¿Qué es un bot de spam? | Cómo se difunden los comentarios y mensajes de spam

Un bot de spam es un programa informático que ayuda a difundir spam en Internet. Los bots de spam suelen hacer scraping de información de contacto, crean cuentas de usuario falsas o gestionan cuentas de redes sociales robadas.

Share facebook icon linkedin icon twitter icon email icon

Bots de spam

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Entender qué hace un bot de spam
  • Más información sobre cómo se comportan los bots en las diferentes plataformas en línea
  • Más información sobre cómo diferenciar entre el comportamiento de un bot de spam y de un usuario real

¿Qué es un bot de spam?

En términos generales, los bots son programas de informáticos que ejecutan tareas repetitivas, y que suelen operar por Internet. Un bot de spam es un tipo específico de bot que envía (o ayuda a enviar) mensajes de spam. Un bot de spam también puede publicar spam en diversos lugares en los que interactúen en línea los usuarios, como las plataformas de redes sociales o foros.

El spam es cualquier mensaje inapropiado o no deseado que se envía a un elevado número de usuarios. Con frecuencia, el spam incluye anuncios de productos no deseados, retroenlaces irrelevantes (con el objetivo de que el sitio web al que se ha hecho el enlace tenga un mejor rendimiento en los motores de búsqueda) o cosas más siniestras como estafas o descargas de malware. El spam también puede ser cualquier contenido que sea irrelevante y se entregue en grandes volúmenes.

Como en las llamadas telefónicas automáticas que fastidiaron a muchos consumidores en los últimos años, la mayoría del spam en línea está completamente automatizado por bots de spam. Los usuarios no interactúan con una persona real al tratar con un bot, incluso si parece que este "responde" a las interacciones del usuario. En cambio, los bots de spam propagan mensajes preprogramados o siguen guiones de conversación preprogramados para interactuar con los usuarios.

¿Cómo funcionan los bots de spam?

Los bots de spam pueden crear cuentas falsas en foros, plataformas de redes sociales, aplicaciones de mensajería o proveedores de alojamiento de correo electrónico. En ocasiones, intentarán camuflar sus actividades para que parezca que son de un usuario real. Ya que a menudo solo es necesario rellenar unos pocos campos para la creación de una cuenta de usuario (nombre, dirección de correo electrónico, etc.), los atacantes programarán bots de spam para completar estos formularios de forma automática, una tarea relativamente sencilla para un programador experto. Algunas plataformas ofrecen CAPTCHA o desafíos similares para prevenir que los bots creen cuentas, pero estas defensas pueden fallar.

En cuanto los bots de spam se hacen con una cuenta o consiguen acceso a una plataforma, empezarán a enviar mensajes de spam de acuerdo con un conjunto predeterminado de reglas (establecidas creador del bot).

Otros tipos de bots de spam pueden ayudar a los spammers sin tener que enviar los mensajes de spam. Algunos bots de spam recopilan direcciones de correo electrónico o números de teléfono para proporcionar objetivos a los spammers: escanean la web, hacen scraping de informaciones de contacto y la almacenan en una base de datos.

¿Cómo se utilizan los bots para el spam de correo electrónico?

Los remitentes de spam de correo electrónico necesitan tantas direcciones de correo electrónico como puedan encontrar. La recolección de direcciones de correo electrónico la realizan bots que escanean páginas web, buscan texto que tenga formato de dirección de correo electrónico (texto + símbolo @ + dominio) y copian ese texto en la base de datos de objetivos del spammer.

Una vez que los spammers tengan una base de datos de direcciones de correo electrónico, pueden empezar con el envío masivo de correos electrónicos de spam. Con frecuencia, los correos electrónicos de spam tienen un carácter delictivo e intentan propagar malware o robar credenciales de cuenta mediante el phishing. Los spammers pueden usar una técnica conocida como suplantación de correo electrónico para que parezca que sus correos electrónicos provienen de una fuente legítima.

Los spammers no siempre utilizan bots para recopilar direcciones de correo electrónico; pueden obtener listas de correo electrónico de muchos otros sitios. Pueden comprar listas (habitualmente en la Internet profunda), pueden robar la base de datos obtenida legítimamente de una empresa o engañar a los usuarios para que les proporcionen sus propias direcciones de correo electrónico.

¿Qué es el spam de comentarios?

El spam de comentarios es cualquier spam que aparezca en la sección de comentarios generados por usuarios de un sitio web. Algunos bots de spam buscan y publican en las secciones de comentarios que no requieren una cuenta de usuario para poder participar. Esto es todavía más fácil si el foro no cuenta con verificación suficiente para comprobar si un comentario proviene de un usuario humano, pero algunos bots pueden llegar incluso a superar estar protecciones.

Otras veces, los bots crearán cuentas de usuario falsas y dejarán comentarios, y si les bloquean una cuenta, crearán otra. De este modo, los spammers pueden automatizar el proceso de promoción y publicación de spam.

Un ejemplo de comentario de spam de un bot:

Example of a Spam Bot Comment

¿Cómo operan los bots en las redes sociales?

Muchos bots están activos en plataformas de redes sociales como Facebook, Twitter o Instagram. Los bots de spam de redes sociales enviarán mensajes o crearán publicaciones en los que prometen artículos gratuitos, ofertas en productos de consumo, contenido para adultos u otras ofertas demasiado buenas para ser ciertas. También pueden dar me gusta, compartir o retuitear publicaciones de spam, o dejar comentarios de spam en hilos de comentarios de publicaciones que no tengan relación con el tema.

Los bots de spam social pueden operar a través de cuentas falsas o de cuentas de usuarios reales comprometidas (las cuentas pueden haber sido comprometidas mediante el relleno de credenciales). Para hacer que una cuenta falsa de bot de redes sociales parezca legítima, un bot de spam puede copiar una foto de perfil de un usuario legítimo.

Un ejemplo de una publicación en el Timeline de Facebook proveniente de un bot de spam:

Example of Social Media Spam Bot

Un ejemplo de un mensaje de un bot de spam en redes sociales:

Example of a Facebook Spam Bot Comment

Los bots de spam también pueden operar en diversas aplicaciones de mensajería o chat (como Kik, Skype, Telegram, etc.). Como en el caso de otros canales en línea, estos bots de spam intentan engañar a los usuarios para que paguen dinero, den información o hagan clic en un enlace inseguro. Con frecuencia, estos bots son bots conversacionales rudimentarios programados para "conversar" con los usuarios que respondan a sus mensajes, para involucrar lo suficiente al usuario con el objetivo de que haga clic en un enlace o dé sus datos personales.

¿Cómo pueden distinguir los usuarios si un mensaje es de un bot de spam o de una persona real?

En ocasiones, los bots de spam están programados para que parezcan usuarios reales, pero no suelen ser lo suficientemente sofisticados para ser convincente. A continuación, presentamos algunas formas rápidas de descubrir si una publicación o mensaje es de un bot de spam:

Demasiados errores ortográficos o gramaticales

Muchos de los mensajes preprogramados de los bot de spam, aunque no todos, tendrán muchos de errores ortográficos y gramaticales, en ocasiones será incluso difícil poder descifrar el mensaje.

Si suena demasiado bien para ser cierto…

Entonces, probablemente no sea cierto. Los mensajes que ofrezcan ofertas increíbles en productos de consumo, medicamentos, servicios u otras compras con precios altos suelen provenir de bots de spam.

Indicaciones urgentes y agresivas para hacer clic en un enlace o reenviar un mensaje

Con frecuencia, los bots de spam están programados para intentar que los usuarios lleven a cabo una acción específica lo más rápido posible (como en un ataque de phishing). Si un perfil en una red social se ve comprometido, puede que el perfil de esa persona empiece a actuar de manera extraña, por ejemplo, enviando mensajes agresivos en lo que pide a sus contactos que hagan algo, cuando esa persona nunca ha actuado así en el pasado.

Mensajes de fuentes inesperadas

Se debe sospechar siempre de correos electrónicos o mensajes de redes sociales inesperados que provengan de personas desconocidas. Además, si la cuenta de red social de un usuario ha sido robada, el bot de spam puede utilizar para contactar con personas con las que el usuario no suela tener contacto.

Irrelevancia

En la captura de pantalla anterior de un comentario de spam, el bot enumeró diferentes tipos diferentes de préstamos, incluyendo "préstamo personal " y "préstamo para empresas." Este comentario aparecía debajo de una publicación de un blog sobre ciberseguridad. Los bots de spam no suelen verificar si sus comentarios son relevantes para el hilo, simplemente los publican.

En una conversación, las respuestas de la otra parte dejan de tener sentido

Los bots conversacionales de spam tienden a seguir un guion de conversación relativamente simple, y si las respuestas de un usuario se desvían de las respuestas esperadas, el bot conversacional de spam seguirá con el guion establecido aunque sus respuestas ya no tengan ningún sentido.

¿Cómo pueden evitar las empresas que los bots de spam generen una mala experiencia de usuario?

Los bots de spam no se comportan como los usuarios reales, y una solución de gestión de bots debería poder diferenciar entre las actividades de los bot de spam y las interacciones de usuarios legítimos con una propiedad web. Cloudflare Bot Management usa análisis de comportamiento no solo para detectar la actividad de bots, sino también para separar los bots beneficiosos de los perjudiciales (como los bots de spam) y mitigar los perjudiciales.