Señales indicativas: cómo distinguir el tráfico de bots inocuos del de los nocivos
Los bots tienen mala prensa, pero no todos se crean con fines maliciosos. En resumidas cuentas, los bots se usan para realizar tareas sin la intervención humana y representan más del 40 % de todo el tráfico de Internet.
Algunos bots son simples rastreadores de buscadores o supervisan el estado de un sitio web, pero otros merodean con la intención de efectuar apropiaciones de cuentas y poner las API en peligro. Estos son los que hay que detectar, pero ¿cómo puedes diferenciarlos para dejar pasar los bots buenos y bloquear los otros?
Los bots maliciosos ejecutan código de manera repetida y generan tráfico web automatizado. Asimismo, inducen avalanchas de peticiones web contra las páginas web de inicio de sesión y de otras transacciones esenciales de retailers, entidades bancarias y cualquier organización que almacene datos personales o financieros valiosos, y que facilite el acceso a ellos a través de una aplicación web o una API. Analicemos tres de las situaciones más comunes en las que un atacante se vale de un bot para lograr objetivos fraudulentos, así como los indicios que puedes buscar en tu tráfico:
Extracción de contenidos
Los bots dedicados a la extracción de contenidos recopilan y copian de manera automática datos de otros sitios web. Aunque se hacen pasar por inofensivos rastreadores de buscadores para examinar contenido, estos impostores roban el mismo sin el conocimiento ni la autorización del propietario del sitio web.
Los atacantes pueden reutilizar estos contenidos de varias formas abusivas: pueden difundir programas de televisión con derechos de autor o artículos de noticias de pago, o pueden duplicar entradas de blog para robar tráfico orgánico y el valor de la optimización para buscadores. Igualmente, sabemos que utilizan los contenidos extraídos para recopilar datos de existencias o precios de productos y así obtener una ventaja competitiva, o bien para sacar información de contactos y venderla a otras empresas con fines comerciales.
Los bots de extracción de inventarios visitan páginas de productos, realizan búsquedas y extraen datos de sitios web. Se pueden reconocer por rangos IP maliciosos previamente identificados por fuentes como SANS. En el caso de nuestro WAF de última generación (anteriormente Signal Sciences), se pueden detectar mediante nuestra tecnología registrada Network Learning Exchange, que identifica tráfico sospechoso proveniente de fuentes cuyo carácter malicioso se ha confirmado y protege a todos nuestros clientes frente a ataques subsiguientes que procedan de las direcciones IP reconocidas.
Apropiación de cuentas
Una de las consecuencias frecuentes de cualquier violación de la seguridad son los ingentes volcados de credenciales de usuarios en la Dark Web. Los atacantes pueden comprar los nombres de usuario y contraseñas sustraídos y aplicar bots automatizados que prueben con rapidez las diversas combinaciones en los flujos de autenticación de los sitios web de retailers y entidades financieras de prestigio. Este proceso se denomina «relleno de credenciales». En cuanto se encuentran credenciales válidas, se utilizan en otros sitios web para apropiarse de las cuentas correspondientes y expulsar a los usuarios legítimos. El botín que estas cuentas ofrecen a los atacantes puede incluir datos personales y datos de pago almacenados, lo cual les permite seguir delinquiendo.
La clave reside en supervisar eventos de autenticación, para lo cual es necesario tener visibilidad del punto en el que se produce la apropiación de una cuenta: la creación de la misma y el inicio de sesión. Es necesario definir un umbral de lo que constituye un volumen normal o esperado en el tráfico de peticiones durante un periodo de tiempo, para tener una referencia de lo que queda fuera y, por tanto, constituye una anomalía. Así, ante un acusado repunte en los eventos de autenticación, como intentos de inicio de sesión o restablecimientos de contraseña, que sobrepase el umbral previsto, se pueden enviar notificaciones a las partes interesadas a modo de alerta y se pueden implantar medidas de bloqueo automatizado que impidan que estos volúmenes anómalos de peticiones alcancen el punto de conexión de una aplicación o de una API. Esta supervisión de la actividad de peticiones web dota a los equipos de DevOps y seguridad de medios con los que poder identificar rápidamente las actividades maliciosas que provocan el aumento de las peticiones.
Uso indebido de API
Las API desempeñan la función de eje troncal de las aplicaciones modernas de la web, la nube y los teléfonos móviles, de modo que no sorprende que los atacantes se sirvan de bots para imitar el comportamiento de usuarios legítimos de API. Según estimaciones de Gartner, antes del año 2022 las API serán el vector de ataque más habitual en violaciones de la seguridad de los datos de aplicaciones web empresariales. Así pues, resulta evidente deducir que cualquier plan estratégico de seguridad que se precie debe integrar la seguridad de las API.
Las API transmiten varios tipos de datos en el transcurso de las operaciones comerciales de las empresas. Los bots automatizados sondean las API en un intento de extraer datos confidenciales, como información personal o números de tarjetas de crédito. Por ejemplo, el agente atacante podría lanzar bots contra API de uso público suplantando información del encabezado XFF a fin de efectuar ataques de apropiación de cuentas.
Detectar y bloquear las peticiones nocivas es fundamental para impedir que los atacantes utilicen las API de forma indebida y provoquen interrupciones de servicios, filtración de datos o bloqueos de cuentas. Doblegar el uso indebido de API exige tener visibilidad de las ubicaciones y del modo en que los atacantes tratan de manipular la lógica empresarial de tu aplicación, incluidos los eventos de autenticación. Para obtener esos datos en tiempo real, tendrás que dotar a tu aplicación de instrumentos y supervisarla en busca de eventos de transacciones clave, que variarán según la función de la API.
Por ejemplo, los operadores de bots pueden descifrar tarjetas regalo lanzando un ataque por fuerza bruta a la API que utilizan los usuarios para comprobar el saldo de dichas tarjetas, con el objetivo final de validar números de tarjetas regalo. La presencia de un número inusitadamente alto de peticiones a la API de tarjetas regalo y el registro de errores desde una sola IP son indicios de que se está produciendo un ataque por fuerza bruta.
Por su parte, los bots de compra se despliegan frente a un flujo de compras en un intento de adquirir artículos con descuentos o de edición limitada. Los defraudadores utilizan tarjetas de crédito robadas o tarjetas de descuento almacenadas para adquirir bienes y, seguidamente, venderlos en otras plataformas a precios más elevados o en volúmenes masivos. El indicador en este tipo de bots es el incremento por encima de las previsiones de la actividad de adición de artículos al carrito desde una sola IP.
La clave para mitigar bots
Es importante tener visibilidad para proteger tus API y aplicaciones web, pero ello no basta para poner freno al tráfico nocivo generado por bots. También hace falta disponer de información precisa del tráfico dirigido a puntos de conexión de API o aplicaciones, así como funciones avanzadas de limitación de volumen que puedan detectar y prevenir comportamientos no humanos en aplicaciones y API.
Busca una solución que te permita fijar reglas específicas por aplicación rápidamente con el objetivo de prevenir el uso indebido de API y aplicaciones. Dichas reglas pueden incluir el agente de usuario, la ruta, el método, el esquema, el parámetro de consulta o de envío, las cookies de petición, etc. Al activarse esas señales, se ejecutan acciones automatizadas, entre las cuales figuran el bloqueo de peticiones web concretas, el envío de alertas a tus equipos u otras medidas pertinentes.