El ‘Informe Bad Bot 2020: Los Bad Bots contraatacan’ de Imperva, proveedor de servicios de ciberseguridad, refleja que el 24,1% del tráfico de sitios web fue generado por bots maliciosos durante 2019 y que se incrementó un 18,1% respecto a 2018. La mayoría de la actividad de esos bots va dirigida contra empresas, que en un alto porcentaje de casos ni siquiera son capaces de detectarlos, concretamente 4 de cada 5, según el informe Web Application Security in a Digitally Connected World, November 2017.

Pero, ¿qué son los bots? Por definirlos de una forma clara, se puede decir que se trata de programas informáticos preparados para realizar tareas repetitivas a través de internet. Y, actualmente, uno de los ataques más frecuentes que sufren las compañías. Se suele distinguir entre bots ‘buenos’ y ‘malos’, englobando entre los primeros los buscadores, las plataformas de monitorización y los chatbots, entre otros. No obstante, es necesario advertir que se debe tener mucho cuidado con la información que se pone a disposición de esos buscadores, pues está comprobado que son la mayor base de datos del mundo para los hackers.

¿A qué nos referimos, entonces, cuando hablamos de bots ‘malos’? Básicamente, podemos distinguir cuatro tipos: scripts, (1ª generación); headless browsers, es decir, bots que utilizan navegadores de líneas de comandos (2ª generación); human-like interaction, que imitan el comportamiento de los humanos (3ª generación), y ataques distribuidos con evasión avanzada, que también simulan los movimientos humanos (4ª generación). Entre el 40% y el 60% del tráfico de páginas web está generado por los de 1ª y 2ª generación, que son mucho menos sofisticados y, por tanto, requieren menos esfuerzo de los piratas informáticos para conseguir lo que quieren. Eso también nos da idea de lo poco protegidas que están las empresas ante estas agresiones.

Por lo que se refiere a los tipos de ataques de estos bots maliciosos, los más comunes se pueden resumir en siete:

  • Account takeover. Uso de cuentas de otra persona para obtener información de productos y servicios. Para ello, roban usuario y pasword.
  • Web scraping. Se usan bots para extraer datos no estructurados y convertirlos en estructurados de las web públicas, es decir, roban el contenido y la información de la base de datos de un sitio web.
  • Denial of Inventory. Consiste en agotar las existencias de bienes o servicios sin completar la compra o comprometerse con la transacción. Lo han notado el 45% de las empresas, según Web Application Security in a Digitally Connected World, Nov 2017.
  • Fuga de información (OSINT). Hace uso de la información útil disponible en una página web para conseguir ataques dirigidos. Este es uno de los motivos por los que hay que tener especial cuidado con la información que se deja conseguir a los bots ‘buenos’.
  • Application DDOS. Se trata de un ataque que consiste en generar un gran flujo de información desde varios puntos de conexión hacia un mismo punto de destino, lo cual colapsa la web.
  • Payment Data Abuse. Estos bots realizan actividades fraudulentas contra tarjetas de crédito y otros métodos de pago, ya sea adivinando o abusando de los datos de pago ya conocidos (generalmente robados).
  • Skewed Marketing Analytics. Es un ataque que consiste en que los bots realizan múltiples clics en enlaces, solicitudes de páginas y envíos de formularios con la intención de realizar actividades fraudulentas, lo que falsea las métricas de marketing y hace tomar decisiones en base a datos que no son reales.

Sufrir uno de estos ataques afecta de manera importante a cualquier empresa, pues implican pérdida de datos, de ventas o de reputación, o de todos a la vez. Afortunadamente, para hacer frente a estos ataques, existen contramedidas clásicas, como los CAPTCHA, los test para diferenciar a los usuarios humanos de los bots; los fingerprinting, basados en el seguimiento de la huella digital de los equipos, u otros más modernos y sofisticados, como el radware, un sistema que analiza y se adapta a cada web para identificar los bots maliciosos. Nos defendamos con unos u otros, lo que siempre hay que tener en cuenta es que los hackers usan el sistema más básico, siempre que sea efectivo y les permita obtener rentabilidad.

El pasado 10/12/2020 publicaron en ABC el artículo «Bots»: la gran cruzada de las empresas contra el enemigo virtual, realizado por nuestro experto en cíberseguridad Manel Cantos. En este post has podido leer el contenido completo del mismo. 

Manel Cantos

Manel Cantos

Ingeniero de telecomunicaciones con más de 15 años de experiencia en el ámbito de la ciberseguridad, realizando proyectos de consultoría e integración, Experto en gestión red y blue teams. Certificado en CEH, CISM, CISSP, CISA, CGEIT, ITIL Expert v.3, CRISC, CDPSE, entre otros.

Leave a Reply

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.