De todo el tráfico de Internet registrado en 2022, el 47,4% fue tráfico automatizado. Es decir: bots. En comparación con el 42,% reportado durante el 2021, este cambio representa un aumento del 5,1%. Un dato llamativo es que, de todo este tráfico automatizado, el 30,2% estuvo en ¿manos? de los “Bad Bots”, alcanzando un aumento del 2,5% frente al 27,7% del 2021.
En comparación a 2013, las cosas parecen no haber cambiado demasiado. Por aquel entonces, los bots malos ya representaban el 23,6% del tráfico, los buenos tenían el 19,4% y el tráfico humano era del 57%.
Un momento, ¿qué es un Bad Bot?
Los bots malos son aplicaciones que ejecutan tareas automatizadas con fines maliciosos. Son capaces de crear ataques DDOS (denegación de servicio distribuido), como así también ataques dirigidos a redes, aplicaciones, empresas.
Los bots malos son muy útiles, hay que reconocerlo, para llevar adelante tareas delictivas, fraudes, robos de identidad, de dinero, de información, de lo que sea para lo que se los programe.
Crece el ataque a las APIs
Una API es una interfaz de programación de aplicaciones, un software que permite que dos o más aplicaciones se comuniquen entre sí. Se han vuelto increíblemente populares con la explosión de las aplicaciones móviles, web y dispositivos de IoT durante los últimos años.
Esta abundancia de las API las pone en la mira de los Bad Bot, que buscan apropiarse de las cuentas.
Los bots maliciosos que atacan a las APIs aprovechan los defectos en el diseño y la implementación de una API para manipular su funcionalidad legítima y robar datos confidenciales o acceder ilegalmente a las cuentas.
En 2022, el 17% de todos los ataques a APIs registrados a nivel global fueron realizados por bots maliciosos. A su vez, durante el mismo período, las API fueron blanco del 35% de los ataques.
Una de las principales razones por las que se han convertido en un objetivo principal para los ataques de apropiación de cuentas, pero todavía hay más.
Debido a que las API a menudo se comunican mediante programación, significa que un atacante puede automatizar más fácilmente el proceso de intentar tomar el control de una cuenta, sin generar ninguna alarma.
Al analizar los ataque según el target de las empresas, los servicios financieros fueron un objetivo importante, representando el 37,8 % de todos los ataques de ATO. Un ataque ATO es una forma de robo de identidad en la que el pirata informático utiliza PII (Personally Identifiable Information) robada para obtener acceso a una cuenta en línea, como ser una cuenta de comercio electrónico, banco, servicios, etc.
Luego, le siguieron los ataques a las empresas de telecomunicaciones e ISP (17,2 %), informática y TI (15,6 %), y Alimentación (8,5%).
Los ISP móviles también conservan su popularidad, con el 26,9% de los ataques lanzados desde ellos. La proporción de bots maliciosos que se lanzaron desde AWS aumentó del 7,95% en 2021 al 17,4% en 2022.
La mirada local
En México, durante el 2022, los sectores de telecomunicaciones (83,5%), los negocios de apuestas online (83%), los videojuegos (58,6%) las empresas de turismo (50,4%) y la industria de entretenimiento (47,5%) experimentan el mayor volumen de ataques de bots maliciosos. A su vez, el comercio minorista y los servicios financieros experimentaron un incremento considerable en el volumen de ataques en 2022.
Los dispositivos móviles siguen siendo la elección más popular para los operadores de bots maliciosos y sigue en aumento, ya que el 39,1 % de los bots maliciosos intentan evadir la detección haciéndose pasar por uno.
Debajo del radar: Evasive Bad Bots
Dentro del submundo del bot y la delincuencia, también están los “Bots malos evasivos” y aquí las cosas se ponen interesantes.
Este término, acuñado por Imperva, define a aquellos bots que mediante distintas técnicas son capaces de evadir la detección. Gracias a las IP aleatorias, proxys anónimos, cambios de identidad, derrota de CAPTCHA, etc, logran evadir la detección mientras mantienen la persistencia en los sitios de destino.
Por lo general trabajan con un enfoque “bajo y lento”, que les permite llevar a cabo ataques significativos utilizando menos solicitudes, lo que les permite no destacarse de los patrones de tráfico normales. De esa manera, evitan la activación de los umbrales de detección de seguridad basados en tasas. Este método, en síntesis, reduce el “ruido” o los grandes picos de tráfico generados por muchas campañas de bots maliciosos.
Recomendaciones de seguridad para la detección Bad Bots y Fraude Automatizado
Identificación de riesgos
Detener el tráfico de bots comienza con la identificación de riesgos potenciales para su sitio web:
Las campañas de marketing y comercio electrónico atraen más bots. Asegúrese de estar preparado para manejar el alto volumen de tráfico, incluida una alta proporción de bots evasivos que intentan recoger los productos y negar el acceso a sus clientes.
Comprender las formas en que su sitio podría convertirse en un objetivo es clave para una estrategia exitosa de administración de bots. Algunas funcionalidades del sitio web son altamente explotables por bots maliciosos. Agregar la funcionalidad de inicio de sesión crea la oportunidad para los ataques Credential Stuffing y Credential Cracking. Asegúrese de que estas páginas tengan medidas de seguridad adicionales y un conjunto de reglas más estricto.
Reducción de la vulnerabilidad
Proteja las API expuestas y las aplicaciones móviles, no solo su sitio web, y comparta información de bloqueo entre sistemas. Proteger su sitio web es solo una parte de la solución; no se olvide de las otras rutas que conducen a sus datos y aplicaciones web.
Reconocer la diferencia entre bots buenos y malos es esencial para garantizar la seguridad, en un mundo cada vez más expuesto a los ataques. ¿Está lista su empresa para hacer frente a posibles ataques?