Sou um ex-oficial de operações cibernéticas da CIA que estuda tráfego de bots. É por isso que é plausível que mais de 80% das contas do Twitter sejam realmente falsas — e o Twitter não está sozinho.

A esta altura, você provavelmente já ouviu falar sobre a aquisição fracassada e o drama jurídico emergente entre o Twitter, uma empresa que não tentou ser comprada, e Elon Musk, que rescindiu sua oferta de compra da empresa.

No centro desse conflito está o assunto do tráfego de bots, algo sobre o qual entendo bastante. Nos últimos seis anos, meu trabalho tem sido liderar uma equipe de cientistas de dados que analisam interações na web para identificar bots, os aplicativos que os bots estão alvejando e seus objetivos.

Em média, cerca de 2 bilhões de transações fluem pela infraestrutura de defesa de bots da F5 todos os dias, e informamos centenas de empresas em praticamente todos os setores sobre seu tráfego de bots.

Com base nessa experiência, o tráfego de bots do Twitter é quase certamente muito maior do que eles expressaram publicamente e até maior do que eles acreditam internamente. Para ser justo, o último provavelmente é o caso de todas as organizações que são alvos de bots maliciosos ou indesejados, mas não usam a melhor tecnologia da categoria para eliminá-los.

Aqui está um pouco do que aprendemos sobre bots nos últimos anos e por que foi tão fácil chegar a essa conclusão.

Os bots sempre tentam realizar alguma coisa.

Uma organização que permite que clientes façam login em contas on-line verá automação no aplicativo de login para tentar se envolver em algum tipo de fraude. Uma organização que oferece preços especiais on-line verá a automação usada para coletar preços, tarifas e taxas para revenda. Há dezenas de exemplos como este.

No caso do Twitter, um incentivo fundamental é ganhar seguidores. Há uma percepção de que quanto mais seguidores alguém tem, mais interessantes seus tweets devem ser e, de fato, contas com mais seguidores tendem a ser mais influentes.

O objetivo de ampliar a influência é onde esse modelo pode se tornar preocupante. Imagine a influência que você poderia ter com o controle automatizado sobre milhões de contas do Twitter que interagem com contas reais de figuras públicas e cidadãos comuns. É provável que isso atraia atores estatais altamente motivados, com recursos praticamente ilimitados.

Se houver um incentivo e os meios, haverá mais bots.

Não só há um grande incentivo no Twitter, mas também há um meio. Existem inúmeros serviços na Internet (incluindo mercados da dark/deep web) que oferecem contas do Twitter, seguidores, curtidas e retuítes mediante o pagamento de uma taxa.

Para fins de pesquisa, testei esses serviços em uma conta do Twitter que criei. Continuando os testes, por menos de US$ 1.000, a conta agora tem quase 100.000 seguidores. Certa vez, tuítei um disparate completo e paguei seguidores para retuitar. Eles fizeram. Essas contas têm nomes como TY19038461038 e também seguem muitas outras contas.

Comecei a me perguntar como seria fácil criar uma conta no Twitter usando automação. Não sou programador, mas pesquisei frameworks de automação no YouTube e no Stack Overflow. Acontece que é fácil.

Levando meus testes para o próximo nível, durante um fim de semana escrevi um script que cria contas do Twitter automaticamente. Meu roteiro pouco sofisticado não foi bloqueado por nenhuma contramedida. Não tentei alterar meu endereço IP ou agente de usuário ou fazer qualquer coisa para ocultar minhas atividades.

Se é tão fácil para uma pessoa com habilidades limitadas, imagine como é fácil para uma organização de indivíduos altamente qualificados e motivados.

As empresas frequentemente subestimam o tamanho do problema com bots.

Alguns anos atrás, um site de rede social dos EUA implantou a defesa de bot do F5 e descobriu que 99% do tráfego de login era automatizado. Sim, você leu certo: 99%.

Na verdade, descobrimos que 80–99% do tráfego é automatizado em muitos aplicativos. Essas descobertas não são um caso isolado — elas são comuns em muitas organizações (varejistas, instituições financeiras, empresas de telecomunicações e restaurantes de serviço rápido, para citar algumas).

Essa foi, é claro, uma notícia devastadora para a empresa. Eles sabiam que tinham um problema com bots, mas nunca imaginaram que fosse tão ruim. As implicações foram rapidamente assimiladas. Apenas uma pequena fração de suas contas de clientes eram clientes humanos reais. O resto eram bots.

Para empresas de redes sociais, o número de Usuários Ativos Diários (DAU), que é um subconjunto de todas as contas, desempenha um papel importante na avaliação. Revelar que seu DAU era uma fração do que eles pensavam que era fez com que seu valor caísse significativamente.

As empresas que se beneficiam de bots nem sempre querem saber.

Poder-se-ia argumentar que teria sido melhor para os acionistas da empresa se a organização nunca tivesse descoberto a verdade e, em vez disso, simplesmente afirmasse que seu problema com bots era inferior a 5%.

Essa pressão não se aplica apenas aos sites de redes sociais cuja avaliação é determinada pelo número de DAU. Isso também é verdade para empresas que vendem produtos de alta demanda com estoque limitado, como ingressos para shows, tênis, bolsas de grife ou o próximo iPhone.

Quando esses produtos são vendidos em minutos para bots, apenas para serem revendidos no mercado secundário por preços altamente inflacionados, isso irrita os clientes. Mas a empresa ainda vende todo o seu estoque rapidamente. 

Nesses casos, uma empresa pode querer dar a impressão de que está fazendo tudo o que pode para impedir os bots, enquanto, em particular, faz muito pouco .

Não é só o Twitter — o problema dos bots é um problema de todos.

Quando considero o volume e a velocidade da automação que estamos vendo hoje, a sofisticação dos bots que um determinado conjunto de incentivos provavelmente atrairá e a relativa falta de contramedidas que vi em minha própria pesquisa, só posso chegar a uma conclusão: É bem provável que mais de 80% das contas do Twitter sejam, na verdade, bots. Essa, é claro, é minha opinião.

Tenho certeza de que o Twitter está tentando evitar a automação indesejada em sua plataforma, assim como acontece com todas as empresas. Mas eles provavelmente estão lidando com automação altamente sofisticada de atores extremamente motivados. Nessas circunstâncias, a correção de bots não é um projeto do tipo "faça você mesmo". Requer ferramentas igualmente sofisticadas.  

Contudo, há algo muito mais importante em jogo aqui. O problema dos bots é maior do que qualquer receita de publicidade, preço de ações ou avaliação de empresas. Permitir que esse problema persista ameaça toda a base do nosso mundo digital.

Permitir que bots proliferem de qualquer lugar leva a fraudes em massa que custam bilhões. Ela arruína a vida das pessoas e fornece ferramentas para nações e organizações nefastas espalharem informações erradas, criarem conflitos e até mesmo influenciarem processos políticos. Isso significa mais fraude, mais desinformação, mais conflitos que afetam nossa capacidade de nos comunicar e nos relacionarmos em todo o mundo.

Se nós, como sociedade, quisermos ter todas as conveniências, conhecimento, entretenimento e outros benefícios da Internet e do nosso mundo móvel e conectado, precisamos fazer algo sobre o tráfego automatizado online. A única maneira de combater bots é com nossa própria automação altamente sofisticada.

Por Dan Woods, Chefe Global de Inteligência da F5