Es momento de reevaluar tus contramedidas contra bots.
Si usted, como profesional de seguridad, cree que ha resuelto su problema de mitigación de bots, piénselo nuevamente.
Los bots causan un tremendo dolor financiero: los bots de credential stuffing conducen a la apropiación de cuentas, los bots de revendedores no autorizados hacen un fiasco en los lanzamientos de productos y las ofertas por tiempo limitado, los bots de raspado reducen el rendimiento y aumentan los costos de infraestructura, los bots de descifrado de tarjetas de regalo vacían los saldos y enfurecen a los clientes. No sólo es grande el impacto, sino que la probabilidad de un ataque a las empresas en línea es casi del 100 por ciento porque los ataques son muy lucrativos para los delincuentes. Dado el alto impacto y la alta probabilidad, claramente se necesita una estrategia de seguridad efectiva. Sin embargo, como lo demuestran los titulares recientes, los atacantes continúan desarrollando formas de evitar las defensas contra bots comúnmente implementadas, por lo que este es el momento adecuado para reevaluar las contramedidas que tiene implementadas contra los bots.
El 24 de enero de 2023, Joe Berchtold, presidente de la empresa matriz de Ticketmaster, Live Nation, testificó ante el Tribunal de Apelaciones de Estados Unidos. El Comité Judicial del Senado declaró que los bots revendedores fueron responsables del mal manejo de las ventas de entradas para la próxima gira de Taylor Swift. “Esto es lo que llevó a una terrible experiencia para el consumidor, que lamentamos profundamente”, dijo Berchtold a los senadores.
También en enero de 2023, CNET informó que miles de personas que usan el administrador de contraseñas Norton recibieron avisos de que una parte no autorizada podría haber obtenido acceso a su información personal junto con las contraseñas almacenadas en sus bóvedas. Gen Digital, la empresa matriz de Norton, atribuyó el incidente de seguridad a un ataque de credential stuffing impulsado por un bot que detectó cuando su sistema IDS (Sistemas de Detección de Intrusiones) marcó un número inusualmente alto de inicios de sesión fallidos.
Ticketmaster había invertido en mitigar los bots, y podemos asumir que Gen Digital también tenía protecciones implementadas. Aún así, los bots todavía causan daños a la seguridad, impactando la disponibilidad y la confidencialidad, además de generar mucha mala prensa. Esto plantea una pregunta obvia: Si bien las soluciones anti-bots han estado disponibles durante años, ¿por qué tantas defensas contra bots no logran mitigar los bots maliciosos?
Para las organizaciones que todavía dependen del CAPTCHA, la respuesta es obvia. Aparte de molestar a los clientes reales y reducir las tasas de conversión del comercio electrónico, CAPTCHA no funciona. Simplemente haga una búsqueda en Internet sobre servicios de resolución de CAPTCHA y encontrará al menos una docena que compiten en precio y velocidad. El creador de una biblioteca de código abierto se ha propuesto hacer que sea extremadamente fácil evitar el CAPTCHA :
“Los CAPTCHA en su forma actual han fallado. Son un obstáculo y una molestia mucho mayor para los humanos que para los robots, lo que los vuelve inútiles. Mi contribución anarquista a esta discusión es demostrar este absurdo, con un complemento para robots con el que una sola línea de código es todo lo que se necesita para evitar los reCAPTCHA en cualquier sitio”.
Para las organizaciones que dependen de listas de denegación de IP basadas en WAF para mitigar los bots, la tarea es igualmente desesperanzada. Hay servicios disponibles que ofrecen a los creadores de bots decenas de millones de direcciones IP residenciales destinadas a eludir la detección de bots. Estos servicios se anuncian como proxies residenciales rotativos; el bot envía solicitudes http al proxy, de forma similar a como muchos navegadores corporativos envían solicitudes a través de proxies de reenvío, y el servicio rota continuamente la dirección IP pública utilizada para enviar la solicitud al sitio web o la API. Anteriormente, los bots solían usar proxies de centros de datos, a menudo de servicios en la nube, que son bien conocidos y fáciles de identificar. Sin embargo, estos nuevos servicios de proxy utilizan direcciones IP residenciales de la misma área geográfica que sus clientes. Debido a que cada dirección IP podría representar simultáneamente un bot o un cliente válido debido al NAT de los ISP, no es posible bloquear todas estas direcciones IP sin rechazar a sus clientes reales.
Yendo un paso más allá, nuevos servicios comerciales como ZenRows , ScrapFly y ScrapingBee hacen que el web scraping sea tan sencillo como llamar a una API. Estos servicios asumen la plena responsabilidad de eludir las defensas antibots en tu nombre. Si bien estos servicios basados en API se centran exclusivamente en el scraping, que es legal en Estados Unidos y la Unión Europea, los delincuentes tienen acceso a servicios similares en la dark web que realizan ataques de bots más nefastos, como el credential stuffing.
Además de los servicios comerciales, varios proyectos de código abierto están abordando la elusión de bots. Un complemento oculto para Puppeteer, una popular herramienta de pruebas y automatización de node.js, permite a Puppeteer evitar la detección. Un grupo activo de desarrolladores mantiene el proyecto en GitHub y emite actualizaciones cada vez que se sabe que una defensa contra bots lo detecta. Según su documentación, “Como este juego del gato y el ratón está en sus primeras etapas y es de ritmo rápido, el complemento se mantiene lo más flexible posible para soportar pruebas e iteraciones rápidas”. Una biblioteca similar, undetected-chromedriver , está dirigida a los desarrolladores de Python. En el espíritu del código abierto, el propósito de estos proyectos es mantener la web abierta para que los desarrolladores puedan ejecutar automatización en las aplicaciones. Desafortunadamente, esta capacidad es fácilmente explotable por los delincuentes.
A medida que más organizaciones participan en la creación de proyectos de código abierto y servicios comerciales, los desarrolladores involucrados en eludir las defensas de los bots aprenden y comparten información. Estas instrucciones guían a los lectores a través de los pasos para desofuscar el JavaScript de las herramientas de detección y descifrar cómo estas herramientas empaquetan sus datos para transportarlos a su servicio de detección. Al aplicar ingeniería inversa al código del lado del cliente, estos desarrolladores descubren cómo funcionan las herramientas de detección. Por ejemplo, un desarrollador de ZenRows comparte lo que aprendió sobre el tamaño de las ventanas y la forma en que los servicios de detección de bots detectan inconsistencias:
“En la imagen de ejemplo de datos del sensor, podemos ver que envía el tamaño de la ventana. La mayoría de los puntos de datos están relacionados: pantalla real, disponible, tamaño interno y externo. El interior, por ejemplo, nunca debe ser más grande que el exterior. Los valores aleatorios no funcionarán aquí. Necesitarías un juego de tamaños reales”.
Teniendo en cuenta la gravedad de la amenaza, claramente es momento de reevaluar sus contramedidas para mitigar los bots. Como líder en eficacia en detección de bots, F5 puede ayudar. Si desea comprender el estado real de la eficacia de su mitigación de bots, qué bots está pasando por alto y cuánto le está costando a su negocio, F5 ofrece una evaluación de amenazas gratuita y una consulta sobre el impacto de los bots en el negocio .