Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

bots

¡No bajes la guardia! El impacto de los Scalper bots durante las rebajas!

El fin de año pasó y las rebajas llegan con fuerza a los comercios, , muchas de ellas por internet. Para evitar estafas debemos estar al tanto de las últimas amenazas de los ciberdelincuentes y seguir los consejos de los expertos.

El otro día uno de mis sobrinos me pregunto que era un bot, y para ser lo más didáctico posible le explique que bot viene de la palabra robot y que hace referencia a un programa informático o software que ha sido desarrollado para realizar tareas de manera automática imitando el comportamiento humano y relevando a las personas de realizar labores repetitivas y monótonas.

Los bots son uno de los mejores ejemplos en los campos de la tecnología y la seguridad de cómo algo que nace con buen propósito para facilitarnos “comodidades” como la reducción de tiempos de respuesta, en las consultas de atención al cliente, que ofrecen los chatbots o la facilidad de búsqueda correcta de información de los motores de búsqueda como el Chat GPT, también se puede utilizar para causar daño a los usuarios.

Cuando los profesionales de la seguridad pensamos en bots, tendemos a pensar en las numerosas caídas de sitios web cuyos servidores son inundados de tráfico, sobrecargándolo hasta que deja de estar operativo. Esta denegación de servicio distribuido (DDoS) ha causado grandes estragos en las organizaciones a nivel mundial, y los clientes de esas organizaciones han sufrido la mayor parte del impacto.

Uno de los ataques DDoS más notorios, el ataque DynDNS de 2016, provocó interrupciones hasta el nivel FAANG (Facebook, Amazon, Apple, Netflix y Google) y consecuentemente nos afectó a la mayoría de los usuarios.

Lejos de desaparecer, los atacantes están evolucionando sus estrategias en torno a esta práctica incluido su uso como método de extorsión secundario para las víctimas de ransomware (código malicioso que impide la utilización de los equipos o sistemas que infecta).

El ciberdelincuente toma el control del equipo o sistema infectado y lo “secuestra” de varias maneras, cifrando la información, bloqueando la pantalla, etc. A la víctima de la extorsión, se le pide un rescate económico a cambio de recuperar el normal funcionamiento del dispositivo o sistema.

Durante las épocas de grandes ventas como el Black Friday, la Navidad o incluso las rebajas (aunque parezca una contradicción) muchos bots, se utilizan para inflar los precios y, también, para favorecer las reventas. Los consumidores deben estar más atentos que nunca de lo que se cuece en internet ya que al final la seguridad es responsabilidad de todos.

Aunque existen muchos tipos de bots, quiero llamar la atención sobre los maliciosos: “scalper bots”

El “scalper bot” es un código malicioso diseñado para rastrear sitios web y reservar artículos, entradas, etc. para aumentar los precios por ejemplo de unas zapatillas muy cotizadas, de las entradas para un concierto de un artista muy famoso o bloquear ciertos servicios como ocurrió con el retraso en la renovación de pasaportes que experimentaron los israelíes durante el verano de 2022.

Este tipo de bots no sólo causan una gran frustración entre los clientes potenciales, sino que también alimentan la industria depredadora del aumento abusivo de los precios de reventa. Probablemente todos hemos tenido la experiencia de tener que utilizar sitios de reventa de terceros con márgenes de beneficio tremendamente altos para comprar algo que realmente queremos ; estamos hablando de márgenes de ganancia de hasta el 7000% .

Estos bots violan los términos y condiciones de varios sitios de comercio digital. El hecho de que cualquiera pueda crear un bot, con los conocimientos adecuados, ha creado una subindustria adicional: los “scalper bot” como servicio.

Si estás dispuesto a pagarlo, puedes aprovechar los bots que ya se han creado para intentar conseguir tus artículos más deseados. Puedes comprar estos bots directamente para usarlos habitualmente o alquilarlos caso por caso. Las tarifas pueden ser bastante elevadas (hasta 500 euros en algunos casos) pero ni siquiera el uso de servicios como estos garantiza que podrás tener finalmente el artículo que deseas. Estos servicios pueden aumentar sus posibilidades, pero la adquisición ciertamente no está garantizada.

No obstante, puede resultar muy tentador utilizar uno de estos servicios, especialmente durante las Navidades o ahora al llegar las rebajas. Serías Padre del Año si volvieras a casa con esas Nike de edición limitada de las que tu hijo ha estado hablando sin parar. Pero 500 euros por un «tal vez» es un riesgo que no merece la pena correr.

3 formas de protegerte

Los atacantes tienen una gran ventaja sobre los consumidores al conocer las medidas de defensa comunes y saber cómo eludirlas, por lo que es imperativo permanecer alerta. La ciberseguridad es responsabilidad de todos.

Hay tres formas básicas de protegerse:

1. Lucha contra la tentación de interactuar con Scalper bots para obtener artículos de edición limitada, entradas para conciertos populares o cosas por el estilo.

Puede parecer muy atractivo tratar de mejorar tus posibilidades de recibir artículos especiales, pero al interactuar con este tipo de bots estás entregando tu información de pago y de contacto a alguien de quien no sabes nada. Por lo tanto, también estás contribuyendo directamente al problema de tener bots.

Recuerda que: la obtención del artículo nunca está garantizada; de hecho, es muy probable que el scalper bot sea una estafa para robarte dinero.

2. Obtén un administrador de contraseñas para crear y conservar contraseñas complejas

Nunca se puede enfatizar lo suficiente la higiene de las contraseñas como una parte crítica para mantener segura su información online. Con cambios constantes en los requisitos, a menudo es mejor permitir que un producto diseñado específicamente para este propósito haga el trabajo duro. Será más fácil y seguro de esa manera: solo tienes que recordar una única contraseña y el administrador recordará el resto por ti.

Cambiar las contraseñas olvidadas con demasiada frecuencia puede ser tan malo como no cambiarlas lo suficiente.

3. Por favor, por favor, utiliza MFA

Habilitar y utilizar MFA en todo lo que pueda es otro excelente consejo de seguridad básico. Esto obliga al atacante a seguir varios pasos para tomar el control de la cuenta , lo que le proporciona varios lugares donde fallar.

Es preferible utilizar un método que no sea SMS (mensajes de texto) para esto, ¡pero la autenticación de dos factores por SMS es mucho mejor que no tener ninguna!

A medida que nos embarcamos en otro año de concientización cibernética, parece que el mismo consejo se recicla una y otra vez. Esto no se debe a que los profesionales de la seguridad sean vagos; es porque estos métodos de defensa todavía no se utilizan tan ampliamente como deberían.

El phishing, los bots y el relleno de credenciales son métodos de ataque que han existido esencialmente desde los albores de Internet y siguen siendo algunas de las formas más efectivas para que un atacante lo explote.

Un atacante es un ser humano. Ya sea un operador de ransomware, un autor de botnet o incluso una entidad de un estado-nación: son humanos. Buscan ganarse la vida como el resto de nosotros. Puede parecer extraño humanizar a estos villanos, pero es necesario entender este punto:

Estos adversarios buscan la forma más eficiente de lograr su objetivo. Por lo tanto, cuanto más difíciles le pongas las cosas a un atacante, más posibilidades tendrás de que siga adelante.

¡No bajes la guardia!

Autor: Federico Dios Pre-Sales Director de Akamai España

Deja un comentario

Scroll al inicio