Ataques de bots: suena al título de la próxima película de ciencia-ficción, pero los ataques de bots ocurren en la vida real en los entornos digitales. Si tu web o e-commerce cae en manos de un bot maligno, puede tener serias consecuencias para tus ventas, usuarios o presupuestos.
¿Qué es un bot?
Un bot es un robot digital o informático, un software que realiza tareas repetitivas y automatizadas. Generalmente actúan o reemplazan el comportamiento humano y pueden trabajar a velocidades muy superiores. Pueden desempeñar tareas útiles como la atención al cliente o pueden hacerse con el control de un ordenador o atacar un sitio web.
¿Qué tipos de bots existen?
Existen bots benignos y bots malignos. La diferencia está en la finalidad del uso que se haga de él.
Bots benignos: ¿para qué sirven?
Entre los bots benignos tenemos aquellos como los conocidos chatbots, que responden a las preguntas de usuarios, por ej. en un e-commerce, para ofrecerles resultados y respuestas afines a lo que han preguntado en el chat y solucionar cualquier incidencia que tengan: recuperar una factura, consultar el stock o precio de un producto, etc.
Los motores de búsqueda como Google, Yahoo o Bing también utilizan robots para rastrear los sitios web que hay en internet y poder ampliar su “biblioteca” de dominios y de información.
Bots malignos: ¿qué ataques producen?
Están aquellos robots de phishing que roban información y datos personales de los usuarios (contraseñas, pines, su identidad, etc.) a través de enlaces en correos electrónicos o websites falsas.
También existen bots utilizados para hackear sites. Es decir, distribuyen software maligno para finalmente atacar dichas webs y controlarlas o inyectar contenido sobre ellas.
Otros robots se encargan de enviar enormes cantidades de tráfico a un sitio web, de manera que saturan su servidor, por lo que continuamente está colapsado y cuando un usuario real entra, la web está caída o va extremadamente lenta. Finalmente el usuario termina por abandonar y salir del sitio, lo que puede repercutir en pérdida de ventas o leads.
Aquí veremos un caso real de bots que se encargan de consumir los presupuestos de marketing, de las campañas de Google Ads, y de otros cuyo fin es realizar reservas falsas en un e-commerce, lo que hace que los niveles de stock se vean muy reducidos e incluso agotados, impidiendo la adquisición por parte de usuarios reales.
Caso real: bots que afectan a las ventas y a campañas de Paid de un e-commerce
¿Cómo detectar un ataque?
El primer paso para saber que algo va mal es detectarlo y disponemos de numerosas herramientas que, en su conjunto, nos pueden dar pistas. Una persona con conocimientos en análitica o en marketing y con tener algo de background del proyecto puede identificar a un robot malicioso.
A continuación vamos a ver cómo detectar un bot:
- Impresiones de marca disparadas
- Aumento anormal de usuarios y sesiones
- Desplome repentino de la tasa de conversión
- Aumento inesperado en los clics inválidos (Google Ads)
- Múltiples reservas desde la misma IP
- Tráfico desde una ubicación inusual
- Tasa de rebote muy elevada
- Duración de la sesión ha aumentado o disminuido
Impresiones de marca disparadas
Detrás de un bot malicioso puede esconderse un competidor, incluso a veces sin que él lo sepa. Es posible que sea su agencia de marketing la que envía el robot para perjudicar a nuestro site, pensando que eso tendrá un beneficio para nuestro competidor (su cliente). No obstante, estas estrategias están perseguidas y penalizadas por Google, así que no es una buena práctica hacer uso de este tipo de tácticas maliciosas.
Con este paréntesis y volviendo al caso real, lo que ocurre es que el robot busca en Google masivamente nuestra marca para dañarnos.
EVOLUCIÓN DE LAS IMPRESIONES DE TÉRMINOS DE MARCA (Search Console):
En la imagen vemos cómo en Google Search Console se disparan las impresiones (morado) de las palabras clave de marca, pasando prácticamente de un día a otro de 2.000 impresiones a 13.500. Es un aumento antinatural del 575%, sabiendo que no se puede achacar a otras campañas como televisión, display u otros factores externos.
Los clics sin embargo, se mantienen bastante estables excepto un pico de un día (esto sí fue televisión). Al ser información de Search Console, sólo estamos viendo los clics orgánicos, que son los que no se están viendo afectados, aunque sí sus impresiones. Pero, ¿por qué no clican estos bots en los resultados orgánicos? Ahora es el momento de comparar e investigar en Google Analytics y Google Ads vs. Google Search Console.
Aumento anormal de usuarios y sesiones
EVOLUCIÓN DE SESIONES TOTALES GOOGLE ANALYTICS:
Coincidiendo con las fechas en que se disparan las impresiones de marca, salta a la vista el aumento en sesiones para todos los canales (Google Analytics). Además sigue un patrón irregular, sin respetar la estacionalidad de la semana como lo hacía antes. En el plazo de dos meses, aumentamos inesperadamente un 207,67% el tráfico procedente de Paid Search
Desplome de la tasa de conversión
La tasa de conversión del site también se desploma a causa del gran aumento de sesiones no acompañadas de más ventas. Este es un indicativo clave para descifrar que estamos ante un bot maligno.
Aquí se muestra una cantidad muy elevada de sesiones manteniendo el nivel de transacción, resultando en una tasa de conversión muy inferior. Esto nos da fuertes indicios de que las sesiones no las producen usuarios reales sino máquinas, ya que éstas no pueden realizar compras.
Aumento inesperado en los clics inválidos (Paid Media)
En cuanto a los anuncios de pago (aquellos que aparecen en las páginas de resultados de Google con una etiqueta de “Anuncio”), también observamos datos extraños en la plataforma de monitorización Google Ads.
En este caso, se manifiesta un aumento inesperado de clics inválidos coincidiendo con las fechas de los anteriores hallazgos:
El clic no válido es aquél que Google considera ilegítimo tras haber pasado por sus rigurosos filtros de comprobación.
Se produce un clic inválido cuando el sistema de Google lo cataloga como:
- error humano (el usuario ha pinchado el anuncio por error)
- clic de un bot y no de un usuario
Al identificarse como inválido, Google devuelve a la cuenta el dinero gastado por esos clics maliciosos.
Si Google devuelve el dinero «gastado» por clics maliciosos, ¿cuál es el problema ante un ataque de un bot para la web que se anuncia en Google?
El problema para el site que se anuncia en Google ocurre cuando inicialmente el presupuesto es restado. Cada clic cuesta dinero y en esta primera instancia todos los clics se pagan, también aquellos realizados maliciosamente por bots. Al consumirse el presupuesto de marketing destinado a los anuncios de pago, los anuncios de la web dejan de ser mostrados en Google hasta que se vuelva a invertir.
Google solventa el problema devolviendo a la cuenta el presupuesto gastado perteneciente a los clics no válidos. Sin embargo, durante los días o semanas en los que el presupuesto estaba consumido, la web no pudo anunciarse
Consultar el ERP: múltiples reservas desde la misma IP
En nuestro caso real, el bot que consume los presupuestos de Paid Media convive con otro bot que realiza pre-reservas sobre el e-commerce. Dicho de otra forma: reservas falsas que nunca llegan a materializarse pero que tienen a la web continuamente sin stock.
Ejemplo de ERP en el que se muestran pre-reservas masivas de las mismas IPs.
El hack funciona así: Por defecto en todo e-commerce un artículo o producto está reservado en el carrito de compra durante un tiempo X. El bot introduce los artículos en el carrito. Al no producirse el pago (es un bot), el producto vuelve a estar disponible. Entonces, el bot vuelve a reservarlo, resultando en una continua ausencia de stock cuando en realidad el producto está disponible.
Tiene graves consecuencias a nivel económico, ya que al usuario real se le presenta un catálogo sin stock y por ende no puede comprar o reservar. Finalmente el usuario podría marcharse a la competencia.
Otras formas de detectar un bot
- Tráfico desde una ubicación inusual: A menudo los bots llevan IPs de países que no guardan relación con nuestro público objetivo. Conviene revisar si hay un repunte en el tráfico de un país concreto. Si no es así, igualmente no habría que descartar el tráfico de bots ya que podrían llevar IPs locales.
- Tasa de rebote muy elevada: Si la tasa de rebote ha aumentado y es anormalmente alta, es posible que se estén enviando bots a páginas de destino específicas.
- Duración de la sesión ha aumentado o disminuido: De igual manera, un aumento o descenso anormal en la duración de la sesión puede indicar que los “visitantes” son bots. En el caso de ser muy baja, puede ser porque el bot navega rápidamente por el site o aterriza en una página y vuelve a salir. Cuando la sesión es larga, es posible que esté navegando por las páginas a un ritmo más despacio o realizando tareas sobre el site.
¿Cómo frenar los ataques de bots en una web?
Podemos poner una barrera al bot para que éste deje de entrar o actuar sobre nuestra web o las campañas que gestionamos.Dependiendo del caso y tipo de bot que nos perjudica, existen diferentes soluciones en el mercado para frenar o mitigar el impacto de dichos bots. En general se trata de bloquear las IPs malignas.
Bloqueo de las IPs de bots malignos
Siguiendo con el caso real, a raíz de la implementación de dos herramientas para el bloqueo de IP’s, vemos cómo se reduce el tráfico fraudulento desde el 10 de noviembre, fecha de su puesta en marcha.
Mitigar los clics no válidos
Gracias al software de Clickcease pudimos reducir los clics inválidos en un 30%. Tras implementar adicionalmente Cloudflare, ambas herramientas con función de bloqueo de IPs, los clics inválidos han prácticamente desaparecido, volviendo a la normalidad.
Cuidado con las IPs de usuarios reales o arañas como Google
Siempre que se realizan este tipo de ajustes, especialmente con el bloqueo de IPs, es importante que todos los equipos de marketing estén involucrados y conozcan el proceso, ya que un bloqueo de las IPs equivocadas puede tener un serio impacto en áreas como SEO o el proceso de compra dentro de la web.
Esperamos que este ejemplo sirva de inspiración a la hora de lidiar con datos desvirtuados o con crecimientos / caídas “antinaturales” en los principales KPIs de un proyecto web: cómo afrontarlo, cómo analizarlo y cómo resolverlo.
