El 49.6% de su tráfico son bots: qué significa para su negocio
Casi la mitad de todo el tráfico de internet es automatizado. Esto es lo que dicen los datos, cuánto cuesta y qué puede hacer al respecto.
Según el Imperva 2024 Bad Bot Report, el 49.6% de todo el tráfico de internet es ahora automatizado: bots, rastreadores y scripts. De ese total, el 32% se clasifica como tráfico de bots maliciosos: programas automatizados diseñados para hacer scraping, rellenar credenciales, cometer fraude o abusar de los sistemas a escala.
Por primera vez en la historia de internet, el tráfico humano es minoría. Si su negocio no detecta ni gestiona activamente el tráfico de bots, casi la mitad de sus costes de infraestructura y de sus datos de analítica los están generando máquinas.
La taxonomía de los bots
Los bots buenos (rastreadores de motores de búsqueda, bots de monitorización) representan alrededor del 17.6% del tráfico. Los bots maliciosos —el 32% restante— se dividen en varias categorías:
Bots de credential stuffing
Estos bots toman listas de combinaciones robadas de usuario y contraseña procedentes de filtraciones de datos y las prueban contra las páginas de inicio de sesión a escala. Las credenciales robadas cuestan entre 1 y 10 dólares por cada mil en los mercados de la dark web. Una tasa de éxito del 0.1-2% produce cientos de cuentas comprometidas por cada millón de intentos. Según el Ponemon Institute, el coste medio de un ataque de credential stuffing es de aproximadamente 6 millones de dólares.
Bots de scraping
Los bots de web scraping extraen datos de precios, catálogos de productos y contenido. Las plataformas de e-commerce son especialmente vulnerables: los competidores que hacen scraping de los datos de precios en tiempo real pueden bajar sus precios en cuestión de minutos.
Bots de fraude publicitario
El fraude publicitario es un problema de 84,000 millones de dólares según Juniper Research. Los bots generan impresiones, clics y conversiones falsos en las campañas de publicidad digital. Las operaciones sofisticadas de fraude publicitario usan proxies residenciales y navegadores anti-detección para que el tráfico de bots parezca de usuarios reales.
Bots de acaparamiento de inventario
Estos bots atacan el inventario de disponibilidad limitada: entradas de conciertos, productos de edición limitada, reservas. Solo el mercado de reventa de zapatillas genera 2,000 millones de dólares al año, en gran parte impulsado por el acaparamiento de inventario mediante bots.
Por qué los CAPTCHA ya no funcionan
Resolución mediante IA. GPT-4V y otros modelos de IA multimodal similares pueden resolver CAPTCHA visuales con una precisión del 85-95%.
Granjas de CAPTCHA. Trabajadores humanos resuelven CAPTCHA por entre 1 y 3 dólares por cada mil. Servicios como 2Captcha procesan millones a diario.
Impacto en la experiencia de usuario. La investigación de Google muestra que los CAPTCHA reducen las tasas de conversión entre un 3 y un 8%. Estás bloqueando a clientes reales para detener bots que pueden resolver el CAPTCHA de todos modos.
La evolución de la sofisticación de los bots
1.ª generación: bots HTTP simples. Scripts que envían peticiones HTTP directamente. Fáciles de detectar con WAF.
2.ª generación: navegadores headless. Puppeteer, Playwright y Selenium automatizan navegadores reales. Detectables por los artefactos de los frameworks de automatización.
3.ª generación: navegadores anti-detección. Multilogin, GoLogin y Dolphin Anty crean entornos de navegador totalmente falsificados. Detectables mediante el análisis de inconsistencias de canvas y las anomalías de temporización.
4.ª generación: bots impulsados por IA. La amenaza emergente: bots que usan ML para imitar los patrones de comportamiento humano, incluidos los movimientos del ratón, los patrones de desplazamiento y la cadencia de escritura.
El enfoque de tracio.ai
Una detección de bots eficaz requiere varias capas:
La huella digital de dispositivos crea ID de visitante persistentes a partir de más de 130 señales del navegador que se mantienen a pesar de los cambios de VPN, el borrado de cookies y las sesiones de incógnito.
El análisis de comportamiento evalúa los patrones de interacción. Los bots que imitan a la perfección los movimientos del ratón siguen produciendo patrones detectables en la temporización y el jitter.
Las Smart Signals aportan 24 señales de enriquecimiento calculadas en el servidor, incluida la detección de incógnito, VPN/proxy, emuladores y falsificación de canvas.
El Verdict Engine combina todas las señales en una única decisión ALLOW, BLOCK o CHALLENGE en menos de 50ms.
Qué debería hacer
- Mida su tráfico de bots. Empiece con el plan gratuito de tracio.ai y ejecútelo durante una semana.
- Proteja primero los endpoints de mayor valor. Inicio de sesión, registro, pago y endpoints de API.
- No dependa solo de los CAPTCHA. Use la inteligencia de dispositivos como capa principal de detección.
- Monitorice de forma continua. Los operadores de bots se adaptan. Es esencial contar con una detección automatizada que evolucione con el panorama de amenazas.
- Cuantifique el ROI. Mida el coste de infraestructura, las pérdidas por fraude y las mejoras en la precisión de la analítica.