¿Qué es un bot de spam? | Cómo se difunden los comentarios y mensajes de spam

Un bot de spam es un programa informático que ayuda a difundir spam en Internet. Los bots de spam suelen hacer scraping de información de contacto, crean cuentas de usuario falsas o gestionan cuentas de redes sociales robadas.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Entender qué hace un bot de spam
  • Más información sobre cómo se comportan los bots en las diferentes plataformas en línea
  • Más información sobre cómo diferenciar entre el comportamiento de un bot de spam y de un usuario real

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

Defiéndete contra los ataques de bots como el relleno de credenciales y la apropiación de contenido con Cloudflare

¿Qué es un bot de spam?

En términos generales, los bots son programas de informáticos que ejecutan tareas repetitivas, y que suelen operar por Internet. Un bot de spam es un tipo específico de bot que envía (o ayuda a enviar) mensajes de spam. Un bot de spam también puede publicar spam en diversos lugares en los que interactúen en línea los usuarios, como las plataformas de redes sociales o foros.

Comentario de un bot de spam

El spam se define como cualquier mensaje inapropiado o no bienvenido que se publica para un gran número de usuarios. Normalmente, el spam implica anuncios de productos no deseados, la recepción de enlaces (con el fin de intentar que el sitio web enlazado tenga un mejor resultado en los motores de búsqueda) o acciones más siniestras como los timos o las descargas de malware. El spam puede ser también cualquier contenido que sea irrelevante y provisto en grandes cantidades.

Como en las llamadas telefónicas automáticas que fastidiaron a muchos consumidores en los últimos años, la mayoría del spam en línea está completamente automatizado por bots de spam. Los usuarios no interactúan con una persona real al tratar con un bot, incluso si parece que este "responde" a las interacciones del usuario. En cambio, los bots de spam propagan mensajes preprogramados o siguen guiones de conversación preprogramados para interactuar con los usuarios.

¿Cómo funcionan los bots de spam?

Los bots de spam pueden crear cuentas falsas en foros, plataformas de redes sociales, aplicaciones de mensajería o proveedores de alojamiento de correo electrónico. En ocasiones, intentarán camuflar sus actividades para que parezca que son de un usuario real. Ya que a menudo solo es necesario rellenar unos pocos campos para la creación de una cuenta de usuario (nombre, dirección de correo electrónico, etc.), los atacantes programarán bots de spam para completar estos formularios de forma automática, una tarea relativamente sencilla para un programador experto. Algunas plataformas ofrecen CAPTCHA o desafíos similares para prevenir que los bots creen cuentas, pero estas defensas pueden fallar.

En cuanto los bots de spam se hacen con una cuenta o consiguen acceso a una plataforma, empezarán a enviar mensajes de spam de acuerdo con un conjunto predeterminado de reglas (establecidas creador del bot).

Otros tipos de bots de spam pueden ayudar a los spammers sin tener que enviar los mensajes de spam. Algunos bots de spam recopilan direcciones de correo electrónico o números de teléfono para proporcionar objetivos a los spammers: escanean la web, hacen scraping de informaciones de contacto y la almacenan en una base de datos.

¿Cómo se utilizan los bots para el spam de correo electrónico?

Los que envían correos electrónicos de spam necesitan tantas direcciones de correo eletrónico en funcionamiento como les sea posible encontrar. La cosecha de direcciones de correo electrónico se lleva a cabo por bots que escanean páginas web, buscan textos que sigan el formato de dirección de correo electrónico (texto + símbolo @ + dominio) y copian ese texto en la base de datos de objetivos del agente de spam o spammer.

Una vez que los spammers tienen una base de datos de direcciones de correo electrónico, pueden empezar con el envío masivo de correos electrónicos de spam. Con frecuencia, los correos electrónicos de spam tienen un carácter delictivo e intentan propagar malware o robar credenciales de cuenta mediante el phishing. Los spammers pueden usar una técnica conocida como suplantación de correo electrónico para que parezca que sus correos electrónicos provienen de una fuente legítima.

Los spammers no siempre utilizan bots para cosechar direcciones de correo electrónico: pueden obtener listados de correos electrónicos de una gran variedad de sitios. Pueden comprar listas (a menudo en la Dark Web), pueden robar una base de datos obtenida de forma legítima por una empresa, o pueden engañar a los usuarios para que les den sus direcciones de correo electrónico.

¿Qué es el spam de comentarios?

El spam de comentarios es cualquier spam que aparezca en la sección de comentarios generados por usuarios de un sitio web. Algunos bots de spam buscan y publican en las secciones de comentarios que no requieren una cuenta de usuario para poder participar. Esto es todavía más fácil si el foro no cuenta con verificación suficiente para comprobar si un comentario proviene de un usuario humano, pero algunos bots pueden llegar incluso a superar estar protecciones.

Otras veces, los bots crearán cuentas de usuario falsas y dejarán comentarios, y si les bloquean una cuenta, crearán otra. De este modo, los spammers pueden automatizar el proceso de promoción y publicación de spam.

Un ejemplo de comentario de spam de un bot:

Ejemplo de un comentario de un bot de spam

¿Cómo operan los bots en las redes sociales?

Muchos bots están activos en plataformas de redes sociales como Facebook, Twitter o Instagram. Los bots de spam de redes sociales enviarán mensajes o crearán publicaciones en los que prometen artículos gratuitos, ofertas en productos de consumo, contenido para adultos u otras ofertas demasiado buenas para ser ciertas. También pueden hacer clic en me gusta, compartir o retuitear publicaciones spam, o dejar comentarios spam en hilos de comentarios de publicaciones que no tengan relación con el tema.

Los bots de spam social pueden operar a través de cuentas falsas o de cuentas de usuarios reales comprometidas (las cuentas pueden haber sido comprometidas mediante el relleno de credenciales). Para hacer que una cuenta falsa de bot de redes sociales parezca legítima, un bot de spam puede copiar una foto de perfil de un usuario legítimo.

Un ejemplo de un mensaje de un bot de spam en redes sociales:

Ejemplo de un bot de spam en redes sociales

Un ejemplo de una publicación en el Timeline de Facebook proveniente de un bot de spam:

Ejemplo de un comentario de un bot de spam en Facebook

Los bots de spam también pueden operar en diversas aplicaciones de mensajería o chat (como Kik, Skype, Telegram, etc.). Como en el caso de otros canales en línea, estos bots de spam intentan engañar a los usuarios para que paguen dinero, den información o hagan clic en un enlace inseguro. Con frecuencia, estos bots son bots conversacionales rudimentarios programados para "conversar" con los usuarios que respondan a sus mensajes, para involucrar lo suficiente al usuario con el objetivo de que haga clic en un enlace o dé sus datos personales.

¿Cómo pueden distinguir los usuarios si un mensaje es de un bot de spam o de una persona real?

En ocasiones, los bots de spam están programados para que parezcan usuarios reales, pero no suelen ser lo suficientemente sofisticados para ser convincente. A continuación, presentamos algunas formas rápidas de descubrir si una publicación o mensaje es de un bot de spam:

Demasiados errores ortográficos o gramaticales

Muchos de los mensajes preprogramados de los bot de spam, aunque no todos, tendrán muchos de errores ortográficos y gramaticales, en ocasiones será incluso difícil poder descifrar el mensaje.

Si suena demasiado bien para ser cierto…

Entonces, probablemente no sea cierto. Los mensajes que ofrezcan ofertas increíbles en productos de consumo, medicamentos, servicios u otras compras con precios altos suelen provenir de bots de spam.

Indicaciones urgentes y agresivas para hacer clic en un enlace o reenviar un mensaje

Con frecuencia, los bots de spam están programados para intentar que los usuarios lleven a cabo una acción específica lo más rápido posible (como en un ataque de phishing). Si un perfil en una red social se ve comprometido, puede que el perfil de esa persona empiece a actuar de manera extraña, por ejemplo, enviando mensajes agresivos en lo que pide a sus contactos que hagan algo, cuando esa persona nunca ha actuado así en el pasado.

Mensajes de fuentes inesperadas

Se debe sospechar siempre de correos electrónicos o mensajes de redes sociales inesperados que provengan de personas desconocidas. Además, si la cuenta de red social de un usuario ha sido robada, el bot de spam puede utilizar para contactar con personas con las que el usuario no suela tener contacto.

Irrelevancia

En la captura de pantalla anterior de un comentario de spam, el bot enumeró diferentes tipos diferentes de préstamos, incluyendo "préstamo personal " y "préstamo para empresas." Este comentario aparecía debajo de una publicación de un blog sobre ciberseguridad. Los bots de spam no suelen verificar si sus comentarios son relevantes para el hilo, simplemente los publican.

En una conversación, las respuestas de la otra parte dejan de tener sentido

Los bots conversacionales de spam tienden a seguir un guion de conversación relativamente simple, y si las respuestas de un usuario se desvían de las respuestas esperadas, el bot conversacional de spam seguirá con el guion establecido aunque sus respuestas ya no tengan ningún sentido.

¿Cómo pueden evitar las empresas que los bots de spam generen una mala experiencia de usuario?

Los bots de spam no se comportan como los usuarios reales, y una solución de gestión de bots debería poder diferenciar entre las actividades de los bot de spam y las interacciones de usuarios legítimos con una propiedad web. Cloudflare Bot Management usa análisis de comportamiento no solo para detectar la actividad de bots, sino también para separar los bots beneficiosos de los perjudiciales (como los bots de spam) y mitigar los perjudiciales. Las organizaciones más pequeñas también pueden bloquear spam u otros bots perjudiciales con Super Bot Fight Mode, disponible en los planes Cloudflare Pro y Business.