Los sitios web de venta al por menor o retailers reciben dos tipos de visitantes: un comprador humano que puede estar buscando la última marca de zapatillas, o un bot, es decir, un robot o programa informático que realiza automáticamente tareas reiterativas, en este caso, compras. Los bots pueden ser buenos o malos. Hay robots de motores de búsqueda que realizan la útil función de indexar contenidos de todo Internet. Pero también hay otros que llevan a cabo una serie de actividades nefastas. Algunos ejemplos: un ataque distribuido de denegación de servicio o DDoS, cuya intención es colapsar con tráfico malintencionado un sitio web para que no pueda funcionar correctamente; la reutilización de credenciales o datos robados (credential stuffing); el scraping o extracción de contenidos y datos de sitios web mediante software, entre otros ataques.

En el caso del comercio electrónico, ningún ser humano puede igualar la velocidad con la que los bots pueden vaciar las estanterías online. En cuestión de milisegundos desde que un artículo sale a la venta, los humanos se pueden quedar con las manos vacías después de que los bots se lo hayan llevado todo. Así lo demuestra el último incidente con el concierto de Taylor Swift, celebrado recientemente en EEUU. Sin embargo, como ocurre con los bots, esto puede ser bueno o malo para el retailer.

Impacto en la marca
Durante una venta flash, un sitio web puede recibir 50 veces más tráfico en un intervalo de 15 minutos que en horas normales. La mayoría de estos visitantes son bots que compran todas las existencias y sus controladores las revenden en mercados secundarios. Esto puede suponer un margen del 500% o más.

En general, cualquier retailer estaría encantado de vender todos sus productos rápidamente, y el aumento de la expectación puede ser contagioso, lo que le permitirá captar publicidad adicional. Es más probable que uno se apresure a comprar un par de zapatillas de su marca favorita, si sabe que se venderán rápido y sólo tiene un par de minutos o incluso segundos para completar la compra.

Pero en un mundo en el que el cliente es el rey, esto se puede volver en contra de los retailers. Una inflación de precios de este tipo podría hacer que sus clientes se alejaran de ellos, por no hablar del sentimiento de frustración al no poder acceder a lo que quieren. E incluso si no es el caso, el retailer pierde su conexión directa con un cliente que ha acudido a un revendedor. La marca ha perdido su oportunidad de entender las necesidades de sus clientes, y de averiguar cómo interactuar con ellos para crear un sentimiento de lealtad y conexión. Esto se extiende incluso hasta la estrategia SEO de la empresa: es más difícil comprender los flujos de tráfico si la mayor parte está impulsada por bots.

Detener la ‘killchain’ cuanto antes
Hay un modelo para describir las etapas de un ciberataque (killchain) dirigido a la apropiación de cuentas (Account Takeover, ATO). Para evitar que se produzca un ataque de bots, es importante detener la killchain lo antes posible. Todo comienza con la etapa de reconocimiento, en la que los atacantes evalúan los posibles objetivos de los sitios web de venta al por menor.

Al obtener una lista de contraseñas y nombres de usuario filtrados en la Dark Web, los atacantes pasan a la etapa de abuso de credenciales (credential stuffing), en la que prueban estas credenciales en el sitio web objetivo con la esperanza de que un usuario haya reutilizado aquí su contraseña comprometida. El resultado de esta etapa es una lista de credenciales válidas que funcionan en este sitio web. Lo ideal sería detener el ataque en esta fase antes de que los atacantes puedan pasar a una toma de control de cuentas (ATO) completa. En una ATO, los atacantes pueden utilizar las cuentas comprometidas para cobrar cupones, reembolsos o vales, según sea el caso.

El problema de las contraseñas
Los nombres de usuario y las contraseñas son fáciles de vulnerar porque las personas son perezosas por naturaleza; utilizan las mismas contraseñas una y otra vez. La autentificación de dos o múltiples factores puede ayudar a impedir que los robots se apoderen de una cuenta con contraseñas filtradas, mediante la autenticación con datos biométricos, correo electrónico, teléfono o aplicación. Antes de la fase de transacción, el inicio de sesión se puede evitar incluso por completo identificando a un usuario a partir de los datos de su navegador.

Las organizaciones necesitan gestionar miles de millones de bots y para eso necesitan herramientas. La idea es contar con una solución que se adapte específicamente al comercio electrónico, a fin de prevenir el abuso de credenciales y ayudar a proteger los sitios web transaccionales. Por otro lado, es preciso contar con una solución complementaria que trabaje en la siguiente fase de la killchain, con objeto de evitar la apropiación de cuentas e identificando si se ha conectado el usuario correcto.

En conclusión, los bots en el comercio electrónico son complejos y pueden tener algunos efectos positivos para un retailer. No obstante, pueden dañar realmente su reputación y su conexión con los clientes. Por ello, es esencial minimizar los riesgos rompiendo la killchain a tiempo. Esto favorece una mejor experiencia para los clientes y salvaguarda la reputación del vendedor al por menor.

Carol Antón García es ejecutiva de grandes cuentas en Akamai Technologies, empresa de servicios en la nube que se promociona como impulsora y protectora de la vida online.

Más información
⇒ Seguir en Twitter a @Akamai