Mitigación de bots: Qué es y cómo funciona

La lucha contra el tráfico de bots maliciosos se ha convertido en una tarea diaria para muchas empresas. Vamos a sumergirnos en el problema de los bots, las redes de bots y cómo ser más eficientes en la mitigación de bots.

¿Qué son los bots?

Un bot, o bot de internet, es una aplicación de software programada para realizar tareas en línea de forma automática. 

Un botnet es una red de bots, o varias computadoras conectadas entre sí para realizar conjuntamente las mismas tareas repetitivas. 

Según una investigación de Imperva, los bots representaron más de la mitad de todo el tráfico web en 2020.

Aunque mucha gente piensa que los bots son programas maliciosos, en realidad es importante distinguir entre bots buenos y malos. A continuación se presentan varios tipos que puedes encontrar en internet. 

Ejemplos de bots buenos

En la primera categoría, veremos los bots que son útiles y que, en la mayoría de los casos, deberían permitirse en tu sitio. Entre ellos se encuentran:

• Bots rastreadores: también conocidos como robots o arañas, se utilizan para descubrir automáticamente el contenido del sitio web siguiendo los enlaces. Los más famosos son los de Google, como GoogleBot, StoreBot, AdsBot y Googlebot News, entre otros.
• Bots de monitorización de sitios: se utilizan para monitorizar las métricas del sitio web, como el tiempo de actividad o la velocidad de la página.
• Bots de copyright: rastrean plataformas o sitios web en busca de contenidos que puedan infringir las leyes de copyright.
• Bots de alimentación: destinados a recopilar grandes volúmenes de contenido de interés periodístico en internet. Los agregadores de contenidos y las redes sociales utilizan bots de alimentación para poblar sus sitios.

Ejemplos de bots malos

• Scalper/bots de venta de entradas: estos bots intentan comprar grandes cantidades de entradas para eventos para que los revendedores puedan revenderlas a un precio más alto.
• Bots de ataque DDoS: diseñados para sobrecargar una aplicación, red o sitio web con el fin de cerrarlo.
• Bots de relleno de credenciales: cuando los estafadores adquieren una gran cantidad de datos de acceso filtrados, no tienen tiempo ni paciencia para probarlos todos manualmente. Ahí es donde se utiliza el relleno de credenciales, para hacerse con las cuentas online de otras personas.
• Bots de ataque de denegación de inventario: si eres un comercio electrónico sospechoso que intenta acabar con un competidor, podrías utilizar bots para agotar su inventario cargando automáticamente un carrito de la compra con bots. Esto también se conoce como acaparamiento de inventario o ataque de bots de compra.
• Bots de spam: todos estamos familiarizados con los comentarios sospechosos de internet que afirman que se puede trabajar desde casa y ganar fortunas. La mayoría de las veces, estos comentarios de spam son publicados por bots, mientras intentan atraer a las víctimas hacia un sitio web de phishing.
• Bots de cultivo de cuentas: bots que aumentan la credibilidad de una o más cuentas de usuario mediante actividades programadas, como publicar, revisar o seguir. A menudo se revenden como varios servicios (como las reseñas) o se coordinan para un fin determinado.
• Bots de pago fraudulentos: es fácil escribir un script para seleccionar y pedir automáticamente determinados productos, y los estafadores pueden combinar esto con los datos de las tarjetas de crédito robadas para ampliar sus ataques.
• Bots de apuestas o de arbitraje: al igual que los bots de pago, están programados para realizar apuestas de forma instantánea en sitios de apuestas si se presenta una oportunidad ventajosa.

¿Cómo funciona la mitigación de bots?

Independientemente del tipo de tráfico de bots que intentes mitigar, hay tres pasos clave en el proceso.

1. Identificar el tráfico de bots: primero debes ser capaz de detectar el tráfico de bots del que no lo es para poder filtrarlo.
2. Evaluar la naturaleza de los bots: aquí es donde resulta útil comprender la diferencia entre los bots útiles y los nefastos.
3. Bloquear los bots dañinos: por último, debes ser capaz de impedir que los bots malos se acerquen a tu sitio web.

Técnicas para frenar y mitigar a los bots

Las técnicas de mitigación de bots varían en función del tipo de amenaza a la que te enfrentes. 

• Basadas en el desafío: desafiar a un bot para que replique el comportamiento humano es una buena forma de filtrar a los menos sofisticados. Los Captcha, por ejemplo.
• Basado en firmas: en el mundo de la mitigación de bots, una firma es un patrón de datos que apunta instantáneamente a redes de bots bien conocidas.
• Detección de anomalías y basada en el comportamiento: es similar a la detección basada en firmas, pero se fijará en los puntos de datos sospechosos que difieren de cómo se comportan los usuarios legítimos en tu sitio.
• Bloqueo de IP y reputación de IP: la mayor parte del tráfico de bots tiende a utilizar los mismos métodos de conexión. Esto es útil ya que puedes identificar fácilmente las conexiones residenciales frente a, por ejemplo, proxies y VPNs.
• Listas de permitidos y listas de bloqueados: por supuesto, hay listas negras en línea que puedes consultar para confirmar si estás tratando con un bot o no.
• Limitación de velocidad y TPS: puedes controlar la cantidad de tráfico que pasa por tu sitio con la limitación de velocidad, y la cantidad de transacciones que procesas con el TPS (transacciones por segundo).
• Huella digital del dispositivo: una moderna tecnología diseñada para observar la configuración del software y el hardware de tus visitantes. Esto ayuda a detectar las conexiones entre bots para acabar con las redes de bots y mitigar los nuevos ataques de bots en tiempo real. Algunas herramientas, como SEON, pueden incluso detectar directamente el uso de emuladores como Selenium u otros intentos de conexión sin encabezado de Chrome, lo que debería hacer saltar inmediatamente las alarmas.
• Perfiles del navegador (cookies y hashes del navegador): utilizados en combinación con la huella digital del dispositivo, permiten crear identificaciones para cada visitante. Una vez más, es muy útil para detectar conexiones entre usuarios en una variedad de entornos, desde el uso de múltiples cuentas para el abuso de bonos hasta los bots de póquer en línea.

3 Pasos para mitigar el tráfico de bots

La mitigación del tráfico de bots puede ser un asunto complejo. Por eso, siempre es bueno adoptar un enfoque multicapa, habilitando más de una solución de mitigación.

1. Habilitar los CAPTCHA

Captcha es una de las soluciones más famosas para mitigar los bots basados en desafíos. También es una de las que tiene más resultados. Aunque Forbes, por ejemplo, afirma que los CAPTCHA redujeron en un 88% los envíos de formularios de sitios web impulsados por bots, muchas empresas (como la nuestra) han dejado de utilizarlos debido a sus pobres resultados de precisión.

En el lado positivo, el último Captcha v3 de Google introduce la idea de las puntuaciones de riesgo, por lo que no es un caso tan claro de aceptar o rechazar el tráfico basado en el resultado del desafío.

Ventajas de los Captcha

• Asequibles: El captcha es una de las formas menos costosas de solución de mitigación de bots que puedes habilitar hoy en día.
• Relativamente sin fricción: El captcha puede ser frustrante, pero tampoco es tan perturbador como, por ejemplo, una comprobación de identidad facial.

Contras de los Captcha

• Los bots de IA pueden resolver el CAPTCHA: los bots más sofisticados no tendrán problemas para sortearlo.
• Granjas de Captchas: hay toda una industria artesanal de trabajadores mal pagados que resuelven manualmente los captchas para los estafadores.
• Sitio web más lento: Los captchas pueden dañar la velocidad de tu página, lo que es malo tanto para la experiencia del usuario como para el SEO.

2. Utiliza un cortafuegos de aplicaciones web (WAF) 

Los WAF pueden proteger las aplicaciones web de ataques como el cross-site scripting (XSS), la inyección SQL y el secuestro de sesión. Un cortafuegos de aplicaciones web analiza el tráfico entrante, comprueba las solicitudes HTTP basadas en GET y POST, y alimenta los datos mediante reglas estáticas. 

Ventajas del WAF

• Es bueno para identificar firmas de ataque conocidas: el WAF funciona muy bien cuando las redes de bots son bien conocidas.
• Bueno para parchear vulnerabilidades de ciberseguridad: puedes probar tu aplicación o servidor para otras vulnerabilidades de ciberseguridad.

Contras del WAF

• No es bueno para detectar bots sofisticados: cualquier tipo de bot avanzado que pueda replicar el comportamiento humano evitará fácilmente un cortafuegos de aplicaciones web.
• Demasiado dependiente de las reglas basadas en la IP: las redes de bots, las redes de zombis, los despliegues de IoT y el IPv6 permiten a los estafadores y a los ciberdelincuentes rotar por millones de IPs diferentes para eludir el filtrado basado en la IP.
• UX más lenta: un cortafuegos de aplicaciones web también puede reducir la experiencia online de tus usuarios.

Implantar un software de detección de bots

Por último, pero no por ello menos importante, puedes buscar una solución completa para la mitigación de bots, proporcionada por una empresa de terceros. La mayoría del software de detección de bots está disponible bajo un modelo SaaS, de pago mensual, y la buena noticia es que es más fácil que nunca integrarlo en tu sitio web a través de la API.

Puede leer más sobre el mejor herramienta de detección de bots.

Ventajas del software de detección de bots

• Combinación de múltiples métodos de detección de bots: el software de detección de bots te permitirá utilizar un enfoque multicapa a través de diferentes herramientas de análisis y filtrado.
• Software específico para retos de bots específicos: puedes encontrar software de detección de bots diseñado para reducir el fraude de clics en anuncios, el fraude general o incluso solo el DDoS.
• Fácil de integrar: un buen software de detección de bots vendrá con APIs bien documentadas para que la integración sea rápida y sin problemas.

Contras del software de detección de bots

• Gasto extra: la mayoría funciona bajo el modelo SaaS, por lo que tendrás que presupuestar un gasto extra. También puede ser difícil hacerse una buena idea del retorno de la inversión a menos que la solución ofrezca una prueba gratuita.

Cómo realiza SEON la mitigación de bots

SEON es un especialista en detección de fraudes, con todas las herramientas de puntuación de riesgos necesarias para la mitigación de bots. 

Esto incluye potentes reglas de velocidad (para entender la frecuencia con la que un usuario hace algo), una completa huella digital del dispositivo y un análisis de la IP (para entender cómo se conectan a tu sitio), y un hash del navegador y de las cookies (para detectar conexiones entre usuarios).

Lo mejor de todo es que puedes integrarte a través de la API, probar la herramienta de forma gratuita durante 30 días y obtener un control total sobre tu estrategia de riesgo gracias a las reglas personalizadas y las sugerencias de reglas de machine learning.

Preguntas frecuentes

• Imperva: Bad Bot Report 2021: La pandemia de internet
• Google: reCAPTCHA v3 con puntuación de riesgo
• Forbes: los CAPTCHAs redujeron en un 88% los envíos de formularios de sitios web impulsados por bots