Ataque a Triplegangers muestra vulnerabilidad del comercio electrónico ante IA

La amenaza silenciosa: cómo los bots de IA están desestabilizando el comercio electrónico

El comercio electrónico ha revolucionado la forma en que compramos y vendemos productos, permitiendo a las pequeñas empresas alcanzar audiencias globales. Sin embargo, detrás de este avance tecnológico se encuentra una amenaza insidiosa que muchos propietarios de negocios no ven venir: los bots de inteligencia artificial (IA) que atacan y explotan vulnerabilidades en los sitios web. La reciente experiencia de Triplegangers, una empresa dedicada a la venta de archivos digitales de modelos humanos en 3D, ilustra perfectamente este fenómeno.

La historia de Triplegangers es un claro ejemplo de cómo la innovación puede volverse en contra de sus creadores. En un solo día, su CEO, Oleksandr Tomchuk, se vio enfrentado a un ataque masivo que no solo puso en peligro su negocio, sino que también reveló la fragilidad de las defensas que muchas empresas tienen frente a estos ataques automatizados.

Un ataque sin precedentes

El sábado, cuando Tomchuk se enteró de que su sitio web de comercio electrónico estaba caído, inicialmente pensó que se trataba de un ataque distribuido de denegación de servicio (DDoS). Sin embargo, al investigar más a fondo, descubrió que la verdadera causa era un bot de OpenAI que estaba intentando raspar todo su sitio web. “Este bot estaba realizando decenas de miles de solicitudes al servidor, intentando descargar cientos de miles de fotos y descripciones detalladas de nuestros productos.” La magnitud del ataque fue tal que su sitio, que alberga más de 65,000 productos, se convirtió en un blanco atractivo para esta actividad depredadora.

Tomchuk explicó que el bot utilizó hasta 600 direcciones IP para llevar a cabo su ataque. “Estamos aún analizando los registros de la semana pasada, así que es posible que haya sido mucho más,” afirmó. Esta situación pone de manifiesto la vulnerabilidad de los sitios web que no cuentan con las configuraciones adecuadas para protegerse de este tipo de actividades maliciosas.

El ataque no solo provocó la caída del sitio durante las horas de negocio en EE. UU., sino que también significó un aumento considerable en su factura de Amazon Web Services (AWS) debido a la intensa actividad de CPU y descargas generada por el bot.

El dilema del robot.txt

Uno de los aspectos más preocupantes del incidente fue la falta de protección que tenía Triplegangers. A pesar de que su sitio web contenía una página de términos de servicio que prohíbe el uso de bots sin permiso, esta declaración no fue suficiente para detener el ataque. Para protegerse de los bots, es necesario implementar un archivo llamado "robots.txt", que indica a los motores de búsqueda y a los crawlers qué contenido no deben rastrear.

“Si un sitio no utiliza correctamente el archivo robots.txt, OpenAI y otros pueden interpretar que tienen luz verde para raspar a su antojo,” advirtió Tomchuk. Este hecho pone de manifiesto la responsabilidad que recae sobre los propietarios de sitios web para entender y aplicar correctamente estas configuraciones, algo que no siempre es sencillo.

El archivo robots.txt, conocido como el Protocolo de Exclusión de Robots, fue creado para informar a los motores de búsqueda qué partes de un sitio web no deben ser rastreadas. Aunque OpenAI afirma que respeta estas configuraciones, también advierte que puede tardar hasta 24 horas en reconocer un archivo actualizado. Esto significa que un ataque podría ocurrir antes de que cualquier cambio tenga efecto.

Un campo de batalla desprotegido

El impacto de este tipo de ataques es significativo, especialmente para pequeñas empresas como Triplegangers, que dependen de su presencia en línea para sobrevivir. Con un equipo de solo siete empleados, la compañía ha pasado más de una década construyendo lo que consideran la base de datos más grande de "dobles digitales humanos" en la web. Sus archivos de modelos 3D son vitales para artistas digitales, desarrolladores de videojuegos y cualquier persona que necesite recrear características humanas de manera auténtica.

“Estamos en un negocio donde los derechos de autor son un tema serio, porque escaneamos personas reales,” subrayó Tomchuk. Las leyes de protección de datos, como el GDPR en Europa, limitan el uso de imágenes de personas sin su consentimiento, lo que hace que el ataque de un bot que raspa imágenes de su sitio sea aún más problemático.

El sitio de Triplegangers no solo era atractivo para el bot de OpenAI, sino que también contenía información etiquetada de manera detallada: etnicidad, edad, tatuajes, cicatrices, tipos de cuerpo, entre otros. Esta riqueza de datos lo convierte en un objetivo deseable para las empresas de IA que buscan entrenar sus modelos.

La lucha por la privacidad y la propiedad intelectual

Tras varios días de ataques, Triplegangers finalmente logró implementar un archivo robots.txt correctamente configurado y también estableció una cuenta de Cloudflare para bloquear el bot de OpenAI y otros crawlers que había identificado. “El jueves por la mañana, el sitio no se cayó,” comentó Tomchuk, visiblemente aliviado. Sin embargo, el daño ya estaba hecho.

Uno de los problemas más alarmantes que enfrentó Tomchuk fue la imposibilidad de determinar qué datos había sido efectivamente raspados por el bot de OpenAI. “No hay manera razonable de saber exactamente qué se llevó ni de solicitar que se elimine ese material,” explicó. La falta de comunicación y de herramientas adecuadas por parte de OpenAI ha dejado a empresas como Triplegangers en una posición vulnerable y desprotegida.

La sombra de un futuro incierto

La preocupación por el scraping de datos y el uso indebido de información protegida por derechos de autor no es un problema aislado. Recientemente, otras empresas han reportado situaciones similares, donde los bots de OpenAI han causado la caída de sus sitios y un aumento en sus costos operativos. La situación se ha vuelto más crítica en 2024, cuando una investigación reveló que los crawlers de IA y los scrapers habían causado un aumento del 86% en el tráfico inválido general, lo que significa tráfico que no proviene de usuarios reales.

“La mayoría de los sitios siguen sin darse cuenta de que han sido raspados por estos bots,” advirtió Tomchuk. Este subrayado pone de relieve la necesidad urgente de que las pequeñas empresas monitoreen activamente la actividad de sus servidores para detectar cualquier intrusión no autorizada.

La analogía de un "shakedown" de mafia es una forma contundente de describir la situación actual: los bots de IA se llevan lo que quieren a menos que los propietarios de los sitios web tengan las defensas adecuadas. “Deberían pedir permiso, no simplemente raspar datos,” concluyó Tomchuk, haciendo un llamado a la responsabilidad ética en el uso de tecnologías avanzadas.

El caso de Triplegangers es un recordatorio de que en el mundo digital, la protección de los derechos de propiedad intelectual y la privacidad personal son más cruciales que nunca. A medida que la tecnología avanza, también lo hacen las tácticas de quienes buscan aprovecharse de ella. La lucha por un comercio electrónico seguro y equitativo continúa, y las pequeñas empresas deben estar preparadas para enfrentar los desafíos que se avecinan.