¿Cómo proteger tu sitio web de bots?
Todos los sitios web, aplicaciones móviles y las API son atacados por bots las 24 horas del día. Según el informe anual Bad Bot Report, sólo el 52.6% del tráfico web es generado por humanos reales; el resto son bots. Si bien algunos bots son bien recibidos, como los motores de búsqueda, hay otros bots que no son deseados y peligrosos. Estos robots ‘malos’ representan el 30.2% de todo el tráfico web.
La industria del e-Commerce y los sitios web en general sufren una amplia gama de problemas de robots maliciosos. La variedad de ataques de estos bots es más diversa en el e-commerce que en muchas otras industrias.
La legislaciones sobre este problema de los bots todavía es limitada, pero se propone y promulga cada vez más. Por ejemplo, ya hay leyes que prohíben la reventa de entradas compradas utilizando tecnología bot. En EE.UU., Reino Unido, Australia y partes de Canadá también han promulgado leyes similares.
La disponibilidad del sitio web y las tasas de conversión
En un entorno ultracompetitivo, donde productos o servicios similares están a sólo un clic de distancia en otro sitio web, convertir a un visitante en cliente es de suma importancia. El comercio electrónico se centra en los ingresos de estas conversiones y comprende el valor de por vida de un cliente satisfecho. Desafortunadamente, en un entorno donde el tráfico está contaminado por bots, las métricas se vuelven difíciles de creer y tienen un impacto importante en la precisión de las tasas de conversión.
Más allá de los análisis, los scrapers agresivos y otros robots dañinos pueden ralentizar el sitio web o, peor aún, provocar tiempo de inactividad. El rendimiento deficiente y las interrupciones obligan potencialmente a un cliente a cambiar de sitio en cuestión de segundos y, en última instancia, se pierde la conversión. Las épocas punta, como el Black Friday, el Cyber Monday, la Cyber Week o las rebajas de enero, cuando el volumen de personas es máximo, ejercen presión sobre la infraestructura.
Es vital comprender que cualquier tiempo de inactividad en tu sitio web equivale a una pérdida de ingresos. Muchas organizaciones no tienen en cuenta el papel que desempeñan los bots a la hora de provocar problemas de disponibilidad y rendimiento del sitio web.
Independientemente de la estructura técnica específica del sitio web, todos los comercios electrónicos y plataformas online presentan problemas constantes en forma de bots. En general, se lanzan desde cuatro grupos principales de operadores de bots.
Bots: Competidores
El web scraping de contenido por parte de los competidores es un problema importante para las empresas de comercio electrónico. La explotación de contenido extraído es una fuente constante de ventaja competitiva para las empresas que implementan bots. Más específicamente, el objetivo principal es recopilar precios actualizados para cada producto. Al poder cambiar dinámicamente los precios, particularmente en productos comercializados, los competidores con conocimientos tecnológicos ganan la batalla del SEO y roban participación de mercado.
También se recopila información de mercado más amplia mediante robots de extracción de contenido. Si una empresa busca expandirse a otros mercados o geografías, se implementan bots para determinar qué vende la competencia y a qué precio. En casos extremos, se eliminan, copian y renombran sitios web completos para su uso en otros países.
Bots: revendedores
Los revendedores utilizan activamente la automatización en sitios web de comercio electrónico y aplicaciones móviles en forma de Grinchbots y Sneakerbots. Los Grinchbots, con el nombre apropiado, se implementan buscando inventario de artículos de alta demanda durante los períodos tradicionales de vacaciones y otros días clave. Los revendedores anticipan qué productos serán los "artículos populares" demandados y utilizan robots para acumular la mayor cantidad de inventario posible. Esta falta de disponibilidad crea un mercado secundario donde el "artículo de moda" se vende a precios superiores. Los Sneakerbots son similares en el sentido de que captan la mayor cantidad de inventario posible, pero se centran en artículos raros o de edición limitada, como zapatillas fabricadas por marcas como Nike y Adidas. Nuevamente, el mercado secundario es donde los revendedores explotan la demanda de los clientes y cobran precios superiores por los artículos de edición limitada.
Bots: Sociedades de inversión
El sector de inversión financiera también despliega robots para rastrear a las empresas de e-commerce en busca de información como datos de precios y niveles de inventario. A veces conocida como datos alternativos, los fondos de cobertura utilizan esta información para evaluar la salud de la empresa de comercio electrónico y tomar decisiones de inversión. Un informe reciente estimó que el 5% de todo el tráfico web es atribuible a robots que buscan inversiones.
Bots: delincuentes
Los delincuentes explotan la funcionalidad disponible en sitios web de diversas formas. Principalmente, los delincuentes lanzan bots destinados a comprometer las cuentas de los clientes. Los bots se utilizan en ataques de fuerza bruta de relleno y descifrado de credenciales con el objetivo de obtener acceso a cualquier cuenta de cliente. Al ejecutar credenciales robadas en las páginas de inicio de sesión, los bots identifican aquellas cuentas a las que se les concedió acceso. Además, una vez dentro de una cuenta, cualquier tarjeta de crédito e información personal almacenada podría ser robada o utilizada para cometer fraude.
Los bots también publican comentarios spam en las secciones de revisión de productos. Estas publicaciones incluyen enlaces a sitios diseñados para entregar malware a cualquier usuario desprevenido.
¿Cómo proteger tu sitio web de bots maliciosos?
Los bots aparecen en los sitios web todos los días y las características de los ataques se vuelven más avanzadas y con más matices. Desafortunadamente no hay una solución mágica, cada sitio es atacado por diferentes motivos y, generalmente, mediante diferentes métodos, por lo que no existe una solución de anti-bot única para todos. Pero hay algunas medidas proactivas que puedes tomar para empezar a abordar el problema. A continuación te comparto una serie de servicios que puedes integrar en tu sitio web para ayudar a mitigar el acceso de bots maliciosos.
- Imperva: Brinda visibilidad y control sobre el tráfico humano, de bots ‘buenos’ y de bots ‘malos’ sin imponer fricciones a los usuarios legítimos. Protege tus sitios web, aplicaciones móviles y API de ataques automatizados sin afectar el flujo de tráfico crítico para el negocio.
- Azure Web Application Firewall: Se trata de un WAF (Web Application Firewall) para configurar desde el Gateway de Azure. Puedes habilitar un conjunto de reglas de protección contra bots para que el WAF bloquee o registre solicitudes de direcciones IP maliciosas conocidas. Las direcciones IP provienen de la fuente de Microsoft Threat Intelligence.
- AWS WAF Bot Control: Proporciona visibilidad y control sobre el tráfico de bots que puede consumir recursos excesivos, distorsionar métricas, provocar tiempo de inactividad o realizar otras actividades no deseadas. Con solo unos pocos clics, puede usar el grupo de reglas administradas de Bot Control para bloquear o limitar la velocidad de bots, como wrappers, escáneres y rastreadores, o puede permitir bots comunes, como monitores de estado y motores de búsqueda.
- Lunio Bot Protection: Se centra en excluir el tráfico de bots de tus campañas Ads. Anunciando a compradores reales, no a robots.
Conclusión
La protección contra bots maliciosos es crucial para cualquier sitio web o aplicación en la actualidad, dada la prevalencia y sofisticación de estos ataques. Aunque no existe una solución única, hay medidas proactivas que se pueden tomar para mitigar este riesgo. La implementación de servicios como Imperva, Azure Web Application Firewall, AWS WAF Bot Control y Lunio Bot Protection proporciona una defensa efectiva contra bots no deseados sin afectar el tráfico legítimo. La inversión en la protección contra bots es una parte esencial de mantener la disponibilidad y la integridad de un sitio web, así como de proteger la confianza y la satisfacción de los clientes.
Referencia:
· Imperva
· WAF Azure
· AWS Bot Control