¿Qué es el tráfico de bots y cómo se utiliza para defraudar a los informes de tráfico?
Publicado: 2023-05-16Un aumento en las visitas al sitio puede provocar la ralentización del sitio, la degradación del rendimiento, la sobrecarga de recursos, las visitas corruptas, las estadísticas de clics, un impacto negativo en el SEO y una mayor vulnerabilidad a los ataques DDoS y de phishing.
Si desea analizar el tráfico a su sitio, busque en el contador el salto en las vistas de páginas particulares, la alta tasa de rebote, el tiempo inusualmente largo o corto en la página, las conversiones no válidas o faltantes y las referencias masivas en regiones que no conoce. anunciar.
¿Qué proporción del tráfico de Internet es generada por bots? Las estimaciones varían. Sin embargo, podemos suponer que las referencias de bots representan aproximadamente el 42% de todo el tráfico web global, más de la mitad del cual pertenece a bots "malos".
¿Qué es el tráfico de bots?
Los robots siempre visitan el sitio: es solo parte de la Internet moderna e incluso los motores de búsqueda indexan los recursos de esta manera. Pero con la ayuda de bots (o escáneres automáticos), también puede analizar datos, es decir, extraer información de recursos web. El bot involucrado en esto es un programa o script que realiza acciones automatizadas simples en el sitio:
- Descargando el código de la página.
- Dividiéndola en sus elementos constitutivos.
- Extrayendo datos.
- Guardándolo en la base de datos.
Los propósitos de tal colección pueden ser diferentes. En la mayoría de los casos, los sitios web se raspan para obtener datos específicos de las páginas de los competidores, que luego pueden usarse en sus recursos y realizar ataques maliciosos. Aún así, el análisis es útil para fines analíticos o de investigación, lo que en sí mismo no implica nada terrible.
Bots buenos, malos y feos
Antes de sumergirnos en el tema de cómo identificar el tráfico de bots, debemos aprender la clasificación. Podemos dividir los bots en útiles (buenos) y maliciosos (malos).
Robots útiles
Estos son los robots que necesitamos. Realizan actividades necesarias en Internet. Ayudan a realizar trabajos valiosos y complejos en el menor tiempo posible. Además, a diferencia de una persona, automatizan procesos rutinarios, ya que pueden procesar grandes cantidades de datos.
Robots de búsqueda
- También puede conocerlos como "arañas web" o "rastreadores de búsqueda". Son uno de los bots más comunes y útiles de Internet. Todos los resultados de búsqueda y la interacción del usuario con la búsqueda son méritos de los robots de búsqueda. Cuando se publica una nueva página del sitio, un bot la escaneará en unas pocas semanas. Herramientas SEO como SEMRush, Screaming Frog, SE Ranking, Moz, etc., también cuentan con robots para analizar resultados de búsqueda y recursos para optimizarlos de manera más efectiva.
Bots calificadores de sitios
- A diferencia de los robots de búsqueda que indexan sitios a nivel global, estos bots son una herramienta para evaluar el rendimiento de un recurso en particular. Si la ayuda es de varias páginas o de gran tamaño, tales comprobaciones son necesarias. Permiten al propietario del sitio mejorarlo según las necesidades de los usuarios. Por ejemplo, pueden identificar y corregir rápidamente el tiempo de carga de la página, los problemas de rendimiento, los enlaces rotos y las imágenes suboptimizadas.
Bots que verifican la infracción de derechos de autor
- Estos bots controlan la aplicación de los derechos de autor en las principales redes sociales y alojamiento de videos, como YouTube y TikTok. Con la ayuda de un software especial, estos robots analizan grandes cantidades de datos de audio y video en busca de formas y patrones específicos que coincidan con materiales protegidos por derechos de autor y que se encuentren en la base de datos de alojamiento. A pesar de la innegable efectividad de estos robots, muchos expertos y usuarios comunes están de acuerdo en que los bots generan un nivel inaceptablemente alto de falsos positivos y castigan injustamente a los autores cuyo contenido se parece poco a los materiales protegidos por derechos de autor.
Bots maliciosos
Desafortunadamente, por cada bot "bueno" para mejorar Internet, habrá un bot malicioso para hacer algo menos valioso. Por ejemplo, para engañar al tráfico de publicidad mediante bots. Veamos qué son los robots “malos”.
Bots de clics en anuncios
- Representan un desafío importante para la publicidad digital. Hacen clic en anuncios contextuales en la búsqueda. Desperdician los presupuestos publicitarios y causan estragos en las campañas de marketing. Cada vez más, puedes encontrar bots que pueden imitar el comportamiento de usuarios reales, ocultando así su actividad maliciosa. Por ejemplo, pueden desplazarse por las páginas del sitio, seguirlas aleatoriamente, permanecer en la página durante más de un segundo, etc.
Bots para ataques DDoS
- La denegación de servicio (DoS) es un ataque de denegación de servicio, cuyo objetivo es ralentizar un recurso o desactivarlo durante un tiempo específico. El tráfico de bot de transmisión dirigido sobrecarga el servidor y deja de responder a las solicitudes de usuarios reales. Como resultado, el sitio deja de estar disponible. La denegación de servicio distribuida (DDoS) es un ataque de denegación de servicio distribuido desde múltiples dispositivos y redes. Esta característica hace que sea mucho más difícil bloquear el ataque de bots en el sitio web. Los bots DDoS generalmente se propagan a través de una botnet, una red de dispositivos de usuario infectados con malware. El usuario puede instalar malware accidentalmente o visitar un sitio fraudulento. Por lo tanto, su dispositivo se convierte en parte de la botnet y automáticamente realiza ataques dirigidos por operadores.
Robots del comprador
- Están diseñados para ataques de falta de stock en tiendas en línea. El concepto es simple: los bots agregan ciertos artículos de alta demanda al carrito y los mantienen allí sin pagar. En consecuencia, el número de productos en stock se reduce automáticamente. Hacen esto hasta que el producto “se acaba”. Luego, los compradores genuinos ven que el producto está agotado y abandonan el sitio. Un producto del catálogo está vinculado a una cesta específica solo por un corto tiempo (generalmente de 10 a 15 minutos). Pero cuando un catálogo está sujeto a un ataque automático prolongado, es fácil que los bots hagan que el producto no esté disponible para los compradores.
Estas son solo algunas actividades maliciosas que los servicios de bloqueo de bots como Botfaqtor encuentran a diario.
Quién necesita tráfico orgánico de bots
Hay muchas opciones en las que los especialistas en marketing y SEO necesitan tráfico adicional. Sin embargo, casi todos ellos se encuentran en el plano del marketing de afiliación.
Sitios de compra y venta
Vender sitios web es un gran negocio. Al igual que en la vida real, los bienes raíces comerciales digitales vienen en todas las formas, tamaños y condiciones. Aquellos que estén dispuestos a gastar tiempo y dinero en "ordenar" un recurso o negocio en línea para una mayor venta o monetización se encontrarán con mucho dinero.
Si el sitio tiene muchos visitantes, puedes demostrarle a un comprador potencial qué beneficios podría obtener al colocar contenido publicitario en él. Por lo tanto, desde el punto de vista del vendedor, la tentación de inflar artificialmente las cifras de tráfico con la ayuda de bots es poderosa.
Vendedores de sombrero negro
A pesar de las afirmaciones categóricas de los motores de búsqueda como Google de que "el tráfico del sitio web no es un factor de clasificación", muchos expertos asocian erróneamente un alto tráfico con posiciones altas en los resultados de búsqueda.
En consecuencia, muchos "expertos" en promoción (y clientes) todavía están dispuestos a pagar mucho dinero por el tráfico de bots orgánicos. Se utiliza la tecnología de bombardeo de motores de búsqueda, en la que se muestra un sitio irrelevante en los resultados de búsqueda a pedido, en el que no hay ocurrencias de las palabras clave buscadas. Creerán erróneamente que sus clasificaciones y posiciones crecerán de esta manera.
Comercializadores y agencias deshonestos
Desafortunadamente, la práctica desleal de inflar a los visitantes del sitio web con tráfico de bots sigue viva y bien en 2023. Cualquiera que entienda aunque sea un poco sobre marketing digital sabe que el tráfico como tal es un indicador diseñado para divertir el ego y nada más.
Si ninguno de los visitantes que hicieron clic en el anuncio completó la acción específica, el aumento de visitantes no beneficiaría a la empresa. Sin embargo, muchos dueños de negocios no tienen tiempo para aprender todos los entresijos del marketing.
Incluso cuando la verdad sobre el tráfico inflado se hace evidente, un vendedor o una agencia deshonestos intentarán atribuir las bajas tasas de conversión a otros factores (producto o servicio ofrecido, página mal optimizada, etc.). También les permite promocionar al cliente para servicios adicionales.
Como puede ver, el tráfico de bots orgánicos es de muy poca utilidad a menos que esté asociado con algunos servicios de marketing y SEO deshonestos.
Por regla general, los bots crean la apariencia de muchas visitas. Sin embargo, en realidad, solo se utilizan para obtener ganancias financieras.
El tráfico de bots pagado es un juego sin ganador
El uso de bots de tráfico para aumentar los clics en los anuncios solo beneficiará a dos grupos de personas: el editor/webmaster que coloca el anuncio o la competencia del anunciante.
Aumentar los ingresos a través del tráfico de bots ocultos puede parecer tentador para los editores que ya monetizan sus sitios a través de Google Adsense. Por ejemplo, hay muchos artículos en la web sobre las mejores formas de comprar bots.
Sin embargo, las plataformas publicitarias están endureciendo cada vez más las reglas de participación y están atentas a aumentar el tráfico. Por lo tanto, no debe usar esta opción para aumentar los ingresos.
El fraude publicitario por parte de los editores no se trata de dinero fácil e impunidad. En lugar de grandes pagos, puede ser baneado y perder cualquier ingreso de su sitio.
Métodos de detección
La protección contra robots individuales, o incluso la protección completa contra botnets, se basa en un principio: primero debe detectar el tráfico de bots.
Para averiguar si la afluencia de tráfico es el resultado de un ataque de bot, puede consultar los siguientes métodos:
- Puede realizar un seguimiento de las estadísticas de acceso accediendo a los registros del servidor mediante el archivo access.log. Este archivo de texto contiene información completa sobre el tráfico en el servidor. En él se puede visualizar la dirección IP desde la que se realizó la solicitud, su hora, tipo y contenido. Debe prestar especial atención al parámetro % {User-Agent}, un encabezado que contiene información sobre la solicitud, la aplicación y el idioma en el que se realizó. El envío de múltiples solicitudes desde la misma IP y User-Agent a intervalos regulares debería alertarlo.
- El uso de JavaScript puede ayudar a recopilar información importante sobre los usuarios que visitan el sitio (resolución de pantalla, zona horaria, botones en los que se puede hacer clic). Es posible identificar qué usuarios tienen más probabilidades de ser un analizador simplemente haciendo coincidir la información sobre las solicitudes.
- Las solicitudes no deseadas de agentes con la misma solicitud, región, zona horaria y tamaño de pantalla desde la misma IP se pueden bloquear de forma segura utilizando uno de los métodos que describiremos a continuación.
Tenga en cuenta que no todas las solicitudes de los bots pueden provenir de la misma dirección IP. Esto se debe a que los bots suelen utilizar una red proxy, por lo que realizan un análisis distribuido. Sin embargo, incluso si se reciben las mismas solicitudes de diferentes servidores, lo más probable es que esta sea una razón para el bloqueo.
DDoS
Hablando de bots maliciosos, uno no puede ignorar un tema como la protección contra ataques DDoS. Actualmente, este problema es especialmente relevante para algunas áreas específicas de actividad. Estos incluyen sitios de tiendas en línea, juegos en línea multijugador, intercambios, plataformas de inversión y otros recursos comerciales. A veces, un ataque DDoS en un sitio puede ser provocado por competidores agresivos que buscan deshabilitar su recurso. Aún así, a veces el sitio también es atacado por piratas informáticos ransomware y, a veces, puede ser atacado solo por diversión sin un propósito maligno. En cualquier caso, cualquier proyecto serio necesitará protección contra estos ataques. Debe saber cómo detener el tráfico de bots en el sitio web.
Por lo general, los ataques DDoS se describen en el modelo OSI de siete capas. El primer nivel de la red es físico. El segundo es el canal (conecta redes a nivel de canal a través de conmutadores); cuanto más alto, más abstracto. Los ataques DDoS pueden ser de bajo y alto nivel. Los ataques de nivel más bajo se encuentran en los niveles tercero-quinto de la red: "obstruir" el canal con solicitudes de conexión ping o TCP (las llamadas solicitudes SYN). Son fáciles de tratar. Pero cuanto más alto es el nivel de ataque, más compleja se vuelve la defensa.
Los ataques de alto nivel del más alto, nivel 7, son más peligrosos. Se dirigen a las páginas más difíciles del sitio o realizan acciones complejas en él, por ejemplo, configurar un filtro de catálogo para mostrar la máxima selección de productos. Cientos o incluso miles de bots llevan a cabo el ataque y la denegación de servicio puede ocurrir desde el servidor web, backend o servidor de base de datos.
Para hacer frente a tales ataques, utilizamos WAF (Web Application Firewall), un sistema especial de monitores y filtros diseñado para detectar y bloquear ataques de red en una aplicación web. Sin embargo, este es un nivel de ataque relativamente alto, y habilitamos WAF solo en los casos más graves; como regla, la protección esencial es suficiente, habilitada de manera predeterminada en todos nuestros servidores.
Si su sitio está alojado en su hardware en su sala de servidores, es probable que tenga que lidiar con el ataque usted mismo. Debe conectar una dirección IP adicional o un servicio especializado para proteger su sitio. En algunos casos, cambiar a un VDS o a un servidor dedicado puede ser una excelente opción a la que ya están conectados dichos servicios. ¡Al final, se puede esperar un ataque masivo! Pero lo mejor es si tiene un proveedor de alojamiento confiable a quien puede delegar la protección del sitio contra DDoS.
Conclusión
Los propietarios de sus recursos web a menudo enfrentan el problema del análisis de datos y ataques maliciosos, pero el desarrollo de métodos de protección no se detiene. Para protegerse contra la copia y el robo de datos del sitio, puede ir de varias maneras, por ejemplo, instalar un captcha en la página, ingresar una trampa en el código o rastrear bots de acuerdo con los datos de User-Agent con bloqueo posterior. La atención cuidadosa al análisis y la instalación de herramientas de protección, incluso con un trabajo mínimo con el código, ayudará a resolver el problema del análisis, el spam y la carga en el sitio.