What is bot traffic? | How to stop bot traffic

El tráfico de bots es tráfico no humano a un sitio web. Si bien parte del tráfico de bots es beneficioso, el tráfico abusivo de bots puede ser muy perjudicial.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir el tráfico de bots.
  • Comprender cómo identificar el tráfico de bots.
  • Resumir las consecuencias negativas de los bots maliciosos.
  • Aprender a detener el tráfico de bots.

Copiar el enlace del artículo

¿Qué es el tráfico de bots?

Se trata de cualquier tráfico no humano a un sitio web o una aplicación. El término tráfico de bots suele tener una connotación negativa, pero no necesariamente es bueno o malo; todo depende del propósito que tengan los bots.

Algunos bots son esenciales para servicios útiles como los motores de búsqueda y asistentes digitales (por ejemplo, Siri y Alexa). La mayoría de las empresas aceptan este tipo de bots en sus sitios.

Otros bots pueden ser maliciosos; por ejemplo, los que se utilizan para el relleno de credenciales, la extracción de datos y el lanzamiento de ataques DDoS. Incluso algunos de los bots "malos" más benignos, como los rastreadores web no autorizados, son una molestia, ya que pueden interrumpir el análisis del sitio y generar fraude de clics.

Se cree que más del 40 % de todo el tráfico de Internet corresponde a bots, y gran parte de ellos son maliciosos. Por ese motivo, muchas organizaciones están buscando formas de administrar el tráfico de bots que llega a sus sitios.

¿Cómo se puede identificar el tráfico de bots?

Los ingenieros web pueden ver directamente las solicitudes de red a sus sitios e identificar el posible tráfico de bots. Una herramienta de análisis web integrada, como Google Analytics o Heap, también puede ayudar a detectar el tráfico de bots.

Las siguientes anomalías de análisis son características del tráfico de bots:

  • Vistas de página excesivamente altas: Si las vistas de un sitio aumentan de manera repentina, sin precedentes y de forma inesperada, es probable que haya bots haciendo clic en el sitio.
  • Tasa de rebote excesivamente alta: La tasa de rebote identifica la cantidad de usuarios que acceden a una sola página en un sitio y la abandonan antes de hacer clic en cualquiera de sus elementos. Los aumentos inesperados en la tasa de rebote pueden producirse cuando se dirigen bots a una sola página.
  • Duración de sesión inesperadamente prolongada o corta: La duración de la sesión, o la cantidad de tiempo que los usuarios permanecen en un sitio web, debería mantenerse relativamente estable. Un aumento inexplicable en este valor podría indicar que hay bots navegando por el sitio a una velocidad inusualmente lenta. Por el contrario, una caída inesperada en la duración de la sesión podría deberse a que hay bots haciendo clic en las páginas del sitio de manera mucho más rápida de lo que lo haría un usuario humano.
  • Conversiones no deseadas: Un aumento repentino en las conversiones de apariencia falsa, como las creaciones de cuentas que utilizan direcciones de correo electrónico maliciosas o formularios de contacto enviados con nombres y números de teléfono falsos, puede ser producto de los bots que rellenan formularios o bots no deseados.
  • Aumento en el tráfico desde una ubicación inesperada: Un aumento repentino de usuarios de una región en particular, especialmente si se trata de una zona donde es poco probable que muchas personas dominen el idioma nativo del lugar, puede ser un indicio del tráfico de bots.

¿Cómo puede el tráfico de bots afectar el análisis?

Como se mencionó anteriormente, el tráfico de bots no autorizado puede incidir en las métricas de análisis, como visualizaciones de páginas, tasa de rebote, duración de la sesión, geolocalización de usuarios y conversiones. Estas desviaciones en las métricas son motivo de frustración para el propietario del sitio, ya que resulta muy difícil medir el rendimiento de un sitio que se inunda con actividad de bots. Los intentos por mejorar el sitio, como las pruebas A/B y la optimización de la tasa de conversión, también se ven interrumpidos por el ruido estadístico que generan los bots.

Cómo filtrar el tráfico de bots en Google Analytics

Google Analytics does provide an option to “exclude all hits from known bots and spiders” (spiders are search engine bots that crawl webpages). If the source of the bot traffic can be identified, users can also provide a specific list of IPs to be ignored by Google Analytics.

Si bien estas medidas evitarán que algunos bots afecten el análisis, no pueden detenerlos a todos. Por otro lado, la mayoría de los bots maliciosos persiguen un objetivo más allá de interrumpir el análisis del tráfico, y aunque estas medidas preservan los datos de análisis, no mitigan la actividad perjudicial de los bots.

¿Cómo puede el tráfico de bots perjudicar el rendimiento?

El envío de grandes cantidades de tráfico de bots es una método muy común con el que los atacantes inician un ataque DDoS. En algunos tipos de ataques DDoS, se envía una gran cantidad de tráfico de ataque a un sitio web, que sobrecarga el servidor de origen y hace que el sitio se vuelva lento o totalmente inaccesible para los usuarios legítimos.

¿Cómo puede el tráfico de bots afectar los negocios?

Algunos sitios web pueden perjudicarse financieramente por el tráfico malicioso de bots, incluso si su rendimiento no se ve afectado. Los sitios que dependen de la publicidad y los que venden productos con inventario limitado son particularmente vulnerables.

For sites that serve ads, bots that land on the site and click on various elements of the page can trigger fake ad clicks; this is known as click fraud. While this may initially result in a boost in ad revenue, online advertising networks are very good at detecting bot clicks. If they suspect a website is committing click fraud, they will take action, usually in the form of banning that site and its owner from their network. For this reason, owners of sites that host ads need to be ever-wary of bot click fraud.

Sites with limited inventory can be targeted by inventory hoarding bots. As the name suggests, these bots go to e-commerce sites and dump tons of merchandise into their shopping carts, making that merchandise unavailable for purchase by legitimate shoppers. In some cases this can also trigger unnecessary restocking of inventory from a supplier or manufacturer. The inventory hoarding bots never make a purchase; they are simply designed to disrupt the availability of inventory.

¿Cómo pueden los sitios web administrar el tráfico de bots?

The first step to stopping or managing bot traffic to a website is to include a robots.txt file. This is a file that provides instructions for bots crawling the page, and it can be configured to prevent bots from visiting or interacting with a webpage altogether. But it should be noted that only good bots will abide by the rules in robots.txt; it will not prevent malicious bots from crawling a website.

A number of tools can help mitigate abusive bot traffic. A rate limiting solution can detect and prevent bot traffic originating from a single IP address, although this will still overlook a lot of malicious bot traffic. On top of rate limiting, a network engineer can look at a site’s traffic and identify suspicious network requests, providing a list of IP addresses to be blocked by a filtering tool such as a WAF. This is a very labor-intensive process and still only stops a portion of the malicious bot traffic.

Separate from rate limiting and direct engineer intervention, the easiest and most effective way to stop bad bot traffic is with a bot management solution. A bot management solution can leverage intelligence and use behavioral analysis to stop malicious bots before they ever reach a website. For example, Cloudflare Bot Management uses intelligence from over 25,000,000 Internet properties and applies machine learning to proactively identify and stop bot abuse. Super Bot Fight Mode, available on Pro and Business plans, offers smaller organizations similar visibility and control over their bot traffic.