Cualquiera que navegue por internet se ha cruzado alguna vez con un bot, más bien con cientos de ellos. Y es que, según el informe Bad Bot de Imperva, casi la mitad de todo el tráfico de internet proviene ya de bots. ¡Es muchísimo! Y lo peor, que casi no nos sorprende. La cifra es tan estratosférica que es difícil de imaginar. Pero, para hacernos una idea, durante 2022 nos conectamos a Internet 5.160 millones de personas, y cada uno de nosotros lo hizo durante casi siete horas al día. Si durante cada hora de conexión a Internet se hicieron, por decir algo, 20 contactos con servidores web, esto implica que otros 20 fueron realizados por bots. Así que, si aplicamos la matemática inversa, nos saldría una cifra de interacciones entre bots tan elevada, que superaría los billones de conexiones.
Por lo general, son bots los sistemas de chat de atención al cliente de la mayoría de empresas, los servicios de ayuda, las alertas de nuestra lavadora o aspiradora, las respuestas automáticas de compañeros de trabajo, algunos de nuestros seguidores en redes sociales y, tal vez, varias de las cuentas a las que seguimos nosotros. En su mayoría son legítimos y verdaderamente útiles, pero otros no tanto. Según afirma el mismo informe, el tráfico de bots maliciosos (aplicaciones de software automatizadas diseñadas para realizar ataques o abusos) no deja de crecer año a año, y son cada vez más sofisticados.
Tanto unos como otros pueden representar una amenaza de seguridad y privacidad para los usuarios finales y, casi más, para las empresas o webs legítimas, que apenas pueden distinguir si están hablando con un humano o no.
Por tanto, si solo el 1% de los bots fuera, por causa directa o indirecta, causante de algún ciber riesgo, la cifra de posibles ciberataques vuelve a ser casi inimaginable.
¿Qué es un bot?
Empecemos por el principio. “Digamos que un bot es un robot sin cuerpo, el software dentro del hardware que está programado para realizar una serie de tareas, en este caso, suele ser una sola y repetitiva. Su uso ‘bueno’ es el de automatizar tareas para que no las tenga que realizar un humano. El malo, enviarlos en masa a colapsar un sistema con quejas múltiples, programarlos para buscar vulnerabilidades o inflar seguidores de una determinada cuenta de redes sociales con fines poco éticos”, explica Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Normalmente estos bots no son entidades autónomas, sino que están dirigidas por hackers humanos. Sin embargo, los enormes avances que estamos viendo en los últimos años (meses) en el campo de la inteligencia artificial están entrando también en este campo y ya se están viendo algunos ejemplos de bots autónomos. Los más avanzados, incluso, emulan el comportamiento humano en cuanto a recorrido de una página web, movimientos del ratón, tiempo de duración de las tareas…, lo que los hace cada vez más indetectables y peligrosos. De este modo los bots pueden practicar los llamados ataques de takeover, en que se secuestra una cuenta de correo electrónico para suplantar esa identidad digital y actuar desde ahí con fines poco lícitos; o ser enviados en masa a bloquear y corromper un sistema o a inflar el número de seguidores de una cuenta en una red social. Esto último es lo que se denomina ‘botting’, y la mayoría de las veces es más perjudicial para el propio propietario de la cuenta, que ve su reputación puesta en entredicho, que para el resto.
Porque, aunque en muchas páginas de registro todavía se nos pregunta si somos o no un robot -los habituales captchas-, lo cierto es que esto cada vez va perdiendo más sentido, ya que precisamente la inteligencia artificial y el machine learning permiten superar esas protecciones o barreras como un humano más. “Los bots maliciosos pueden saltarse protecciones como esta y ser la puerta de entrada a fraudes, secuestros o bloqueos masivos, exactamente igual que lo haría un humano”, explica Lambert.
“(…) no olvidemos que estos sistemas de software robotizado están preparados para acumular datos de los usuarios con los que interactúan y aprender de ellos con el fin de ofrecer experiencias más personalizadas y satisfactorias. ”
“Incluso en los casos de uso legítimo, no olvidemos que estos sistemas de software robotizado están preparados para acumular datos de los usuarios con los que interactúan y aprender de ellos con el fin de ofrecer experiencias más personalizadas y satisfactorias. El límite deben ponerlo las empresas y las normativas para garantizar la anonimización de dichos datos y, por supuesto, se debe invertir en la protección férrea de dichos bots para que no puedan ser crackeados por agentes maliciosos”, continúa el experto.
Y si las empresas y los organismos públicos deben poner barreras físicas, tecnológicas y estratégicas. Tanto es así que, “al igual que ocurre con la ciberseguridad en general, también es imprescindible que se forje un acuerdo público-privado en el que se tengan en cuenta todas las voces con algo que decir sobre las consecuencias que tiene el uso de la inteligencia artificial sobre la vida de las personas”, añade Hervé Lambert. En cuanto a los usuarios de a pie, ¿cómo podemos diferenciar a estos bots maliciosos?
¿Cómo identificar a los bots?
“Cuando se trata de bots de actuación masiva, que trabajan por debajo o por dentro del sistema operativo, es muy difícil verlos a simple vista, aunque cada vez más hay sistemas digitales de protección barrera que los detecta e identifica” -explica Lambert-.
En redes sociales puede ser más fácil, al menos de momento. Debemos fijarnos en si la redacción del texto es lenguaje natural o nos suena extraño o ‘traducido’, también en si nos muestra imágenes de mala calidad o si su fecha de creación es muy reciente, ya que estos bots-cuentas-falsas suelen durar poco y son eliminados en cuanto son denunciados o detectados por el sistema.
Para estos ‘bots sociales’, ya hay también diversas iniciativas experimentales y públicas que nos ayudan a ‘cazarlos’. Como Botometer, de la Universidad de Indiana, que está diseñado específicamente para identificar bots en Twitter. Solo hay que introducir una cuenta de usuario y nos dirá si su actividad o su número de seguidores es real. Socialblade hace algo similar, pero en Instagram.
Y qué decir del archiconocido ChatGPT?
Por muy útil que nos resulte, y por muchas posibilidades de desarrollo que ofrezca, se está convirtiendo en un dolor de cabeza, no ya sólo para la ciberseguridad, sino también para la práctica de muchas actividades que tienen que ver con la escritura, como el periodismo, la redacción de informes empresariales, los exámenes de la universidad o los sermones religiosos (sí, en Alemania lo han probado y funciona).
“Por muy útil que nos resulte ChatGPT, y por muchas posibilidades de desarrollo que ofrezca, se está convirtiendo en un dolor de cabeza (…)”.
Igual que los bots, este ya famoso conversador puede ser utilizado también para crear contenido falso u ofensivo de apariencia realista. También para diseñar -puesto que es inteligente y aprende de nuestras interacciones- ataques de phishing indetectables para engañarnos con más facilidad o para generar código malicioso lo que, con su gran bagaje de conocimiento y experiencias previas puede ser verdaderamente peligroso.
Sin duda hay que regularlo, pero la ley es siempre más lenta que la trampa. Se habla de obligar a los desarrolladores a incorporar un sistema de ‘etiquetado’ digital en todos los textos e imágenes generados por Inteligencia Artificial, de manera que puedan ser distinguidos de otro contenido; de limitar su uso en empresas y centros de formación u obligar al sistema a informar sobre los datos que usa -como hemos dicho, algunos de ellos son personales e incluso confidenciales- y para qué.
La Unión Europea, de momento, ya alerta de los riesgos y se propone definir un marco regulatorio para ella: “La inteligencia artificial de uso general, como ChatGPT está transformando el modo en que los sistemas de IA se diseñan y se implementan. Aunque se espera que estas tecnologías traigan enormes beneficios en los próximos años, su naturaleza disruptora hace surgir preguntas en temas de legislación en cuanto a privacidad y derechos de propiedad intelectual, entre otras”, explican en un comunicado.
Y mientras tanto vigilar, comprobar, y utilizar la tecnología de protección a nuestro favor. Sin dejar a un lado el sentido común, que eso siempre ayuda.