Detección de bots: Cómo detectar bots

Los estafadores son tan expertos en tecnología como perezosos. ¿Cómo pueden multiplicar los ataques contra tu empresa? Mediante el uso de bots.

Afortunadamente, la detección de bots es más fácil de lo que podría pensarse.

¿Qué es la detección de bots?

La detección de bots consiste en todo  proceso diseñado para identificar la presencia de tráfico de bots en un sitio web, servidor, red, etc. Se realiza tanto para detectar bots y scripts individuales, como botnets compuestas por varios bots, que pueden ser miles. La idea es poder distinguir el tráfico humano del tráfico de bots.

En términos generales, es recomendable bloquear el bot medio. Pero no todos son bots maliciosos, sino que también hay bots útiles que sin duda querrás permitir como las arañas de Google que indexan páginas web.

En el contexto de la detección del fraude, el tráfico de bots siempre tiene una connotación negativa, ya que los estafadores intentarán utilizar bots para automatizar y escalar sus intentos contra una empresa u organización.

¿Por qué detectar el tráfico de bots?

Como empresa, tu objetivo es garantizar que el tráfico web procede de usuarios legítimos, por lo que querrás detectar bots y bloquear su acceso a todas o a determinadas partes de tu infraestructura. Esto se debe a que los estafadores confían en los bots para automatizar acciones como hacerse con cuentas de usuario, realizar pagos con tarjetas de crédito robadas o el onboarding digital con datos de identidad falsos. 

Para empeorar las cosas, los ataques de bots están aumentando en todo el mundo. La empresa de ciberseguridad Spamhaus identificó un aumento del 23% en el tráfico de botnets en el cuarto trimestre de 2021 en comparación con el trimestre anterior. 

He aquí un mapa de la procedencia de este tráfico automatizado:

Mapa cortesía de Spamhaus

¿Por qué es tan difícil detectar bots?

Cuando se trata de detectar bots básicos, basta con añadir algunos obstáculos técnicos rudimentarios. Por ejemplo, se sabe que CAPTCHA reduce en un 88% los envíos de formularios por parte de bots.

Las cosas se ponen más difíciles cuando los bots están diseñados para imitar el comportamiento humano. 

Los estafadores de referidos, por ejemplo, utilizan una sofisticada automatización diseñada para activar las recompensas de los afiliados.

Este es un ejemplo de lo que puede hacer este tipo de bot:

1. Un estafador se inscribe en un programa de pago por cliente potencial.
2. Ejecuta bots para que hagan clic automáticamente en el enlace.
3. Rellena automáticamente todos los detalles utilizando datos de usuario sintéticos o inventados.
4. Deposita dinero utilizando un número de tarjeta de crédito robado.
5. Activa la recompensa por registrarse.
6. Cambia la IP y la configuración del dispositivo, y así sucesivamente…

Como te puedes imaginar, las secuencias complejas de eventos son más difíciles de detectar que los ataques de fraude simples, especialmente si están diseñados para hacerse pasar por un ser humano. 

Eso, por supuesto, a menos que tengas a tu disposición la herramienta de detección de bots adecuada.

Técnicas habituales de detección de bots

Las técnicas de detección de bots que se utilizan habitualmente para encontrar y detener el tráfico de bots incluyen la señalización de herramientas sospechosas que permiten el uso de bots, así como de navegadores centrados en la privacidad y otros programas y aplicaciones conocidos. Por supuesto, hay mucho más:

• Huella digital del dispositivo: Esta técnica permite al software recopilar información no identificable sobre el software y el hardware de cada visitante, con el fin de identificar cualquier uso de herramientas y software sospechosos que pudieran indicar la existencia de un bot o script.
• Hash del dispositivo: En el caso de bots creados para cometer abusos multicuenta, la creación y comparación de hashes de dispositivos nos permitirá identificar a usuarios recurrentes y bots, incluso si intentan hacerse pasar por personas diferentes.
• Monitoreo en tiempo real: Es importante para las organizaciones de alto riesgo monitorizar continuamente este tráfico en lugar de a intervalos regulares, si el objetivo es atrapar y detener a los bots maliciosos.
• Cortafuegos y listas de bloqueo: Dependiendo de las necesidades, la infraestructura y el apetito de riesgo de la empresa, puede que te baste con un cortafuegos de aplicaciones web (WAF) o una lista de control de acceso (ACL). Esto observará y filtrará el tráfico, bloqueando a los usuarios desconocidos, incluidos los bots.
• CAPTCHAs: En el caso de los bots configurados para automatizar la creación de varias cuentas incluido el abuso de bonificaciones y otros puntos problemáticos, a veces basta con añadir un CAPTCHA para «demostrar que eres humano» en el proceso de registro.
• MFA y 2FA: Para mitigar el robo de identidad por bots, la concienciación de los usuarios es de gran ayuda, incluso animándoles u obligándoles a utilizar la autenticación multifactor.

Cómo detectar bots con SEON

En SEON, entendemos que la detección de bots solo funciona si tienes suficientes datos a tu disposición. 

Así es como lo desglosamos en nuestra plataforma.

Enriquecimiento de datos

El primer paso es aprender más sobre nuestro «usuario». Podemos empezar con información fácil de obtener, como su dirección IP.

Ya podemos obtener alguna información interesante. En este caso, el usuario parece conectarse utilizando una VPN y un proxy de centro de datos. 

Aunque esto no es suficiente para ser marcado como un bot, podemos preguntarnos por qué necesitarían ocultar los detalles de su conexión, señalando un riesgo potencial para los gestores de fraudes y riesgos.

Huella digital del dispositivo

Profundicemos ahora en cómo se conecta el usuario a tu sitio web. ¿Está falsificando la información de su dispositivo? ¿Está utilizando un emulador? 

La creación automática de un hash del dispositivo es particularmente útil. Nos ayuda a identificar cada dispositivo visto en un sitio, basándonos en información como:

• plugins instalados
• versión del navegador
• tamaño de la ventana del navegador
• resolución de pantalla
• idioma utilizado 
• etc.

¿Por qué es importante? Nos resultará útil cuando analicemos el comportamiento en línea del usuario, a través de las reglas de velocidad.

Uso de reglas de velocidad para identificar picos de tráfico o acciones

Las reglas de velocidad, o tests de velocidad, te permiten monitorear las acciones de los usuarios a lo largo del tiempo. Es lo más parecido a comprender el comportamiento a través de los datos.

He aquí un ejemplo que podría ser relevante para nosotros en el contexto de la detección de bots. Supongamos que somos una tienda online que vende productos electrónicos de gama alta, y ocurre lo siguiente:

1. Un nuevo usuario llega directamente a la página de un producto específico.
2. Añade el producto a su carrito y realiza el pago en menos de un minuto.
3. Introduce tres números de tarjeta diferentes en menos de un minuto.

Una vez más, podríamos darle el beneficio de la duda. Es posible que ya haya abandonado el proceso de compra y sepa exactamente qué producto quería. También es posible que accidentalmente ingrese dos números de tarjeta erróneos antes de encontrar el correcto.

Lo que tenemos aquí es una idea de quién podría ser un usuario sospechoso. Pero el panorama se vuelve mucho más claro cuando se tiene en cuenta todo lo anterior y se empiezan a buscar conexiones entre usuarios sospechosos.

Detección de conexiones entre usuarios

El problema con los bots es que los estafadores rara vez utilizan uno solo. Solo tiene sentido reutilizar el mismo bot para realizar la misma acción numerosas veces. 

Esto juega a nuestro favor. Si hemos conseguido encontrar información verdadera sobre el usuario (en lugar de la información que nos quieren hacer creer) podemos empezar a identificar las conexiones. 

En el caso de los bots, deberíamos fijarnos en dispositivos similares, proxies o patrones en las direcciones de correo electrónico. 

Por ejemplo, los usuarios que se registran con direcciones de correo electrónico que incluyen un nombre y una combinación aleatoria de letras, como john4567@email.com y david6676@email.com, podrían apuntar a bots implementados perezosamente. 

De hecho, así es precisamente como uno de los agentes de Éxito del Cliente de SEON consiguió bloquear una red de fraude para un cliente de iGaming. 

Nuestro gestor de fraudes Conner se dio cuenta de que:

• varios cientos de usuarios se estaban registrando utilizando direcciones de correo electrónico de outlook.com
• del mismo proveedor de servicios de internet (ISP)
• con nombres de correo electrónico que seguían la estructura antes mencionada (johndoe1234@outlook.com)
• utilizando exactamente la misma pregunta de seguridad (apellido  de soltera de la madre)

Al filtrar todos los puntos de datos, Conner se dio cuenta de que efectivamente estaba ante una red de fraude que utilizaba bots para registrarse y reclamar recompensas (una práctica conocida como abuso de bonificaciones).

Una plataforma integral de detección del fraude

SEON es una plataforma integral de mitigación de riesgos que permite la detección de fraudes y la mitigación de bots a través de potentes APIs, machine learning y reglas personalizadas.

De forma exclusiva, también aprovecha el poder del enriquecimiento de datos, recopilando información de más de 50 redes sociales y fuentes en línea en tiempo real para obtener más información sobre los usuarios. En concreto:

• Búsqueda de IP: ¿Se conecta el usuario utilizando una VPN o un proxy? ¿A qué distancia está la conexión de lo que indica su dirección de envío?
• Búsqueda de direcciones de correo electrónico: ¿La dirección de correo electrónico es de un proveedor gratuito? ¿Se utiliza para registrarse en redes sociales como Facebook, Twitter o incluso Airbnb?
• Búsqueda del número de teléfono: ¿El número de teléfono apunta a una tarjeta SIM virtual? ¿Está registrado en WhatsApp, Viber o cualquier otra plataforma móvil?
• Búsqueda de BIN de tarjetas: ¿Es el tipo de tarjeta coherente con lo que cabría esperar? Una tarjeta de prepago estadounidense para un cliente en Grecia podría levantar sospechas.

Además, también podrás obtener la huella digital de los dispositivos para saber exactamente cómo se conectan los usuarios a tu sitio, lo que resulta especialmente útil para resaltar los emuladores y las máquinas virtuales para una mejor gestión de los bots.

La clave para una buena detección de bots es combinar todo lo anterior con el fin de modelar lo que es un comportamiento bueno o sospechoso. 

Es precisamente lo que nuestros tests de velocidad te permiten hacer. Incluso puedes aprovechar el poder del machine learning para sugerir las mejores reglas de mitigación de bots específicas para tu empresa. 

Preguntas frecuentes sobre detección y prevención de bots

Fuentes

• Spamhaus: Spamhaus Botnet Threat Update: Q4-2021
• Forbes: CAPTCHAs reduced bot-driven submissions to website forms by 88%