Proveedores de IA generativa que reescriben las reglas del tráfico automatizado – Informe de F5

• Un nuevo informe de F5 Labs revela que más de la mitad de las solicitudes de páginas de contenido web ahora están automatizadas a medida que se intensifica el uso de raspadores LLM.
• Más de un tercio de los intentos de inicio de sesión en la industria tecnológica son ataques de apropiación de cuentas.
• La atención sanitaria y la hostelería son los sectores más buscados en la web, mientras que el entretenimiento es el más buscado en los dispositivos móviles.

SEATTLE – El auge de la IA generativa significa que los bots ahora acceden a algunos tipos de contenido web más que los humanos, según una nueva investigación de F5.

Laboratorios F52025 Informe avanzado sobre bots persistentes analiza 207 mil millones de transacciones web y API desde noviembre de 2023 hasta septiembre de 2024. Examina registros de clientes que ya tienen implementadas defensas contra bots y demuestra cómo se comportan los operadores de tráfico automatizados cuando se enfrentan a contramedidas.

El informe revela que el 50,04% de las solicitudes de páginas de Contenido¹ provenían de fuentes automatizadas, en comparación con el 22,3% de las solicitudes de búsqueda en la web y el 21,5% de las transacciones de Agregar al carrito. Esto sugiere un crecimiento significativo en el tipo de raspadores web utilizados por proveedores de LLM como OpenAI, Anthropic y Perplexity, y la persistencia de estos bots en seguir enviando solicitudes cuando están bloqueados. 

En total, 21.22 mil millones de las transacciones monitoreadas (10,2%) provenían de una variedad de fuentes automatizadas, algunas de ellas benignas, pero 10 mil millones (4,8%) consistían en tráfico de bots maliciosos.

“Durante años, el tráfico de bots se ha dirigido principalmente a los flujos de búsqueda, así como a los aspectos del recorrido del usuario donde alguien se registra o inicia sesión para usar un servicio, agrega un artículo a su carrito, realiza el pago o intenta cambiar su contraseña”, dijo David Warburton, director de F5 Labs . El enorme aumento del scraping de contenido, sin duda asociado con la explosión de la IA generativa y los LLM, subraya el dinamismo del tráfico de bots y la necesidad de que las organizaciones estén constantemente atentas a los cambios en los patrones de ataque.

Los bots se vuelven más flexibles, pero no para todos

Los patrones y la prevalencia del tráfico de bots variaron según la industria. Los sectores más atacados en la web fueron la hostelería (44,6 % del tráfico procedente de bots), la atención sanitaria (32,6 %) y el comercio electrónico (22,7 %). 

En el ámbito móvil, el entretenimiento (23%) fue por lejos el sector más objetivo, muy por delante del comercio electrónico (4,5%) y el QSR (4,2%). 

Varias industrias aún experimentan altos niveles de ataques de credential stuffing que buscan tomar el control de las cuentas de los usuarios. En la web, más de un tercio de los intentos de inicio de sesión de las empresas del sector tecnológico fueron intentos de apropiación de cuentas (33,5%), por delante del comercio minorista en general (25,7%) y los juegos (19,6%). En el ámbito móvil, estos ataques fueron más frecuentes contra empresas de entretenimiento (24,7%) y proveedores de comercio electrónico (23,8%).

La sofisticación de los ataques también varió según la industria. La gran mayoría del tráfico automatizado dirigido a la atención médica, tanto en la web como en dispositivos móviles, se clasificó como “básico”. Otras industrias experimentaron niveles relativamente altos de tráfico más sofisticado, considerado “avanzado”; las tres principales en la web son el comercio minorista general, los bancos y las aerolíneas. 

A pesar de los altos niveles de tráfico de bots, la mayoría de las industrias rastreadas experimentaron una disminución en la actividad automatizada en comparación con 2023, lo que sugiere que los controles de bots implementados estaban teniendo el efecto deseado.

Los valores atípicos fueron la hospitalidad en la web, que aumentó un 18,3% y el QSR en la web, que aumentó un 11,2%. Si bien experimentó una proporción mucho mayor de tráfico de bots en dispositivos móviles que cualquier otra industria, el sector del entretenimiento aún registró una disminución del 11,5 % con respecto a 2023.

“Ciertas industrias son blancos constantes del tráfico de bots no deseados”, añadió Warburton. “El sector hotelero experimenta grandes volúmenes porque los agregadores quieren recopilar datos sobre tarifas y disponibilidad de habitaciones de hotel, o hay actores maliciosos que intentan robar puntos de fidelidad. De manera similar, los proveedores de comercio electrónico son blanco de revendedores y bots entrenados para explotar los datos de cupones y tarjetas de regalo”.

De los datos se desprende claramente que ciertas industrias se han adaptado con el tiempo: sectores ampliamente atacados, como las aerolíneas y los servicios financieros, han creado defensas para frustrar a los atacantes menos sofisticados, lo que significa que ahora deben enfrentarse a una mayor proporción de tráfico de operadores más avanzados y altamente persistentes. 

Mitigación: ¿un arma de doble filo?

El informe también evaluó el impacto de la disuasión en el tráfico de bots, comparando las experiencias de los clientes que monitoreaban el tráfico automatizado con aquellos que lo mitigaban.

En el ámbito móvil, la tendencia era clara y esperada. Las organizaciones que mitigaban el tráfico vieron una proporción significativamente menor de actividad automatizada en su tráfico de búsqueda (0,9 % en comparación con el 24,8 % de las que solo monitoreaban), un patrón que coincidió en inicio de sesión (5 % para mitigadores en comparación con el 21,7 % para las que monitoreaban) y registro (2,4 % en comparación con el 21,7 %).

En la web la historia fue diferente. En la mayoría de los flujos de trabajo, el tráfico automatizado fue mayor para las organizaciones que estaban mitigando activamente los bots. Estos clientes vieron un 20,9% de tráfico automatizado en Búsqueda frente al 14,9% de los que simplemente realizaban un seguimiento, y la ecuación fue la misma en Agregar al carrito (19,2% frente a 14,9%). 18,2%), caja (8,6% frente a 7,4%) y Recuperación de Cuentas (6,6% vs. 4,6%). 

“Normalmente, esperaríamos que la mitigación conduzca a una disminución en el tráfico de bots, ya que los operadores bloqueados avanzan en busca de objetivos más débiles”, dijo Warburton. “Sin embargo, hoy en día hay modelos de negocio enteros basados ​​en la recopilación de datos, precios y propiedad intelectual: esos operadores no se rendirán fácilmente cuando se sientan disuadidos. Un aumento en el tráfico puede significar que estos actores se están esforzando más y de más maneras, no necesariamente que estén teniendo éxito. La tendencia constante de esta investigación, y de toda nuestra experiencia en F5, es que la mitigación funciona y la disuasión marca la diferencia”.

[1] Se define como solicitudes de páginas que muestran un producto, artículo, precio o servicio. El “contenido” fue uno de los 17 flujos evaluados en el informe, junto con otros como: ‘Buscar’, ‘Agregar al carrito’, ‘Cotizaciones’ (para seguros, etc.), ‘Registrarse’, ‘Realizar transacciones’, ‘Iniciar sesión’, ‘Administración de cuentas’, ‘Calificaciones’ y ‘Pagar’.