El auge de los bots (Preguntas y respuestas con Dan Woods, parte 2)

Desde la propagación de mentiras y la manipulación de los usuarios de las redes sociales hasta la perturbación de los negocios globales, los bots son un tema cada vez más candente. 

En la segunda parte de nuestra sesión de preguntas y respuestas con Dan Woods, director global de inteligencia en F5, exploramos qué hacen los bots, los riesgos que hay que tener en cuenta y cómo las organizaciones pueden adaptarse a las amenazas cambiantes. ( Enlace a la primera parte )    

¿Qué son los bots y por qué son potencialmente peligrosos?

Los bots son fragmentos de código que automatizan tareas. Consultar el saldo de las tarjetas de regalo es un ejemplo de ello.

¿Por qué alguien haría esto? Bueno, todo lo que necesita un mal actor para robar la cantidad almacenada en una tarjeta de regalo es el número de tarjeta de 16 dígitos y el PIN. Podrían utilizar una versión modificada del bot mencionado anteriormente para verificar el saldo de millones, incluso miles de millones, de pares de números de tarjetas y PIN. Cuando encuentran un par de número de tarjeta-PIN con saldo, pueden venderlo a un tercero. El verdadero propietario de la tarjeta de regalo ni siquiera se dará cuenta de que el saldo fue robado hasta que intente usarla.

También se están utilizando bots para rastrear los sitios web de las compañías de seguros. Si desea una cotización de seguro de vida, debe pasar por un proceso que pregunta su edad, dónde vive, a qué se dedica, etc. Los competidores y terceros pueden usar un bot para navegar por el mismo flujo de trabajo, proporcionando cada vez respuestas diferentes. Esto les permite realizar ingeniería inversa del algoritmo de precios de la compañía de seguros.

Uno de los mayores problemas es el uso de bots maliciosos para probar nombres de usuario y contraseñas filtrados (de la red oscura o de una vulneración en alguna empresa) contra las aplicação de inicio de sesión de otras empresas. Debido a los hábitos de los consumidores de reutilizar nombres de usuario y contraseñas, estos ataques suelen abarcar entre el 0,1 y el 3,0 % de las cuentas intentadas. Entonces, cuando un actor malicioso prueba cientos de millones de pares de nombre de usuario y contraseña, termina comprometiendo decenas de millones de cuentas.

Otros ejemplos disruptivos incluyen un bot que compra muchas zapatillas deportivas o entradas para conciertos por tiempo limitado dentro de los 30 segundos posteriores a su puesta en venta y luego las revende a precios inflados en el mercado secundario. O si una empresa ofrece algo de valor por abrir una cuenta en línea, como una taza de café gratis, entonces un bot podría crear miles de cuentas para disfrutar de miles de tazas de café gratis. O tal vez una organización criminal necesita muchas cuentas en línea para dedicarse al lavado de dinero.

¿Son todos los bots malos?

No todos los bots son malos. Por ejemplo, Googlebot rastrea e indexa miles de millones de sitios web para posibilitar las búsquedas. Kayak y otras agencias de viajes en línea comparan las tarifas de aerolíneas y hoteles de muchas compañías de viajes para ofrecerles a sus clientes las mejores ofertas.

¿Cuál es el impacto de los bots en las empresas de redes sociales?

Hace unos años, una empresa de redes sociales contrató a F5 para comprender mejor los bots que estaban activos contra sus aplicações web y móviles. Cuando entramos en línea e implementamos nuestras señales del lado del cliente (las señales que nos ayudan a identificar bots), determinamos que más del 90% de todos sus inicios de sesión estaban relacionados con bots. En base a la alta tasa de éxito de inicio de sesión y las conversaciones con los clientes, estas cuentas fueron asociadas con estafas de favoritismo . Desafortunadamente, algunas empresas de redes sociales no están interesadas en saber la verdad sobre el tráfico de sus bots porque la verdad tendría un impacto negativo en su DAU y en el precio/valoración de sus acciones.

¿Cómo pueden los bots influir en la opinión pública y manipular a los usuarios de las redes sociales?

¿Te imaginas la influencia que un mal actor podría ejercer si tuviera control programático sobre millones de cuentas de Twitter, TikTok, Facebook o Instagram? Para empezar, podrían amplificar un volumen significativo de noticias y contenidos para influir en la opinión pública.

Durante los últimos seis o siete años, cada vez que veía un incentivo, un medio y la falta de una contramedida significativa antes de entrar en la fila, siempre observaba la automatización que esperaba después de entrar en la fila. No tengo ninguna duda de que los actores políticos y estatales están utilizando las plataformas de redes sociales para influir en la opinión pública e incluso en las elecciones.

Todo el mundo es impresionable. Algunos más que otros. Si un comediante cuenta un chiste y tú no te ríes, pero todos los demás sí, es posible que empieces a creer que el chiste en realidad era gracioso. Es por esto que las comedias de situación usaban pistas de risa. Cuanto más impresionable es alguien, más probable es que cambie de opinión debido a la presión de sus pares, incluso si esos pares son en realidad bots.

¿Por qué las empresas subestiman el problema de los bots?

Muchos bots aumentan las pérdidas debido al fraude. Pero el daño no termina allí: dependiendo del volumen de bots, también podría aumentar los costos asociados con las CDN o herramientas contra el fraude que cobran según la cantidad de transacciones. Además, pueden afectar negativamente la latencia y arruinar la experiencia del usuario para los clientes legítimos. Las métricas distorsionadas también podrían influir negativamente en el gasto y la toma de decisiones corporativas.

La mayoría de las empresas quieren saber la verdad. Quienes utilizan F5 aprenden la verdad, pero quienes intentan detectar bots como un proyecto de bricolaje casi siempre subestiman el tamaño del problema por algunas razones.

En primer lugar, los bots ahora utilizan cientos de miles o incluso millones de direcciones IP. Los equipos de seguridad generalmente pueden identificar los cientos o miles de IP más ruidosos. Sin embargo, se pierden la cola larga de IP que el bot solo utiliza unas pocas veces. En segundo lugar, los ataques de bots suelen aparecer de forma gradual a lo largo del tiempo, lo que los hace más difíciles de reconocer y no confundir con el crecimiento orgánico. Después de trabajar con F5, las organizaciones a menudo encuentran los resultados impactantes e increíbles, pero rápidamente se convierten en creyentes cuando ven los datos.

¿Qué deben hacer las organizaciones para reducir el problema de los bots en sus sitios?

Dos cosas: deben recopilar señales del lado del cliente (del usuario, del agente de usuario, del dispositivo y de la red) y deben tener dos etapas de defensa.

Algunos ejemplos de señales del lado del cliente incluyen el momento de las pulsaciones de teclas y los clics/movimientos del mouse, los complementos, las fuentes, la utilización de la pantalla, la cantidad de núcleos, la forma en que el agente de usuario realiza cálculos de punto flotante o representa emojis, y docenas de señales más.

No necesitas cientos o miles de señales. Sólo necesitas unas pocas docenas de señales de alta calidad que sean muy difíciles de falsificar. Estas señales se suelen recopilar mediante JavaScript en navegadores web y móviles, y mediante un SDK instalado junto con la aplicación nativa. Una vez mitigados los ataques en la web, estos pasarán a atacar la API móvil. El JavaScript y el SDK también deben estar bien reforzados para dificultar enormemente la ingeniería inversa.

Ahora veamos las dos etapas de la defensa.

La primera etapa es casi en tiempo real (menos de 10 ms) y aprovecha las señales asociadas con una sola transacción. Si las señales indican que se trata de un bot no deseado, tome medidas de mitigación. Si las señales indican que la transacción proviene de un humano, pásela al origen para su procesamiento normal. Si bien esta primera etapa identificará casi todos los bots, no es capaz de seguir el ritmo de las reestructuraciones (cuando un atacante se da cuenta de que su ataque está siendo mitigado y decide mejorar su bot para superar la contramedida).

Las reestructuraciones son la razón por la que las organizaciones necesitan una segunda etapa de defensa. Mientras que la primera es casi en tiempo real, la segunda etapa es retrospectiva. Es donde los modelos de IA/ML operan en transacciones agregadas (todas las transacciones que llegaron en los últimos 30 segundos, minutos, horas, días, etc.). Aun así, las organizaciones no pueden confiar exclusivamente en la IA/ML para encontrar nuevas herramientas. Deben contar con humanos que revisen las alertas emitidas por los sistemas de IA/ML para eliminar los falsos positivos. Y asegúrese de que los modelos IA/ML estén aprendiendo correctamente. Cuando las organizaciones encuentran tráfico de bots no deseado en la segunda etapa, también deben poder actualizar las defensas en tiempo real para mitigar el tráfico de bots recién descubierto sin afectar el tráfico de clientes legítimos.

F5 proporciona ambas etapas de defensa, la IA/ML y los humanos, como un servicio administrado. La lucha contra los bots nunca debería ser un proyecto que puedas hacer tú mismo.

¿La amenaza de los bots va a empeorar?

Es imposible cuantificarlo, pero el problema de los bots ciertamente ha aumentado en los últimos seis o siete años. Durante este tiempo, he visto bots maliciosos y molestos lanzar automatizaciones contra empresas de prácticamente todos los sectores verticales. Justo cuando creo que he visto todos los casos de uso, surge uno nuevo. ¡Quitar la vista de la pelota nunca es una opción!