Dé lo mejor de sí mismo: impacto de los bots de zapatillas en las compras navideñas
Vídeo de Joseph Martínez
Introducción
Los bots son uno de los mejores ejemplos en los campos de la tecnología y la seguridad de cómo algo que se puede utilizar para hacer el bien, como proporcionar simples "prestaciones" (por ejemplo, los chatbots con tiempos de respuesta rápidos o garantizar resultados correctos de los motores de búsqueda), también se puede utilizar para causar un gran daño.
Cuando los profesionales de la seguridad pensamos en bots, solemos pensar en ataques distribuidos de denegación de servicio (DDoS). Los ataques DDoS han causado grandes estragos en organizaciones de todo el mundo, y los clientes de estas organizaciones han sufrido la mayor parte del impacto.
Uno de los ataques DDoS más conocidos, 2016 DynDNS, provocó interrupciones hasta el nivel de FAANG (Facebook, Amazon, Apple, Netflix y Google). Los ataques DDoS no están disminuyendo. Por el contrario, los atacantes están desarrollando sus estrategias en torno a los ataques DDoS, que incluye su uso como método de extorsión secundario para las víctimas de ransomware.
Sin embargo, para los consumidores, un "bot" normalmente es un chatbot con el que se conversa (como ChatGPT) o un bot de servicio al cliente que le ayuda a dirigirse al equipo adecuado para resolver su problema. Ciertamente, estos se acercan más al lado "inofensivo y útil" del espectro de los bots.
Lo que puede que no sepan los consumidores es que los bots también pueden ser (y muy a menudo lo son) el motivo de que se inflen los precios si el artículo que desea aún sigue disponible. Con la temporada navideña de Occidente a la vuelta de la esquina, los consumidores deben estar aún más atentos en esta época del año.
La ciberseguridad es responsabilidad de todos
Aunque el grupo de inteligencia sobre seguridad (SIG) de Akamai normalmente solo publica investigaciones muy técnicas sobre seguridad, como parte del mes de concienciación en ciberseguridad de octubre, hemos pensado que sería pertinente dirigirnos directamente a usted, el consumidor, para ayudarle a entender por qué puede ser difícil conseguir esas entradas o artículos de edición limitada que desea.
Si bien hay muchos tipos de bots, en esta publicación de blog nos centraremos en los "bots de zapatillas" o "bots de reventa" maliciosos: qué son, cómo se utilizan y cómo afectan su existencia y uso a los consumidores.
¿Qué es un bot de zapatillas?
Un bot de zapatillas es un fragmento de código malicioso diseñado para extraer información de sitios web y reservar artículos como, por ejemplo, zapatillas de edición limitada, que inspiró su nombre. Puede que también escuche los términos "bots de reventa" o "bots francotiradores". Estos bots no son exclusivos del calzado en modo alguno. También se ha producido una explosión de bots similares a estos que van más allá del comercio digital, como la acumulación de renovaciones de pasaportes que experimentaron los israelíes durante el verano del 2022.
Estos tipos de bots no solo causan una gran frustración en los clientes potenciales, sino que también alimentan el sector abusivo de la especulación de precios de reventa. Es probable que todos hayamos tenido la experiencia de tener que acudir a sitios de reventa de terceros con incrementos de precio excesivos para comprar algo que realmente queremos (hablamos de márgenes de beneficios de hasta un 7000 %) .
¿Los bots de zapatillas son ilegales?
Como cualquier abogado le dirá, la respuesta es que "depende". Sin embargo, estos violan los términos y condiciones de diversos sitios de comercio digital. El hecho de que cualquier persona pueda poner en marcha uno de ellos con los conocimientos adecuados ha creado un subsector adicional: Bots de zapatillas como servicio.
Por el pago de una tarifa, puede utilizar bots que ya se hayan creado. Puede comprarlos directamente para un uso continuado o alquilarlos en función de cada caso. Las tarifas pueden ser bastante elevadas (de hasta 500 dólares en algunos casos), y el uso de servicios de este tipo no garantiza que vaya a obtener el artículo; pueden aumentar sus posibilidades, pero la adquisición no está garantizada.
Arriesgado (y realmente no vale la pena)
Sin embargo, puede ser muy tentador utilizar alguno de estos servicios, especialmente durante las vacaciones. Sería el padre del año si llegara a casa con esas Nike de edición limitada que su hijo no ha parado de mencionar. Sin embargo, 500 dólares por un "tal vez" resulta, cuanto menos, arriesgado, y (esto se lo decimos los que trabajamos para una empresa que ve una cantidad asombrosa de datos de tráfico de bots) no es un riesgo que merezca la pena asumir.
¿Por qué están tan extendidos los bots?
Hemos afirmado que existen bots buenos y bots malos. Independientemente del tipo de bot al que se refiera, la velocidad desempeña un papel importante en la ubicuidad de los bots. La ingente velocidad a la que estos bots pueden realizar tareas es inconmensurable para un ser humano. Esta velocidad permite que las tareas se realicen de una forma tan eficiente que puede generar grandes ahorros de costes para una empresa que utilice bots.
Los bots también pueden aliviarnos de la carga mental en nuestras vidas normales: Pueden enviar recordatorios, información, notificaciones, etc. En pocas palabras, estos bots benignos facilitan nuestras vidas. Por eso, es muy importante separar estos bots buenos de los malignos, los que están diseñados para dañar o engañar al sistema.
¿Cuánto daño puede causar un bot a un consumidor?
En Akamai, conocemos los bots. Y lo que es más importante, conocemos los daños que pueden causar los bots. Creemos que, especialmente durante el mes de concienciación en ciberseguridad, era necesario mostrar la rapidez con la que un bot malicioso puede perjudicar directamente a la persona afectada (figura).
Debería dejar de preguntarse "si" se ha visto afectado personalmente por una filtración de datos; es mucho más probable que se haya visto afectado. Todos compartimos nuestros datos en todas partes, con frecuencia de forma inconsciente: Obtiene una prueba gratuita aquí, crea una cuenta allí, sigue sumando y los atacantes lo saben.
Credential Stuffing: el asesino en serie
No es ningún secreto que la reutilización de contraseñas es un uso común del que la mayoría de nosotros hemos sido culpables en algún momento de nuestras vidas. A pesar de la retórica continua que desaconseja esta práctica, los requisitos de contraseñas cada vez más complejos pueden hacer que la reutilización de contraseñas parezca la única opción para algunas personas. (Si busca ayuda en esa área, vaya a nuestra sección "3 maneras de protegerse" .)
La reutilización de contraseñas es un hábito crítico que hay que romper, especialmente debido a lo que se conoce como Credential Stuffing. Credential Stuffing se produce cuando una entidad maliciosa obtiene las credenciales filtradas de una persona e intenta utilizarlas para autenticarse en otros sitios web.
Por ejemplo: si su nombre de usuario y contraseña de una cuenta de redes sociales se ven comprometidos, un atacante con esa información podría utilizarlos para iniciar sesión en sitios web bancarios u otros sitios con información confidencial.
Esto sería muy perjudicial si un humano introdujera estas credenciales manualmente. Pero, ¿y si se suma un bot para hacer el trabajo pesado? Como puede ver en la figura, con este proceso automatizado, un atacante podría probar miles de combinaciones de credenciales en un sitio en cuestión de minutos. Cuantos más sitios tengan esa misma combinación de credenciales, mayor riesgo de exposición tendrá.
3 maneras de protegerse
Los atacantes tienen una enorme ventaja sobre los consumidores al ser conscientes de las medidas de defensa comunes y de cómo evitarlas, por lo que es imprescindible permanecer alerta. La ciberseguridad es responsabilidad de todos.
Existen tres formas básicas de protegerse: evitar la tentación de interactuar con bots de zapatillas, obtener un administrador de contraseñas y utilizar siempre la autenticación multifactorial (MFA).
1. Evite la tentación de interactuar con bots de zapatillas para conseguir artículos de edición limitada, entradas para conciertos u otras cosas por el estilo
Puede resultarle muy tentador intentar aumentar sus posibilidades de recibir artículos especiales, pero al interactuar con bots de zapatillas, entrega su información de pago y contacto a alguien de quien no sabe nada. También contribuye directamente al problema de tener bots en primer lugar.
Recuerde: conseguir el artículo nunca está garantizado; de hecho, es muy probable que el bot de zapatillas en sí sea una estafa para robarle su dinero.
2. Consiga un administrador de contraseñas para crear y mantener contraseñas complejas
Es necesario insistir en que las medidas en torno a las contraseñas son una parte crítica para mantener la seguridad de la información en línea. Con los constantes cambios en los requisitos, normalmente es mejor dejar que sea un producto diseñado específicamente para este propósito el que haga el trabajo duro por usted. Será más fácil y seguro de esa manera: solo tendrá que recordar una única contraseña y el administrador recordará todo lo demás en su lugar.
Cambiar las contraseñas olvidadas con demasiada frecuencia puede ser tan poco recomendable como no cambiarlas lo suficiente.
3. POR FAVOR, utilice la autenticación multifactorial (MFA)
Otro gran consejo de seguridad básico es activar y utilizar la MFA tanto como pueda. Esto obliga a un atacante a pasar por varios pasos hasta el robo de cuentas, lo cual proporciona varios lugares para que fallen.
Es preferible utilizar para esto un método que no sean los SMS (mensajes de texto), pero la autenticación de dos factores de los SMS es mucho mejor que no tener nada.
Hemos llegado al final, amigos
Mientras iniciamos otro año de toma de conciencia cibernética, parece que el mismo consejo sigue reciclándose una y otra vez. Esto no se debe a que los profesionales de la seguridad sean perezosos, sino a que estos métodos de defensa todavía no se utilizan tan ampliamente como sería aconsejable.
El phishing, los bots y el credential stuffing son métodos de ataque que han existido esencialmente desde los albores de Internet y siguen siendo algunas de las formas más eficaces que utiliza un atacante para dirigirle su ataque.
Solo son humanos
Un atacante es un ser humano. Tanto si se trata de un operador de ransomware, como un autor de botnets o incluso un estado: todos son humanos. Intentan ganarse la vida como el resto de nosotros. Puede parecer extraño humanizar a estos individuos malvados, pero es necesario entender este punto:
estos adversarios están buscando la manera más eficiente de lograr su objetivo. Por lo tanto, cuanto más complique las cosas para un atacante, mayor será la posibilidad de que pasen a otra cosa.
La importancia de la concienciación en ciberseguridad
A medida que nos acercamos al final del año, junto con los bots, los agentes maliciosos y el panorama en continuo cambio de pánico y alegrías que llamamos Internet, se debe a sí mismo mantenerse más informado en ciberseguridad. Cuanto más dependemos de la tecnología, más importante es tomarse esto en serio.
