Ir al contenido principal

Asegurando los datos que envías a través del Messenger

Asegurando que solo permitas actualizaciones de datos confiables a través de tu Messenger con JWTs y atributos protegidos

Escrito por Penny Gray

Intercom te ayuda a entender y apoyar a tus customers permitiéndote enviar y actualizar datos de users, como nombres, direcciones de correo electrónico, niveles de suscripción y más, en tiempo real. Estos datos son cruciales para impulsar la automatización, el soporte personalizado y el contexto para el equipo.

Para asegurar que esta información se mantenga confiable y segura, Intercom proporciona controles que verifican la fuente de las actualizaciones de datos, usando JSON Web Tokens (JWTs), y configuraciones opcionales para bloquear actualizaciones no firmadas.

Los riesgos de datos inseguros

Si un atributo de datos no está protegido

  • Usuarios malintencionados podrían falsificar o manipular los datos enviados a Intercom

  • Tu espacio de trabajo podría reflejar información de users inexacta o manipulada.

  • Flujos de trabajo críticos (como mensajes dirigidos o automatizaciones de soporte) podrían activarse basándose en entradas no confiables.

Firmando tus atributos de datos con JWTs

Para prevenir manipulaciones, Intercom soporta JSON Web Tokens (JWTs). Los JWTs te permiten firmar los datos de users que envías a Intercom, demostrando que provienen de tu backend y no del navegador de un user.

Esto aplica a:

  • Atributos estándar como nombre, correo electrónico, fecha de registro, etc.

  • Atributos personalizados que defines para rastrear detalles adicionales de users.

Al usar JWTs:

  • Generas un token en tu backend con todos los atributos que deseas actualizar.

  • Firmas el token usando una clave secreta.

  • Envías el JWT a Intercom junto con la sesión del user.


Ver más aquí:

Aplicando actualizaciones firmadas de atributos

Por defecto, Intercom acepta actualizaciones de atributos tanto de fuentes firmadas como no firmadas (por ejemplo, directamente desde el navegador o desde tu backend). Para asegurar completamente tus datos, debes habilitar la configuración “Requerir actualizaciones verificadas” en Intercom.

Cuando esta configuración está habilitada, cualquier intento de establecer o actualizar atributos a través del Messenger se ignora a menos que provenga de una solicitud autenticada (como vía JWT o la API REST). Esto asegura que solo fuentes confiables y verificadas puedan modificar los datos de users en Intercom.

Recomendamos habilitar este interruptor para cualquier atributo que envíes en tu JWT.

  1. Ve a Configuración > Datos > Personas

  2. Elige el atributo que deseas proteger

  3. Activa el interruptor para “Requerir actualizaciones verificadas”

Este interruptor de actualización de atributos no te impide recopilar datos directamente de leads con un bot. Estos datos provienen directamente del user.

Importante: Esta es una configuración a nivel de espacio de trabajo. Asegúrate de que tu backend esté completamente configurado para firmar todos los atributos requeridos antes de habilitarla.

Mejores prácticas

  • Firma todas las actualizaciones importantes de datos de users con JWTs, especialmente aquellas usadas para mensajería, segmentación o lógica de negocio.

  • Protege tus atributos en Configuración > Datos > Personas.

  • Nunca expongas tu secreto JWT en ningún código front-end.

  • Añade una expiración de token (exp) para limitar el impacto de la reutilización del token.

Preguntas frecuentes

¿Qué son las protecciones de atributos?

Cada atributo que envías sobre users o empresas a Intercom puede protegerse con un interruptor para requerir actualizaciones verificadas vía el canal Messenger. Si proteges un atributo, solo los valores enviados mediante un JWT seguro o la API REST pueden actualizar ese valor. Esto previene actualizaciones no autorizadas a los datos de users, asegurando que solo las actualizaciones que provienen de ti se apliquen a los datos del user.

Puedes verificar el estado de tu atributo en Configuración > Datos > Personas. Para aprender más sobre cómo asegurar tu Messenger con JWTs, consulta nuestro artículo de ayuda.

¿Esto aplica también a los atributos estándar?

Sí. Debes proteger todos los atributos, estándar y personalizados desde Configuración > Datos > Personas.

¿Qué pasa si mi frontend envía datos sin un JWT después de que se habilite la aplicación?

Los datos son ignorados. Intercom no aplicará actualizaciones a menos que el JWT esté presente y sea válido.

¿Puedo probar la aplicación de JWT antes de activarla en producción?

Sí. Usa tu espacio de trabajo de prueba para verificar tu implementación.

Recursos relacionados

Artículos relacionados
Crear y rastrear atributos de datos personalizados (CDAs)
¿Qué es la Verificación de Identidad? [Obsoleto]
Solución de problemas de Verificación de Identidad [Obsoleto]
Migrar de la Verificación de Identidad a la Seguridad de Messenger con JWTs
¿Ha quedado contestada tu pregunta?