El tráfico de bots es un tráfico no humano a un sitio web. Aunque parte del tráfico de bots sea beneficioso, el tráfico de bots abusivos puede ser muy perjudicial.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es un bot?
¿Qué es la gestión de bots?
¿Qué es el relleno de credenciales?
¿Qué es la apropiación de contenidos?
Scraping de datos
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
El tráfico de bots describe cualquier tráfico no humano a un sitio web o a una aplicación. El término tráfico de bots suele tener una connotación negativa, pero realmente el tráfico de bots no es intrínsecamente ni bueno ni malo, sino que depende del objetivo de los bots.
Algunos bots son fundamentales para servicios útiles como los motores de búsqueda y los asistentes digitales (por ejemplo, Siri, Alexa). La mayoría de empresas aceptan este tipo de bots en sus sitios.
Otros bots pueden tener un objetivo malicioso, como aquellos usados para relleno de credenciales, scraping de datos y lanzar ataques DDoS. Incluso algunos de los bots "perjudiciales" más benignos, como los rastreadores web no autorizados, pueden ser molestos porque pueden interrumpir el analytics del sitio y generar fraude de clics.
Se estima que más del 40 % de todo el tráfico en Internet está formado por tráfico de bots, y una parte importante del mismo son bots maliciosos. Por esto, muchas organizaciones están buscando formas de gestionar el tráfico de bots que llega a sus sitios.
Los ingenieros web pueden ver directamente las solicitudes de red a sus sitios e identificar el posible tráfico de bots. Las herramientas de análisis web integradas, como Google Analytics o Heap, también pueden ayudar a detectar el tráfico de bots.
Las siguientes anomalías analíticas son características del tráfico de bots:
Como se mencionó anteriormente, el tráfico de bots no autorizado puede afectar a las métricas de análisis como las vistas de páginas, el porcentaje de rebote, la duración de la sesión, la geolocalización de los usuarios y las conversiones. Estas desviaciones en las métricas pueden ser frustrantes para el propietario del sitio; es muy difícil medir el funcionamiento de un sitio inundado de bots. Los intentos para mejorar el sitio, como las pruebas de A/B y la optimización de la tasa de conversión, también se ven paralizados por el ruido estadístico generado por los bots.
Google Analytics ofrece una opción para "excluir todos los resultados de bots y arañas conocidos" (las arañas son bots de motores de búsqueda que rastrean páginas web). Si se puede identificar el origen del tráfico de los bots, los usuarios también pueden proporcionar una lista específica de IP para que Google Analytics las ignore.
Aunque estas medidas puedan evitar que algunos bots interrumpan el análisis, no detendrán a todos los bots. Además, la mayoría de los bots maliciosos apuntan a un objetivo además de interrumpir el análisis del tráfico y, aparte de preservar los datos de análisis, estas medidas no hacen nada para mitigar la actividad perjudicial de los bots.
El envío de cantidades masivas de tráfico de bots es una forma muy habitual que los atacantes utilizan para iniciar un ataque DDoS. Durante algunos tipos de ataques DDoS, se dirige tanto tráfico de ataque a un sitio web que se sobrecarga el servidor de origen y el sitio se ralentiza o deja de estar disponible para los usuarios legítimos.
Algunos sitios web pueden verse económicamente afectados por tráfico de bots maliciosos, incluso si su funcionamiento no se ve afectado. Los sitios que dependen de la publicidad y aquellos que venden mercancías con inventario limitado son especialmente vulnerables.
Para los sitios que sirven anuncios, los bots que aparecen en el sitio y hacen clic en varios elementos de la página pueden provocar clics de anuncios falsos; esto se conoce como fraude de clics. Aunque esto pueda generar al principio un aumento de los ingresos por publicidad, a las redes de publicidad en línea se les da muy bien detectar los clics de bots. Si tienen la sospecha de que un sitio web está cometiendo fraude de clics, tomarán medidas, como prohibir el acceso a su red al sitio web y a su propietario. Por este motivo, los propietarios de sitios que alojan anuncios deben ser especialmente cautelosos ante el fraude de clics de bots.
Los sitios con un inventario limitado pueden ser objetivo de bots de acumulación de inventario. Como su nombre indica, estos bots acuden a sitios de comercio electrónico y añaden toneladas de mercancía en sus carritos de la compra, y esto evita que los compradores legítimos pueden tener acceso a dicha mercancía. En algunos casos, también puede llevar a la reposición innecesaria de inventario de un proveedor o un fabricante. Los bots de acumulación de inventario nunca realizan una compra; solo están diseñados para interrumpir la disponibilidad de inventario.
El primer paso para detener o gestionar el tráfico de bots a un sitio web es incluir un archivo robots.txt. Este archivo proporciona instrucciones para los bots que rastrean la página, e incluso se puede configurar para prevenir que los bots visiten o interactúen con una página web. Pero debe tenerse en cuenta que solo los bots beneficiosos cumplirán con las reglas establecidas en robots.txt; esto no evitará que robots maliciosos rastreen un sitio web.
Un número de herramientas puede ayudar a mitigar el tráfico de bots abusivos. Una solución de rate limiting puede detectar y prevenir el tráfico de bots que se origine desde una única dirección IP, aunque con esto se seguirá pasando por alto una gran cantidad de tráfico de bots maliciosos. Además de rate limiting, un ingeniero de redes puede observar el tráfico de un sitio e identificar solicitudes de red sospechosas, y proporcionar una lista de direcciones IP que serán bloqueadas por una herramienta de filtrado como WAF. Este es un proceso muy laborioso y aun así solo detiene una parte del tráfico de bots maliciosos.
Además de la limitación de velocidad y de la intervención directa de un ingeniero, la forma más sencilla y efectiva de detener el tráfico de bots perjudiciales es con una solución de gestión de bots. Una solución de gestión de bots puede aprovechar la inteligencia y el análisis de comportamiento de uso para detener los bots maliciosos antes de que lleguen a un sitio web. Por ejemplo, Cloudflare Bot Management utiliza la inteligencia de millones de propiedades de Internet y aplica el aprendizaje automático para identificar y parar de forma proactiva el abuso de los bots. Super Bot Fight Mode, disponible en los planes Pro y Business, ofrece a las organizaciones más pequeñas una visibilidad y control similares, además del control sobre su tráfico de bots.