¿Los bots están evadiendo tus defensas? 3 tendencias contra las que debemos protegernos
En el panorama digital actual, donde las aplicações y las API son el elemento vital de las empresas, acecha una amenaza silenciosa: los sofisticados adversarios bot. Si bien las medidas de seguridad tradicionales se centran en prevenir ataques maliciosos, las amenazas automatizadas se filtran sin ser detectadas imitando el comportamiento humano y explotando brechas en la lógica de las aplicação de formas inesperadas.
El Informe sobre bots persistentes avanzados 2025 publicado recientemente por F5 Labs arroja luz sobre las tácticas en evolución de los bots persistentes avanzados y los desafíos que plantean. Si bien querrás leer el informe completo, aquí hay tres tendencias que me llamaron la atención de la investigación de este año y lo que las empresas pueden hacer para protegerse.
1.Credential stuffing: Cuando las contraseñas robadas exponen datos valiosos
Imagine un escenario en el que los ciberdelincuentes utilizan credenciales robadas y fácilmente disponibles para acceder a cuentas de usuarios confidenciales. Esta es la realidad del credential stuffing, un ataque frecuente impulsado por bots que explota la práctica generalizada de reutilizar contraseñas. Según F5 Labs, algunas organizaciones experimentan que más del 80% del tráfico de inicio de sesión proviene de ataques de credential stuffing lanzados por bots. El informe destaca que, incluso con una baja tasa de éxito del 1% al 3% por campaña de ataque, el gran volumen de inicios de sesión automatizados se traduce en una cantidad sustancial de cuentas comprometidas.
Incidentes como la violación de datos de PayPal en 2022, donde se accedió a casi 35.000 cuentas de usuarios para exponer información personal altamente monetizable , proporcionan bases de datos masivas de nombres de usuario y contraseñas para uso malicioso en otros servicios en línea. Debido a que muchas personas reutilizan contraseñas, incluso una pequeña tasa de éxito puede generar un éxito significativo. Estos datos pueden luego usarse para transacciones fraudulentas o robo de datos, o venderse en la red oscura para ataques dirigidos.
En los últimos años, varias marcas conocidas han informado de ataques de credential stuffing . La caída de la empresa de pruebas genéticas 23andMe se atribuyó, en parte, a una campaña de credential stuffing que expuso información sobre la salud y la ascendencia de los clientes. Se encontraron datos a la venta en la dark web a un precio de 1.000 dólares por 100 perfiles y hasta 100.000 dólares por 100.000 perfiles.
La compañía citó la falta de adopción de la opción de autenticación multifactor (MFA) del sitio por parte de los clientes como la falla principal, pero, de hecho, la naturaleza insidiosa del credential stuffing radica en su capacidad para eludir las medidas de seguridad tradicionales. Dado que los bots utilizan credenciales legítimas y no intentan explotar ninguna vulnerabilidad, no activan las alarmas típicas. La MFA puede ayudar, pero debido al aumento de los servidores proxy de phishing en tiempo real (RTPP), no es infalible. Las organizaciones deben implementar soluciones de detección de bots inteligentes que analicen patrones de inicio de sesión, huellas digitales de dispositivos y anomalías de comportamiento para ver qué está sucediendo realmente.
2.La hospitalidad bajo asedio: Los bots de tarjetas de regalo y el auge del «carding»
Si bien los sectores financiero y minorista suelen considerarse objetivos principales de los ciberataques, la investigación de F5 Labs mostró que el sector hotelero es un blanco frecuente de la actividad de bots maliciosos. En particular, se ha descubierto que los bots de "carding" y de tarjetas de regalo apuntan a sitios web y API de hotelería, y algunas organizaciones experimentan un aumento del 300 % en la actividad de bots maliciosos en comparación con el año pasado. El informe también señala que el valor promedio de las tarjetas de regalo a las que apuntan los bots está aumentando.
Carding utiliza bots para validar números de tarjetas de crédito robadas probándolos rápidamente en páginas de pago y API. Los bots de tarjetas de regalo explotan los programas de fidelización y los sistemas de tarjetas de regalo. Los atacantes los utilizan para verificar saldos, transferir puntos o canjear recompensas ilegalmente. Estos bots a menudo apuntan a vulnerabilidades como patrones simples e identificaciones secuenciales de tarjetas de regalo.
La vulnerabilidad de la industria hotelera surge del hecho de que los puntos de fidelidad y las tarjetas de regalo son esencialmente moneda digital. Los ciberdelincuentes pueden convertir fácilmente estos activos en efectivo o utilizarlos para comprar bienes y servicios.
Para protegerse, las empresas hoteleras deben implementar estrategias sólidas de detección y mitigación de bots diseñadas específicamente para abordar este tipo de amenazas. Esto incluye monitorear la actividad de las tarjetas de regalo, analizar patrones de transacciones e implementar soluciones que puedan diferenciar entre humanos y bots. Los CATPCHA, que alguna vez fueron la solución preferida para bloquear bots, han sido fácilmente eludidos por los operadores de bots durante años, como veremos a continuación.
3.Evitando a los guardianes: Proxies residenciales y la inutilidad de los CAPTCHA
Las defensas tradicionales contra bots, como los CAPTCHA y el bloqueo de IP, están fallando frente a tácticas de evasión cada vez más sofisticadas. Los operadores de bots pueden subcontratar fácilmente la resolución de CAPTCHA a granjas de clics humanos, donde a las personas se les paga pequeñas cantidades para resolver desafíos a pedido.
Además, el auge de las redes proxy residenciales es un factor importante. Estas redes enrutan el tráfico de bots a través de IP residenciales mediante dispositivos comprometidos, enmascarando las verdaderas direcciones IP de los bots. El informe de F5 Labs sugiere que los operadores de bots ahora utilizan ampliamente los servidores proxy residenciales y que la mayoría del tráfico de bots parece originarse en estas redes.
El proveedor de gestión de identidad, Okta, destacó el papel de la amplia disponibilidad de servicios de proxy residencial en un aumento de ataques de credential stuffing contra sus usuarios el año pasado. La compañía dijo que millones de solicitudes falsas habían sido enrutadas a través de servidores proxy residenciales para que parecieran originadas desde dispositivos móviles y navegadores de usuarios cotidianos, en lugar de desde el espacio IP de los proveedores de servidores privados virtuales (VPS).
Para combatir eficazmente estas técnicas de evasión avanzadas, las organizaciones necesitan ir más allá de las defensas tradicionales y adoptar soluciones de bots inteligentes. Estas soluciones aprovechan el aprendizaje automático y el análisis del comportamiento para identificar bots en función de sus características únicas. Al centrarse en el comportamiento humano, en lugar de confiar en direcciones IP o CAPTCHA, las organizaciones pueden detectar y bloquear con mayor precisión ataques de bots sofisticados.
Navegando por el panorama de riesgos: Encuentra el punto óptimo de defensa contra bots
En última instancia, el nivel de defensa contra bots que implementa una organización depende de su tolerancia al riesgo. Cada empresa debe sopesar los costos y beneficios potenciales de las diferentes estrategias de mitigación y determinar el nivel de riesgo que está dispuesta a aceptar.
Eliminar por completo todo el tráfico de bots puede no ser factible (ni siquiera deseable), ya que algunas actividades automatizadas son legítimas y beneficiosas. Sin embargo, no abordar la actividad de bots maliciosos puede generar pérdidas financieras significativas, daños a la reputación y frustración de los clientes.
La clave es encontrar el equilibrio adecuado. Al comprender los diferentes tipos de bots que atacan a su organización, evaluar el impacto potencial de sus actividades e implementar medidas de detección y mitigación adecuadas, puede gestionar eficazmente el riesgo de bots y proteger a su empresa (y a sus clientes) de las amenazas avanzadas de bots persistentes.
Para obtener más información, lea el informe completo aquí . Además, visita nuestra página web F5 Distributed Cloud Bot Defense .