Soy un ex oficial de operaciones cibernéticas de la CIA que estudia el tráfico de bots. He aquí por qué es plausible que más del 80% de las cuentas de Twitter sean falsas, y Twitter no es el único.

A estas alturas, probablemente hayas oído hablar de la fallida adquisición y el drama legal emergente entre Twitter, una empresa que no buscó ser comprada, y Elon Musk, quien rescindió su oferta de comprar la empresa.

En el centro de este conflicto está el tema del tráfico de bots, algo sobre lo que sé bastante. Durante los últimos seis años, mi trabajo ha sido liderar un equipo de científicos de datos que analizan las interacciones web para identificar bots, las aplicações a las que se dirigen los bots y sus objetivos.

En promedio, alrededor de 2 mil millones de transacciones fluyen a través de la infraestructura de defensa contra bots de F5 todos los días, y hemos informado a cientos de empresas en prácticamente todas las industrias sobre su tráfico de bots.

Basándonos en esta experiencia, es casi seguro que el tráfico de bots de Twitter es mucho mayor de lo que han expresado públicamente e incluso mayor de lo que creen internamente. Para ser justos, es probable que esto último sea el caso de todas las organizaciones que son blanco de bots maliciosos o no deseados pero que no utilizan tecnología de primera clase para eliminarlos.

Esto es algo que hemos aprendido sobre los bots en los últimos años y por qué fue tan fácil llegar a esa conclusión.

Los bots siempre intentan lograr algo.

Una organización que permite a los clientes iniciar sesión en cuentas en línea verá una automatización en la aplicação de inicio de sesión para intentar participar en algún tipo de fraude. Una organización que ofrece precios especiales en línea verá cómo se utiliza la automatización para recopilar precios, tarifas y precios para la reventa. Hay docenas de ejemplos como éste.

En el caso de Twitter, un incentivo clave es ganar seguidores. Existe la percepción de que cuanto más seguidores tiene alguien, más interesantes deben ser sus tweets y, de hecho, las cuentas con más seguidores tienden a ser más influyentes.

El objetivo de amplificar la influencia es donde este modelo puede volverse preocupante. Imagínese la influencia que podría tener con el control automatizado sobre millones de cuentas de Twitter que interactúan con las cuentas reales de figuras públicas y ciudadanos privados. Es probable que esto atraiga a actores estatales altamente motivados y con recursos prácticamente ilimitados.

Si hay un incentivo y los medios, habrá más bots.

No sólo hay un gran incentivo en Twitter, sino que también hay un medio. Existen innumerables servicios en Internet (incluidos los mercados de la red oscura o profunda) que ofrecen cuentas de Twitter, seguidores, “me gusta” y retuits a cambio de una tarifa.

Para fines de investigación, probé estos servicios en una cuenta de Twitter que creé. Siguiendo con las pruebas, por menos de 1.000 dólares, la cuenta ya tiene casi 100.000 seguidores. Una vez tuiteé un completo galimatías y pagué a mis seguidores para que lo retuitearan. Lo hicieron. Estas cuentas tienen nombres como TY19038461038 y también siguen a muchas otras cuentas.

Empecé a preguntarme lo fácil que sería crear una cuenta de Twitter usando la automatización. No soy programador, pero investigué sobre marcos de automatización en YouTube y Stack Overflow. Resulta que es fácil.

Llevando mis pruebas al siguiente nivel, durante un fin de semana escribí un script que crea automáticamente cuentas de Twitter. Mi guión, bastante poco sofisticado, no fue bloqueado por ninguna contramedida. No intenté cambiar mi dirección IP ni mi agente de usuario ni hice nada para ocultar mis actividades.

Si es tan fácil para una persona con habilidades limitadas, imagine lo fácil que es para una organización de individuos altamente capacitados y motivados.

Las empresas a menudo subestiman el tamaño de su problema con los bots.

Hace unos años, un sitio de redes sociales estadounidense implementó la defensa contra bots de F5 y descubrió que el 99% de su tráfico de inicio de sesión estaba automatizado. Sí, has leído bien: 99%.

De hecho, encontramos que entre el 80 y el 99 % del tráfico está automatizado en muchas aplicações. Estos hallazgos no son un caso aislado: son comunes en muchas organizaciones (minoristas, instituciones financieras, empresas de telecomunicaciones y restaurantes de comida rápida, por nombrar algunos).

Esta fue, por supuesto, una noticia devastadora para la empresa. Sabían que tenían un problema de bots, pero nunca imaginaron que fuera tan grave. Las implicaciones se asimilaron rápidamente. Sólo una pequeña fracción de sus cuentas de clientes eran clientes humanos reales. El resto eran bots.

Para las empresas de redes sociales, el número de usuarios activos diarios (DAU), que es un subconjunto de todas las cuentas, juega un papel importante en la valoración. Revelar que su DAU era una fracción de lo que pensaban que era provocó que su valor cayera significativamente.

Las empresas que se benefician de los bots no siempre quieren saberlo.

Se podría argumentar que habría sido mejor para los accionistas de esa empresa si la organización nunca hubiera sabido la verdad y en su lugar simplemente hubiera afirmado que su problema con los bots era menos del 5%.

Esta presión no sólo se aplica a los sitios de redes sociales cuya valoración está determinada por el número de DAU. Esto también es cierto para las empresas que venden productos de alta demanda con inventario limitado, como entradas para conciertos, zapatillas deportivas, bolsos de diseñador o el próximo iPhone.

Cuando estos productos se venden en minutos a los bots, para luego ser revendidos en el mercado secundario a precios altamente inflados, esto molesta a los clientes. Pero aún así la empresa vende todo su inventario rápidamente. 

En estos casos, una empresa puede querer aparentar que está haciendo todo lo posible para detener a los bots mientras que en privado hace muy poco .

No se trata sólo de Twitter: el problema de los bots es un problema de todos.

Cuando considero el volumen y la velocidad de la automatización que vemos hoy, la sofisticación de los bots que un determinado conjunto de incentivos probablemente atraerá y la relativa falta de contramedidas que vi en mi propia investigación, solo puedo llegar a una conclusión: Con toda probabilidad, más del 80% de las cuentas de Twitter son en realidad bots. Esta, por supuesto, es mi opinión.

Estoy seguro de que Twitter está tratando de evitar la automatización no deseada en su plataforma, al igual que todas las empresas. Pero es probable que se trate de una automatización muy sofisticada por parte de actores extremadamente motivados. En esas circunstancias, la remediación de bots no es un proyecto que se pueda hacer uno mismo. Requiere herramientas igualmente sofisticadas.  

Pero hay algo mucho más importante en juego aquí. El problema de los bots es mayor que cualquier ingreso publicitario, precio de acciones o valoración de una empresa. Permitir que este problema persista amenaza todos los cimientos de nuestro mundo digital.

Permitir que los bots proliferen desde cualquier lugar conduce a un fraude masivo que cuesta miles de millones. Arruina la vida de las personas y proporciona herramientas a las naciones y a organizaciones nefastas para difundir desinformación, crear conflictos e incluso influir en los procesos políticos. Significa más fraude, más desinformación, más conflictos que afectan nuestra capacidad de comunicarnos y relacionarnos entre nosotros en todo el mundo.

Si como sociedad queremos tener todas las comodidades, el conocimiento, el entretenimiento y otros beneficios de Internet y de nuestro mundo móvil y conectado, debemos hacer algo respecto del tráfico automatizado en línea. La única forma de luchar contra los bots es con una automatización propia y altamente sofisticada.

Por Dan Woods, director global de inteligencia de F5