Definición, tipos y riesgos de los bots en internet
¡Están por todas partes!
Los bots son lo que hace que funcione gran parte del internet actual y, aunque no los veamos, nos afectan para bien y para mal en todo el mundo. Desde bots rastreadores que hacen posible el funcionamiento de buscadores como Google, hasta bots de relleno de credenciales que intentan acceder a tus cuentas para sustraer información sensible, al menos el 40 % de todo el tráfico web se atribuye a los bots. En este artículo exploraremos el universo de los bots: qué son, cómo funcionan y cómo evolucionarán.
Los bots, también denominados «robots» (su nombre completo) o «bots de internet», son programas creados para realizar tareas automatizadas en internet. Se pueden programar para que, de forma automática, rastreen datos de sitios web, interactúen por chat con los usuarios, rellenen formularios y/o lleven a cabo tareas repetitivas; en definitiva, actividades que también podrían hacer los humanos, pero para las que los bots son mucho más eficientes, precisos y funcionales a gran escala, de ahí su prevalencia.
A continuación explicaremos qué son los bots, los tipos existentes, los riesgos que entrañan y cómo se manifiestan sus ataques en el tráfico real.
¿Quién usa los bots?
En su día, los bots solo estaban al alcance de quien pudiera desarrollarlos. Hoy en día, en cambio, se pueden comprar a través de organizaciones legítimas, mercados o incluso la internet oscura para ayudar a particulares y empresas a lograr sus objetivos. Cualquiera que disponga de los conocimientos técnicos o el dinero suficiente puede usarlos para efectuar acciones legítimas o maliciosas. Los bots pueden ser:
Rastreadores web que utilizan los buscadores para detectar, rastrear e indexar páginas web de internet.
Bots de extracción de cuentas que automatizan el robo de credenciales de inicio de sesión con tal de acceder, sin autorización, a cuentas de usuarios de varias plataformas.
Bots de clics fraudulentos que simulan clics en anuncios online para inflar los ingresos por publicidad o sabotear las campañas publicitarias de la competencia.
Hay decenas de tipos de bots que puedes explorar aquí. Es importante conocer los distintos tipos de bots y, más aún, los tipos que suponen un riesgo para la seguridad. El conocimiento ayuda a establecer las protecciones adecuadas.
Bots legítimos y bots maliciosos
En esta introducción a los bots, es importante remarcar que se suelen dividir entre bots legítimos y bots maliciosos. Unos y otros presentan las mismas capacidades, pero los bots legítimos sirven propósitos legales y/o éticos, y es más que probable que los uses a diario. Por ejemplo, Google y casi todo el resto de los buscadores utilizan los bots rastreadores para encontrar y mostrarte los mejores resultados de tu búsqueda, mientras que asistentes como Alexa o Siri son chatbots que ayudan a realizar todo tipo de tareas. También existen bots de traducción para entender textos en otros idiomas, bots financieros para realizar transacciones en bolsa y muchos otros que nos ayudan en nuestro día a día.
En cambio, los bots maliciosos son, efectivamente, los que contribuyen a realizar delitos cibernéticos, pero también los que no siguen los términos de servicio de una aplicación o las reglas de comportamiento estipuladas por el archivo robots.txt. Puede que esto último no sea ilegal de por sí, pero son acciones que van en contra de la ética y las intenciones del dueño del sitio y, por tanto, también consideramos a esos bots maliciosos. Los bots maliciosos representan un volumen asombroso del tráfico que se produce en la red. Sin ir más lejos, solo en el tercer trimestre de 2020, los bots maliciosos lanzaron más de 1300 millones de ataques o, lo que es lo mismo,15 millones de ataques al día.
Ejemplos comunes de bots legítimos | Comportamientos comunes de bots maliciosos |
Bots rastreadores de buscadores Chatbots de asistentes (Alexa o Siri) Bots de traducción Bots financieros | Ataques DDoS Creación de cuentas falsas Generar clics de anuncios falsos Validar tarjetas de crédito robadas |
Cómo se usan los bots maliciosos
En última instancia, los bots maliciosos atacan para dañar a personas u organizaciones y, al mismo tiempo, aportar beneficios al atacante. Hay varios tipos de bots maliciosos, pero muchos se usan para acceder a información sensible o interrumpir las operaciones habituales de una organización.
Los bots maliciosos pueden sustraer información personalmente identificable (PII), como son nombres, números de la Seguridad Social, números de tarjetas de crédito, nombres de usuario, contraseñas, etc. Cualquier dato sensible al que puedas acceder en tu ordenador es un blanco potencial para atacantes, que usarán esa información para realizar compras sin autorización, entrar en cuentas privadas o comerciar en la internet oscura (dark web). Para que veas, prueba a escribir alguna de tus contraseñas en haveIbeenpwned.com. Se trata de un popular sitio que analiza la internet oscura en busca de contraseñas vendidas en listas y te avisa cuando alguna de las que usas está en peligro.
Los bots maliciosos también pueden interrumpir el día a día de un negocio. Normalmente, estos ataques los llevan a cabo usuarios que quieren atraer la atención o dañar las operaciones de una organización para perjudicar sus ventas o reputación.
También existen ciberactivistas que utilizan bots maliciosos contra empresas u organismos gubernamentales contrarios a sus ideas. Hace poco, en la guerra ruso-ucraniana, unos ciberactivistas antirrusos de Bielorrusia ralentizaron el avance de las tropas rusas mediante ataques de bots que terminaron dejando fuera de servicio varias rutas del sistema ferroviario. En este apartado también se suele hablar de grupos de hackers como Anonymous.
Ten en cuenta que los motivos para lanzar ataques parecen no tener fin, y solo hemos visto unos pocos ejemplos de cómo estos se usan para lograr ciertos objetivos. En el artículo informativo sobre tipos de bots maliciosos descubrirás los tipos más comunes en la actualidad.
Además de lo que ya hemos mencionado, la influencia en el mundo real de los bots es notable porque pueden utilizarse para crear cuentas falsas, atacar servidores y evitar que estén disponibles para los usuarios, realizar fraudes o entorpecer el rendimiento de recursos online.
Cómo se lanzan ataques con bots maliciosos
Ahora mismo tienes acceso a este artículo desde el frontend del sitio web de Fastly, pero los bots maliciosos entran en las aplicaciones por otras vías: se mandan desde interfaces de la línea de comandos o desde interfaces gráficas de usuario (GUI) que crean superposiciones fáciles de usar incluso por parte de hackers novatos para lanzar ataques.
Desde una interfaz de la línea de comandos, se escriben las instrucciones en el código de los bots y estos cumplen su cometido sin acceder a internet por los canales habituales. Si el bot extrae la información, el resultado también se muestra en esa ventana.
Lanzar un asalto desde una plataforma con GUI es tan sencillo como utilizar un programa cualquiera. La interfaz te dice qué necesita de ti y, con apenas un clic, puedes atacar la aplicación que hayas escogido. En el ejemplo de abajo, tenemos un servicio de DDoS comercial que se sirve de una botnet con decenas de miles de bots para lanzar ataques de al menos 500 Gbit/s a unas aplicaciones concretas. Para que te hagas una idea de la magnitud, un ataque de DDoS de gran volumen se suele situar a partir de los 50 Gbit/s, por lo que este servicio ofrece un volumen 10 veces superior a cualquiera que lo pague.
Además, muchos ataques consiguen ampliar su ámbito de aplicación gracias a botnets o redes de bots.
El futuro de los bots
El progreso continuado de la IA y el aprendizaje automático alimentará el desarrollo de bots para todos los casos prácticos. Los bots que cuenten con los últimos avances en estos ámbitos actuarán y parecerán más humanos cuando conversen y/o automaticen tareas. Por ejemplo, los chatbots que funcionen con los últimos avances en procesamiento del lenguaje natural (NLP) y grandes modelos de lenguaje (LLM) parecerán más humanos cuando manden sus respuestas. Podríamos encontrarnos también con que películas como Her se hagan realidad y que los chatbots con IA parezcan tan reales que enamoren a los humanos (eh, sobre gustos no hay nada escrito).
Asimismo, los avances en IA y aprendizaje automático plantean grandes retos para los profesionales de la seguridad de aplicaciones porque costará más detectar a los bots maliciosos. Hay numerosas estrategias actuales de detección y bloqueo de este tipo de bots que perderán su eficacia y quedarán obsoletas ante los bots más avanzados. Entonces el personal de seguridad tendrá que evolucionar para mantener la protección. Somos conscientes de que estamos describiendo un futuro distópico, pero es probable que la realidad sea menos desoladora. En el juego del gato y el ratón que mantienen los profesionales de la seguridad y los atacantes, los avances tecnológicos abren nuevos campos de batalla virtuales en los que cada parte intenta ganar la iniciativa. Pero aunque los bots maliciosos pueden tener éxito en algunos ataques, la historia nos demuestra que al final se pueden contener.
Ejemplos comunes de bots en la vida real
En la vida real nos encontramos con muchos ejemplos de bots y botnets pero no somos conscientes de que lo son.
Una de las botnets más famosas son Mirai, que en 2016 se hizo famosa por infectar miles de dispositivos IoT como cámaras y rúters para desatar un ataque DDoS que puso fuera de servicio a Twitter y Netflix.ner
Otra botnet muy famosa fue Emotet. Estuvo en activo hasta 2021, empezó como malware bancario para robar datos y evolucionó hasta distribuidora de malware.
Los bots también son muy utilizados para el credential stuffing, que consiste en un ciberataque donde se utilizan bots para acceder a un sitio web con credenciales conseguidas en la Dark Web.
Cómo detectar actividad de bots
Estos son algunos de los indicios o señales que pueden indicar la existencia de actividad de bots:
Picos o caídas repentinos de la actividad en una página web.
Patrones repetitivos
Patrones de conversión extraños
Sesiones cortas
Es posible que cuando se detecten estas señales sea demasiado tarde porque los bots evolucionan con mucha rapidez y es difícil mantener actualizadas las herramientas necesarias para detenerlos.
Cómo proteger tu sitio frente a los bots
Aquí podemos ver un listado de las medidas para prevenir un ataque con bots:
Limitación de tasa: restringir el número de peticiones por IP para evitar ataques por fuerza bruta o DDoS.
Validación como desafíos o CAPTCHAs para comprobar que el usuario es humano. Muy recomendable en formularios y accesos.
Defensas en capas: se recomienda establecer varias capas de defensa mediante WAF.
Una gestión de bots automatizada
Los bots maliciosos pueden afectar negativamente a tus resultados financieros y a la experiencia de tus clientes. El WAF de última generación de Fastly actúa rápidamente para identificar y mitigar la actividad de los bots maliciosos, protegiendo tus aplicaciones y API frente a varias eventualidades provocadas por los mismos. Es una solución de eficacia probada para organizaciones de todas las envergaduras, estén donde estén. Explora sus capacidades.
Ser capaz de controlar y gestionar los bots es importante tanto para que tu organización pueda beneficiarse de sus capacidades como para protegerla de los ataques maliciosos y mantener los datos a salvo.
Por eso es importante confiar en profesionales reconocidos con grandes conocimientos de gestión de bots y protección WAAP (Protección de API y aplicaciones web) para que te ayuden a aprovechar todo el potencial.