Los bots "revenden" los servicios del gobierno israelí
Fdo.: Gon Avnon
Resumen ejecutivo
Los investigadores de Akamai han estado monitorizando una situación con bots que se ha estado aprovechado de los ciudadanos israelíes a través de diversos organismos gubernamentales.
Más de 700 000 israelíes están pidiendo cita para la renovación del pasaporte, generando un atraso de meses en el Ministerio del interior.
Un grupo de desarrolladores creó un bot para concertar las citas a través de MyVisit, la plataforma de programación de citas utilizada por algunas oficinas gubernamentales israelíes y la lanzó para su uso público gratuito.
Poco después, un grupo diferente hizo su propio bot para revender las citas de MyVisit de diversos servicios gubernamentales, incluido el Ministerio de interior, el Ministerio de transporte, el Seguro Nacional, Correos de Israel, la compañía de electricidad y demás. Cada cita se vende por más de 100 $.
MyVisit intentó mitigar los bots mediante un CAPTCHA que el bot de los actores de la amenaza logró saltarse rápidamente.
Para obstaculizar eficazmente estos bots, se requiere una solución más completa, como la que ofrecen los productos de administración de bots, usando una serie de medidas: desde la huella digital del dispositivo, la validación del navegador y los retos JavaScript hasta los modelos avanzados de aprendizaje automático que analizan y clasifican los datos en el back-end
Introducción
Los bots de reventa son un peligro notorio para los compradores de comercio digital de todo el mundo. Ya sea consolas de videojuegos, zapatillas deportivas de moda, coleccionables o tarjetas gráficas, cualquier artículo de edición limitada es un objetivo para las personas que se benefician al revender a consumidores con menos equipados tecnológicamente.
Sin embargo, en Israel, ha surgido un nuevo mercado de reventa amenazante para los servicios gubernamentales. En lugar se estafados con entradas de conciertos mucho más caras que su valor nominal, los israelíes han sido estafados eficazmente con servicios cotidianos. Este mercado de reventa tiene el potencial de crear un daño significativamente mayor que no poder ir de vacaciones.
En esta publicación de blog, explicaré dónde comenzó esta amenaza, en qué punto se encuentra actualmente y el peligro que representa para Israel y más allá.
La prisa de los pasaportes
Uno de los mayores efectos que tuvo la COVID-19 en nuestras vidas fue el cierre inmediato de los viajes de ocio. Afortunadamente, llegamos al punto en el que el los viajes turísticos se han reactivado un poco, y aquí es donde comienza esta historia. Después de quedarse encerrados en casa durante los últimos dos años, millones de israelíes están ansiosos de viajar al extranjero, buscando sus pasaportes olvidados y cientos de miles están descubriendo que esos pasaportes están casi vencidos. El Ministerio de interior postpandémico, con poco personal y sin preparación, está sobrecargado por el aumento de israelíes con ansias de vacaciones. Con un retraso de más de 700 000 solicitudes, un conflicto laboral, y el Ministerio de asuntos exteriores quedándose sin pasaportes, es un momento difícil para viajar dentro y fuera de Israel.
Entonces, ¿cómo están obteniendo los israelíes estos codiciados documentos? Para asegurarse una cita para la renovación del pasaporte, uno revisaría repetidamente el sitio web de la cita online MyVisit, que abre nuevos espacios a las 7:00, y esperaría encontrar una cita disponible en algún lugar. Muchas personas han esperado meses y han viajado por todo el país para las citas que necesitaban.
Sin embargo, algunos desarrolladores han ideado una solución mejor: un bot de programación de citas, llamado GamkenBot. Armado con tu información de contacto y tu ubicación de preferencia, el bot de citas se apresuraría a utilizar el sistema de programación, encontrando y asegurando rápidamente un espacio disponible tan pronto como se abra. Esto se lanzó para uso público, fue muy bien recibido, y los creadores pronto se convirtieron en los campeones de la gente en la batalla contra la burocracia.
Surge un negocio codicioso
Lamentablemente, la mayoría de las cosas que se pueden utilizar de manera positiva también se pueden utilizar de manera nefasta. Muy pronto, la gente comenzó a aprovecharse del bot con buenas intenciones para hacerse con las preciadas citas y revenderlas a los ciudadanos desesperados.
El 10 de mayo, poco después del lanzamiento de GamkenBot, se inició el grupo MyVisit Appointments en un canal de Telegram. Al parecer, el Ministerio del interior no es la única oficina del gobierno que confía en el sistema de citas de MyVisit. Así pues, el grupo de Telegram ofrece citas no solo para la renovación del pasaporte, sino también citas para la Autoridad demográfica, la compañía de electricidad de Israel, el Seguro Nacional, Correos de Israel, el Ministerio de transportes y demás. Los administradores afirman ser un grupo de desarrolladores cuyo bot escanea y reserva instantáneamente las citas abiertas, las cuales más tarde están disponibles para su compra. Incluso se ofrecen descuentos para aquellos que compran 2 o más citas.
Así, los servicios gubernamentales esenciales se han convertido en un producto comercializado. Pero, si bien la extorsión de los ciudadanos que buscan servicios esenciales ya es lo bastante mala, esta vulnerabilidad puede tener una implicación mucho más grave en la seguridad nacional, que abordaré más adelante en esta publicación.
Los desarrolladores de estos bots afirman que están realizando un servicio para sus clientes. Sin embargo, en realidad, su negocio no es diferente a la reventa de zapatillas deportivas o entradas de conciertos. Se ponen entre el proveedor y el consumidor, y cobran una comisión de mitigación por una transacción que podría haberse realizado sin su intervención.
MyVisit, el sistema de programación de citas, es utilizado por las diversas oficinas gubernamentales para hacerlas más accesibles. Sin embargo, debido a una implementación insegura, este sistema ha amplificado el problema, para cuya resolución fue creado. La implicación es que los servicios financieros, administrativos y de otro tipo esenciales para la vida de las personas se están entregando previo rescate.
Un riesgo de seguridad nacional
Es preocupante que las implicaciones no terminen con el embaucamiento directo de los ciudadanos para los programas gubernamentales básicos Esto podría abrir la puerta a cualquier entidad hostil o caótica para cerrar no solo la línea de pasaporte del Ministerio de interior, sino también el registro de conductores de camiones y autobuses del Ministerio de transporte, cualquier visita al Seguro Nacional o la compañía de electricidad y mucho más. ¿Qué sucede si esta lista se amplía para incluir citas médicas o procedimientos hospitalarios?
Mitigar la amenaza
MyVisit intentó bloquear los bots antes del incorporar un CAPTCHA en la página de reserva, pero los desarrolladores de los bots solo necesitaron unos pocos días para pasarlo. En última instancia, el CAPTCHA no es una solución anti-bot porque se puede pasar mediante técnicas relativamente simples, como mecanismos de resolución generados automáticamente, granjas manuales o cosecha de tokens, según la dificultad de CAPTCHA y la motivación del actor de la amenaza.
En los inicios de los bots, muchos podían detectarse mediante anomalías de encabezado HTTP simples. Sin embargo, hoy en día, los bots han evolucionado para imitar de manera experta las interacciones humanas online. Para vencer a los bots modernos actuales, los productos de administración de bots utilizan medidas mucho más avanzadas. Las huellas digitales y los análisis de comportamiento de los dispositivos se combinan con modelos de aprendizaje automático, alimentados con miles de millones de solicitudes cada día para detectar tendencias y anomalías. A medida que los desarrolladores de bots aprenden a manipular el entorno de sus navegadores e imitar el comportamiento humano, los investigadores de amenazas trabajan constantemente para mejorar las capacidades de detección, buscar la manipulación de atributos, los rastros de automatización y las evasiones emergentes.
Con el tiempo, un actor de amenazas puede eludir cualquier protección anti-bot con suficiente motivación y recursos, al menos a pequeña escala. Sin embargo, la barra debe colocarse lo más alto posible y siempre debemos elevarla más alto. En este caso, al menos, parece que algunas oficinas gubernamentales están bastante por detrás en comparación con las empresas de calzado deportivo.
Conclusión
Hay algunas ventajas importantes para los bots en la sociedad moderna. Por ejemplo, el bot que ayudó a organizar las citas fue bien recibido entre los ciudadanos porque realmente era beneficioso para ellos. Los chatbots y los bots auxiliares están pensados para facilitar nuestras vidas y, a menudo, quitando algunos inconvenientes menores que conllevan, a menudo lo hacen.
A medida que avanza la tecnología, se pueden automatizar y delegar a bots tareas cada vez más complicadas. Si bien estos bots nos permiten realizar trabajos tediosos y ayudarnos a conseguir mayores desafíos, también presentan posibilidades malévolas. Para proteger y garantizar la integridad de la vida online, debemos ser capaces de identificar y clasificar los bots, y mantenerlos alejados de aquellos lugares a los que no pertenecen.
