Google está probando un nuevo estándar de autorización para bots

Descubre qué es el nuevo estándar de autorización para los bots de Google.

Google está probando un protocolo criptográfico avanzado para verificar el tráfico de bots que podría facilitar el aislamiento de rastreadores no deseados. Google está probando Web Bot Auth, un protocolo experimental diseñado para ayudar a los sitios web a verificar que el tráfico automatizado realmente proviene del bot o servicio que dice representar. El nuevo protocolo podría brindar a los propietarios de sitios una forma confiable de separar el tráfico web automatizado legítimo de los bots que se ocultan o tergiversan su identidad.

Se publicó una nueva página de soporte para desarrolladores que proporciona información sobre cómo verificar solicitudes con el protocolo Web Bot Auth, que actualmente se encuentra en fase experimental.

En qué se basa el Web Bot Auth de Google

El nuevo protocolo se denomina técnicamente HTTP Message Signatures Directory. Es un estándar técnico propuesto diseñado para automatizar la confianza entre servicios web. Ayuda a los sitios web a reconocer servicios automatizados verificados sin requerir que cada lado intercambie claves de seguridad manualmente de antemano.

La idea básica es similar a dar a los servicios automatizados verificados una forma estandarizada de presentar credenciales. En lugar de depender solo de nombres, cadenas de agente de usuario o configuración privada entre empresas, el protocolo brinda a los sitios web una forma repetible de verificar si una solicitud automatizada puede ser verificada. Esto es importante porque muchos bots pueden afirmar ser algo que no son. Web Bot Auth no decide si un bot es bueno o malo, pero puede dar a los propietarios de sitios una señal más fuerte sobre si el bot es realmente el servicio que dice ser.

Una forma confiable de identificar bots

La parte criptográfica es importante porque hace que la identidad sea más difícil de falsificar. Hoy en día, un bot malicioso puede afirmar ser un rastreador legítimo copiando un nombre o cadena de agente de usuario. Web Bot Auth está diseñado para ir más allá de ese tipo de autoidentificación, brindando a los sitios web una forma de verificar si una solicitud automatizada coincide con las credenciales criptográficas del servicio.

Bajo este protocolo, un bot necesitaría más que una etiqueta que diga quién es. Necesitaría probar esa identidad de una manera que un sitio web pueda validar. Esto podría dar a los propietarios de sitios una base segura para permitir servicios automatizados verificados mientras bloquean bots que no pueden probar quiénes son. El protocolo no decide automáticamente qué bots deben ser permitidos o bloqueados, pero podría proporcionar a los sitios web una señal más confiable para tomar esa decisión.

La verificación criptográfica es lo que hace que Web Bot Auth sea mejor que los métodos actuales de identificación de bots. En lugar de depender de señales que pueden ser tergiversadas, brinda a los sitios web una forma de verificar solicitudes automatizadas. Eso significa que el reconocimiento se basa menos en lo que un bot dice sobre sí mismo y más en si su identidad puede ser confirmada por credenciales criptográficas.

Advertencia: está en fase experimental

El protocolo propuesto hará posible distinguir entre bots maliciosos que se hacen pasar por rastreadores confiables y los bots genuinos de servicios confiables. Este protocolo es como una lista blanca de lo que está permitido, lo que puede facilitar el aislamiento de rastreadores no confiables.

Sin embargo, debido a que esta es una fase experimental, la lista blanca actualmente solo se aplica a un subconjunto de tráfico, como el Google-Agent. Google “todavía no está firmando cada solicitud“, por lo que la falta de una firma no significa automáticamente que un bot sea malicioso. Se recomienda a los propietarios de sitios que continúen usando direcciones IP y DNS inverso junto con el protocolo para evitar bloquear accidentalmente el tráfico legítimo que aún no ha migrado.

Lo que hace

El nuevo estándar reemplaza la configuración manual entre sitios web y bots, rastreadores y otros servicios automatizados con un proceso de descubrimiento de tres pasos:

• Archivos de clave estandarizados: Las claves se almacenan en un formato común, JSON Web Key Set (JWKS), que todos los servidores pueden leer.
• Direcciones bien conocidas: Define un “hogar” específico en un sitio web (/.well-known/) donde estas claves se guardan siempre.
• Solicitudes autoidentificadas: Agrega un nuevo encabezado, Signature-Agent, a las solicitudes HTTP que actúa como una tarjeta de presentación digital, señalando al receptor directamente al directorio de claves del remitente.

Beneficios para servicios automatizados y sitios web

Web Bot Auth podría hacer que la verificación de bots sea más fácil de escalar al reducir la necesidad de configuración manual entre cada sitio web y servicio automatizado. También brinda a los servicios automatizados una forma más consistente de mantenerse reconocibles cuando sus detalles de seguridad cambian, lo que puede ayudar a evitar que la verificación se rompa con el tiempo.

Web Bot Auth es experimental

Google enfatiza que los usuarios deben continuar usando estándares existentes como la verificación de bots basada en agente de usuario e IP, subrayando que el estándar en sí mismo es una propuesta sujeta a cambios. La nueva documentación proporciona la siguiente advertencia:

“El estado experimental significa que:

• No todos los agentes de usuario de Google están usando Web Bot Auth.
• Google todavía no está firmando cada solicitud de los agentes que utilizan el protocolo.
• Recomendamos que, además de Web Bot Auth, continúe confiando en direcciones IP, DNS inverso y cadenas de agente de usuario mientras implementamos gradualmente el tráfico firmado.

Si usted es un desarrollador o administrador de sistemas que busca incluir en la lista blanca nuestros agentes de IA experimentales, puede implementar la verificación a través del protocolo Web Bot Auth:

• Usando un producto o servicio que sea compatible con Web Bot Auth.
• Verificando solicitudes usted mismo.”

Sin embargo, el estándar tiene como objetivo simplificar la identificación de bots y el control del tráfico de bots mediante el uso de un protocolo criptográfico que un agente malicioso no puede falsificar, proporcionar información sobre cómo los bots interactúan con su tráfico y construir una mejor manera de controlar la situación actualmente fuera de control con el rastreo de bots.

Google anima a los usuarios interesados en el protocolo a contactar a sus proveedores de alojamiento web para ver si tienen la intención de admitir el protocolo experimental, mantenerse actualizados con los últimos cambios publicados por el Web Bot Auth Working Group y enviar comentarios a través del formulario oficial de comentarios de Web Bot Auth de Google.
Puedes encontrar más información en el sitio oficial de Google para desarrolladores.