¿Qué es el tráfico de bots? El | Cómo detener el tráfico de bots

El tráfico de bots es tráfico no humano a un sitio web. Si bien parte del tráfico de bots es beneficioso, el tráfico abusivo de bots puede ser muy perjudicial.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir el tráfico de bots.
  • Comprender cómo identificar el tráfico de bots.
  • Resumir las consecuencias negativas de los bots maliciosos.
  • Aprender a detener el tráfico de bots.

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

Defiéndete contra los ataques de bots como el relleno de credenciales y la apropiación de contenidos con Cloudflare

¿Qué es el tráfico de bots?

Se trata de cualquier tráfico no humano a un sitio web o una aplicación. El término tráfico de bots suele tener una connotación negativa, pero no necesariamente es bueno o malo; todo depende del propósito que tengan los bots.

Algunos bots son esenciales para servicios útiles como los motores de búsqueda y asistentes digitales (por ejemplo, Siri y Alexa). La mayoría de las empresas aceptan este tipo de bots en sus sitios.

Otros bots pueden ser maliciosos; por ejemplo, los que se utilizan para el relleno de credenciales, la extracción de datos y el lanzamiento de ataques DDoS. Incluso algunos de los bots "malos" más benignos, como los rastreadores web no autorizados, son una molestia, ya que pueden interrumpir el análisis del sitio y generar fraude de clics.

Se cree que más del 40 % de todo el tráfico de Internet corresponde a bots, y gran parte de ellos son maliciosos. Por ese motivo, muchas organizaciones están buscando formas de administrar el tráfico de bots que llega a sus sitios.

¿Cómo se puede identificar el tráfico de bots?

Los ingenieros web pueden ver directamente las solicitudes de red a sus sitios e identificar el posible tráfico de bots. Una herramienta de análisis web integrada, como Google Analytics o Heap, también puede ayudar a detectar el tráfico de bots.

Las siguientes anomalías de análisis son características del tráfico de bots:

  • Vistas de página excesivamente altas: Si las vistas de un sitio aumentan de manera repentina, sin precedentes y de forma inesperada, es probable que haya bots haciendo clic en el sitio.
  • Tasa de rebote excesivamente alta: La tasa de rebote identifica la cantidad de usuarios que acceden a una sola página en un sitio y la abandonan antes de hacer clic en cualquiera de sus elementos. Los aumentos inesperados en la tasa de rebote pueden producirse cuando se dirigen bots a una sola página.
  • Duración de sesión inesperadamente prolongada o corta: La duración de la sesión, o la cantidad de tiempo que los usuarios permanecen en un sitio web, debería mantenerse relativamente estable. Un aumento inexplicable en este valor podría indicar que hay bots navegando por el sitio a una velocidad inusualmente lenta. Por el contrario, una caída inesperada en la duración de la sesión podría deberse a que hay bots haciendo clic en las páginas del sitio de manera mucho más rápida de lo que lo haría un usuario humano.
  • Conversiones no deseadas: Un aumento repentino en las conversiones de apariencia falsa, como las creaciones de cuentas que utilizan direcciones de correo electrónico maliciosas o formularios de contacto enviados con nombres y números de teléfono falsos, puede ser producto de los bots que rellenan formularios o bots no deseados.
  • Aumento en el tráfico desde una ubicación inesperada: Un aumento repentino de usuarios de una región en particular, especialmente si se trata de una zona donde es poco probable que muchas personas dominen el idioma nativo del lugar, puede ser un indicio del tráfico de bots.
¿Estás siendo blanco de ataque?
Protección completa contra los ciberataques

¿Cómo puede el tráfico de bots afectar el análisis?

Como se mencionó anteriormente, el tráfico de bots no autorizado puede incidir en las métricas de análisis, como visualizaciones de páginas, tasa de rebote, duración de la sesión, geolocalización de usuarios y conversiones. Estas desviaciones en las métricas son motivo de frustración para el propietario del sitio, ya que resulta muy difícil medir el rendimiento de un sitio que se inunda con actividad de bots. Los intentos por mejorar el sitio, como las pruebas A/B y la optimización de la tasa de conversión, también se ven interrumpidos por el ruido estadístico que generan los bots.

Cómo filtrar el tráfico de bots en Google Analytics

Google Analytics ofrece una opción para "excluir todos los resultados de arañas y bots conocidos" (las arañas son bots de motores de búsqueda que rastrean páginas web). Si se puede identificar la fuente del tráfico de bots, los usuarios también pueden proporcionar una lista específica de IP que Google Analytics debe ignorar.

Si bien estas medidas evitarán que algunos bots afecten el análisis, no pueden detenerlos a todos. Por otro lado, la mayoría de los bots maliciosos persiguen un objetivo más allá de interrumpir el análisis del tráfico, y aunque estas medidas preservan los datos de análisis, no mitigan la actividad perjudicial de los bots.

¿Cómo puede el tráfico de bots perjudicar el rendimiento?

El envío de grandes cantidades de tráfico de bots es una método muy común con el que los atacantes inician un ataque DDoS. En algunos tipos de ataques DDoS, se envía una gran cantidad de tráfico de ataque a un sitio web, que sobrecarga el servidor de origen y hace que el sitio se vuelva lento o totalmente inaccesible para los usuarios legítimos.

¿Cómo puede el tráfico de bots afectar los negocios?

Algunos sitios web pueden perjudicarse financieramente por el tráfico malicioso de bots, incluso si su rendimiento no se ve afectado. Los sitios que dependen de la publicidad y los que venden productos con inventario limitado son particularmente vulnerables.

Los bots que aterrizan en sitios que publican anuncios y hacen clic en varios elementos de la página pueden generar clics falsos en la publicidad, lo que se conoce como fraude de clics. Si bien al principio esto puede generar un aumento en los ingresos por anuncios, las redes de publicidad en línea son muy buenas para detectar clics de bots. Si sospechan que un sitio web está cometiendo fraude de clics, tomarán medidas, que generalmente implican prohibir que el sitio y su propietario accedan a su red. Por esta razón, los propietarios de sitios que alojan anuncios deben ser cautelosos ante el fraude de clics de bots.

Los sitios con inventario limitado pueden ser un objetivo de los bots de acumulación de inventario. Como su nombre lo indica, estos bots se dirigen a sitios de comercio electrónico y colocan toneladas de productos en sus carritos de compras, lo que hace que esas mercancías dejen de estar disponibles para la compra por parte de compradores legítimos. En algunos casos, esto también puede hacer que el proveedor o fabricante realice una reposición innecesaria del inventario. Los bots que acumulan inventario nunca hacen compras, sino que están diseñados simplemente para afectar la disponibilidad del inventario.

¿Cómo pueden los sitios web administrar el tráfico de bots?

El primer paso para detener o administrar el tráfico de bots a un sitio web es incluir un archivo robots.txt. En él se proporcionan instrucciones para los bots que rastrean la página, e incluso es posible configurarlo para evitar que los bots visiten una página web o interactúen con ella en absoluto. Sin embargo, se debe tener en cuenta que solo los bots buenos cumplen las reglas de robots.txt. Este archivo no evitará que los bots maliciosos rastreen el sitio web.

Un número de herramientas puede ayudar a mitigar el tráfico de bots abusivos. Una solución de rate limiting puede detectar y prevenir el tráfico de bots que se origine desde una única dirección IP, aunque con esto se seguirá pasando por alto una gran cantidad de tráfico de bots maliciosos. Además de rate limiting, un ingeniero de redes puede observar el tráfico de un sitio e identificar solicitudes de red sospechosas, y proporcionar una lista de direcciones IP que serán bloqueadas por una herramienta de filtrado como WAF. Este es un proceso muy laborioso y aun así solo detiene una parte del tráfico de bots maliciosos.

Además de la limitación de velocidad y de la intervención directa de un ingeniero, la forma más sencilla y efectiva de detener el tráfico de bots perjudiciales es con una solución de gestión de bots. Una solución de gestión de bots puede aprovechar la inteligencia y el análisis de comportamiento de uso para detener los bots maliciosos antes de que lleguen a un sitio web. Por ejemplo, Cloudflare Bot Management utiliza la inteligencia de millones de propiedades de Internet y aplica el aprendizaje automático para identificar y parar de forma proactiva el abuso de los bots. Super Bot Fight Mode, disponible en los planes Pro y Business, ofrece a las organizaciones más pequeñas una visibilidad y control similares, además del control sobre su tráfico de bots.