¿Por qué las organizaciones están fracasando en sus esfuerzos por combatir los ataques crecientes de robots?

This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso

La necesidad de gestión de robots está impulsada por el crecimiento de los ataques automatizados. En un comienzo, el uso de robots se limitaba a los intentos de scraping o de correos no deseados. Hoy en día, las cosas son muy diferentes. Los robots se están utilizando para tomar el control de las cuentas del usuario, realizar ataques de DDoS, abusar de las APIs, extraer contenido único e información sobre precios, y mucho más.

A pesar de estas amenazas tan serias, ¿las empresas están adoptando soluciones de gestión de robots? La respuesta es no. Muchas aún niegan la amenaza. Estas empresas están intentando restringir los robots mediante soluciones y recursos internos, lo que pone en riesgo la seguridad de los usuarios. En un estudio, Development of In-house Bot Management Solutions and their Pitfalls (Desarrollo de soluciones internas de gestión de bots y sus obstáculos), los investigadores de seguridad del Centro de innovación de Radware descubrieron que la gestión de robots por medio de recursos internos está causando más mal que bien.

En comparación con el 22,39% de tráfico real de robots maliciosos, las soluciones de gestión de robots internas detectaron solo el 11,54%. Estas soluciones no solo no detectaron la mayoría de los robots maliciosos, sino que además casi el 50% de los 11,54% que detectaron fueron falsos positivos.

Figura 1: Robots detectados por las soluciones de gestión de robots internas cotejados con el porcentaje de robots maliciosos reales

[También puede interesarte: Protecting an Airline from Bad Bots (Protección de una aerolínea contra bots malos): Estudio de un caso]

Entonces, ¿por qué las soluciones de gestión de robots internas fallan? Antes de profundizar más para descubrir las razones detrás del fracaso de las soluciones de gestión de robots internas, veamos algunos factores fundamentales.

Más de la mitad de los robots maliciosos se generan en los países más pequeños

Cuando se compara a los países con el porcentaje más alto de tráfico de robots como parte del tráfico de salida total, muchas de las naciones son muy pequeñas. Por ejemplo, Andorra es un principado muy pequeño en Europa, conocido por ser un paraíso fiscal. Andorra no tiene la obligación de compartir los datos que almacena porque no es parte de la Unión Europea. Por lo tanto, los atacantes utilizan servidores localizados en Andorra para lanzar sus ataques de robots porque los datos están protegidos.

Figura 2: Origen de robots maliciosos por país  

Los ciberdelincuentes ahora aprovechan las tecnologías avanzadas para filtrar miles de IPs y evadir la filtración del tráfico basándose en la geografía. Cuando los robots surgen de diversas ubicaciones geográficas, las soluciones que utilizan pruebas de ensayo y error de filtros basados en la geografía o IP se vuelven inútiles. La detección requiere la comprensión del intento de sus visitantes para atrapar a los sospechosos.

Un tercio de los robots maliciosos pueden imitar el comportamiento humano

La gestión de los robots es compleja y requiere una tecnología dedicada respaldada por expertos para tengan un conocimiento profundo del comportamiento de los robots buenos y malos. Estos robots pueden imitar el comportamiento humano (como movimientos del mouse y pulsación de teclas) para evadir los sistemas de seguridad existentes.

Los robots sofisticados están distribuidos en miles de direcciones IP o Id. de dispositivos, y se pueden comunicar a través de IPs aleatorias para evadir la detección. Estas acciones sigilosas, que evitan ser detectadas, no se detienen aquí. Los programas de estos robots sofisticados comprenden las medidas que puedes tomar para detenerlos. Saben que, además de las direcciones IP aleatorias, la ubicación geográfica es otra área que pueden explotar. Los robots aprovechan diferentes combinaciones de agentes de usuarios para evadir las medidas de seguridad internas.

Las soluciones internas no tienen visibilidad de los diferentes tipos de robots, y allí es donde fracasan. Estas soluciones trabajan sobre la base de los datos recopilados a través de recursos internos y carecen de inteligencia de amenaza global. La gestión de los robots es un nicho y requiere una comprensión integral e investigación constante para seguir el ritmo de los ciberdelincuentes tristemente célebres.

Las organizaciones que trabajan en diferentes industrias implementan medidas internas como su primer paso de mitigación cuando se enfrentan a los robots maliciosos. Para su consternación, las soluciones internas suelen fracasar en el reconocimiento de los patrones de los robots sofisticados.

Recomendaciones

Implementa una autenticación de protocolos desafío-respuesta: La autenticación de protocolos desafío-respuesta te ayudan a filtrar la primera generación de robots. Existen diferentes tipos de autenticación de protocolos desafío-respuesta, aunque el más usado es CAPTCHA. No obstante, la autenticación de protocolos desafío-respuesta solo puede ayudar a filtrar a los agentes/exploradores de usuarios obsoletos y scripts automatizados básicos, y no puede detener a los robots sofisticados que imitan el comportamiento humano.

Implementa un mecanismo de autenticación estricto de las APIs: Con la adopción generalizada de las APIs, los ataques de robots en APIs mal protegidas está en aumento. Las APIs solo suelen verificar el estado de autenticación, pero no la autenticidad del usuario. Los atacantes explotan estas fallas de diferentes maneras (como secuestro de sesión y agregación de cuentas, entre otras) para imitar las llamadas a las APIs genuinas. Implementar mecanismos de autenticación estrictos en las APIs puede ayudar a impedir infracciones de seguridad.

Supervisa los intentos fallidos de inicio de sesión y picos repentinos en el tráfico: Los ciberdelincuentes implementan robots maliciosos para realizar ataques de relleno y de descifrado de credenciales en las páginas de inicio de sesión. Debido a que dicha estrategia implica probar diferentes credenciales o diferentes combinaciones de ID de usuario y contraseñas, se incrementa la cantidad de intentos de inicio de sesión fallidos.  La presencia de robots maliciosos en tu sitio web también aumenta repentinamente la cantidad de tráfico en el sitio. Supervisar los intentos de inicio de sesión fallidos y los picos repentinos en el tráfico puede ayudarte a tomar medidas de prevención antes de que los robots maliciosos penetren en tus aplicaciones web.

Implementa una solución de gestión de robots dedicada: Las medidas internas, como las prácticas que mencioné anteriormente, brindan una protección básica, pero no garantizan la seguridad del contenido esencial de tu empresa, las cuentas de los usuarios y otros datos sensibles. Los robots sofisticados de tercera y cuarta generación, que ahora son los responsables del 37% del tráfico de robots maliciosos, pueden estar distribuidos en miles de direcciones IP y pueden atacar a tu negocio de múltiples maneras. Pueden ejecutar ataques bajos y lentos, o ataques distribuidos a gran escala, que resultan en tiempos de inactividad. Una solución de gestión de robots dedicada facilita la detección y mitigación en tiempo real de dichas actividades sofisticadas y automatizadas.

¿Te gusta esta publicación? Subscríbete ahora para recibir el contenido más reciente de Radware en tu bandeja de entrada
todas las semanas, además de acceso exclusivo al contenido Premium de Radware