Bots, ¿amigos o enemigos?

Un bot, abreviatura de robot, es un tipo de aplicación de software o script que realiza tareas por comando, como indexar un motor de búsqueda, y son realmente buenos para realizar tareas repetitivas. Hay bots buenos, y bots malos que realizan tareas maliciosas y permiten a un atacante tomar el control del sistema afectado de forma remota.

Este contenido es el tema de portada del número de Julio de la revista IT Digital Security, dedicada a los Bots. Puedes descargarla desde este enlace.

Un uso típico de bot bueno es recopilar información. Los robots que se dedican a estas tareas se les conoce como rastreadores web, o web crawlers. Otro uso positivo de los bots es en entornos mensajería instantánea, o chat de. La interacción dinámica con los sitios web es otra forma de utilizar los bots para fines positivos.

En cuanto a los bad bots, se utilizan para propagar malware que infecta el sistema que lo aloja, host, y se conecta a un servidor central desde el que recibe instrucciones. Se habla entonces de botnets, o redes de máquinas comprometidas, utilizados para lanzar ataques de denegación de servicio, reunir contraseñas, envíos masivos de spam, explotar puertas traseras abiertas por virus y gusanos, etc.

A finales del año pasado Radware publicaba un estudio en el que aseguraba que los bots son responsables de más de la mitad (52%) del tráfico web mundial. Es más, para algunas organizaciones los bots representan más del 75% de su tráfico, un porcentaje significativo si se tiene en cuenta que una de cada tres organizaciones no es capaz de distinguir entre los bots buenos y los malos.

El problema de los bots afecta de manera diferente dependiendo del vertical. En el caso del Retail, los bots se han convertido en una herramienta imprescindible para los sites de agregación de precios, cupones, chats para atender a los clientes, etc. El 41% de los retailers aseguran que el 75% de su tráfico es generado por bots, pero no son capaces de diferenciar cuando el tráfico es de un bot dañino o cuándo un atacante está tomando ventaja de estos bots para lanzar ataques de web Scraping y robar propiedad intelectual, bajar los precios o comprar inventario para revenderlo por canales no autorizados. También se enfrenta el mundo del retail a picos en la demanda, coincidiendo con determinadas campañas. Lanzar un ataque que involucre miles, o decenas de miles de bots, puede ser un desastre financiero.

En el mundo de la salud el problema es similar: el 42% del tráfico está generado por bots, pero sólo el 20% de los responsables de seguridad TI serían capaces de identificar el que generan los bad bots. Más de la mitad (55%), dicen que no tienen forma de rastrear los datos compartidos con un tercero después de abandonar la red corporativa.

Para Eutimio Fernández, director de Ciberseguridad en Cisco España, los bots tienen un gran impacto en la seguridad de las empresas, “especialmente si se utilizan en modo red (botnets) para ataques de Denegación de Servicio (DDoS)”. Asegura también el directivo que además de las denegaciones de servicio distribuidas, hay botnets que alojan código malicioso y otros ataques cuyo objetivo es realizar fraude o robar contenido confidencial.

“Las botnets utilizadas con fines maliciosos se están convirtiendo en una commodity, siendo sumamente fácil y barato crearse una propia o alquilarlas”, dice Ángel Nogueras, Senior Technical Account Manager de Akamai, quien explica que dependiendo del uso que se le quiera dar, hay tipos de ataques que buscan pasar desapercibidos, mientras que otras son utilizadas para realizar ataques de DDoS. “Estas últimas son las que más preocupan si hablamos de tráfico de red, pues hay muchísimos dispositivos comprometidos en Internet formando parte de estas redes de bots y pueden generar muchísimo tráfico”, asegura Nogueras.

Luis Miguel Cañete, director de Canal para España y Portugal de F5 Networks señala que los thingbots, construidos exclusivamente con dispositivos IoT, se están convirtiendo en el sistema preferido por los ciberdelincuentes debido a la escasa seguridad y facilidad de compromiso de estos dispositivos, que los convierte en un recurso sencillo y económico. “Hay que tener también en cuenta que los riesgos de botnets aumentan significativamente en entornos multicloud, escenario al que miran ahora muchas organizaciones por un motivo de necesidad operativa”, explica el directivo.

Coincide también Eusebio Nieva, director técnico de Check Point en los bad bots impactan en la seguridad de las empresas a diario; “algunos simplemente recopilan datos de las compañías, por ejemplo, para espiar las facturas que emite, y cambiar el número de cuenta en ellas para que se ingrese el dinero a los ciberdelincuentes. Otros los usan para enviar spam y ataques de phishing”. Recuerda Nieva que más de la mitad de los bot son maliciosos y que navegan por Internet robando datos, suplantando la identidad de un usuario o infectando los dispositivos de sus víctimas para lanzar ataques de ransomware o DDoS, entre otros.

Cuando se le pregunta por el impacto que tienen los bad bots en el tráfico de red, Alberto Ruiz Rodas, Sales Engineer de Sophos, recuerda el impacto de la botnet Mirai, compuesta por miles de elementos IoT, y que generó importantes ataques de DDoS. “Ya ha ocurrido y, muy probablemente, volverá a suceder”, asegura el experto añadiendo que no sólo hay que pensar en cámaras IP, “pensemos en pulseras de actividad que también se conectan a WiFi, los miles de diferentes dispositivos para ‘cloudificar’ los diferentes elementos de una casa (bombillas, aires acondicionados, calefacciones, etc…). Una botnet que, además de realizar ataques DDoS pueda permitir al atacante ‘echar un vistazo’ a lo que hay en esa red, podría acabar dando muchísimo rédito a su dueño”.

Los dispositivos controlados por una botnet “pueden ser utilizados para almacenar contenido ilegal sin que el usuario lo sepa”, dice Josep Albors, responsable de concienciación de ESET España. Y añade que además de los usos más conocidos, como enviar cientos de miles de correos electrónicos o lanzar ataques de denegación de servicio hacia objetivos concreto “también están siendo usados desde hace meses como ‘mineros’ involuntarios, haciendo que los delincuentes obtengan criptomonedas a costa de los recursos de los usuarios”.

Conciencia empresarial

De forma que en un entorno digital como el actual, la amenaza de los bots afecta a los negocios de múltiples formas: la calidad del servicio se resiente, la integridad de los datos peligra y la reputación de las compañías queda en entredicho. En esta situación, evitar que un frigorífico o una cámara de seguridad se conviertan en armas al servicio de los ciberdelincuentes es responsabilidad de todos. De los usuarios, que deben preocuparse por la seguridad de sus dispositivos, de los fabricantes, que deben incorporar estándares que dificulten su hackeo y también de los proveedores de servicios que proporcionan conexión a estos dispositivos. Por supuesto, también de la Administración Pública, con la aprobación de normas que obliguen a todas las partes a asumir la responsabilidad que les corresponda.

En todo caso, preguntamos a nuestros expertos si las empresas son en realidad conscientes de la existencia de los bots, si serían capaces de detectarlos.

Eutimio Fernández tiene claro que las empresas “son conscientes, aunque quizá no le prestan la atención adecuada, especialmente en el caso de las botnets IoT”. Sin embargo, las botnets IoT están creciendo tanto en tamaño como en impacto, y son cada vez más capaces de desencadenar potentes ataques que podrían afectar gravemente a Internet. “El cambio de los atacantes hacia una mayor explotación de la capa de aplicación indica que este es su objetivo”, dice el responsable de ciberseguridad en Cisco España.

Con respecto a la capacidad de detección, “todo depende de la actividad de la botnet. En muchos casos los bots no desvelan su presencia con altas tasas de escaneo que dañan la infraestructura de la red; en su lugar, infectan las redes de una manera que escapa a la notificación inmediata. Y, en muchas ocasiones, utilizan también el cifrado”, explica Eutimio Fernández.

En opinión de Ángel Nogueras, de Akamai, hace tiempo que las empresas son conscientes de la existencia de los bots, “sobre todo gracias a los ataques contra DynDNS y el más reciente contra GitHub, y gracias también a la publicación de software como Mirai (el responsable del ataque contra Dyn). Aun así, muchas empresas consideran que no sufren ataques de botnets y aún no se plantean cómo defenderse contra ellas”, dice el ejecutivo, añadiendo que las empresas más conscientes o las que ya están sufriendo este tipo de ataques, fundamentalmente el sector financiero, hotel & travel y retail, se están dando cuenta de que no son capaces de detectarlos, sobre todo con los dispositivos on-premise.

Coincide Luis Miguel Cañete, de F5 Networks, con Ángel Nogueras al decir que las empresas son cada vez más conscientes de esta realidad. En cuanto a si son capaces de detectar esos ataques, “es algo que ni siquiera resulta sencillo para los expertos”, asegura el directivo, añadiendo que de lo que tienen que ser conscientes es que deben incorporar estrategias de seguridad con las que puedan proteger las aplicaciones, los datos y las redes. “La industria de TI va a tener que ser capaz de proporcionar respuestas a nuevas inquietudes, por lo que cualquier propuesta que se lance al mercado deberá abordar el aspecto de la seguridad, pero no de forma parcial, dando solución a problemas específicos, sino en su globalidad, teniendo en cuenta los múltiples factores que pueden estar relacionados con el concepto de seguridad. Esto supone claramente un cambio de paradigma, con relación a la forma en la que se venía procediendo hasta hace relativamente muy poco tiempo”, reflexiona Cañete.

Para Eusebio Nieva, a pesar de que cada vez existe una mayor concienciación sobre el malware y las amenazas avanzadas, “todavía muchas empresas no saben qué es una botnet, o cómo puede afectar a su negocio. Entonces, si no saben lo que es un bad bot, no pueden detectarlo”. Pero además añade el directivo de Check Point que, a día de hoy detectar un bad bot no es suficiente, sino que es necesaria la prevención de amenazas avanzadas, que impida que tanto este tipo de malware como otros entren en el perímetro de la empresa.

“Se es consciente del mismo modo que son conscientes del ransomware: saben que existe y piensan que muy raramente les puede afectar, hasta que les afecta y lamentan el no haber tenido medidas proactivas para detectarlo”, dice Alberto Rodas, de Sophos, en relación a si las empresas son conscientes de la existencia de bots. En cuanto a la detección de los mismos, propone el experto en seguridad que hay que garantizar que los bots no se conecta a recursos sensibles, no envíen tráfico de comando y control y no se puedan propagar, o atacar, a terceros dentro de la red.

Josep Albors, de ESET, dice que, dependiendo de la actividad delictiva, los bots pueden ser detectados con mayor o menor facilidad. “Un bot que esté siendo usado como minero de criptodivisas es relativamente fácil de detectar puesto que el elevado consumo de recursos que requiere esta actividad impacta directamente en el rendimiento del sistema. Sin embargo, otras acciones como el uso de estos bots para almacenar contenidos ilícitos pueden ser más difícil de detectar o solo ser posible durante un periodo de tiempo, por ejemplo, cuando se lanza un ataque DDoS, siempre y cuando tengamos la actividad de la red monitorizada”, explica Albors.

Bots buenos vs bot malos

Según el 2018 Bad Bot Report de Distil Netwoks, el tráfico de los bad bots se incrementó un 9,5% en 2017; también se incrementó el tráfico de los bots buenos, un 8,8%. La principal conclusión es que sólo puede esperarse que, de media, el 87,8% del tráfico de tu web proceda de un ser humano interesado en el contenido que estés mostrando.

Ya nos han contando el grupo de expertos contactados que detectar el tráfico de los bots es complicado. Y el siguiente paso sería cómo detectar la actividad de un bot bueno de uno malo. Las opciones son varias. Según Eutimio Fernández, hay algunas medidas que los desarrolladores y administradores de sitios web pueden utilizar para contrarrestar la amenaza de los bots malos, como mantener las versiones actuales de los gestores de contenido (CMS), complementos y otros componentes del sitio web, intentando evitar respuestas a solicitudes anómalas. Y, además, “para aquellas organizaciones que utilizan servicios gestionados, deberían conocer los mecanismos de su proveedor para seleccionar y bloquear los bots, especialmente los responsables de los ataques DDoS de capa 7”. Por último, añade el directivo que “también hay tecnologías específicas de gestión de bots, que precisamente tratan de discriminar para bloquear los malos y permitir las peticiones de los buenos”.

Para Ángel Noguera, de Akamai, hablar de bueno o malo es un concepto complicado ya que lo que para un cliente puede ser bueno, para otro puede no serlo; “pongamos el caso de los indexadores de contenido de los buscadores: todo el mundo diría que son buenos, pero no diríamos lo mismo si el robot en cuestión indexa contenido únicamente para un buscador de un país donde no tenemos negocio, sobre todo, si la forma de indexar es muy agresiva. Lo que se puede hacer es detectar toda actividad de bot, dividirla en distintas categorías y dejar que quien gestione los robots se encargue de indicar cuales, para su negocio, son los buenos y los malos”.

Para el director de canal de F5 Networks una visibilidad completa y un análisis inteligente del tráfico que pasa entre el usuario y las aplicaciones resulta esencial. “La comprensión del contexto es igualmente importante”, asegura Cañete, igual que los firewalls avanzados de aplicaciones web (AWAF), que proporcionan potentes capacidades de defensa contra bots maliciosos y que brindan también una protección integral contra ataques dirigidos no solo a aplicaciones web, sino también a aplicaciones móviles; “esto último resulta especialmente relevante, porque la mayoría de las tecnologías actuales de protección de bots se basan en JavaScript, pero las aplicaciones móviles no son compatibles con ese lenguaje, con lo que quedan en un estado de completa vulnerabilidad”, explica Luis Miguel Cañete.

Por eso de no empezar la casa por el tejado dice Eusebio Nieva para que poder distinguir los bots buenos de los malos, “es necesario saber qué hace cada uno”, explicando que los buenos son los de derechos de autor, que buscan contenidos plagiados en la red, los de datos (como Amazon Echo, Google Home o Siri), los araña (que permiten a los buscadores encontrar nuevos contenidos relevantes) y los de comercio, que ayudan a los compradores a encontrar productos a buen precio. Con respecto a los malos, se encuentran los de clicks, que generan datos manipulados a los anunciantes que invierten en publicidad online, de descargas – similares a los de clicks, pero que falsean el número de descargas de, por ejemplo, una app en Google Play o en Apple Store, impostores (que se hacen pasar por usuarios reales), de copia de contenidos, de spam, espías y zombies – que usan los equipos de las víctimas para distribuir más malware.

Lo que se pregunta Alberto Rodas, de Sophos, es si hay botnets buenas. “Supongamos una red de medidores de algo, calidad del aire, está muy de moda. Podrán enviar sus mediciones a un servicio cloud, pero si dicha botnet es “buena”, como administrador de la red debería saber que tengo este tipo de servicio y saber por qué protocolo conecta, qué información envía y a quién se la envía. Cualquier otro tipo de tráfico que no pueda dar respuesta a esas tres preguntas debería ser denegado”, dice Rodas.

Detectar la actividad de un bot bueno de uno malo pasa por “monitorizar la actividad de estos bots para poder reconocer si se están conectando a direcciones legítimas para recibir órdenes”, dice Josep Albors, responsable de concienciación de ESET España. Esto se consigue con sistemas de seguridad capaces de reconocer las direcciones remotas maliciosas o sospechosas de serlo, sistemas que suelen estar alimentados por un servicio de inteligencia sobre amenazas que se actualiza constantemente.

Impacto de los bots en el Machine Learning

A estas alturas habrá quedado más que claro que los bots pueden ser útiles, o no; pueden hacer cosas buenas, o no; pueden ser buenos, o no. Un bad bot puede estar utilizando una falsa identidad para intentar superar las barreras de los firewalls y sistemas de seguridad, robar datos, identidades, números de tarjetas, realizar espionaje comercial, insertar spam o montar una campaña de denegación de servicio distribuido.

Por otro lado, los bots buenos están listos para desempeñar un papel cada vez más importante en nuestras vidas, permitiéndonos interactuar con software a través de voz, texto, emojis, imágenes, video u otros medios, usando inteligencia artificial (AI), aprendizaje automático y procesamiento del lenguaje natural. En el lugar de trabajo, en las compras online, en el hogar y en el cuidado de la salud, bots con voz más inteligentes y rápidos ayudarán a los seres humanos a gestionar sus vidas.

Hay un punto, sin embargo, que ha comenzado a preocupar a algunos sectores del mercado, la utilización de bots para modificar los resultados del machine learning, o tener en cuenta las técnicas de machine learnng para evitar su detección en lo que puede ser un símil del cazador cazado.

Dice Ángel Nogueras, Senior Technical Account Manager de Akamai, que como para cualquier proceso que se encarga de tratar datos, un agente externo que sea capaz de generar muchos datos dentro de un muestreo generará inconsistencias y afectará al resultado final. Si hablamos de analizar el tráfico web de una empresa para, aplicando algoritmos de machine learning, sacar unos resultados y aplicarlos de alguna manera, mucho tráfico de robots puede alterar los datos. Si hablamos por ejemplo de algoritmos que intenten predecir los gustos de los clientes para mostrarles unos u otros productos en una web en un retailer, el hecho de tener un 20% o 30% de tráfico de robots sobre el tráfico de los clientes hace que los datos sobre los que se aplicarán los algoritmos no sean realmente todos de usuarios finales, con lo que, en este tipo de circunstancias, los robots están afectando en mayor o menor media a los resultados de machine learning.

De la misma opinión es Luis Miguel Cañete, quien asegura que “en tanto que el machine learning analiza el comportamiento del tráfico, y si dentro de este tráfico, además del legítimo se encuentra malicioso, dicho tráfico puede alterar los resultados del análisis. De hecho, incluso los Good Bots han de ser tenidos en cuenta de cara al análisis del tráfico”.

Eusebio Nieva, director técnico de Check Point, explica que más que generar errores graves en los resultados el problema es que en algunos casos los bots pueden eludir la detección basada en machine learning evitando utilizar características o métodos comunes, como por ejemplo minimizando el uso de la comunicación con comando y control centralizados, de esta forma se minimiza el impacto de uso de tecnologías de aprendizaje automático que habitualmente se centran en la detección de este tipo de comportamiento, es decir si cambiamos el comportamiento cualquier técnica de machine learning que se centre (o sea más potente) en la detección de un comportamiento determinado, minimizamos la posibilidad de detección. Ya hay muestras que utilizan este cambio de comportamiento para eludir su detección. En todo caso, asegura Nieva, “esto significa que hay que añadir parámetros y análisis de estadísticas que nos permitan diferenciar el tráfico humano del tráfico de máquina por parte de los algoritmos de análisis de machine learning aplicados a perfiles de tráfico o acceso a páginas web…etc.”.

Para Alberto Rodas el posible impacto de las bot en los algoritmos de Machine learning está relacionado en la manera en que se obtengan los “training sets”. Explica el ejecutivo de Sophos que “muchos clientes nos preguntan si el sistema de Sophos de Deep Learning aprende de ellos y la respuesta es tajante: no”, y añade que es relación con este tipo de sistemas, “hemos de tener muy claro con qué los alimentamos, si con cosas maliciosas o benignas”, lo que lleva a la compañía británica a entrena su Deep Learning con malware “certificado” por SophosLabs.

En la línea de Rodas se muestra Josep Albors, para quien “todo depende de cómo estén configurados los algoritmos de aprendizaje de ese sistema de Machine Learning en concreto y si éste está preparado para lidiar con la incertidumbre”. Explica también el responsable de concienciación de ESET que hay que tener en cuenta que, en materia de seguridad, tanto la inteligencia artificial como el machine learning aún no pueden disponer de la misma autonomía que en otros ámbitos como, por ejemplo, el reconocimiento facial ya que un falso positivo puede desencadenar un efecto de bola de nieve y provocar numerosos fallos en la detección.

Un futuro con esperanza

Las botnets, como la mayoría de las amenazas de seguridad, no son nuevas, y sin embargo no somos capaces de frenarlas. ¿Hay esperanza? Eutimio Fernández tiene claro que, a pesar de los avances en los controles preventivos y la analítica, los robots siguen siendo una importante amenaza para la integridad de las aplicaciones y del contenido, así como para los sitios web en sí por la amenaza DDoS. “La solución está en las modernas técnicas de aprendizaje automático (para conocer su actividad) y la Inteligencia Artificial, con modelos capaces de detectar patrones y anomalías en el tráfico de red, pudiendo inspeccionar muchos más datos que cualquier persona y desarrollando un modelo mucho más sofisticado. Es decir, combatir a los bots con otros robots o mecanismos automatizados”, asegura el directivo de Cisco.

Los que Luis Miguel Cañete tiene claro es que las organizaciones deben actuar en tres frentes: incrementar su capacidad de vigilancia, implementar las soluciones de seguridad adecuadas y añadir inteligencia a sus sistemas. Dice el responsable de canal de F5 que las organizaciones cuentan con opciones para poder protegerse de una forma apropiada, alcanzando una buena visibilidad y aplicando inteligencia sobre el tráfico de la red corporativa y de la nube a través de herramientas analíticas que ya han demostrado su eficacia. También mediante la implementación de soluciones avanzadas de seguridad que se encargan de proteger las aplicaciones y de proporcionar información valiosa sobre los ataques.  “Al mismo tiempo, resulta vital llevar a cabo auditorías periódicas de seguridad de los dispositivos IoT, probarlos antes de su uso y, como siempre, poner en marcha programas de formación para los empleados”, dice Cañete.

“La ciberseguridad no es una cuestión de esperanza”, dice Eusebio Nieva, sino de concienciación y de tomar medidas adecuadas. “Sin embargo, la gran mayoría de las empresas a día de hoy solo está preparada para luchar contra las infecciones Gen III. Hace falta un cambio de mentalidad para poder luchar contra las botnets y las demás amenazas avanzadas conocidas, desconocidas y de día cero”, dice el directivo de Check Point.

Para Alberto Ruiz Rodas, de Sophos, “si bien es cierto que durante años hemos vivido en entornos de seguridad con una componente reactiva que prácticamente desempeñaba el 100% de las capacidades de protección, a día de hoy con tecnologías avanzadas (el famoso “next-gen” del que se habla) donde con distintas aproximaciones a la tradicional de las firmas como Deep Learning, detección de Exploits, análisis de comportamiento o detección de técnicas post-explotación, podrán permitir la detección de lo que antes muchas veces pasaba inadvertido y permitía el rápido despliegue de estas botnets. Gracias a estas nuevas tecnologías, se entra en un nuevo campo de juego de la seguridad, la Seguridad Predictiva, donde un componente botnet nunca visto podrá ser detectado en sí mismo, por su tráfico, por sus acciones, por sus métodos de propagación, etc.”.