Aprenda qué es un bot, el espectro de formas en que los bots se usan en línea (especialmente en las redes sociales) y cómo se pueden usar los bots en el próximo ciclo electoral.
Dan Patterson, productor senior de CNET y CBS News, habló con Patrick Sullivan, CTO de Akamai, Estrategia de seguridad, sobre la programación y los casos de uso de bots. La siguiente es una transcripción editada de la entrevista.
Dan Patterson: Creo que todos tenemos una plan de qué es un bot, especialmente cuando buscamos en las redes sociales, o tratamos de usar un sitio net de comercio electrónico, pero es un poco difícil definir específicamente qué es un bot. Empecemos con lo básico. ¿Qué es un bot?
Patrick Sullivan: Un bot es solo una pieza de software program que se implementa con un conjunto predecible de instrucciones para interactuar con un sitio website. Los robots en sí mismos realmente no tienen motivación, por lo que heredan las motivaciones de su operador.
Dan Patterson: ¿Quién programa y crea bots?
Patrick Sullivan: Hay un ecosistema completo realmente aquí cuando miras esto. Hay personas que crean herramientas que permiten que un operador de bot se ponga en funcionamiento. En este punto realmente, la barrera para convertirse en un operador de bot no es técnica, creo que es más ética. ¿Se siente cómodo realizando algunas de las acciones que tendrá que hacer allí?
Puede ponerse en marcha, puede comprar el software package, puede comprar herramientas para evasión, puede comprar otras listas de combinaciones de nombre de usuario / contraseña que puede usar en fraudes. Realmente todas las herramientas y la documentación, los manuales de instrucciones y el soporte de la mesa de ayuda están disponibles como una solución llave en mano.
VER: Conciencia de seguridad y política de capacitación (TechRepublic Premium)
Dan Patterson: Fui a Google ayer, pasé nueve minutos, como máximo, haciendo búsquedas de bots. Me sorprendió mucho ver que por tan barato como $ 19.95 y hasta $ 500, podría comprar mi propio servicio de bot. ¿Cómo es esto posible? ¿Es esto ilegal?
Patrick Sullivan: Si absolutamente. Hay absolutamente un mercado muy robusto. Algunos de estos operadores de bot incluso tienen marketing and advertising donde compiten y dicen que nuestro bot es mejor que el bot B. Tienen acuerdos de nivel de servicio con soporte y ayuda para hacer cosas allí. Algunas cosas que estás haciendo con un bot pueden no ser ilegales. Algunas de las cosas que las personas están haciendo con los bots que las utilizan para el fraude son altamente ilegales, y se ven arrestos de vez en cuando, donde las personas son atrapadas.
Dan Patterson: Si te entiendo correctamente, los bots, el código, pueden no ser ilegales, pero la actividad en la que participa el bot podría ser ilegal. ¿Es esa una caracterización justa?
Patrick Sullivan: Lo es, si. Hay tal espectro de lo que están haciendo estos bots, ¿verdad? En Akamai, vemos que aproximadamente un tercio o la mitad de todo el tráfico en la web es algún tipo de automatización, por lo que vemos aproximadamente un billón de visitas diarias de bots. Algunas cosas que hacen los bots son perfectamente benignas. Piensa en tus motores de búsqueda que están rastreando sitios que ayudan a las personas a descubrir esos sitios … robots simbióticos que te ayudan a medir el rendimiento de tu sitio internet.
Ciertamente, esas cosas son de naturaleza altamente authorized y ética: son bienvenidas por el operador del bot. Pero algunas de estas cosas se aventuran al fraude, donde las personas intentan entrar en la cuenta personal de alguien, tomar esa cuenta, robar dinero, defraudar al sitio internet ese tipo de cosas son ilegales. Al usar botnets para lanzar ataques de denegación de servicio distribuidos (DDoS) contra un objetivo, esas cosas son ilegales, y se ve que las personas son arrestadas y condenadas por esos cargos.
Dan Patterson: Dijiste algo realmente interesante allí y es que una parte importante de World-wide-web que usamos todos los días no es auténtica. Vamos a eso un poco. ¿Cómo sabemos y qué partes de World wide web son falsas?
Patrick Sullivan: En este punto, estamos hablando de las personas que generan solicitudes. Si está operando un sitio world wide web, casi de inmediato comenzará a ver que el tráfico de bot llega a su sitio y algo de eso es excelente. Es genial cuando comienzas a ver los motores de búsqueda que indexan tu sitio, eso ayuda a las personas a encontrarte. Puede aprovechar los servicios para poner en funcionamiento un sitio que lo ayude en el camino. Hay muchas tareas que la automatización puede realizar, pero claramente mucho de lo que ves allí con la automatización es malicioso.
Hay personas que usan la automatización para encontrar vulnerabilidades en su código que pueden explotar. Atacan a sus usuarios con ataques de relleno de credenciales. Determinar si un usuario que visita un sitio como humano o como bot es realmente, creo, uno de los desafíos más interesantes para la seguridad de la información. Es un juego de gato y ratón muy adaptable que ha evolucionado a través de un par de generaciones en los últimos cinco o seis años.
Dan Patterson: Para mayor claridad, estás diciendo solicitantes, eso significa usuarios, por lo que un porcentaje significativo de la actividad world wide web de los usuarios no es auténtico. Mi siguiente pregunta es, cuando miramos las redes sociales, especialmente donde parece haber mucha actividad de bots, ¿estás diciendo que muchos de esos usuarios, una parte significativa de esos usuarios, de las redes sociales son auténticos, falsos, no cuentas reales?
Patrick Sullivan: Creo que cualquier experiencia world wide web va a tratar con bots. Las redes sociales, creo, están bien documentadas. Tienes bots que básicamente amplifican un mensaje determinado a instancias de su operador de bot. Es posible que haya personas que generen un número sintético de seguidores que usan bots, así es como se manifiesta en las redes sociales.
Pero creo que la historia del bot que ves será única para cada vertical. Es diferente en el comercio minorista que en los juegos … los medios ven una interfaz diferente con los bots. Probablemente la historia mejor contada allí es realmente las redes sociales debido a toda la atención que recibió en el último ciclo electoral.
Dan Patterson: ¿Qué pasa con el próximo ciclo electoral? Si soy usuario de las redes sociales en este momento, ¿es probable que interactúe con un bot diseñado para fines políticos?
Patrick Sullivan: Creo que es razonable suponer que las personas que tienen una motivación para amplificar un determinado mensaje desplegarán bots donde puedan generar me gusta, generar una gran cantidad de seguidores. Creo que es una suposición bastante razonable que es que cuando estás viendo a alguien en un sitio de redes sociales y tienen un número X de seguidores, un porcentaje de eso es probablemente un bot tal vez que ellos mismos han pagado o tal vez alguien lo demás es simplemente seguirlos y amplificar su mensaje.
Dan Patterson: Cuando pienso en los actores que piratearon o atacaron las elecciones de 2016, hubo informes que indican que algunos piratas informáticos rusos tenían un presupuesto de $ 1.2 millones por mes. Pero cuando miramos qué tan baratos son los bots, nuevamente, en cualquier lugar desde $ 20 dólares hasta $ 500, parece que cualquiera podría poseer e implementar un bot. Cuando miramos el próximo ciclo electoral, ¿quiénes son los actores de amenazas que probablemente usarán bots y cómo los usarán con fines políticos?
Patrick Sullivan: Ese es el espectro interesante aquí. Es extremadamente económico ponerse en marcha como bot. Puede ponerse en marcha por un par de cientos de dólares si esa es su motivación, pero hay diferentes tipos de bots con diferentes niveles de sofisticación. Los bots de gama baja con operadores que no son terriblemente expertos son muy fáciles de detectar.
Algunos mecanismos bastante fáciles en el lado defensivo podrán detectar que es un bot y no un humano en el otro extremo de esa sesión. A medida que ingresa a los sitios que tienen defensas más sólidas, sus sitios de servicios financieros, sus sitios de minoristas de alta gama, tienen equipos de seguridad muy activos que están trabajando muy duro para determinar si el usuario está al otro lado de la sesión. es un ser humano o si es un bot.
Ver también
(de izquierda a derecha) Patrick Sullivan, director de tecnología de Akamai y productor principal de CNET y CBS News, Dan Patterson
Imagen: TechRepublic
