El tráfico de bots es tráfico no humano a un sitio web. Si bien parte del tráfico de bots es beneficioso, el tráfico abusivo de bots puede ser muy perjudicial.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es un bot?
¿Qué es la gestión de bots?
¿Qué es el relleno de credenciales?
¿Qué es la apropiación de contenidos?
Apropiación de datos
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Se trata de cualquier tráfico no humano a un sitio web o una aplicación. El término tráfico de bots suele tener una connotación negativa, pero no necesariamente es bueno o malo; todo depende del propósito que tengan los bots.
Algunos bots son esenciales para servicios útiles como los motores de búsqueda y asistentes digitales (por ejemplo, Siri y Alexa). La mayoría de las empresas aceptan este tipo de bots en sus sitios.
Otros bots pueden ser maliciosos; por ejemplo, los que se utilizan para el relleno de credenciales, la extracción de datos y el lanzamiento de ataques DDoS. Incluso algunos de los bots "malos" más benignos, como los rastreadores web no autorizados, son una molestia, ya que pueden interrumpir el análisis del sitio y generar fraude de clics.
Se cree que más del 40 % de todo el tráfico de Internet corresponde a bots, y gran parte de ellos son maliciosos. Por ese motivo, muchas organizaciones están buscando formas de administrar el tráfico de bots que llega a sus sitios.
Los ingenieros web pueden ver directamente las solicitudes de red a sus sitios e identificar el posible tráfico de bots. Una herramienta de análisis web integrada, como Google Analytics o Heap, también puede ayudar a detectar el tráfico de bots.
Las siguientes anomalías de análisis son características del tráfico de bots:
Como se mencionó anteriormente, el tráfico de bots no autorizado puede incidir en las métricas de análisis, como visualizaciones de páginas, tasa de rebote, duración de la sesión, geolocalización de usuarios y conversiones. Estas desviaciones en las métricas son motivo de frustración para el propietario del sitio, ya que resulta muy difícil medir el rendimiento de un sitio que se inunda con actividad de bots. Los intentos por mejorar el sitio, como las pruebas A/B y la optimización de la tasa de conversión, también se ven interrumpidos por el ruido estadístico que generan los bots.
Google Analytics ofrece una opción para "excluir todos los resultados de arañas y bots conocidos" (las arañas son bots de motores de búsqueda que rastrean páginas web). Si se puede identificar la fuente del tráfico de bots, los usuarios también pueden proporcionar una lista específica de IP que Google Analytics debe ignorar.
Si bien estas medidas evitarán que algunos bots afecten el análisis, no pueden detenerlos a todos. Por otro lado, la mayoría de los bots maliciosos persiguen un objetivo más allá de interrumpir el análisis del tráfico, y aunque estas medidas preservan los datos de análisis, no mitigan la actividad perjudicial de los bots.
El envío de grandes cantidades de tráfico de bots es una método muy común con el que los atacantes inician un ataque DDoS. En algunos tipos de ataques DDoS, se envía una gran cantidad de tráfico de ataque a un sitio web, que sobrecarga el servidor de origen y hace que el sitio se vuelva lento o totalmente inaccesible para los usuarios legítimos.
Algunos sitios web pueden perjudicarse financieramente por el tráfico malicioso de bots, incluso si su rendimiento no se ve afectado. Los sitios que dependen de la publicidad y los que venden productos con inventario limitado son particularmente vulnerables.
Los bots que aterrizan en sitios que publican anuncios y hacen clic en varios elementos de la página pueden generar clics falsos en la publicidad, lo que se conoce como fraude de clics. Si bien al principio esto puede generar un aumento en los ingresos por anuncios, las redes de publicidad en línea son muy buenas para detectar clics de bots. Si sospechan que un sitio web está cometiendo fraude de clics, tomarán medidas, que generalmente implican prohibir que el sitio y su propietario accedan a su red. Por esta razón, los propietarios de sitios que alojan anuncios deben ser cautelosos ante el fraude de clics de bots.
Los sitios con inventario limitado pueden ser un objetivo de los bots de acumulación de inventario. Como su nombre lo indica, estos bots se dirigen a sitios de comercio electrónico y colocan toneladas de productos en sus carritos de compras, lo que hace que esas mercancías dejen de estar disponibles para la compra por parte de compradores legítimos. En algunos casos, esto también puede hacer que el proveedor o fabricante realice una reposición innecesaria del inventario. Los bots que acumulan inventario nunca hacen compras, sino que están diseñados simplemente para afectar la disponibilidad del inventario.
El primer paso para detener o administrar el tráfico de bots a un sitio web es incluir un archivo robots.txt. En él se proporcionan instrucciones para los bots que rastrean la página, e incluso es posible configurarlo para evitar que los bots visiten una página web o interactúen con ella en absoluto. Sin embargo, se debe tener en cuenta que solo los bots buenos cumplen las reglas de robots.txt. Este archivo no evitará que los bots maliciosos rastreen el sitio web.
Un número de herramientas puede ayudar a mitigar el tráfico de bots abusivos. Una solución de rate limiting puede detectar y prevenir el tráfico de bots que se origine desde una única dirección IP, aunque con esto se seguirá pasando por alto una gran cantidad de tráfico de bots maliciosos. Además de rate limiting, un ingeniero de redes puede observar el tráfico de un sitio e identificar solicitudes de red sospechosas, y proporcionar una lista de direcciones IP que serán bloqueadas por una herramienta de filtrado como WAF. Este es un proceso muy laborioso y aun así solo detiene una parte del tráfico de bots maliciosos.
Además de la limitación de velocidad y de la intervención directa de un ingeniero, la forma más sencilla y efectiva de detener el tráfico de bots perjudiciales es con una solución de gestión de bots. Una solución de gestión de bots puede aprovechar la inteligencia y el análisis de comportamiento de uso para detener los bots maliciosos antes de que lleguen a un sitio web. Por ejemplo, Cloudflare Bot Management utiliza la inteligencia de millones de propiedades de Internet y aplica el aprendizaje automático para identificar y parar de forma proactiva el abuso de los bots. Super Bot Fight Mode, disponible en los planes Pro y Business, ofrece a las organizaciones más pequeñas una visibilidad y control similares, además del control sobre su tráfico de bots.