Los bots están arruinando el internet.
Cuando no están golpeando un sitio web con nombres de usuario y contraseñas de una larga lista de credenciales robadas, están raspando el precio de los hoteles o boletos de tren y las probabilidades de los sitios de apuestas para obtener los mejores datos. O, simplemente están tratando de dejar fuera de línea a un sitio web durante horas a la vez. Hay toda una economía clandestina donde los robots son las herramientas principales que se utilizan para automatizar compras fraudulentas, rastrear contenido y lanzar ataques cibernéticos. Los bots le están costando dinero a las empresas legítimas al robar datos, pero también acaparan los recursos del sistema y el costoso ancho de banda.
Claramente, el enfoque existente de jugar al bot Whac-A-Mole no está funcionando.
“Hasta ahora solo tenía que absorberlo como un costo de hacer negocios”, dijo Johnny Xmas, director de ingeniería de campo en Kasada, una startup anti-bot que ataca el corazón de la economía de los bots al frustrar a los bots con tareas complejas .
Su sistema es bastante simple. Los bots, dijo Navidad, son el “ruido blanco” de internet. Una vez que se inicia un bot, continúan hasta que se les dice que se detengan o que su trabajo haya terminado. Kasada engaña a los robots para que piensen que su trabajo nunca termina. Al presentar un pequeño pero difícil rompecabezas matemático antes de que el sitio incluso se cargue, engaña al robot para que dedique su tiempo a resolver el rompecabezas y no raspe el sitio como cree que está haciendo.
Semanas antes, Navidad tuiteó una foto de la plataforma propietaria de Kasada, Polyform. Un solo robot realizó cerca de cuatro millones de solicitudes a un sitio web en un solo día. En lugar de cargar el sitio web de destino, Kasada introdujo su código JavaScript generado aleatoriamente, que en su lugar se carga silenciosamente en el navegador al bot. Durante más de 24 horas, el bot hundió todos los recursos de procesamiento en la nube para intentar resolver un desafío matemático imposible.
“Estos muchachos [cloud] Bill va a estar loco ”, tuiteó.
El objetivo de la compañía no es derrotar al bot, sino la razón para iniciarlo en primer lugar, dijo Sam Crowther, cofundador de Kasada, en una llamada con TechCrunch. “Les costamos dinero, por lo que sus proyectos no son fiscalmente viables”, dijo.
Así es como funciona. Cada vez que alguien, o algo, visita un sitio web, Kasada toma con precisión las huellas dactilares del solicitante, utilizando varios métodos para determinar si es un bot o no. Si no, el sitio se carga como si nada hubiera pasado, tomando solo unos pocos milisegundos del tiempo de carga. Si es un bot, Kasada le lanza al bot el rompecabezas, manteniéndolo ocupado. El bot piensa que el sitio web se ha cargado y no activa ninguna advertencia en el back-end, a la vez que dedica sus recursos a intentar comprender y resolver el problema matemático. “No quieres alertar a la persona que está detrás del bot, o simplemente seguirán intentando”, dijo Crowther. Ahí es cuando el bot comienza a agitar cada vez más sus recursos y, finalmente, a toparse. “El humano lanza el bot y se aleja”, dijo. “A menudo, la cuenta se agota y se queda sin dinero mucho antes de que el humano vuelva”. Incluso si el robot agrega automáticamente más recursos, nunca resolverá el enigma. Mientras que el uso del procesador está aumentando, los robots no tienen los recursos para apuntar a otros sitios, ya sea que se trate de un cliente de pago o no, dijo Crowther.
“Estamos limpiando internet”, dijo Navidad. “Queremos que los bots no sean elegibles para comenzar a operar”.
Los falsos positivos son raros: solo el 0.07 por ciento de todas las solicitudes están marcadas por error. El equipo a menudo descubrió que la mayoría de las veces es un navegador antiguo y heredado que marca erróneamente sus huellas dactilares, o que el navegador muestra comportamientos similares a los bots a través de una extensión Chrome malintencionada, por ejemplo. Navidad dijo que el servicio envía un rompecabezas de CAPTCHA para resolver en caso, permitiendo que el humano pase.
Los autores de bot tardan semanas o incluso meses en desarrollar un código que se dirija a tipos específicos de sitios con la esperanza de obtener un gran beneficio final, explicó Crowther. Los puntos de venta minoristas, los hoteles, las principales instituciones financieras y los listados de bienes raíces, todos ellos clientes que generan ingresos en la cartera de la empresa, corren el riesgo de tener bots que, si tienen éxito, podrían obtener una gran recompensa.
“Un bot apuntó a una empresa de apuestas que protegimos, aprovechando las probabilidades para que las apuestas más rentables se realicen en el nivel micro, como la negociación de acciones”, dijo Xmas. “Pondrán meses en un bot que derrotará a todos los sistemas de detección de bot”.
Pero ya el equipo está encontrando a algunos propietarios de bot que cumplen su partido.
En un caso, Crowther y Navidad, ambos con sede en la oficina de la compañía en Chicago, dijeron que tenían una compañía, a la que se negaron a nombrar, como blanco de fraude y raspado de cuentas. La compañía entró y detuvo los inicios de sesión automatizados y el raspado de documentos de identidad, lo que impidió que un ataque más amplio afectara a unos 30.000 consumidores del robo de identidad.
“En un caso, teníamos un sitio de apuestas donde el 95 por ciento del tráfico eran robots”, dijo Xmas. “Piensa en eso. Estás pagando por toneladas de servidores, toneladas de ancho de banda porque crees que estás haciendo un montón de negocios, y estás ganando mucho dinero, por lo que parece racional “, dijo. “Entonces descubres que el 95 por ciento de eso fue basura”.
“Al principio pensamos, 'oh mierda, ¿qué rompimos?'”, Dijo. “Resulta que rompimos una botnet demente”.
Los dos recordaron cómo un operador de bot sospechoso estaba tan frustrado por las contramedidas anti-bot de la compañía, que envió una nota abusiva a la compañía.
“El tipo que estaba ejecutando algunos robots descubrió que fuimos nosotros quienes los detuvimos”, dijo Navidad. “Y fue a nuestro sitio web, presionó el botón de contacto y escribió una carta muy enojada”. Crowther dijo que la compañía detectó la dirección IP del controlador del robot porque envió el “correo electrónico no muy bueno” a través de su formulario de contacto. “Descubrimos que se encontraba en Sydney”, donde se encuentra una de las oficinas de la empresa. Navidad bromeó que le dijo a Crowther, sabiendo quién era el operador del robot, que le “enviara una camiseta”.
O, mejor aún, dijo Xmas, “toma ese correo electrónico enojado, explóralo y hazlo como fondo de pantalla en nuestra oficina de Sydney”.