Los cheques protegidos y sus características, ¿valen la pena?

por Florian Tanant
Tras las elecciones presidenciales de 2016 en EE. UU, cada vez más personas han tomado conciencia de los ataques de bots en línea.
Sin embargo, la magnitud del problema es difícil de imaginar para un usuario común de internet. En el sector financiero, por ejemplo, los bots pueden representar hasta el 42% del tráfico total. En otros lugares, su actividad representa 1 de cada 5 solicitudes de sitios web.
Pero, ¿qué son exactamente los bots y cómo perjudican a las empresas en línea? Y lo que es más importante, ¿cómo podemos evitar que ataquen a las organizaciones?
Los ataques de bots son fáciles de entender si se sustituye la palabra bot por otra: script. En pocas palabras, un bot es un script: un programa automatizado que sigue un patrón de acciones establecido.
Un ejemplo sería:
Por supuesto, existe una alta probabilidad de que sean marcados por la tienda online. Sobre todo si se desconectan y vuelven a conectarse utilizando el mismo ordenador.
Así es como pueden mejorar su estrategia: creando otro bot que:
¡Éxito! Ahora nuestros estafadores pueden probar todos sus números de tarjeta de crédito robados y el segundo script hace que parezca que son un usuario diferente cada vez.
Esto es, a menos que la tienda que están atacando utilice un sofisticado software de prevención del fraude y detección de bots.
Los bots, también conocidos como robots de internet, spiders, crawlers y bots web son esencialmente programas diseñados para realizar trabajos repetitivos. Los buenos pueden indexar un motor de búsqueda. Los malos, sin embargo, infectan computadoras y envían datos recopilados como contraseñas, pulsaciones de teclas registradas o paquetes capturados. También pueden utilizarse para multiplicar los intentos de infiltración en un sitio web.
Su ventaja es que son escalables, automatizados y fáciles de lanzar a gran escala. La interacción humana es limitada y el mantenimiento casi inexistente. En el contexto del fraude, es por tanto fácil lanzar bots y multiplicar los ataques a miles de sitios web a la vez para hacer lo siguiente, en varios puntos de contacto:
Aquí puedes ver los orígenes del tráfico automatizado en todo el mundo para el segundo semestre de 2021:
Un aspecto importante a tener en cuenta sobre los bots es que suelen implicar inversiones considerables en tiempo, recursos y costo financiero. Su desarrollo no es barato y, por lo tanto, son obra de redes de fraude organizadas con grandes recursos disponibles.
Esto es especialmente cierto porque su sofisticación tiene que aumentar con cada detección. Cómo los estafadores juegan constantemente al gato y al ratón con los equipos de prevención del fraude, los robots tienen que evolucionar haciéndose más complejos, ágiles y difíciles de detener.
Todo ataque bot fraudulento consta de dos etapas. La primera consiste en crear una base de datos con información de usuarios legítimos.
Generalmente se adquieren en la dark net y pueden requerir una gran inversión. Para multiplicar sus tasas de éxito, los estafadores tienen que adquirir muchos miles de puntos de datos. Estos pueden ser:
Una vez que han construido su base de datos, los estafadores utilizarán bots para replicar el comportamiento de un usuario legítimo. Una vez más, esto implica importantes recursos diseñados para:
Históricamente, la solución inmediata para señalar un comportamiento sospechoso en internet era implementar un captcha. Acrónimo de Completely Automated Public Turing Test to Tell Computers and Humans Apart (Prueba de Turing pública y totalmente automatizada para distinguir entre computadoras y humanos), los captchas suelen mostrar textos e imágenes distorsionados y te piden que teclees lo que lees, algo que las computadoras eran malas resolviendo por sí mismas. En resumen, solían ser una forma estupenda de separar el tráfico humano del automatizado.
«Los estafadores se pusieron al día con la tecnología. Ahora hay cientos de solucionadores de captchas en el mercado que anulan la medida de seguridad».
Hoy en día, sin embargo, los estafadores se han puesto al día con la tecnología: ahora hay cientos de solucionadores de captchas en el mercado que anularán la medida de seguridad.
Un servicio que vende captchas resueltos o que te permite resolverlos a cambio de una parte de la venta.
La otra -y única- solución es, por tanto, crear una huella digital completa de tus usuarios. La evaluación de riesgos debe abarcar tantos datos como sea posible para ofrecer una imagen clara de quién accede a tu sitio web. Esto puede hacerse mediante una combinación de tácticas, como por ejemplo:
A medida que las redes delictivas dedican más y más recursos a sus ataques de bots, resulta cada vez más difícil detectarlos. Y el problema va en aumento en varios sectores verticales como la venta de entradas, donde el 39% de todo el tráfico procede de bots maliciosos, o los juegos y apuestas (25,9%).
Lamentablemente, la bala mágica que una vez fue el captcha ya no es eficaz para los ataques de bots. Hoy en día, las organizaciones tienen que multiplicar sus herramientas de detección del fraude en el inicio de sesión, el registro y el pago para detectar los bots.
Si se combinan varias herramientas, como el análisis del correo electrónico, la detección de huellas de dispositivos, el enriquecimiento de datos y el machine learning, se podrá detectar a los bots y evitar que futuros ataques dañen tu negocio.
Puede que también te interese leer sobre:
Fuentes
Mostrando todos los con `` etiqueta
Haz clic aquí
Florian Tanant es el Escritor de Contenido Senior de SEON. Con más de 10 años de experiencia escribiendo para líderes fintech y de ciberseguridad, su especialidad es desglosar conceptos técnicos para acercarlos a una audiencia amplia. Tiene dos hijos, así que esa es la excusa para las manchas de mantequilla de maní en su teclado.
Las mejores historias del mes directamente en tu bandeja de entrada