¿Qué es el tráfico de bots o botnets?

El tráfico de bots o botnets es el tráfico generado por programas informáticos automatizados, comúnmente conocidos como bots. Estos bots se utilizan para enviar tráfico automatizado a sitios web, a menudo para manipular el posicionamiento en motores de búsqueda o para realizar otras actividades maliciosas. Las botnets son redes de ordenadores que se utilizan para llevar a cabo ataques a gran escala, como ataques de denegación de servicio distribuido (DDoS).

El tráfico de bots sigue confundiendo a organizaciones grandes y pequeñas. Los bots, o botnets (grupos de bots conectados en red para actuar con un propósito común), se están convirtiendo en una parte cada vez mayor del tráfico de muchas propiedades web. Por ejemplo, las botnets maliciosas pueden enviar cientos de miles de solicitudes a sitios web y aplicaciones móviles en muy poco tiempo. A veces, este tráfico procede de bots que actúan de forma maliciosa, desde atacar vulnerabilidades del software hasta llevar a cabo ataques de DDoS y de fuerza bruta, así como otros comportamientos abusivos.

Hoy en día, gran parte del tráfico de botnets maliciosos se dedica al Credential Stuffing, donde los atacantes intentan obtener acceso no autorizado a cuentas de usuarios o clientes mediante credenciales robadas. Una botnet con un ejército de ordenadores secuestrados o infectados puede intentar cientos de miles de intentos de inicio de sesión por hora, utilizando combinaciones de nombre de usuario y contraseña que se sabe que son válidas en otros sitios. Dado que muchas personas reutilizan contraseñas en distintos sitios web, los atacantes suelen utilizar el tráfico de botnets para acceder a los entornos de TI, hacerse con el control de cuentas para robar dinero y datos y cometer otros tipos de fraude.

Mitigar el tráfico de botnets es difícil, ya que enviar varias solicitudes de inicio de sesión no da como resultado patrones que se puedan identificar y bloquear fácilmente. Afortunadamente, Akamai ofrece varias soluciones de seguridad de bots que pueden detectar y mitigar de forma eficaz el tráfico de bots y botnets, al tiempo que garantizan que no se pongan en peligro las operaciones de los usuarios legítimos.

Los ataques de Credential Stuffing son un gran negocio para los ciberdelincuentes. Las credenciales de inicio de sesión que se han visto expuestas en una filtración de datos están fácilmente disponibles para su compra en la Dark Web. Las botnets facilitan a un delincuente el uso de miles de credenciales en miles de sitios web miles de veces al día, por lo que acabará por conseguir su botín y acceder con éxito al sitio.

Una vez que se ha comprobado que un nombre de usuario y una contraseña son válidos en un sitio o aplicación web específicos, los atacantes pueden iniciar sesión para hacerse con el control de la cuenta o vender las credenciales a otros ciberdelincuentes para realizar compras, transferir dinero, robar datos o lanzar ciberataques de mayor envergadura desde el entorno de TI.

La defensa contra el Credential Stuffing requiere técnicas de detección de mitigación de bots que puedan reconocer con precisión el tráfico malicioso y bloquear la actividad de las botnets sin falsos positivos que bloqueen también sin querer a los usuarios legítimos. El desafío es que las solicitudes de inicio de sesión en un ataque de Credential Stuffing pueden ser difíciles de reconocer, ya que las credenciales verificadas representan solicitudes válidas.

A medida que la tecnología antibots se ha vuelto más eficaz, los operadores de bots se han vuelto bastante expertos en la evolución de sus ataques de botnets para evadir la detección. Para proteger a una organización, los equipos de seguridad necesitan sistemas de detección de botnets que puedan adaptarse tan rápido como los atacantes. Aquí es donde Akamai puede ayudar.

Akamai Account Protector ofrece protección contra el tráfico de botnets, así como contra los intentos de inicio de sesión fraudulentos. Esta tecnología de Akamai se ha diseñado para detectar a los impostores y detener los bots en el borde de Internet, al tiempo que permite a los clientes seguir adelante sin tener que enfrentarse a problemas adicionales.

Account Protector emplea una serie de técnicas para aprender el comportamiento de los propietarios legítimos de cuentas, como los tipos de dispositivos que tienden a utilizar, así como las direcciones IP típicas, las redes, las ubicaciones y la frecuencia y hora de inicio de sesión. Después de desarrollar perfiles de individuos y grupos de usuarios, Account Protector examina cada nueva solicitud de autenticación en busca de cualquier variación con respecto al comportamiento normal, buscando anomalías que puedan ser signos de fraude o Credential Stuffing. Cuando una solicitud se considera sospechosa o ilegítima, Account Protector aplica automáticamente la respuesta adecuada en tiempo real, sin que esto afecte a la experiencia de los auténticos clientes o propietarios de cuentas.

Entre las funciones clave se incluyen las siguientes:

• Puntuación de riesgo de la sesión del usuario en tiempo real. Account Protector evalúa las señales de riesgo y confianza durante la autenticación en tiempo real para evaluar el riesgo de que la solicitud no provenga de un usuario de cuenta legítimo.
• Perfiles. Account Protector crea un perfil de usuario de comportamiento para individuos y los agrega a un perfil de grupos donde las variaciones de comportamiento se pueden comparar con la población completa de usuarios para una mejor detección de anomalías.
• Reputación de la fuente. Esta característica evalúa la reputación de la fuente según la actividad maliciosa observada anteriormente en todos los clientes de Akamai, incluidos muchos de los sitios web más grandes y de mayor tráfico del mundo.
• Directorios de bots conocidos. El directorio de bots conocidos de Akamai permite dar respuestas rápidas y adecuadas al tráfico de bots y botnets.
• Detecciones de bots sofisticadas. Utilizando una serie de modelos y técnicas de IA y aprendizaje automático, Akamai detecta bots desconocidos desde la primera interacción.
• Análisis e informes. Akamai Account Protector puede analizar la actividad en terminales individuales, investigar a un usuario específico o evaluar a los usuarios por nivel de riesgo. Las estadísticas de alto nivel y los análisis detallados se pueden importar a las herramientas de gestión de eventos e información de seguridad (SIEM) para mejorar la detección de fraudes.

Akamai proporciona protección adicional frente el tráfico de botnets en Bot Manager, una solución de administración de bots con capacidades de detección y mitigación inigualables. Mediante el uso de varias tecnologías patentadas, Bot Manager detecta y mitiga los bots al establecer el primer contacto, en lugar de permitirles llegar primero a los sitios web. La información de los investigadores de inteligencia sobre amenazas de Akamai se incorpora automáticamente a las detecciones y análisis de Bot Manager.

Bot Manager aprende a detectar el tráfico de botnets mediante la recopilación de datos sobre “tráfico limpio” en una amplia distribución de tipos de datos. Mediante la observación de datos limpios sobre los patrones de tráfico de red, los tipos de tráfico y el volumen de tráfico, Bot Manager combina de forma integral los activadores de detección para proporcionar a cada solicitud una puntuación de bots: el Bot Score. Las puntuaciones altas indican que un bot genera una solicitud y que debe mitigarse. Las puntuaciones bajas sugieren que la solicitud procede de una persona y se puede vigilar o supervisar. Las solicitudes en la “zona gris” del centro pueden enfrentarse a desafíos innovadores que ralentizan enormemente los sofisticados ataques de bots y aumentan los costes de los atacantes.