[31/03/2025] El auge de la IA generativa significa que los bots ahora acceden a algunos tipos de contenido web más que los humanos, según una nueva investigación de F5.
El informe Advanced Persistent Bots 2025 de F5 Labs analiza 207 mil millones de transacciones web y API desde noviembre del 2023 hasta septiembre del 2024. Examina los registros de los clientes con defensas de bots existentes, demostrando cómo se comportan los operadores de tráfico automatizado cuando se enfrentan a contramedidas.
"El informe reveló que el 50,04% de las solicitudes de contenido de las páginas procedían de fuentes automatizadas, en comparación con el 22,3% de las solicitudes de búsqueda en la web, y el 21,5% de las transacciones de Añadir al carrito. Sugiere un crecimiento significativo en el tipo de raspadores web utilizados por los proveedores de LLM como OpenAI, Anthropic y Perplexity, y la persistencia de estos bots en continuar enviando solicitudes cuando están bloqueados”, comentó David Warburton, director de F5 Labs, en el comunicado de prensa.
El ejecutivo anotó que, en total, 21.220 millones de las transacciones monitoreadas (10.2%) provinieron de una variedad de fuentes automatizadas, algunas de ellas benignas, pero con 10.200 millones (4.8%) que consistieron en tráfico de bots maliciosos.
"Durante años, el tráfico de bots se ha dirigido principalmente a los flujos de búsqueda, así como a los aspectos del recorrido del usuario en los que alguien se registra o inicia sesión para usar un servicio, agrega un artículo al carrito, realiza el pago o busca cambiar su contraseña. El enorme aumento en el raspado de contenido, sin duda asociado con la explosión de la IA generativa y los LLM, subraya cuán dinámico es el tráfico de bots y la necesidad de que las organizaciones estén constantemente atentas a los cambios en los patrones de ataque", señaló Warburton.
Los bots se relajan, pero no para todos
El ejecutivo comentó que los patrones y la prevalencia del tráfico de bots variaron según la industria. Los sectores más atacados en la web fueron la hostelería (44,6% del tráfico de bots), la sanidad (32,6%) y el comercio electrónico (22,7%).
En dispositivos móviles, el entretenimiento (23%) fue, con mucho, el sector más atacado, muy por delante del comercio electrónico (4,5%) y QSR (4,2%).
"Varias industrias todavía experimentan altos niveles de ataques de relleno de credenciales que buscan tomar el control de las cuentas de usuario. En la web, más de un tercio de los intentos de inicio de sesión de las empresas del sector tecnológico fueron intentos de apropiación de cuentas (33,5%), por delante del comercio minorista general (25,7%) y los juegos (19,6%). En los dispositivos móviles, estos ataques fueron más frecuentes contra las empresas de entretenimiento (24,7%) y los proveedores de comercio electrónico (23,8%)”, afirmó Warburton.
La sofisticación de los ataques también varió según la industria, añadió el ejecutivo. La gran mayoría del tráfico automatizado dirigido a la atención médica, tanto en la web como en dispositivos móviles, se clasificó como "básico". Otras industrias experimentaron niveles relativamente altos de tráfico más sofisticado considerado "avanzado": los tres primeros en la web fueron el comercio minorista general, los bancos y las aerolíneas.
"A pesar de los altos niveles de tráfico de bots, la mayoría de las industrias rastreadas experimentaron una disminución en la actividad automatizada en comparación con el 2023, lo que sugiere que los controles de bots implementados estaban teniendo el efecto deseado”, sostuvo Warburton.
Comentó, asimismo que, los valores atípicos fueron la hostelería en la web, que aumentó un 18,3% y el QSR en la web, que aumentó un 11,2%. "Aunque experimentó una proporción mucho mayor de tráfico de bots en dispositivos móviles que cualquier otra industria, el sector del entretenimiento aún registró una disminución del 11,5% con respecto al 2023”.
"A partir de los datos, está claro que ciertas industrias se han adaptado con el tiempo: sectores ampliamente atacados, como las aerolíneas y los servicios financieros, han creado defensas para frustrar a los atacantes menos sofisticados, lo que significa que ahora deben lidiar con una mayor proporción de tráfico de operadores más avanzados y altamente persistentes”, afirmó Warburton.
Mitigación: ¿Un arma de doble filo?
El informe también evaluó el impacto de la disuasión en el tráfico de bots, comparando las experiencias de los clientes que monitoreaban el tráfico automatizado con las que lo mitigaban.
"En el móvil, la tendencia era clara y esperada. Las organizaciones que mitigaron el tráfico vieron una proporción significativamente menor de actividad automatizada en su tráfico de búsqueda (0,9% en comparación con el 24,8% para las que solo monitorearon), un patrón que coincidió en el inicio de sesión (5% para los mitigadores en comparación con el 21,7% para los que monitorean) y Registro (2,4% en comparación con el 21,7%)”, comentó Warburton.
En la web era otra historia, sostuvo el ejecutivo. En la mayoría de los flujos de trabajo, el tráfico automatizado era mayor para las organizaciones que mitigaban activamente los bots. Estos clientes vieron un 20,9 % de tráfico automatizado en la Búsqueda frente al 14,9 % de los que simplemente supervisaron, y la ecuación fue la misma en Añadir al carrito (19,2 % frente a 18,2 %), Pago (8,6 % frente a 7,4 %) y Recuperación de cuenta (6,6 % frente a 4,6 %).
"Por lo general, esperaríamos que la mitigación conduzca a una disminución en el tráfico de bots, a medida que los operadores que están bloqueados avanzan en busca de objetivos más débiles", indicó Warburton. "Sin embargo, ahora hay modelos de negocio completos construidos en torno al raspado de datos, precios y propiedad intelectual: esos operadores no se van a rendir fácilmente cuando se les disuade. Un aumento en el tráfico puede significar que estos actores se están esforzando más y de más maneras, no necesariamente que estén teniendo éxito. La tendencia constante de esta investigación, y de toda nuestra experiencia en F5, es que la mitigación funciona y la disuasión marca la diferencia".
Franca Cavassa, CTOPerú