What is bot traffic? | How to stop bot traffic

El tráfico de bots es un tráfico no humano a un sitio web. Aunque parte del tráfico de bots sea beneficioso, el tráfico de bots abusivos puede ser muy perjudicial.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir tráfico de bots.
  • Entender cómo identificar el tráfico de bots.
  • Describir las consecuencias negativas de los bots maliciosos.
  • Más información sobre cómo detener el tráfico de bots.

Copiar enlace del artículo

¿Qué es el tráfico de bots?

El tráfico de bots describe cualquier tráfico no humano a un sitio web o a una aplicación. El término tráfico de bots suele tener una connotación negativa, pero realmente el tráfico de bots no es intrínsecamente ni bueno ni malo, sino que depende del objetivo de los bots.

Algunos bots son fundamentales para servicios útiles como los motores de búsqueda y los asistentes digitales (por ejemplo, Siri, Alexa). La mayoría de empresas aceptan este tipo de bots en sus sitios.

Otros bots pueden tener un objetivo malicioso, como aquellos usados para relleno de credenciales, scraping de datos y lanzar ataques DDoS. Incluso algunos de los bots "perjudiciales" más benignos, como los rastreadores web no autorizados, pueden ser molestos porque pueden interrumpir el analytics del sitio y generar fraude de clics.

Se estima que más del 40 % de todo el tráfico en Internet está formado por tráfico de bots, y una parte importante del mismo son bots maliciosos. Por esto, muchas organizaciones están buscando formas de gestionar el tráfico de bots que llega a sus sitios.

¿Cómo se puede identificar el tráfico de bots?

Los ingenieros web pueden ver directamente las solicitudes de red a sus sitios e identificar el posible tráfico de bots. Las herramientas de análisis web integradas, como Google Analytics o Heap, también pueden ayudar a detectar el tráfico de bots.

Las siguientes anomalías analíticas son características del tráfico de bots:

  • Vistas de página anormalmente altas: si en un sitio se produce un repunte brusco, sin precedentes e inesperado de las vistas de página, es probable que haya bots haciendo clic en el sitio.
  • Tasa de rebote anormalmente alta: la tasa de rebote identifica el número de usuarios que han llegado a una sola página de un sitio y la abandonan antes de hacer clic en cualquier lugar de la misma. Un aumento inesperado en la tasa de rebote puede ser el resultado del direccionamiento de bots una sola página.
  • Duración de la sesión sorprendentemente alta o baja: la duración de la sesión, o la cantidad de tiempo que permanecen los usuarios en un sitio web, debe permanecer relativamente estable. Un aumento inexplicable de la duración de la sesión podría ser una indicación de que los bots están explorando el sitio a una velocidad inusualmente lenta. Por el contrario, una caída inesperada de la duración de la sesión podría ser consecuencia de que los bots hacen clic en las páginas del sitio de manera más rápida de lo que lo haría un usuario humano.
  • Conversiones no deseadas: un aumento repentino en las conversiones con una apariencia falsa, como las creaciones de cuentas que utilizan direcciones de correo electrónico que no tienen sentido o formularios de contacto enviados con nombres y números de teléfono falsos, puede ser el resultado de bots de relleno de formularios o bots de spam.
  • Repunte del tráfico desde una ubicación inesperada: un repunte repentino de los usuarios de una región, en particular de una región que no cuente con un número de personas elevado que controle el idioma del sitio, puede ser una indicación de tráfico de bots.

¿Cómo puede perjudicar el tráfico de bots al análisis?

Como se mencionó anteriormente, el tráfico de bots no autorizado puede afectar a las métricas de análisis como las vistas de páginas, el porcentaje de rebote, la duración de la sesión, la geolocalización de los usuarios y las conversiones. Estas desviaciones en las métricas pueden ser frustrantes para el propietario del sitio; es muy difícil medir el funcionamiento de un sitio inundado de bots. Los intentos para mejorar el sitio, como las pruebas de A/B y la optimización de la tasa de conversión, también se ven paralizados por el ruido estadístico generado por los bots.

¿Cómo filtrar el tráfico de bots desde Google Analytics?

Google Analytics does provide an option to “exclude all hits from known bots and spiders” (spiders are search engine bots that crawl webpages). If the source of the bot traffic can be identified, users can also provide a specific list of IPs to be ignored by Google Analytics.

Aunque estas medidas puedan evitar que algunos bots interrumpan el análisis, no detendrán a todos los bots. Además, la mayoría de los bots maliciosos apuntan a un objetivo además de interrumpir el análisis del tráfico y, aparte de preservar los datos de análisis, estas medidas no hacen nada para mitigar la actividad perjudicial de los bots.

¿Cómo puede afectar el tráfico de bots al funcionamiento?

El envío de cantidades masivas de tráfico de bots es una forma muy habitual que los atacantes utilizan para iniciar un ataque DDoS. Durante algunos tipos de ataques DDoS, se dirige tanto tráfico de ataque a un sitio web que se sobrecarga el servidor de origen y el sitio se ralentiza o deja de estar disponible para los usuarios legítimos.

¿Cómo puede perjudicar el tráfico de bots al negocio?

Algunos sitios web pueden verse económicamente afectados por tráfico de bots maliciosos, incluso si su funcionamiento no se ve afectado. Los sitios que dependen de la publicidad y aquellos que venden mercancías con inventario limitado son especialmente vulnerables.

For sites that serve ads, bots that land on the site and click on various elements of the page can trigger fake ad clicks; this is known as click fraud. While this may initially result in a boost in ad revenue, online advertising networks are very good at detecting bot clicks. If they suspect a website is committing click fraud, they will take action, usually in the form of banning that site and its owner from their network. For this reason, owners of sites that host ads need to be ever-wary of bot click fraud.

Sites with limited inventory can be targeted by inventory hoarding bots. As the name suggests, these bots go to e-commerce sites and dump tons of merchandise into their shopping carts, making that merchandise unavailable for purchase by legitimate shoppers. In some cases this can also trigger unnecessary restocking of inventory from a supplier or manufacturer. The inventory hoarding bots never make a purchase; they are simply designed to disrupt the availability of inventory.

¿Cómo gestionan los sitios web el tráfico de bots?

The first step to stopping or managing bot traffic to a website is to include a robots.txt file. This is a file that provides instructions for bots crawling the page, and it can be configured to prevent bots from visiting or interacting with a webpage altogether. But it should be noted that only good bots will abide by the rules in robots.txt; it will not prevent malicious bots from crawling a website.

A number of tools can help mitigate abusive bot traffic. A rate limiting solution can detect and prevent bot traffic originating from a single IP address, although this will still overlook a lot of malicious bot traffic. On top of rate limiting, a network engineer can look at a site’s traffic and identify suspicious network requests, providing a list of IP addresses to be blocked by a filtering tool such as a WAF. This is a very labor-intensive process and still only stops a portion of the malicious bot traffic.

Separate from rate limiting and direct engineer intervention, the easiest and most effective way to stop bad bot traffic is with a bot management solution. A bot management solution can leverage intelligence and use behavioral analysis to stop malicious bots before they ever reach a website. For example, Cloudflare Bot Management uses intelligence from over 25,000,000 Internet properties and applies machine learning to proactively identify and stop bot abuse. Super Bot Fight Mode, available on Pro and Business plans, offers smaller organizations similar visibility and control over their bot traffic.