está limitada a 100 solicitudes por minuto. Esto evita el sondeo excesivo que podría sobrecargar los recursos de la base de datos, particularmente importante para los resultados en tiempo real de procesos como la Verificación de ID y el Cribado AML.
  • session-generate-pdf (GET /session/<id>/generate-pdf/): La generación de PDF es una operación ligada a la CPU y, por lo tanto, está limitada a 100 solicitudes por minuto para gestionar los costos computacionales y asegurar la capacidad de respuesta.

Este enfoque escalonado permite un control granular, optimizando el rendimiento y la seguridad en todo el ciclo de vida de la verificación de identidad.

Mejores Prácticas del Lado del Cliente para Manejar los Límites de Tasa

Mientras que los proveedores de API implementan una sólida limitación de tasa, los clientes también desempeñan un papel crucial en el respeto de estos límites y en la construcción de aplicaciones resilientes. Cuando una API devuelve una respuesta 429 Demasiadas Solicitudes, no es un fallo, sino una indicación para ajustar su patrón de solicitud. La API de Didit, por ejemplo, incluye encabezados críticos en las respuestas 429 para guiar a los clientes:

  • X-RateLimit-Limit: El número máximo de solicitudes permitidas en la ventana actual.
  • X-RateLimit-Remaining: El número de solicitudes restantes en la ventana actual.
  • X-RateLimit-Reset: La hora (en segundos epoch) en que se restablece la ventana de límite de tasa actual.
  • Retry-After: Especifica cuánto tiempo esperar antes de realizar una nueva solicitud.

Para construir una integración robusta, los clientes deben:

  1. Monitorear los Encabezados de Límite de Tasa: Observar activamente X-RateLimit-Remaining y comenzar a limitar las solicitudes cuando caiga por debajo de un cierto umbral (por ejemplo, 15% de X-RateLimit-Limit).
  2. Implementar Retroceso Exponencial: Para las respuestas 429, no reintentar inmediatamente. En su lugar, implementar una estrategia de retroceso exponencial, aumentando el retraso entre reintentos (por ejemplo, 5s → 10s → 20s → 40s). Esto evita abrumar aún más la API y permite que se recupere.
  3. Registrar y Alertar: Registrar instancias de respuestas 429 y reintentos activados. Esto ayuda a identificar ráfagas sostenidas o posibles problemas en los patrones de solicitud de su aplicación, lo que permite a su equipo investigar y optimizar.

Adherirse a estas prácticas asegura que su aplicación se integre de manera fluida y confiable con los servicios de verificación de identidad, incluso bajo diversas condiciones de carga.

Cómo Didit Ayuda a Asegurar sus Flujos de Trabajo de Identidad

Didit proporciona una plataforma de identidad integral, nativa de IA, diseñada desde cero con la seguridad y la escalabilidad en mente. Nuestra limitación de tasa multicapa es solo un ejemplo de cómo protegemos sus operaciones y datos confidenciales de usuario. Con Didit, usted se beneficia de:

  • Protección Robusta de API: Nuestros límites de tasa globales y específicos por punto final protegen contra el abuso, asegurando la estabilidad para servicios críticos como Verificación de ID, Detección de Vida Pasiva y Activa, Coincidencia Facial 1:1 y Cribado y Monitoreo AML.
  • Flujos de Trabajo Orquestados: Nuestra Consola de Negocios sin código le permite diseñar viajes de verificación complejos, y nuestro backend gestiona de forma inteligente las llamadas a la API subyacentes, respetando todos los límites. Por ejemplo, al generar Enlaces de Verificación o Unilinks, el sistema maneja la creación de sesiones y las comprobaciones posteriores de manera eficiente.
  • Enfoque Primero en el Desarrollador: Didit ofrece APIs limpias y documentación completa, incluyendo una guía detallada sobre la limitación de tasa, lo que permite a los desarrolladores construir integraciones resilientes desde el primer día. Nuestra arquitectura modular significa que puede conectar y usar comprobaciones de identidad sin preocuparse por la infraestructura subyacente.
  • Escalabilidad y Fiabilidad: Al gestionar proactivamente el tráfico de la API, Didit garantiza una alta disponibilidad y rendimiento, incluso durante las cargas máximas. Nuestra plataforma nativa de IA está diseñada para escalar globalmente, manejando millones de verificaciones sin comprometer la seguridad o la velocidad.

El compromiso de Didit con la seguridad se extiende más allá de la limitación de tasa, abarcando características como KYC Core Gratuito, sin tarifas de configuración y un modelo de pago por verificación exitosa, lo que hace que la verificación de identidad robusta sea accesible y eficiente para empresas de todos los tamaños.

¿Listo para Empezar?

¿Listo para ver Didit en acción? Obtenga una demostración gratuita hoy.

Comience a verificar identidades gratis con el nivel gratuito de Didit.

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página
Protección de la Verificación de Identidad: Límites de.