De los bots a la sala de juntas: cómo los bots maliciosos afectan negativamente al estado de las cuentas

Los ataques de bots automatizados también pueden generar directamente pérdidas financieras y de oportunidades económicas:

• Pérdida de confianza de los clientes tras ataques de apropiación de cuentas. Los clientes estarán descontentos, con razón, si las inadecuadas defensas contra bots de una organización dan lugar a un ataque de apropiación de cuentas (ATO) y a una costosa actividad fraudulenta, lo que conduce a una disminución de la satisfacción del cliente, daña su reputación y pone fin a sus relaciones. Más de una cuarta parte de los consumidores estadounidenses encuestados afirman que cambiarían de banco si no estuvieran satisfechos con la forma en que el banco responde a su caso de fraude.
  
• Aumento de las pérdidas por fraude y devoluciones de cargo. Los ataques ATO impulsados por bots y la creación de cuentas fraudulentas repercuten en el balance final cuando los delincuentes utilizan credenciales robadas para realizar compras o crear cuentas falsas. Las devoluciones de cargo dañan la reputación del comerciante ante los procesadores de tarjetas de crédito y dan lugar a penalizaciones por devolución de cargo.
  
• Aumento de los costes laborales. Los ataques de bots, como el credential stuffing, que conducen a los ataques de ATO, requieren una investigación por parte de los analistas de fraude, lo que les resta tiempo para sus investigaciones más críticas y en profundidad. Incluso cuando los bots de credential stuffing no consiguen hacerse con el control de una cuenta, a menudo bloquean las cuentas probando muchas contraseñas en rápida sucesión, lo que obliga a los clientes a llamar al servicio de asistencia, aumentando los costes de asistencia con cada llamada.
  
• Distorsión de las valoraciones de los inversores. Cuando la valoración de una empresa que cotiza en bolsa depende del número de seguidores, usuarios o interacciones, la presencia de cuentas bot no humanas puede distorsionar drásticamente las valoraciones precisas. Por ejemplo, los recientes intentos de llegar a una valoración precisa de Twitter, basada en el número de cuentas operadas por humanos frente a bots, coparon las noticias en 2022.
  
• Confundir bots con humanos y viceversa, con soluciones de mitigación de bots poco fiables. Los esfuerzos deficientes de mitigación de bots producirán estos errores, pero deben limitarse y prevenirse. Los falsos positivos (cuando una herramienta de gestión de bots acusa a un humano real de ser un bot) y los falsos negativos (cuando la herramienta marca a un bot como humano) afectan a las cuentas de resultados. Uno le hará perder clientes y el otro le ocasionará pérdidas económicas por fraude. De hecho, un falso positivo que impida a un cliente estratégico realizar una transferencia de dinero puede ser más perjudicial para un banco que un falso negativo que provoque fraude o devoluciones de cargo. Ambas situaciones requerirán además el tiempo y el trabajo de un analista de fraudes para investigarlas.
  
• No proteger los datos de los consumidores. Legislación y normas como el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Protección al Consumidor de California (CCPA) y el Payment Card Industry Data Security Standard (PCI-DSS) están diseñadas para garantizar la privacidad de los datos de los consumidores e imponer grandes sanciones monetarias en caso de violación de datos. Entre ellas se incluyen los ataques ATO y de scraping de contenidos que exponen datos privados a bots. Las violaciones de datos derivadas del incumplimiento de estas normas pueden ser muy costosas: en virtud del RGPD, las autoridades de protección de datos de la UE pueden imponer multas de hasta 20 millones de euros o el 4 % de la facturación mundial del ejercicio anterior.

Los ataques de bots no solo afectan a los ingresos. También encarecen el funcionamiento de las empresas:

• Impedir el rendimiento y el tiempo de actividad de las aplicaciones, con el consiguiente aumento potencial de los costes de infraestructura. Los ataques de bot scraping, debido a su volumen, pueden comprometer el rendimiento de la aplicación y la plataforma y, si no se controlan, pueden requerir una inversión excesiva en capacidad de infraestructura e incurrir en cargos adicionales por uso de la nube para mantener los niveles de rendimiento requeridos.
  
• Reducción de la disponibilidad de las aplicaciones y de la resistencia de la empresa. Las aplicaciones web saturadas por la actividad de los bots no están disponibles para las consultas de los clientes en tiempo real ni para la actividad de comercio electrónico, lo que provoca pérdidas de ingresos, daños a la reputación, pérdida de clientes y alteraciones en la experiencia de los usuarios.
  
• Dañar las relaciones con los socios del ecosistema de terceros. Las plataformas y aplicaciones sobrecargadas con tráfico no deseado de bots pueden llevar a los socios de la economía de las API a incumplir los acuerdos de nivel de servicio (SLA, por sus siglas en inglés) y los compromisos contractuales.
  
• Distorsión de las decisiones empresariales. La actividad de los bots puede distorsionar las estadísticas del sitio web, los datos de registro y las métricas de interacción con los clientes, que de otro modo serían datos valiosos que las empresas usarían para orientar sus decisiones, como la fijación de precios y la optimización SEO orgánica y de pago.
  
• Manipulación de la gestión de inventarios. Los bots automatizados pueden comprar bienes o servicios en línea al por mayor en el momento en que salen a la venta, lo que permite a los delincuentes hacerse con el control masivo de valiosas existencias, que suelen revenderse en mercados secundarios con un importante margen de beneficio, lo que provoca una escasez artificial, la denegación de existencias y la frustración de los consumidores.
  
• Aumento de los costes de atención al cliente. Los bots automatizados pueden aumentar la presión sobre los equipos de atención al cliente cuando los ataques tienen éxito, generando más llamadas y comunicaciones para hacer frente a los ataques de apropiación de cuentas, los fraudes con tarjetas regalo o puntos de fidelización, y otras quejas de los clientes sobre cuentas comprometidas. El uso de herramientas CAPTCHA y de autenticación multifactor (MFA) para protegerse contra el fraude también puede tener la consecuencia no deseada de aumentar la fricción con el usuario y las llamadas de atención al cliente, ya que estos procesos pueden ser difíciles de completar correctamente y pueden llevar al bloqueo de la cuenta para los clientes legítimos. Esto puede generar un aumento de los costes operativos en los centros de atención al cliente, la pérdida de clientes y el daño a la reputación de la marca a través de Net Promoter Scores (NPS), así como malas críticas y calificaciones en las plataformas de redes sociales.
  
• Aumento del coste de las horas por persona dedicadas a mitigar los ataques de bots. Hacer frente a los ataques de bots malintencionados mediante cortafuegos de aplicaciones web (WAF) y el bloqueo manual de direcciones IP requiere mucho tiempo y cada vez más personal cualificado. Los WAF básicos no aprenden en tiempo real, sino que se basan en reglas preestablecidas para detectar bots maliciosos, y para mantener los WAF actualizados suele ser necesario aplicar parches y establecer reglas de forma incremental. La única forma de ampliar las defensas mediante estos procesos manuales es aumentar el personal de TI y seguridad dedicado.

Los impactos cualitativos pueden ser más difíciles de medir que los cuantitativos, pero esto no significa que sean menos importantes para las organizaciones. Los ataques de bots automatizados también pueden contribuir directamente a estos impulsores de valores subjetivos a través de:

• Impacto en la experiencia de los empleados. Los expertos en infoseguridad escasean y muchas organizaciones se enfrentan a la escasez de personal de ciberseguridad incluso cuando los ataques de bots automatizados crecen en número y sofisticación. A pesar de sus mejores esfuerzos, muchos equipos de SOC y fraude son incapaces de seguir el ritmo de la capacidad de los ciberdelincuentes para pivotar y rediseñar inmediatamente los ataques de bots varias veces a la semana. Sin soluciones de defensa contra bots más inteligentes y técnicamente más refinadas, es difícil mantener en plantilla a profesionales de la seguridad con talento, especialmente cuando se sienten agotados y abrumados.

Explicar cómo los ataques de bots pueden afectar a las operaciones y las métricas en relación con roles y funciones específicos de una organización es una forma importante de presentar el valor de una gestión de bots satisfactoria.

El CISO se preocupa por la seguridad de la información, el control de costes y la garantía de que las TI permitan la misión empresarial. Los bots afectan a cada una de estas preocupaciones.

Los bots comprometen cada aspecto de la tríada de seguridad de la información: confidencialidad, integridad y disponibilidad. Un bot de credential stuffing que se apropia de una cuenta expone datos que deberían ser confidenciales. Asimismo, estos bots permiten a los atacantes alterar datos y realizar transacciones, violando la integridad. Los bots de scraping sesgan los datos, al igual que los bots de creación de cuentas falsas, lo que viola la integridad de las métricas empresariales clave. Por último, los bots de scraping y scalping pueden sobrecargar la infraestructura de un sitio hasta el punto de hacerlo inaccesible.

Los bots repercuten en los costes de muchas maneras:

• Los bots que realizan ataques de credential stuffing aumentan los costes del soporte debido al bloqueo de cuentas, y aumentan la responsabilidad financiera, ya que los delincuentes vacían los saldos de las cuentas.
  
• Los bots de carding (fraudes relacionados con las tarjetas de crédito) aumentan las comisiones por devolución y pueden dar lugar a multas.
  
• Los bots de scraping y scalping aumentan la carga de tráfico y los costes de infraestructura.
  
• Luchar contra los bots con herramientas ineficaces como un WAF conlleva elevados costes de SecOps.

Los bots también preocupan a los CISO porque impiden que las TI habiliten el negocio. La gestión ineficaz de bots, como el CAPTCHA y la excesiva dependencia de la autenticación multifactor, crean fricciones que perjudican la experiencia del cliente y reducen los ingresos. Los bots sesgan las métricas empresariales hasta tal punto que resulta difícil evaluar la estrategia empresarial. ¿Cómo se aplica una estrategia empresarial cuando ni siquiera se sabe con quién se está interactuando?

El equipo de SecOps se encarga de gestionar eficazmente los riesgos de ciberseguridad para la empresa, y los bots se interponen en el camino de esa misión. Al igual que el CISO, SecOps se preocupará por la confidencialidad, integridad y disponibilidad, que se ven afectadas por los bots. Además de estas preocupaciones compartidas, cuando se trata de abordar eficazmente los riesgos de seguridad, los bots plantean el reto de crear mucho ruido que ahoga la señal, ocultando las amenazas en un mar de tráfico malicioso.

Cuando los bots representan la mayor parte del tráfico de un sitio, es más difícil analizar los registros en busca de indicios de exploración de vulnerabilidades y ataques de inyección. Y las herramientas de seguridad, como los SIEM y los sistemas de detección y prevención de intrusiones, se verán desbordadas, lo que aumentará los costes y provocará demasiados falsos positivos que investigar. Cuando lo normal es tener pocas incidencias, rastrear las anomalías se vuelve poco práctico.

Una gestión eficaz de los bots elimina el ruido y permite a SecOps centrarse eficazmente en las amenazas restantes.

Al igual que SecOps, los bots afectan a los equipos de operaciones de fraude al aumentar drásticamente el ruido. Con tantos bots que se apoderan de cuentas, las bloquean, crean cuentas falsas y activan alertas de anomalías, la carga de trabajo se vuelve inviable.

Cuando los equipos de fraude y seguridad trabajan juntos para gestionar los bots, todos ganan. Los equipos de seguridad pueden centrarse en un conjunto mucho más reducido de incidentes de seguridad, y el nivel de fraude se reduce para que los equipos de fraude puedan centrarse en casos de fraude más complejos que requieran su juicio experto para resolverlos, reduciendo la carga de casos y mejorando las métricas de éxito. Desde el punto de vista del fraude, los bots son un preludio, un medio por el que los defraudadores obtienen acceso, y detener los bots reduce la carga de trabajo posterior.

Los equipos de NetOps son responsables del funcionamiento de la infraestructura que sirve a la empresa, manteniendo el tiempo de actividad y el rendimiento al tiempo que se controlan los costes.

En algunos casos, los bots de scraping en aplicaciones de comercio electrónico representan más del 90 % del tráfico, lo que significa que la mayor parte de la infraestructura está sirviendo a bots, malgastando la mayor parte del presupuesto destinado a infraestructura, una métrica que puede quedar muy clara en una factura de servicios en la nube.

Estos bots no se preocupan por el rendimiento o el tiempo de actividad de un sitio y pueden aumentar el tráfico en cualquier momento sin previo aviso, lo que provoca imprevisibilidad y mayores costes para garantizar la escalabilidad necesaria.

En una cultura de DevOps, los equipos de DevSecOps asumen la responsabilidad de incorporar la seguridad al proceso de integración continua/desarrollo continuo (CI/CD), garantizando una rápida información a los desarrolladores sobre los fallos de seguridad y mejorando continuamente la integración de la seguridad en el flujo de valor tecnológico.

Las DevSecOps desplazan la seguridad al inicio del proceso, asegurándose de estudiar antes las posibles lagunas. Los bots son relevantes en este caso, ya que las nuevas funciones deben evaluarse para determinar cómo podrían explotarlas los bots, qué daños podrían causar y qué medidas deben tomarse en el momento de su despliegue para evitarlos.

Los equipos de DevSecOps están especialmente preocupados por la telemetría. Según el DevOps Handbook¹, la telemetría es esencial para predecir, diagnosticar y resolver problemas en sistemas complejos. Para que las DevOps tengan éxito, la telemetría debe cubrir múltiples capas, incluidas las métricas empresariales, el uso de funciones, el rendimiento de la red y la carga de la infraestructura, de modo que un problema en una capa pueda rastrearse a través de la pila para la rápida identificación de las causas raíz.

Los bots distorsionan la telemetría a lo grande. Muchos clientes de F5 Distributed Cloud Bot Defense descubrieron que la mayoría de sus cuentas de usuario eran falsas y que los bots representaban más del 95 % del tráfico de inicio de sesión. En algunos casos, la mayor parte de la infraestructura de una organización no hacía más que servir a bots de scraping. Los equipos de DevSecOps necesitan eliminar esta distorsión de la telemetría si quieren cumplir su misión de seguridad.

Todo se reduce a quién es el dueño de los números. ¿Es el vicepresidente de comercio electrónico responsable del coste del fraude, la infraestructura y las devoluciones? ¿Están esos gastos mermando los beneficios del negocio en línea? ¿Se ven afectados los índices de conversión y los ingresos por fricciones de seguridad, como el CAPTCHA? En caso afirmativo, a este vicepresidente le importará mucho cómo la gestión de bots puede mejorar tanto los ingresos como los beneficios.

Lo mismo se aplica a los líderes de cualquier línea de productos o servicios vendidos en línea a través de aplicaciones web o móviles. Tratar de maximizar los beneficios pasa necesariamente por dirigirse a la mayor fuente de tráfico hacia sus apps.

Los profesionales del marketing tienen sus propias razones para preocuparse por los bots. Los bots que ralentizan el sitio, lo bloquean y se apoderan de las cuentas de los clientes empañan la marca. Los bots distorsionan los análisis del sitio web de los que dependen los profesionales de marketing para tomar decisiones. Y el fraude de clics, impulsado por los bots, agota los presupuestos publicitarios sin producir ingresos.