Técnicas para identificar y frenar la actividad de bots


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

El tráfico de bots maliciosos continúa incrementándose año tras año, y en 2024 ya representa casi un tercio de todo el tráfico en Internet. Estos bots están diseñados para acceder a datos sensibles, cometer fraudes, robar información confidencial y deteriorar el rendimiento de sitios web. Las tecnologías emergentes permiten a los ciberdelincuentes actuar con mayor rapidez y causar daños más significativos. Estos ataques automatizados, masivos y sin discriminación suponen un riesgo considerable para empresas de cualquier tamaño y sector.

Según un análisis realizado por la unidad de investigación de SILIKN, México se posiciona como el segundo país en América Latina, solo superado por Brasil, y el tercero a nivel mundial, detrás de Estados Unidos y Brasil, en cuanto a la cantidad de dispositivos infectados por bots. México ha registrado una gran cantidad de dispositivos infectados en la región, en su mayoría originarios de la Ciudad de México, Estado de México y Jalisco.

Los bots juegan un papel crucial en los ciberataques, lo que hace que cualquier dispositivo conectado a Internet sea vulnerable. Un bot es un software malicioso que permite a los ciberdelincuentes controlar dispositivos infectados, formando redes que pueden desplegar más programas maliciosos. Estas redes se utilizan para actividades delictivas como el envío masivo de spam o la ejecución de fraudes y otros delitos cibernéticos.

Sin embargo, las organizaciones pueden implementar diversas técnicas para combatir esta actividad maliciosa. Al utilizar estrategias avanzadas de seguridad en múltiples capas para bloquear bots, las siguientes técnicas le ayudarán a identificar quién o qué está accediendo a su sitio web, permitiéndole restringir el acceso a visitantes no deseados. No existe una solución única que funcione para todos los casos, por lo que la combinación de estos enfoques le permitirá construir una defensa robusta contra los bots.

Aunque no todos los bots son maliciosos, incluso los bots “benignos”, como los rastreadores de motores de búsqueda, pueden afectar el rendimiento y alterar los análisis web. Comprender quiénes son los visitantes de su sitio es clave para gestionar eficazmente todos los tipos de amenazas y obtener análisis precisos sobre el tráfico.

Tradicionalmente, la identificación de la actividad de bots se ha basado en señales de advertencia como picos inusuales de tráfico, altas tasas de rebote, sesiones de corta duración, patrones de conversión atípicos y análisis poco realistas, como miles de millones de visitas a una página.

Lamentablemente, al detectar estas señales, a menudo ya es demasiado tarde para evitar daños. Los bots más sofisticados pueden no activar estas alarmas, ya que muchas herramientas de detección no se actualizan para adaptarse a la evolución constante de la tecnología de los bots.

Adoptar técnicas más robustas que analicen las características técnicas y el comportamiento de los usuarios le permite rechazar bots maliciosos o no deseados.

Por ejemplo, los atributos del navegador y del dispositivo pueden servir como indicadores de la presencia de bots, y hay varias facetas a considerar.

Se ha observado que ciertas direcciones IP y servidores proxy albergan bots. Un sistema de detección de bots eficaz debe utilizar una base de datos que se actualice con frecuencia, incluyendo direcciones IP relacionadas con bots conocidos, centros de datos, servidores proxy maliciosos y otras fuentes asociadas con actividad automatizada. Aunque la constante variación de las direcciones IP de los bots significa que esta solución no es infalible, una lista de bloqueo dinámica proporciona una verificación sólida.

El análisis de las características y configuraciones de un dispositivo o navegador puede ayudar a identificar visitantes sospechosos. Los sitios web pueden evaluar atributos del dispositivo, como el tamaño de la pantalla, el sistema operativo, la capacidad de almacenamiento, la memoria, los procesadores y las capacidades gráficas para detectar configuraciones que se desvían de los estándares. Entre los factores relacionados con el navegador se incluyen cómo un cliente ejecuta JavaScript, renderiza páginas y gestiona otras tareas interactivas.

Las variaciones significativas en el comportamiento esperado son indicativos claros de tráfico generado por bots. Inconsistencias en los atributos informados, como una discrepancia entre la zona horaria y la dirección IP, también pueden señalar manipulación.

Los bots tienden a filtrar datos que los usuarios humanos no filtran, como errores, caídas de red y cambios en las API. La identificación de esta información permite a los sitios web bloquear visitantes no deseados.

La identificación de dispositivos contribuye a la detección de bots al utilizar atributos de dispositivos y navegadores para crear un identificador único. Este enfoque puede revelar inconsistencias y configuraciones inusuales que podrían sugerir actividad de bots. Para eludir la detección, los bots tendrían que generar una huella digital de dispositivo diferente y convincente en cada visita al sitio web.

Las técnicas sólidas de autenticación y verificación son esenciales para impedir que bots automatizados accedan a cuentas, completen formularios o aporten contenido, como reseñas de productos.

CAPTCHA y pruebas de desafío-respuesta han sido una estrategia tradicional contra los bots, pero su efectividad ha disminuido. Todos hemos tenido que seleccionar imágenes de automóviles o introducir caracteres de una imagen, lo que resulta molesto para los usuarios. Además, investigaciones indican que los bots son, en realidad, más efectivos que los humanos al resolver estos acertijos. Las pruebas de desafío-respuesta ofrecen algo más de seguridad, pero aún generan fricción significativa para los usuarios reales. Si decide utilizarlas, debe complementarlas con medidas de seguridad adicionales, como la autenticación basada en riesgos.

Los bots pueden eludir contraseñas a través de ataques de relleno de credenciales. La MFA mejora la seguridad al requerir pasos de verificación adicionales, como un código o un dato biométrico. Aunque los bots pueden adivinar una contraseña, es poco probable que tengan acceso al segundo factor, lo que representa una capa de seguridad adicional eficaz.

La identificación de dispositivos fortalece estas estrategias de autenticación. Cuando un intento de inicio de sesión proviene de un nuevo dispositivo o ubicación, se pueden activar pasos de seguridad adicionales, como la MFA. Este enfoque también permite detectar inicios de sesión en múltiples cuentas desde un solo dispositivo, lo que puede ser un indicativo de actividad de bots.

El comportamiento de un visitante en el sitio proporciona información valiosa sobre su legitimidad. Los programas automatizados se comportan de manera muy diferente a las personas. Existen diversas maneras de evaluar el comportamiento.

Los movimientos del ratón, la cadencia de desplazamiento y las interacciones con elementos de la página son indicadores clave. Los humanos realizan estas acciones de manera intermitente y aleatoria, mientras que los bots son sistemáticos y consistentes. Desplazamientos rápidos, clics excesivos y múltiples intentos de inicio de sesión pueden indicar actividad de bots.

Es importante analizar cómo los usuarios se mueven entre páginas y cuánto tiempo pasan en cada una. Los bots tienden a navegar rápidamente por muchas páginas, siguiendo patrones de URL predecibles. En contraste, los humanos dedican más tiempo a cada página y navegan de manera más aleatoria en busca de información.

Los bots son capaces de completar múltiples campos instantáneamente, generalmente utilizando información repetitiva o aleatoria. Los signos que indican que un humano está completando un formulario incluyen errores tipográficos que se corrigen y omisiones en campos opcionales.

Sin embargo, evaluar el comportamiento manualmente puede ser lento, propenso a errores y demandante en recursos. La detección de bots en tiempo real requiere herramientas avanzadas de recopilación y análisis de datos. El aprendizaje automático (ML) mejora la capacidad de estas plataformas; al analizar miles de millones de datos, los programas de ML aprenden y se adaptan continuamente para identificar comportamientos similares a los de los bots a medida que evolucionan sus técnicas.

También puede aprovechar la automatización de bots mediante el uso de honeypots. Estos sitios web de trampa imitan sitios reales, pero están aislados y monitoreados. Los humanos no los encontrarán, pero los bots sí. Si un visitante interactúa con el sitio, como haciendo clic o completando un campo, se sabrá que es un programa automatizado, lo que permite tomar medidas adecuadas, como bloquear su dirección IP.

Confiar únicamente en uno de estos métodos no es suficiente para detectar bots, y existe un alto riesgo de afectar a usuarios legítimos mientras se pasa por alto una proporción considerable de scripts automatizados avanzados. La estrategia ideal abarca el comportamiento, las características del dispositivo y las técnicas de autenticación. Las herramientas de detección de bots que utilizan inteligencia de dispositivo ofrecen capacidades de detección al combinar huellas digitales con análisis de intenciones.

Al evaluar conjuntamente los atributos del dispositivo y el comportamiento del usuario, la identificación de usuarios sospechosos se vuelve más precisa. Una solución basada en ML mejora aún más las capacidades de análisis, manteniéndose al día con la creciente sofisticación de los bots. Con este nivel de precisión, puede identificar y bloquear bots con confianza, al tiempo que reduce la fricción para los usuarios legítimos.

Los bots son cada vez más sofisticados, pero también lo son las herramientas para contrarrestarlos. En lugar de adoptar un enfoque obsoleto con herramientas y mentalidades anticuadas que no se han actualizado con la tecnología en evolución, las empresas deben adoptar un enfoque más moderno y efectivo para detectar bots maliciosos.

La utilización de tecnologías como la inteligencia de dispositivo permite a las empresas actuar de manera proactiva para prevenir actividades maliciosas en lugar de simplemente mitigar el daño.

Para mayor información, visite: https://www.silikn.com/