Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Técnicas para el control de bots
El objetivo principal de la mitigación de los bots es limitar el impacto negativo de la actividad automatizada de los bots en los sitios web, los servicios y las aplicaciones de una organización. La tecnología y las técnicas utilizadas dependen del tipo de tráfico o actividad contra el que quieras defenderte. Para lograrlo, es fundamental comprender la aplicación y su tráfico. Para obtener más información sobre por dónde empezar, consulte la [Directrices para monitorizar tu estrategia de control de bots](monitoring.md) sección de esta guía.
En general, los controles que proporcionan las soluciones de mitigación de bots se pueden agrupar en las siguientes categorías de alto nivel: estáticos, de identificación de clientes y análisis avanzado. En la siguiente figura se muestran las diferentes técnicas disponibles y cómo se pueden utilizar en función de la complejidad de la actividad del bot. Esto pone de relieve cómo se puede obtener la base, o la mitigación más amplia, mediante el uso de controles estáticos, como las comprobaciones intrínsecas y de registro de permisos. La parte más pequeña de los bots es siempre la más avanzada, y mitigarlos requiere una tecnología más avanzada y una combinación de controles.
![\[A medida que aumenta la complejidad de los bots, también aumentan la complejidad y sofisticación de las técnicas de mitigación.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/bot-control/images/bot-mitigation-techniques.png)
A continuación, esta guía explora cada categoría y sus técnicas. También describe las opciones disponibles [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)para implementar estos controles:
+ [Controles estáticos para gestionar los bots](static-controls.md)
+ [Controles de identificación de clientes para gestionar los bots](client-identification-controls.md)
+ [Controles de análisis avanzados para gestionar los bots](advanced-analysis-controls.md)
# Controles estáticos para gestionar los bots
Para realizar una acción, *los controles estáticos* evalúan la información estática de la solicitud HTTP (S), como su dirección IP o sus encabezados. Estos controles pueden resultar útiles para las actividades de bots incorrectas poco sofisticadas o para el tráfico de bots potencialmente beneficioso que se espera que deba verificarse y gestionarse. Entre las técnicas de control estático se incluyen las listas de permisos, los controles basados en IP y las comprobaciones intrínsecas.
## ¿Permitir la inclusión
Permitir la publicación es un control que permite identificar el tráfico amigable mediante los controles de mitigación de bots existentes. Existen diversas formas de lograrlo. La más sencilla consiste en utilizar una regla que [coincida con un conjunto de direcciones IP](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html) o con una condición de coincidencia similar. Cuando una solicitud coincide con una regla que está configurada para una `Allow` acción, las reglas posteriores no la evalúan. En algunos casos, es necesario evitar que solo se apliquen determinadas reglas; en otras palabras, es necesario permitir la lista de una regla, pero no de todas. Este es un escenario habitual para gestionar los falsos positivos en las reglas. Permitir la inclusión en la lista se considera una regla de amplio alcance. Para reducir la posibilidad de que aparezcan falsos negativos, te recomendamos que la asocies con otra opción que sea más detallada, como una coincidencia de ruta o encabezado.
## Controles basados en IP
### Bloques de direcciones IP únicas
Una herramienta que se utiliza habitualmente para mitigar el impacto de los bots consiste en limitar las solicitudes de un único solicitante. El ejemplo más simple es bloquear la dirección IP de origen del tráfico si sus solicitudes son maliciosas o tienen un volumen elevado. Esto utiliza [reglas de coincidencia de conjuntos de AWS WAF IP](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-ipset-match.html) para implementar bloqueos basados en IP. Estas reglas coinciden con las direcciones IP y aplican una acción de `Block``Challenge`, o`CAPTCHA`. Para determinar cuándo llegan demasiadas solicitudes desde una dirección IP, consulte la red de entrega de contenido (CDN), un firewall de aplicaciones web o los registros de aplicaciones y servicios. Sin embargo, en la mayoría de los casos, este control no es práctico sin la automatización.
La automatización de las listas de direcciones IP bloqueadas AWS WAF se suele realizar con reglas basadas en tasas. Para obtener más información, consulte la sección [Reglas basadas en frecuencia](#rate-based-rules) de esta guía. También puede implementar las [automatizaciones de seguridad](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/welcome.html) para la solución. AWS WAF Esta solución actualiza automáticamente una lista de direcciones IP para bloquearlas y una AWS WAF regla deniega las solicitudes que coinciden con esas direcciones IP.
Una forma de reconocer un ataque de bot es si una multitud de solicitudes de la misma dirección IP se centran en un número reducido de páginas web. Esto indica que el bot está descartando precios o intentando iniciar sesión repetidamente, lo que supone un alto porcentaje de errores. Puedes crear automatizaciones que reconozcan inmediatamente este patrón. Las automatizaciones bloquean la dirección IP, lo que reduce la eficacia del ataque al identificarlo y mitigarlo rápidamente. El bloqueo de direcciones IP específicas es menos eficaz cuando un atacante tiene un gran conjunto de direcciones IP desde las que lanzar ataques o cuando el comportamiento de ataque es difícil de reconocer y separar del tráfico normal.
### Reputación de la dirección IP
Un *servicio de reputación IP* proporciona información que ayuda a evaluar la confiabilidad de una dirección IP. Por lo general, esta inteligencia se obtiene mediante la agregación de información relacionada con la IP de la actividad pasada de esa dirección IP. La actividad previa ayuda a indicar la probabilidad de que una dirección IP genere solicitudes maliciosas. Los datos se agregan a las listas administradas que rastrean el comportamiento de las direcciones IP.
Las direcciones IP anónimas son un caso especializado de reputación de direcciones IP. La dirección IP de origen proviene de fuentes conocidas de direcciones IP fáciles de adquirir, como máquinas virtuales basadas en la nube, o de proxies, como proveedores de VPN conocidos o nodos Tor. Los grupos de reglas gestionados por la [lista de reputación IP de AWS WAF Amazon](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) [y la lista de IP anónimas](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) utilizan la inteligencia de amenazas interna de Amazon para ayudar a identificar estas direcciones IP.
La información proporcionada por estas listas gestionadas puede ayudarle a actuar en función de las actividades identificadas a partir de estas fuentes. Basándose en esta información, puede crear reglas que bloqueen directamente el tráfico o reglas que limiten el número de solicitudes (como las reglas basadas en tarifas). También puedes usar esta información para evaluar el origen del tráfico mediante las reglas del `COUNT` modo. De este modo, se examinan los criterios de coincidencia y se aplican etiquetas que puede utilizar para crear reglas personalizadas.
### Reglas basadas en frecuencia
Las reglas basadas en tasas pueden ser una herramienta valiosa en determinados escenarios. Por ejemplo, las reglas basadas en tarifas son eficaces cuando el tráfico de bots alcanza volúmenes elevados en comparación con los usuarios que utilizan identificadores uniformes de recursos confidenciales (URIs) o cuando el volumen de tráfico comienza a afectar a las operaciones normales. La limitación de velocidad puede mantener las solicitudes en niveles manejables y limitar y controlar el acceso. AWS WAF puede implementar una regla de limitación de velocidad en una [lista de control de acceso web (ACL web)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) mediante una declaración de reglas basada en la [velocidad](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html). Cuando se utilizan reglas basadas en la tasa, se recomienda incluir una regla general que abarque todo el sitio, reglas específicas de la URI y reglas basadas en la tasa de reputación de la IP. Las reglas basadas en la tasa de reputación de IP combinan la inteligencia de la reputación de la dirección IP con la funcionalidad de limitar la velocidad.
Para todo el sitio, una regla general basada en la tasa de reputación de IP crea un límite que impide que bots poco sofisticados inunden un sitio a partir de un número reducido de ellos. IPs La limitación de velocidad se recomienda especialmente para proteger las páginas URIs que tienen un alto coste o impacto, como las páginas de inicio de sesión o de creación de cuentas.
Las reglas que limitan la velocidad pueden proporcionar una primera capa de defensa rentable. Puede utilizar reglas más avanzadas para proteger los datos confidenciales. URIs Las reglas basadas en tarifas específicas de la URI pueden limitar el impacto en las páginas críticas o en las APIs que afectan al backend, como el acceso a la base de datos. Las mitigaciones avanzadas para proteger determinadas variables URIs, que se analizan más adelante en esta guía, suelen implicar costes adicionales, y estas reglas basadas en las tarifas específicas de los URI pueden ayudarle a controlar los costes. Para obtener más información sobre las reglas basadas en tarifas que se recomiendan habitualmente, consulte las [tres reglas basadas en tarifas más importantes AWS WAF en el blog](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/) de seguridad. AWS En algunas situaciones, resulta útil limitar el tipo de solicitud que se evalúa mediante una regla basada en tasas. Puede usar [instrucciones de alcance reducido para, por ejemplo, limitar las](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) reglas basadas en la tasa por el área geográfica de la dirección IP de origen.
AWS WAF [ofrece una capacidad avanzada para establecer reglas basadas en tasas mediante el uso de claves de agregación.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-instances.html) Con esta funcionalidad, puede configurar una regla basada en tasas para utilizar otras claves de agregación y combinaciones de teclas, además de la dirección IP de origen. Por ejemplo, como una combinación única, puede agregar las solicitudes en función de una dirección IP reenviada, el método HTTP y un argumento de consulta. Esto le ayuda a configurar reglas más detalladas para una mitigación sofisticada del tráfico volumétrico.
## Controles intrínsecos
Los *controles intrínsecos* son varios tipos de validaciones o verificaciones internas o inherentes dentro de un sistema o proceso. Para el control de los bots, AWS WAF realiza una comprobación intrínseca al validar que la información enviada en la solicitud coincide con las señales del sistema. Por ejemplo, realiza búsquedas inversas de DNS y otras verificaciones del sistema. Algunas solicitudes automatizadas son necesarias, como las relacionadas con el SEO. Permitir la inclusión en la lista es una forma de permitir el paso de los bots buenos y esperados. Sin embargo, a veces, los bots malintencionados emulan a los buenos y puede resultar difícil separarlos. AWS WAF proporciona métodos para lograrlo mediante el [grupo de reglas de control de AWS WAF bots](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) gestionado. Las reglas de este grupo permiten comprobar que los bots autoidentificados son quienes dicen ser. AWS WAF compara los detalles de la solicitud con el patrón conocido de ese bot y también realiza búsquedas inversas en el DNS y otras verificaciones objetivas.
# Controles de identificación de clientes para gestionar los bots
Si el tráfico relacionado con los ataques no se puede reconocer fácilmente mediante atributos estáticos, la detección debe poder identificar con precisión al cliente que realiza la solicitud. Por ejemplo, las reglas basadas en la tasa suelen ser más eficaces y más difíciles de evadir cuando el atributo al que se limita la velocidad es específico de la aplicación, como una cookie o un token. El uso de una cookie vinculada a una sesión evita que los operadores de botnets puedan duplicar flujos de solicitudes similares en muchos bots.
La adquisición de fichas se suele utilizar para identificar a los clientes. Para la adquisición de fichas, un JavaScript código recopila información para generar una ficha que se evalúa en el servidor. La evaluación puede abarcar desde la verificación de que JavaScript se está ejecutando en el cliente hasta la recopilación de información del dispositivo para la toma de huellas digitales. La adquisición de un token requiere la integración de un JavaScript SDK en el sitio o la aplicación, o bien requiere que un proveedor de servicios realice la inyección de forma dinámica.
La necesidad de JavaScript asistencia supone un obstáculo adicional para los bots que intentan emular los navegadores. Cuando se trata de un SDK, como en una aplicación móvil, la adquisición de un token verifica la implementación del SDK y evita que los bots imiten las solicitudes de la aplicación.
La adquisición de los tokens requiere el uso de una SDKs conexión implementada en el lado del cliente. Las siguientes AWS WAF funciones proporcionan un SDK JavaScript basado en navegadores y un SDK basado en aplicaciones para dispositivos móviles: [Bot Control, Fraud Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html)[, prevención de apropiación de cuentas (ATP) y Fraud Control, prevención](https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html) [del fraude en la creación de cuentas (ACFP](https://docs.aws.amazon.com/waf/latest/developerguide/waf-acfp.html)).
Las técnicas de identificación de los clientes incluyen el CAPTCHA, la creación de perfiles del navegador, la toma de huellas digitales de los dispositivos y la toma de huellas digitales mediante TLS.
## CAPTCHA
La prueba de Turing pública y completamente automatizada para diferenciar ordenadores y humanos ([CAPTCHA](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha.html)) se utiliza para distinguir entre visitantes robóticos y humanos y para evitar el rastreo de páginas web, el uso de credenciales y el spam. Existen diversas implementaciones, pero a menudo implican un rompecabezas que un humano puede resolver. CAPTCHAsofrecen una capa adicional de defensa contra los bots más comunes y pueden reducir los falsos positivos en la detección de bots.
AWS WAF permite a las reglas ejecutar una acción de CAPTCHA contra las solicitudes web que coincidan con los criterios de inspección de una regla. Esta acción es el resultado de la evaluación de la información de identificación del cliente recopilada por el servicio. AWS WAF las reglas pueden requerir que se resuelvan problemas relacionados con el CAPTCHA en el caso de recursos específicos a los que suelen dirigirse los bots, como el inicio de sesión, las búsquedas y el envío de formularios. AWS WAF puede enviar CAPTCHA directamente a través de medios intersticiales o utilizando un SDK para gestionarlo desde el lado del cliente. Para obtener más información, consulte [CAPTCHA](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha-and-challenge.html) y Challenge en. AWS WAF
## Elaboración de perfiles del navegador
La creación de *perfiles del navegador* es un método de recopilación y evaluación de las características del navegador, como parte de la adquisición de un token, para distinguir a las personas reales que utilizan un navegador interactivo de la actividad distribuida de los bots. Puedes crear perfiles del navegador de forma pasiva mediante los encabezados, el orden de los encabezados y otras características de las solicitudes que son inherentes al funcionamiento de los navegadores.
También puedes crear perfiles del navegador en código mediante la adquisición de tokens. Si se utiliza JavaScript para la creación de perfiles del navegador, puede determinar rápidamente si un cliente es compatible. JavaScript Esto le ayuda a detectar bots simples que no lo admiten. La creación de perfiles del navegador comprueba algo más que los encabezados y la JavaScript compatibilidad con HTTP; la creación de perfiles del navegador dificulta que los bots emulen completamente un navegador web. Ambas opciones de creación de perfiles del navegador tienen el mismo objetivo: encontrar patrones en el perfil del navegador que indiquen una incoherencia con el comportamiento de un navegador real.
AWS WAF El control de bots para los bots objetivo proporciona una indicación, como parte de una evaluación simbólica, de si un navegador muestra indicios de automatización o señales incoherentes. AWS WAF marca la solicitud para realizar la acción especificada en la regla. Para obtener más información, consulte [Detectar y bloquear el tráfico avanzado de bots](https://aws.amazon.com/blogs/security/detect-and-block-advanced-bot-traffic/) en el blog AWS de seguridad.
## Toma de huellas dactilares del dispositivo
La toma de huellas dactilares de los dispositivos es similar a la creación de perfiles del navegador, pero no se limita a los navegadores. El código que se ejecuta en un dispositivo (que puede ser un dispositivo móvil o un navegador web) recopila los detalles del dispositivo y los envía a un servidor back-end. Los detalles pueden incluir los atributos del sistema, como la memoria, el tipo de CPU, el tipo de núcleo del sistema operativo (SO), la versión del sistema operativo y la virtualización.
Puedes utilizar las huellas digitales del dispositivo para reconocer si un bot está emulando un entorno o si hay indicios directos de que se está utilizando la automatización. Además, las huellas dactilares del dispositivo también se pueden utilizar para reconocer las solicitudes repetidas del mismo dispositivo.
Reconocer las solicitudes repetidas del mismo dispositivo, incluso si el dispositivo intenta cambiar algunas características de la solicitud, permite que un sistema interno imponga reglas de limitación de velocidad. Las reglas de limitación de velocidad que se basan en la huella digital del dispositivo suelen ser más eficaces que las reglas de limitación de velocidad basadas en las direcciones IP. Esto le ayuda a mitigar el tráfico de bots que se mueve entre VPNs o desde proxies, pero que proviene de un número reducido de dispositivos.
Cuando se usa con la integración de aplicaciones SDKs, el control de AWS WAF bots para los bots específicos puede agregar el comportamiento de las solicitudes de sesión del cliente. Esto le ayuda a detectar y separar las sesiones de clientes legítimas de las sesiones de clientes malintencionadas, incluso cuando ambas se originan en la misma dirección IP. Para obtener más información sobre el control de AWS WAF bots para los bots objetivo, consulte [Detectar y bloquear el tráfico avanzado de bots](https://aws.amazon.com/blogs/security/detect-and-block-advanced-bot-traffic/) en el blog AWS de seguridad.
## Toma de huellas digitales mediante TLS
Las huellas digitales TLS, también conocidas como *reglas basadas en firmas,* se utilizan habitualmente cuando los bots se originan en muchas direcciones IP pero presentan características similares. Cuando se utiliza HTTPS, el cliente y el servidor intercambian mensajes para reconocerse y verificarse mutuamente. Establecen algoritmos criptográficos y claves de sesión. Esto se denomina apretón de manos *TLS.* La forma en que se implementa un protocolo de enlace TLS es una firma que suele ser valiosa para reconocer los grandes ataques repartidos en muchas direcciones IP.
La huella digital TLS permite a los servidores web determinar la identidad de un cliente web con un alto grado de precisión. Solo requiere los parámetros de la primera conexión de paquetes, antes de que se produzca cualquier intercambio de datos entre aplicaciones. En este caso, el *cliente web* se refiere a la aplicación que inicia una solicitud, que puede ser un navegador, una herramienta CLI, un script (bot), una aplicación nativa u otro cliente.
[Un enfoque de toma de huellas digitales de SSL y TLS es la huella digital. JA3 ](https://github.com/salesforce/ja3) JA3toma las huellas digitales de una conexión de cliente en función de los campos del mensaje de saludo del cliente del protocolo de enlace SSL o TLS. Le ayuda a crear perfiles de clientes SSL y TLS específicos en diferentes direcciones IP de origen, puertos y certificados X.509.
Amazon CloudFront admite [añadir JA3 encabezados](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-cloudfront-headers.html) a las solicitudes. Un `CloudFront-Viewer-JA3-Fingerprint` encabezado contiene una huella digital hash de 32 caracteres del paquete TLS Client Hello de una solicitud entrante de un espectador. La huella digital encapsula la información sobre cómo se comunica el cliente. Esta información se puede utilizar para perfilar los clientes que comparten el mismo patrón. Puede añadir el `CloudFront-Viewer-JA3-Fingerprint` encabezado a una política de solicitudes de origen y adjuntar la política a una CloudFront distribución. A continuación, puede inspeccionar el valor del encabezado en las aplicaciones de origen o en Lambda @Edge y CloudFront Functions. Puede comparar el valor del encabezado con una lista de huellas de malware conocidas para bloquear los clientes malintencionados. También puede comparar el valor del encabezado con una lista de huellas digitales esperadas para permitir solo las solicitudes de clientes conocidos.
# Controles de análisis avanzados para gestionar los bots
Algunos bots utilizan herramientas de engaño avanzadas para evadir activamente la detección. Estos bots imitan el comportamiento humano para realizar una actividad específica, como el scalping. Estos bots tienen un propósito y, por lo general, están vinculados a una gran recompensa monetaria.
Estos bots avanzados y persistentes utilizan una combinación de tecnologías para evitar ser detectados o mezclarse con el tráfico normal. A su vez, esto también requiere una combinación de diferentes tecnologías de detección para identificar y mitigar con precisión el tráfico malicioso.
## Casos de uso específicos
Los datos de casos de uso pueden ofrecer oportunidades de detección de bots. *Las detecciones de fraude* son casos de uso especial en los que se justifica una mitigación especial. Por ejemplo, para evitar el robo de cuentas, puedes comparar una lista de nombres de usuario y contraseñas de cuentas comprometidas con las solicitudes de inicio de sesión o creación de cuentas. Esto ayuda a los propietarios de sitios web a detectar los intentos de inicio de sesión que utilizan credenciales comprometidas. El uso de credenciales comprometidas puede indicar que los bots están intentando apoderarse de una cuenta o puede tratarse de usuarios que no saben que sus credenciales están comprometidas. En este caso de uso, los propietarios de sitios web pueden tomar medidas adicionales para verificar al usuario y, después, ayudarlo a cambiar su contraseña. AWS WAF proporciona la regla gestionada de [prevención de apropiación de cuentas (ATP) de Control de Fraude](https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html) para este caso de uso.
## Detección de bots agregados o a nivel de aplicación
Algunos casos de uso requieren combinar datos sobre las solicitudes de la red de entrega de contenido (CDN) y el backend de la aplicación o el servicio. AWS WAF A veces, incluso es necesario integrar inteligencia de terceros para poder tomar decisiones fiables sobre los bots.
[Funcionan en [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) y AWS WAF pueden enviar señales a la infraestructura de backend o, posteriormente, pueden agregar reglas a través de encabezados y etiquetas.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) CloudFront expone los encabezados de JA3 huellas digitales, como se mencionó anteriormente. Este es un ejemplo de cómo CloudFront proporcionar dichos datos a través de un encabezado. AWS WAF puede enviar etiquetas cuando coincide con una regla. Las reglas posteriores pueden usar estas etiquetas para tomar mejores decisiones sobre los bots. Cuando se combinan varias reglas, puede implementar controles muy detallados. Un caso de uso habitual consiste en hacer coincidir partes de una regla gestionada mediante una etiqueta y, a continuación, combinarlas con otros datos de la solicitud. Para obtener más información, consulta los [ejemplos de coincidencia de etiquetas](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-label-match-examples.html) en la AWS WAF documentación.
## Análisis de aprendizaje automático
El aprendizaje automático (ML) es una técnica poderosa para hacer frente a los bots. El aprendizaje automático puede adaptarse a los cambios de los detalles y, cuando se combina con otras herramientas, proporciona la forma más sólida y completa de mitigar los bots con un mínimo de falsos positivos. Las dos técnicas de aprendizaje automático más comunes son el *análisis del comportamiento* y la detección de *anomalías.* Con el análisis del comportamiento, un sistema (en el cliente, el servidor o ambos) supervisa la forma en que un usuario interactúa con la aplicación o el sitio web. Supervisa los patrones de movimiento del ratón o la frecuencia de las interacciones entre el clic y el tacto. Luego, el comportamiento se analiza con un modelo de aprendizaje automático para reconocer los bots. La detección de anomalías es similar. Se centra en detectar comportamientos o patrones que son significativamente diferentes de una línea de base definida para la aplicación o el sitio web.
AWS WAF Los controles específicos para bots proporcionan una tecnología predictiva de aprendizaje automático. Esta tecnología ayuda a defenderse de los ataques distribuidos y basados en proxies realizados por bots diseñados para evadir la detección. El [grupo de reglas de control de AWS WAF bots gestionado utiliza un](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) análisis automatizado y basado en el aprendizaje automático de las estadísticas de tráfico de sitios web para detectar un comportamiento anómalo que sea indicativo de una actividad de bots distribuida y coordinada.