Algunas amenazas que un bad bot puede generar
- Reportajes
Más de la mitad del tráfico mundial está generado por bots, ¿eres consciente de su existencia? ¿eres capaz de detectarlos? ¿y de saber si es bueno o malo?
Los bots buenos son, principalmente recolectores de información. Hacen su trabajo de manera efectiva, pero generalmente solo reúnen datos suficientes para completar sus tareas asignadas. Por su parte, los bad bots son una amenaza constante, y su principal directiva es atacar objetivos grandes y exitosos. Y a medida que un sitio web se vuelve más popular, también lo hace el incentivo para atacarlo.
Este contenido forma parte del tema de portada del número de Julio de la revista IT Digital Security, dedicado a los Bots. Puedes descargarla desde este enlace.
Los propietarios de los sitios web deben ser plenamente conscientes de que los bad bots acechan en cada esquina: buscan robar su contenido, abusar de la funcionalidad, alterar las métricas del sitio y cometer fraude. Algunas de las actividades que pueden realizar los bots malos y que pueden impactan en sus webs:
Web Scraping: robo de contenido, extracción de datos y modificación de precios. Hay bots que recorren Internet pueden dedicarse a recopilar contenido que colocan en otros sites, lo que reduce el posicionamiento de su web en Google. Las empresas de comercio electrónico son un objetivo obvio. Cuando los bots extraen el precio y la información del producto, los datos agregados se alimentan a un motor de análisis, lo que permite a los competidores hacer coincidir precios y productos en tiempo casi real, de forma que pueden anular ofertas y promociones.
Skewing, o mediciones erróneas. Cada interacción de bot, sin importar lo que haga, sesga las métricas asociadas con ese negocio. Debido a que el número de bots que operan en Internet es tan significativo, las decisiones comerciales basadas en tales métricas son obviamente defectuosas. Desde otra perspectiva, los operadores de bot pueden alterar fácilmente la reputación de alguien, influir en los demás o ganar notoriedad en línea, especialmente a través de las redes sociales.
Descifrado de credenciales. Se trata de una técnica practicada por los operadores de bot cuando tienen un nombre de usuario conocido, pero necesitan adivinar la contraseña que lo acompaña. Usan técnicas de fuerza bruta contra procesos de autenticación de aplicaciones para llegar a la pieza de credencial faltante.
DDoS, o Denegación de Servicio Distribuido. Si el tráfico de su página de inicio se triplica, es probable que pueda gestionarse, pero si va contra el carrito de la compra causa problemas ya que su aplicación web envía múltiples solicitudes a todos los componentes involucrados en cada transacción. Esto incluye ponerse en contacto con la base de datos de inventario, conectarse con el procesamiento de pagos y las herramientas de fraude, y usar herramientas de análisis para oportunidades de venta cruzada.
Fraude de clic, o de pago por clic. Este utiliza bots para hacer clic en una publicidad interactiva con la intención de inflar falsamente los beneficios del portal o la página web, pues la compañía anunciante paga en función de las veces que un usuario presione el ratón.
Escaneo de vulnerabilidades. Los escáneres de vulnerabilidad son herramientas automáticas, o bots, que ejecutan pruebas contra un sitio web o una aplicación web, buscando identificar debilidades y posibles vulnerabilidades. Hay muchas herramientas disponibles como Metasploit, Burp Suite, Grendel Scan y Nmap.
Footprinting. Se trata de un proceso mediante el cual los bots sondean las aplicaciones para identificar sus propiedades. Incluye pruebas para aprender tanto como sea posible acerca de la lógica, estructuras, algoritmos, funciones, métodos, configuración y otros secretos subyacentes de una aplicación. También puede determinar los puntos de entrada, denominados colectivamente como la superficie de ataque.
Spamming. Los bots pueden rellenar tus formularios con datos basura. El spam puede agregar datos cuestionables o incluso maliciosos a contenido público y privado, bases de datos y mensajes de usuario. El spam en formularios, comentarios no deseados, registros falsos y las revisiones deshonestas de productos contaminan los sites. Para resolver este problema se crearon los CAPTCHA.