Google está probando Web Bot Auth, un protocolo experimental diseñado para ayudar a los sitios web a verificar que el tráfico automatizado realmente proviene del bot o servicio que dice representar. El nuevo protocolo podría brindar a los propietarios de sitios una forma confiable de separar el tráfico automatizado legítimo de los robots que ocultan o tergiversan quiénes son.
Se publicó una nueva página de soporte para desarrolladores que brinda información sobre cómo verificar las solicitudes con el protocolo Web Bot Auth, que actualmente se encuentra en una fase experimental.
En qué se basa la autenticación de Web Bot de Google
El nuevo protocolo se denomina técnicamente Directorio de firmas de mensajes HTTP. Es un estándar técnico propuesto diseñado para automatizar la confianza entre servicios web. Ayuda a los sitios web a reconocer servicios automatizados verificados sin necesidad de que cada parte intercambie manualmente las claves de seguridad de antemano.
La idea básica es similar a brindar a los servicios automatizados verificados una forma estandarizada de presentar credenciales. En lugar de depender únicamente de nombres, cadenas de agentes de usuario o configuraciones privadas entre empresas, el protocolo ofrece a los sitios web una forma repetible de comprobar si se puede verificar una solicitud automatizada. Eso es importante porque muchos bots pueden afirmar que son algo que no son. Web Bot Auth no decide si un bot es bueno o malo, pero puede dar a los propietarios de sitios una señal más clara sobre si el bot es realmente el servicio que dice ser.
Una forma confiable de identificar bots
La parte criptográfica es importante porque hace que la identidad sea más difícil de falsificar. Hoy en día, un robot fraudulento puede pretender ser un rastreador legítimo copiando un nombre o una cadena de agente de usuario. Web Bot Auth está diseñado para ir más allá de ese tipo de autoidentificación al brindar a los sitios web una forma de verificar si una solicitud automatizada coincide con las credenciales criptográficas del servicio.
Según este protocolo, un bot necesitaría más que una etiqueta que diga quién es. Sería necesario demostrar esa identidad de manera que un sitio web pueda validarla. Eso podría brindar a los propietarios de sitios una base segura para permitir servicios automatizados verificados y al mismo tiempo bloquear robots que no pueden demostrar quiénes son. El protocolo no decide automáticamente qué bots deben permitirse o bloquearse, pero podría dar a los sitios web una señal más confiable para tomar esa decisión.
La verificación criptográfica es lo que hace que Web Bot Auth sea mejor que los métodos actuales de identificación de bots. En lugar de depender de señales que pueden tergiversarse, ofrece a los sitios web una forma de verificar las solicitudes automatizadas. Eso significa que el reconocimiento se basa menos en lo que un robot dice sobre sí mismo y más en si su identidad puede confirmarse mediante credenciales criptográficas.
Advertencia: está en una fase experimental
El protocolo propuesto permitirá distinguir entre bots maliciosos que se hacen pasar por rastreadores confiables y bots genuinos de servicios confiables. Este protocolo es como una lista blanca de lo que está permitido, lo que puede facilitar el aislamiento de rastreadores que no son de confianza.
Sin embargo, debido a que se trata de una fase experimental, la «lista blanca» actualmente solo se aplica a un subconjunto de tráfico, como el Agente de Google. Google “aún no firma todas las solicitudes”, por lo que la falta de una firma no significa automáticamente que un bot sea fraudulento. Se recomienda a los propietarios de sitios que continúen usando direcciones IP e inviertan DNS junto con el protocolo para evitar bloquear accidentalmente el tráfico legítimo que aún no ha migrado.
Qué hace
El nuevo estándar reemplaza la configuración manual entre sitios web y bots, rastreadores y otros servicios automatizados con un proceso de descubrimiento de tres pasos:
- Archivos de claves estandarizados:
Las claves se almacenan en un formato común, JSON Web Key Set (JWKS), que todos los servidores pueden leer. - Direcciones conocidas:
Define una “inicio” específica en un sitio web (/.well-known/) donde siempre se guardan estas claves. - Solicitudes de autoidentificación:
Agrega un nuevo encabezado, Signature-Agent, a las solicitudes HTTP que actúa como una tarjeta de presentación digital y dirige al receptor directamente al directorio clave del remitente.
Beneficios para servicios y sitios web automatizados
Web Bot Auth podría hacer que la verificación de bots sea más fácil de escalar al reducir la necesidad de configuración manual entre cada sitio web y el servicio automatizado. También brinda a los servicios automatizados una forma más consistente de permanecer reconocibles cuando cambian sus detalles de seguridad, lo que puede ayudar a evitar fallas en la verificación con el tiempo.
La autenticación de bots web es experimental
Google enfatiza que los usuarios deben continuar usando los estándares existentes, como la verificación de bots basada en IP de agente de usuario, y enfatiza que el estándar en sí es una propuesta que está sujeta a cambios.
La nueva documentación proporciona la siguiente advertencia:
“El estado experimental significa que:
No todos los agentes de usuario de Google utilizan Web Bot Auth.
Google aún no firma todas las solicitudes de los agentes que utilizan el protocolo.
Le recomendamos que, además de Web Bot Auth, siga confiando en direcciones IP, DNS inverso y cadenas de agente de usuario a medida que implementamos gradualmente el tráfico firmado.
Si es un desarrollador o administrador de sistemas y desea incluir en la lista de permitidos a nuestros agentes de IA experimentales, puede implementar la verificación a través del protocolo Web Bot Auth:
- Usar un producto o servicio que admita Web Bot Auth
- Verificando las solicitudes usted mismo”
Sin embargo, el estándar tiene como objetivo simplificar la identificación de los bots y controlar su tráfico mediante el uso de un protocolo criptográfico que un agente deshonesto no puede falsificar, proporcionar información sobre cómo los bots interactúan con su tráfico y crear una mejor manera de controlar la situación actualmente fuera de control con el rastreo de bots.
Google anima a los usuarios interesados en el protocolo a ponerse en contacto con sus proveedores de alojamiento web para ver si tienen la intención de admitir el protocolo experimental, mantenerse actualizados con los últimos cambios publicados por el Grupo de trabajo de autenticación de Web Bot y enviar comentarios a través del formulario oficial de comentarios de autenticación de Web Bot de Google.
Lea la nueva documentación de Google:
Autenticar solicitudes con Web Bot Auth (experimental)
Imagen destacada de Shutterstock/Efkaysim
