View a markdown version of this page

Elegir y configurar Bot Control para su caso de uso - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, y AWS Shield director de seguridad de red
Cómo hacer coincidir el control de bots con su aplicaciónElegir entre una protección común y una específicaCómo funciona la detección de Bot ControlAdministración de costosIntegrar los SDK de integración de aplicaciones del clienteAjustes de configuración comunes

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte Trabajar con la consola.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Elegir y configurar Bot Control para su caso de uso

Bot Control protege contra una variedad de amenazas automatizadas. La configuración correcta depende de lo que proteja y de las amenazas a las que se enfrente. Utilice este tema para elegir el nivel de protección adecuado y configurar el control de bots para los escenarios de aplicaciones más comunes.

Cómo hacer coincidir el control de bots con su aplicación

Las amenazas de los bots suelen clasificarse en tres categorías:

  • Amenazas de fraude: uso indebido de credenciales, cuentas falsas y compras automatizadas.

  • Amenazas de contenido: recopilación de datos sobre precios, catálogos de productos y contenido publicado.

  • Amenazas de disponibilidad: volumen de tráfico de bots que reduce el rendimiento o aumenta los costes de infraestructura.

Para la mayoría de estas amenazas, recomendamos el nivel de protección específico con los SDK de integración de aplicaciones cliente. En los siguientes escenarios se describe cómo configurar el control de bots para cada uno de ellos.

Protección de las páginas de inicio de sesión y de cuenta

Los ataques de uso indebido de credenciales y apropiación de cuentas utilizan herramientas automatizadas para probar las credenciales robadas en los puntos finales de inicio de sesión. El fraude de creación de cuentas utiliza bots para crear cuentas falsas a gran escala. Integre el SDK de integración de aplicaciones en su sitio y combine Bot Control con los grupos de reglas gestionados por AWS WAF Fraud Control para proteger el inicio de sesión y la creación de cuentas.

Proteja los catálogos de productos y los datos de precios

Si su aplicación muestra información sobre los productos, precios, niveles de inventario u otros datos de la competencia, los bots pueden recopilar este contenido para obtener información sobre la competencia, crear sitios de comparación o reducir sus precios. Estos rastreadores suelen imitar a los navegadores reales y utilizan direcciones IP residenciales para evitar ser detectados. Aplica el control de bots en todas las páginas de tus productos y catálogos, no solo en las de pago. De esta forma, Bot Control puede detectar los patrones de comportamiento del rastreo automático incluso cuando el bot parezca ser un navegador normal.

Proteger el contenido publicado

Los editores de contenido, los sitios de noticias y las plataformas de medios se enfrentan a bots que copian artículos, imágenes y otro contenido original. Este robo de contenido puede debilitar tu posicionamiento en las búsquedas, reducir los ingresos por publicidad y socavar tu posición competitiva. Aplica el control de bots en todas tus páginas de contenido. Usa el panel de control de bots para monitorear qué bots están accediendo a tu contenido y decidir cómo gestionar cada categoría. Para obtener más información, consulte AWS WAF Eventos de control de bots.

Reducir los costes de infraestructura derivados de los rastreadores no deseados

Los rastreadores, los rastreadores y las herramientas automatizadas pueden generar un gran volumen de tráfico, lo que aumenta los costes de procesamiento y transferencia de datos sin aportar valor empresarial. Bot Control identifica los bots que se autodeclaran por categoría, como los rastreadores, las bibliotecas HTTP y los marcos de rastreo. A continuación, puedes bloquear o limitar la velocidad de cada categoría de forma independiente mediante etiquetas. Para evitar el rastreo, la protección dirigida detecta los bots que ocultan su identidad, incluidos los que utilizan proxies residenciales y navegadores sin interfaz.

Protección de las transacciones de alto valor

Los flujos de pago, las compras con inventario limitado y la venta de entradas son objetivos de los robots de compras automatizados que compiten con los clientes legítimos. Bot Control detecta los navegadores automatizados, como Selenium y Puppeteer, y aplica una limitación de velocidad a nivel de sesión para evitar que un solo cliente monopolice el inventario. Integre los SDK en sus páginas de transacciones para obtener la máxima precisión de detección.

Gestiona los rastreadores de IA y entrena a los rastreadores de datos

Los bots de IA recopilan contenido de tu aplicación para entrenar modelos o extraer datos en aplicaciones de IA. Bot Control clasifica los bots de IA conocidos. Escribe reglas personalizadas para permitir el acceso a los bots de IA específicos que quieras permitir, como los rastreadores de motores de búsqueda verificados, y bloquea o limita la velocidad de otros. En el caso de los agentes de IA que utilizan marcos de automatización del navegador para interactuar con tu aplicación, Bot Control detecta estas sesiones automatizadas y las cuestiona. Con la autenticación de bots web (WBA), los agentes de IA legítimos pueden demostrar criptográficamente su identidad. Esto le proporciona una señal fiable para distinguir a los agentes autorizados de los no autorizados. Para obtener más información sobre la WBA, consulteAutenticación de bots web para agentes de IA.

Protección de las aplicaciones móviles

Las aplicaciones móviles se enfrentan a amenazas de bots similares a las de las aplicaciones web, pero su tráfico tiene características diferentes. Los clientes móviles utilizan agentes de usuario que no son navegadores. Las solicitudes HTTP de los marcos de aplicaciones móviles nativas están excluidas de la SignalNonBrowserUserAgent regla de control de bots, pero las bibliotecas HTTP no estándar y los navegadores integrados en las aplicaciones no lo están. Integre el SDK AWS WAF móvil en su aplicación de iOS o Android para proporcionar los tokens del lado del cliente que utiliza Targeted Protection para una detección precisa.

Elegir entre una protección común y una específica

Bot Control ofrece dos niveles de protección. La siguiente guía le ayuda a elegir el nivel adecuado para su aplicación.

Nivel de protección común

La protección común detecta los bots que se identifican a sí mismos a través de sus cadenas de agentes de usuario, direcciones IP y otras características de solicitud. Verifica que los bots que dicen provenir de organizaciones conocidas (como los motores de búsqueda) procedan realmente de esas organizaciones. La protección común te permite ver quién visita tu aplicación y controlar cada categoría de bots de forma independiente. No requiere los SDK y tiene un coste por solicitud más bajo. La protección común es un buen punto de partida cuando lo que más necesitas es gestionar el tráfico de bots conocido, por ejemplo, bloquear los rastreadores no deseados y, al mismo tiempo, permitir que los rastreen los motores de búsqueda.

Nivel de protección específico

El nivel de protección específico detecta todo lo que detecta el nivel de protección común y añade la detección de los bots que no se identifican a sí mismos. Utiliza la interrogación del navegador, las huellas digitales de TLS, la heurística del comportamiento y el aprendizaje automático para distinguir a los clientes automatizados de los humanos. El aprendizaje automático analiza los patrones de tráfico de su sitio web específico, incluidas las marcas de tiempo, las características del navegador y el comportamiento de navegación. Actualiza su detección a medida que cambia tu tráfico y cambian las tácticas de los bots. Se recomienda una protección específica para las aplicaciones que se enfrentan al uso indebido de credenciales, al rastreo avanzado, a las compras automatizadas o a cualquier actividad de bots en la que el atacante intente evadir activamente su detección.

Para la mayoría de las aplicaciones web de producción, recomendamos una protección específica. Para obtener orientación sobre cómo configurar la protección específica para escenarios específicos, consulteCómo hacer coincidir el control de bots con su aplicación. Para obtener orientación sobre la gestión de los costes en caso de grandes volúmenes de tráfico, consulteAdministración de costos.

Común Targeted
Detecta los bots que se autoidentifican
Verifica los bots legítimos (motores de búsqueda, servicios de monitoreo)
Detecta los bots que ocultan su identidad No
Aprendizaje automático adaptado a tu tráfico No
Session-level limitación de velocidad No
Detecta las herramientas de automatización del navegador Sí (autoidentificable) Sí (incluso evasivo)
SDK de integración de aplicaciones cliente No obligatorio Muy recomendable
Compruebe la versión de su grupo de reglas

El grupo de reglas gestionado por Bot Control se actualiza con el tiempo con nuevas capacidades de detección. Compruebe qué versión está utilizando actualmente y si hay disponible una versión estática más reciente. Las versiones más recientes incluyen detecciones adicionales que pueden aumentar tu cobertura contra las nuevas amenazas de bots. Puede revisar las versiones disponibles y sus cambios en. AWS Registro de cambios de reglas administradas

Cómo funciona la detección de Bot Control

Bot Control etiqueta todas las solicitudes que evalúa con una clasificación pormenorizada: nombre del bot, categoría, organización y estado de verificación. Escribes reglas que coincidan con estas etiquetas para decidir qué acción tomar para cada tipo de bot. Esto te da el control total de todo el tráfico de bots, en lugar de tomar una decisión única de permitir o bloquear todo el tráfico de bots.

En el nivel de protección específico, Bot Control combina varias técnicas de detección. Estas incluyen la comparación de firmas, la interrogación del navegador, la toma de huellas digitales mediante el protocolo TLS, la heurística del comportamiento y el aprendizaje automático adaptado a los patrones de tráfico de su sitio web. Un bot que elude una técnica puede ser atrapado por otra. El aprendizaje automático también detecta la actividad coordinada de los bots: patrones en los que varios clientes trabajan juntos de formas que el análisis de las solicitudes individuales no detectaría. Para obtener una descripción detallada de todos los componentes del control de bots, consulteAWS WAF Eventos de control de bots. Para ver un resumen de cómo funcionan CAPTCHA las interacciones entre el cliente y AWS WAF, consulteCAPTCHAy Challenge en AWS WAF. Challenge

Administración de costos

Los costes de utilizar el grupo de reglas gestionado por Bot Control aumentan con el número de solicitudes web que AWS WAF se evalúan con él. En la mayoría de las aplicaciones, el coste de Bot Control se justifica por la protección que proporciona. El bloqueo del tráfico de bots reduce los costes informáticos, de ancho de banda y de transferencia de datos, a menudo más que el coste de la propia inspección. Si necesita optimizar aún más los costos, las siguientes estrategias pueden ayudarle.

Excluya los activos estáticos

La optimización de costes más sencilla consiste en excluir las solicitudes de tipos de archivos estáticos como.css, .png.jpg, y .svg de la inspección de Bot Control. Los bots que se centran en los datos y la funcionalidad de las aplicaciones se centran en los puntos finales dinámicos, no en las hojas de estilo o las imágenes. Esto reduce las solicitudes inspeccionadas sin reducir la eficacia de la detección. Para ver un ejemplo, consulta Ejemplo de control de bots: uso del control de bots solo para contenido dinámico.

Ordene reglas para garantizar la eficiencia

Coloque las reglas menos costosas antes que el grupo de reglas gestionado por Bot Control en su paquete de protección (ACL web). Reglas como las listas de reputación de IP, las restricciones geográficas y las reglas basadas en tarifas pueden bloquear claramente el tráfico no deseado antes de que llegue a la inspección pagada de Bot Control. Bot Control nunca evalúa las solicitudes que estaban bloqueadas por reglas anteriores, por lo que no se te cobrará una tarifa adicional por solicitud.

Llegue a puntos finales específicos cuando proceda

En el caso de algunas aplicaciones, es posible que desees aplicar el control de bots solo a partes específicas de tu sitio. Por ejemplo, si tu aplicación tiene una sección de información pública que no contiene datos confidenciales ni contenido valioso, puedes excluirla de la inspección. Tenga cuidado de no excluir páginas que contengan contenido que valga la pena proteger, como catálogos de productos, datos de precios o artículos publicados. Para ver un ejemplo, consulta Ejemplo de control de bots: uso del control de bots solo para la página de inicio de sesión.

Integrar los SDK de integración de aplicaciones del cliente

Utilice los SDK JavaScript y los SDK móviles para maximizar la eficacia de la protección específica. Los SDK proporcionan la huella digital del navegador, la gestión de los identificadores de desafíos y la telemetría conductual que utilizan las reglas específicas para la detección a nivel de sesión. En este caso, una sesión se identifica mediante el token de cliente que adquiere el SDK, que representa un navegador o dispositivo específico. Sin los SDK, la protección dirigida tiene mucho menos contexto con el que trabajar y no puede distinguir de forma fiable los bots avanzados de los usuarios legítimos.

Integre el SDK desde el principio

Al implementar una protección específica, integre los SDK al mismo tiempo. Esto se aplica tanto a la implementación en producción como a la evaluación de Bot Control en un entorno de prueba. La evaluación de la protección específica sin los SDK no proporciona una imagen precisa de sus capacidades de detección, ya que muchas de las reglas específicas dependen de las señales del lado del cliente que solo proporcionan los SDK.

Se recomienda una amplia integración

Para lograr una detección óptima, integre el JavaScript SDK en todas las páginas que ofrecen contenido dinámico, no solo en las de inicio de sesión o pago. Bot Control crea perfiles de comportamiento a partir de la forma en que los clientes navegan por la aplicación, incluidos los tiempos de las solicitudes, las secuencias de páginas y los patrones de interacción. Cuando el SDK está presente en una sola página, Bot Control tiene un contexto de comportamiento limitado para distinguir a un usuario real de un bot que ha aprendido a imitar la carga de una página. Una integración más amplia proporciona a Bot Control una imagen más completa de cada sesión de cliente, lo que mejora la detección de bots avanzados, como las botnets proxy residenciales. Como mínimo, integra el SDK en tus páginas más importantes, pero trata esto como un punto de partida y no como un estado final.

Aplicaciones móviles

Para aplicaciones iOS y Android, usa el SDK AWS WAF móvil. El SDK para dispositivos móviles gestiona la adquisición y renovación de los tokens en tu aplicación. Para obtener más información sobre SDKs, consulte Integraciones de aplicaciones cliente en AWS WAF.

Ajustes de configuración comunes

La mayoría de las implementaciones de Bot Control requieren algunos ajustes de configuración para adaptarlos a las características específicas del tráfico de su aplicación. Los siguientes son los ajustes más comunes.

Permitir herramientas de monitoreo y control de estado

Las herramientas de supervisión interna, los controles del tiempo de actividad y las comprobaciones del estado del balanceador de cargas generan tráfico automatizado que Bot Control puede identificar como actividad de bots. Excluya estas solicitudes de la inspección de Bot Control mediante una declaración de alcance que coincida con el rango de direcciones IP de origen o un encabezado personalizado que incluyan sus herramientas de monitoreo.

Excluidos los navegadores integrados en la aplicación y las bibliotecas HTTP no estándar

Si los usuarios acceden a tu sitio a través de navegadores integrados en la aplicación, como los enlaces que se abren desde aplicaciones de redes sociales, o si tu aplicación móvil utiliza una biblioteca HTTP no estándar, estos clientes pueden activar la regla. SignalNonBrowserUserAgent Los marcos móviles nativos estándar están excluidos de esta regla, pero no otros agentes de usuario ajenos al navegador. Configure una excepción de agente de usuario en el grupo de reglas de control de bots para estos clientes. Para ver un ejemplo, consulta Ejemplo de control de bots: creación de una excepción para un agente de usuario bloqueado.

Administrar rastreadores de bots verificados

El control de bots permite los bots verificados de forma predeterminada. Si quieres limitar la frecuencia incluso de los rastreadores verificados, por ejemplo, para reducir la carga que supone el rastreo agresivo pero legítimo de los motores de búsqueda, usa las etiquetas de los bots para escribir reglas personalizadas basadas en las tarifas que limiten el porcentaje de solicitudes para categorías específicas de bots verificados. Para ver un ejemplo, consulta Ejemplo de control de bots: permitir de forma explícita los bots verificados.

Reenviar las señales de los bots a tu origen

Puedes pasar las etiquetas de clasificación de Bot Control a tu aplicación como encabezados de solicitud personalizados. De este modo, tu empresa de origen podrá utilizar las etiquetas para ofrecer contenido simplificado a los sospechosos de haber robado información, registrar la actividad de los bots en tus propios análisis o incluir un identificador de solicitud en las páginas bloqueadas para las denuncias de falsos positivos. Usa la función de encabezado de solicitud AWS WAF personalizado para insertar encabezados en función de las coincidencias de las etiquetas. Para obtener más información sobre los valores de etiqueta dinámicos en los encabezados, consulte. Solicitudes y respuestas web personalizadas en AWS WAF

Activación de la autenticación escalonada

En lugar de bloquear directamente el tráfico sospechoso, puedes reenviar las señales de Bot Control a tu aplicación y utilizarlas para activar una verificación adicional. Por ejemplo, si Bot Control etiqueta una sesión como sospechosa, tu aplicación puede requerir una autenticación multifactorial o presentar un paso de verificación adicional antes de completar una acción confidencial. Step-up la autenticación reduce el impacto de los falsos positivos y, al mismo tiempo, protege contra las amenazas automatizadas. Usa encabezados de solicitud personalizados para pasar las etiquetas de control de bots correspondientes a tu origen.

¿Probar antes de hacer cumplir la ley

Despliegue siempre primero el Bot Control en el modo de conteo. En el modo de recuento, Bot Control etiqueta todas las solicitudes pero no bloquea el tráfico. Revisa las etiquetas de tus AWS WAF registros para saber qué es lo que Bot Control detecta en tu tráfico, comprueba que el tráfico legítimo no esté mal etiquetado y, a continuación, cambia al modo de bloqueo una vez que estés seguro de la precisión de la detección. Para obtener una guía detallada sobre las pruebas y el despliegue, consultePrueba e implementación de AWS WAF Bot Control.