10 preguntas para un proveedor de mitigación de bots

Sospechas que tienes un problema con un bot. Tal vez tenga mayores costos de infraestructura debido a picos de tráfico, una alta tasa de apropiación de cuentas (ATO) o alguien esté pirateando sus tarjetas de regalo y raspando su propiedad intelectual. Lo más probable es que, si profundizas más, también encuentres un problema de fraude, así como caídas recientes en las puntuaciones de marca y en la fidelización de clientes. Intentaste manejarlo tú mismo con limitación de velocidad, bloqueo de IP y geográfico, reputación, huellas dactilares, CAPTCHA y autenticación multifactor (MFA), pero se convirtió en una batalla interminable administrando múltiples soluciones, tratando de mantenerte por delante de los atacantes y lidiando con clientes frustrados que no pudieron completar su compra.

Ahora has decidido llamar a profesionales para que te ayuden y recuperes algo de tu tiempo. Ya has reducido la lista a unos pocos proveedores y vas a hacerles algunas preguntas. ¿Pero qué preguntas?

A continuación se muestran algunos buenos ejemplos que pueden darle una idea de si la solución del proveedor de mitigación de bots es la adecuada para su entorno.

1.¿Cómo gestiona el proveedor la reestructuración por parte de los atacantes?

Si el valor percibido en las cuentas de sus clientes es alto, es probable que los atacantes no se den por vencidos fácilmente; en lugar de eso, se reestructurarán continuamente y volverán a intentarlo. Esto es economía básica del atacante , lo que significa que esta es su pregunta más importante. Cuando se implementa una contramedida de seguridad, los atacantes persistentes se reestructuran para eludir el control de mitigación mediante diversos métodos, herramientas e incluso IA. Las víctimas del credential stuffing afirman que combatir los bots y la automatización por sí solos es como jugar al topo. Estás pagando un servicio para que juegue este juego por ti, así que pregunta cómo lo manejan.

2.¿El proveedor aumenta drásticamente la fricción con el cliente?

CAPTCHA y MFA aumentan drásticamente la fricción con sus clientes. Las tasas de fallos humanos varían entre el 15% y el 50% y dan lugar a un alto grado de abandono del carrito de compra y a una menor satisfacción del usuario. Y es posible que su cliente nunca regrese, incluso después de una sola experiencia de usuario negativa.

Honestamente, piense cuidadosamente acerca de los proveedores que recurren a contramedidas que se sabe que generan fricción. Estas defensas no sólo frustran a los usuarios, sino que los atacantes a menudo logran eludirlas de todos modos. Los estafadores pueden utilizar herramientas y trabajo humano para resolver CAPTCHAs , e incluso pueden aprovechar información personal identificable comprometida para hacerse pasar por titulares de cuentas con el fin de transferir líneas telefónicas a cuentas bajo su control para completar solicitudes de MFA.

3.¿Cómo gestiona el servicio los falsos positivos?

Un falso positivo para un vendedor es cuando marca a un humano real como un bot. Un falso negativo es cuando marcan a un bot como humano.

La mitigación de bots tendrá algo de ambos; desconfíe de cualquier proveedor que afirme lo contrario. Pero un proveedor debe ser muy receptivo al problema de los falsos positivos; es decir, debe poder comunicarse con ellos, presentar una queja y solicitar que se aborde la determinación de falso positivo.

4.Cuando un atacante evita la detección, ¿cómo se adapta el servicio?

Habrá atacantes avanzados que intentarán e incluso lograrán eludir la detección, convirtiéndose en un falso negativo. Un proveedor de mitigación de bots debe operar como si un atacante experto pudiera eludir inminentemente todas las contramedidas. Cuando esto sucede, es posible que no te enteres hasta que veas los efectos secundarios (apropiación de cuentas, fraude, análisis de negocios distorsionados, etc.). Luego tendrás que ponerte en contacto con tu proveedor y trabajar con él para encontrar la solución.

¿Cómo manejan este proceso? ¿Cuál es el tiempo de respuesta y entrega del proveedor?

5.¿Cómo gestiona el proveedor el fraude manual (iniciado por humanos)?

Si su proveedor es particularmente hábil en mantener alejada la automatización (bots), un atacante muy, muy determinado y hábil ingresará credenciales manualmente en navegadores reales para eludir las defensas antiautomatización, lo que potencialmente puede conducir a la apropiación de cuentas (ATO) y fraude . De hecho, tan sólo 10 dólares en valor detrás de un inicio de sesión seguro pueden ser suficientes para motivar a un atacante profesional. Muchos servicios no detectan esto (ya que los humanos no son bots).

El vendedor debe poder determinar si un humano es un cliente confiable o un estafador.

¿Puede su servicio detectar intenciones maliciosas? Una detección precisa puede distinguir entre un bot, un atacante que utiliza herramientas sofisticadas e IA para emular o exhibir un comportamiento humano, y un cliente real, y luego tomar la acción más apropiada sin ayudar en los esfuerzos de reconocimiento del atacante ni afectar la experiencia del cliente. 

6.Si un cliente queda excluido, ¿cómo protege el proveedor esa exclusión para que no afecte a todos los demás clientes?

En muchos casos, se deben implementar políticas de detección y mitigación personalizadas para cada cliente. De esa manera, si un atacante se reestructura lo suficiente para eludir las contramedidas en un sitio, no podrá usar automáticamente ese manual para ingresar a su sitio. Cada cliente debe estar aislado de una reestructuración frente a un cliente diferente.

Ciertos sectores industriales, como la banca y los servicios financieros, atraen a los ciberdelincuentes más motivados y sofisticados. Las soluciones de mitigación de bots más efectivas detectarán las técnicas de los atacantes en perfiles de ataque y superficies de riesgo similares para implementar contramedidas apropiadas automáticamente. Además, los registros históricos de fraude pueden entrenar aún más los modelos de IA para maximizar la eficacia.

7.Si un atacante elude una mitigación, ¿el servicio aún tiene visibilidad del ataque?

Es muy común que un servicio quede ciego después de que un atacante pasa por alto las defensas. Si el proveedor mitiga los datos que utiliza para detectar, entonces, cuando un atacante elude la mitigación, se pierde la capacidad de detección. Por ejemplo, si bloquean la IP, cuando el atacante evita el bloqueo (distribuye globalmente) el proveedor puede perder visibilidad y no sabrá qué tan grave es realmente el ataque.

Un ejemplo de un sistema que funciona correctamente es cuando llegan 10.000 inicios de sesión y todos parecen estar bien inicialmente porque tienen análisis de comportamiento dentro del rango adecuado para los humanos. Pero luego se determina que los 10.000 tenían comportamientos idénticos, lo que significa que los inicios de sesión estaban automatizados.

Las soluciones de mitigación de bots más efectivas recopilan y analizan continuamente diversas señales de telemetría de dispositivos, redes, entornos y comportamiento para maximizar la visibilidad e identificar anomalías con precisión. Esto, a su vez, mejora la eficacia de los modelos de IA de circuito cerrado al tiempo que proporciona información clave al Centro de operaciones de seguridad (SOC) del proveedor.

8.¿Qué tan difícil es implementar y mantener la solución?

¿El usuario o administrador debe instalar un software de punto final personalizado o la protección es automática? Si no hay presencia de punto final, ¿cómo detecta el proveedor los dispositivos móviles rooteados? ¿Cómo detecta ataques utilizando las últimas herramientas de seguridad y datos de la Dark Web? ¿Qué pasa con las API?

Es útil cuando su equipo inventa 5 de las 9 características relevantes en JavaScript y sus soluciones se ejecutan en diferentes nubes y arquitecturas, implementando sin problemas protecciones personalizadas que maximizan la visibilidad y la eficacia de la seguridad sin introducir fricción en el ciclo de vida del desarrollo de aplicação o la experiencia del cliente.

9.¿Qué tipos de anomalías detecta el proveedor?

Los atacantes utilizan constantemente bots, automatización y credenciales comprometidas para respaldar sus esfuerzos, con el objetivo final de obtener ganancias financieras. Las mitigaciones básicas no son suficientes. Por ejemplo, los atacantes reutilizan direcciones IP, pero normalmente sólo 2,2 veces en promedio. ¡A menudo, sólo se utilizan una vez al día o una vez a la semana! Esto hace que el bloqueo de IP sea en gran medida ineficaz.

Las herramientas de automatización pueden construir ataques personalizados que evitan la limitación de velocidad, los solucionadores de CAPTCHA y la emulación de pila web pueden falsificar los controles de encabezado y entorno, los navegadores de consumo programables y las herramientas antihuellas pueden superar las huellas dactilares e incluso el análisis de comportamiento. Es realmente una carrera armamentista.

Los atacantes suelen invertir en cuatro vectores:

• Falsificación del tráfico de red
• Emulación de una variedad de dispositivos y navegadores válidos
• Uso de credenciales robadas, información de identificación personal (PII) e identidades sintéticas
• Emular y exhibir el comportamiento humano real

Hay más de cien señales de cliente además de la dirección IP. Un buen servicio aprovechará una variedad de señales e inteligencia artificial para brindar información útil y detectar comportamientos anómalos que indiquen fraude (incluidas actividades de copiar y pegar, alternar pantallas, uso inusual del espacio de la pantalla, afinidad del dispositivo, suplantación del entorno e intentos de anonimizar la identidad) en lugar de depender del bloqueo de IP, firmas y huellas dactilares.

10.¿Qué tan rápido puede el proveedor realizar un cambio?

Cuando el atacante se reequipe para sortear las contramedidas actuales, ¿con qué rapidez se reequipará el proveedor? ¿Son horas o son días? ¿El proveedor cobra un cargo adicional si hay un atacante persistente sofisticado y se necesitan múltiples contramedidas o consultas con el SOC?

Hay otras preguntas que son fundamentales para cualquier proveedor. Cuestiones como los modelos de implementación (¿existe una opción de nube?) y el modelo de costos (¿tráfico limpio o cobro por hora?). Y, por supuesto, debes comparar el acuerdo de nivel de servicio (SLA) de cada proveedor. Pero probablemente ibas a hacer esas preguntas de todos modos (¿verdad?).

Sí, este artículo es ligeramente parcial, ya que F5 es el principal proveedor de seguridad de aplicação . Pero piense en los cientos de clientes con los que hemos hablado y que nos eligieron; estas son preguntas que hicieron y esperamos que le ayuden, incluso si termina eligiendo un proveedor de mitigación de bots diferente. Porque los atacantes no discriminan en función de la nube, la arquitectura, la CDN o los organigramas de su equipo de seguridad y fraude. El dinero está detrás de tus aplicaciones y es ahí donde atacan los delincuentes.

Próximos pasos

Las marcas más valiosas del mundo, incluidas instituciones financieras, minoristas, aerolíneas y cadenas hoteleras, ya están utilizando las soluciones de mitigación de bots de F5 para proteger sus aplicaciones, clientes y negocios.

F5 detiene consistentemente más bots y automatizaciones que otros proveedores. Esto reduce el fraude y la complejidad operativa al tiempo que aumenta los ingresos y mejora la experiencia del cliente.

Déjanos saber si quieres verlo por ti mismo.

Partes de esta publicación se basan en contenido publicado previamente que se ha actualizado para reflejar las ofertas actuales de F5.