Los robots salen de noche

La reventa de entradas en línea (o "touting") es el acto de utilizar programas informáticos abusivos (conocidos como "bots") para automatizar la compra de entradas y venderlas a precios inflados.

Esta práctica daña la reputación de nuestros clientes, que quieren ofrecer entradas a precios razonables. Desde que las entradas están disponibles en Internet, los revendedores a escala industrial han utilizado bots automatizados para lucrarse sistemáticamente dentro del mercado secundario de entradas, a costa de los aficionados.

En los últimos años, hemos visto cómo lacreciente presión pública de ha puesto en el punto de mira a las personas y empresas que se benefician de la venta en el mercado secundario de entradas, cuyovalor en el Reino Unido se estima en más de mil millones de libras esterlinas, según . Mientras tanto, los defensores del sector de la venta de entradas, en particular el grupo de presión Fan Fair Alliance, trabajan activamente para concienciar sobre el problema en diversos frentes.

La legislación también está empezando a ponerse al día con los revendedores. En Estados Unidos, la Ley de Mejora de la Venta de Entradas Online (Better Online Ticket Sales Act), o Ley BOTS, se promulgóen 2016 en . Esta ley ilegaliza el uso de software automatizado para comprar entradas con el fin de eludir las "medidas de control" utilizadas por los vendedores de entradas. En otras palabras, si un vendedor de entradas ha empleado activamente medidas para detener a los revendedores, entonces estás infringiendo la ley al utilizar bots para eludirlas. Esto significa, sin embargo, que para que los vendedores de entradas puedan procesar a los revendedores, tienen que aportar pruebas de que han puesto en marcha las medidas adecuadas, así como una pista de auditoría del comportamiento ilícito acusado.

Este mes, Ticketmaster ha presentado una demanda de 10 millones de dólares contra Prestige Entertainment, que supuestamente ha utilizado robots para conseguir miles de entradas para el gran éxito de Broadway Hamilton, entre otros eventos de gran demanda. Se trata de una de las primeras demandas importantes desde la introducción de la ley BOTS, y se produce tras dos años de vigilancia y seguimiento de las transacciones automatizadas y las posteriores ventas en el mercado secundario.

En el Parlamento británico se ha presionado para que se adopte una legislación similar, lo que ha dado lugar alinforme independiente sobre el mercado secundario de venta de entradas, elaborado por el profesor Michael Waterson. El Reino Unido avanzó hacia la penalización del uso de "software de compra digital" con la Digital Economy Act 2017, que recibió el visto bueno real en abril y se haconvertido en ley en . Esta ley faculta al Gobierno para tipificar como delito el uso de bots con el fin de eludir la compra máxima de entradas establecida por los organizadores de eventos.

Así que, como guardianes de más de 500 millones de dólares en ventas de entradas en línea para organizaciones sin ánimo de lucro cada año, ¿cómo podemos en Made Media poner nuestro granito de arena en la batalla contra los revendedores? Analicemos cómo funcionan realmente estos bots.

Existen tres categorías principales de bots que intentan infiltrarse en nuestros sistemas:

1. Drop Checkers o Spinner Bots. La mayor parte del tráfico que vemos son bots que esperan a que las entradas se pongan a la venta. Normalmente, hemos descubierto que estos bots salen por la noche. Investigan constantemente las páginas de venta de entradas que muestran la disponibilidad tanto antes de que un evento salga a la venta como después de que se hayan agotado las entradas (en caso de que se pongan a la venta actuaciones adicionales o se saquen a la venta nuevas entradas). Curiosamente, tuvimos un bot dando vueltas por en la página de reservas de Kylie Minogue durante meses después de que se agotaran las entradas. El objetivo de estos bots es detectar cuándo se ponen a la venta las entradas y poner en marcha un ejército de...

2. Bots de adquisición. El objetivo de estos bots es encontrar el mejor inventario disponible para un evento y reservarlo para su compra. Este es el tipo de bot más peligroso, porque una vez que las entradas están en la cesta de la compra de un bot, no están disponibles para otros clientes. En ese momento, el juego está perdido. Como los revendedores de entradas pueden tener cientos de bots a su disposición, pueden elegir las entradas más valiosas para revenderlas cuando quieran. Los revendedores ocasionales pueden terminar el proceso de compra manualmente, pero los revendedores a gran escala utilizan...

3. Bots de expedición. Una vez seleccionadas las entradas que se van a comprar, los revendedores utilizan este tipo de bots para automatizar la compra real, efectivamente inician sesión, introducen toda la información requerida para pasar por la ruta de compra de entradas, y completan el pedido a partir de un lote de tarjetas de crédito. Éstas suelen proceder de una selección de cuentas creadas de antemano (también cultivadas mediante otro tipo de bot), y pueden utilizar tarjetas de crédito fraudulentas para la compra real.

Estos bots se clasifican y definen en la OAT-005 delManual de Amenazas Automatizadas de OWASP , que detalla sus características y rasgos. Dependiendo del tipo de ruta de compra, el software automatizado puede utilizar bots CAPTCHA Defeat si es necesario, que utilizan bases de datos exhaustivas de mapeos imagen-palabra para eludir CAPTCHA, que pueden ser vencidos fácilmente (aunque tenemos grandes esperanzas puestas en Invisible reCAPTCHA de Google, que está en el horizonte).

Estos bots suelen estar coordinados por un único script de compra o un software creado a medida. Por ejemplo, el sitio web TicketBots vende software listo para usar (actualmente con un descuento de 10.000 dólares) para automatizar por completo este proceso de mantenimiento de inventario y compra de entradas online a través de Ticketmaster.

Ejemplo de interfaz de usuario para ejecutar robots spinner

Actualmente nos integramos con diversas soluciones web que identifican y bloquean el tráfico identificado como bots. Dado que desarrollamos, alojamos y mantenemos muchas de las soluciones de comercio electrónico de nuestros clientes, estamos bien situados para ayudar a mantener el inventario alejado de los sitios web de reventa. Nuestra plataforma CrowdHandler , por ejemplo, se interpone entre los clientes y la ruta de comercio electrónico; los clientes (o los bots, para el caso) no pueden acceder a las entradas sin pasar antes por la cola.

En informática, la tarea de distinguir entre un bot y clientes auténticos puede verse como unproblema de clasificación con el objetivo de, dado un gran conjunto de datos multidimensionales, identificar la autenticidad del usuario final en tiempo real. Y, aunque la última palabra de moda de la industria tecnológica sea aprendizaje automático, combinado con heurística basada en el dominio, podría desempeñar un papel a la hora de abordar este problema. Hemos descubierto que, para que estas soluciones basadas en la IA sean eficaces, se necesitan grandes conjuntos de datos de entrenamiento (por ejemplo, tráfico web) y un mecanismo fiable de retroalimentación para informar a un algoritmo de aprendizaje.

El aprendizaje automático nos permite identificar patrones en el comportamiento de los bots que incluso los más sofisticados exhiben: senderos que no se dan cuenta de que están dejando atrás.

Un enfoque en el que estamos trabajando actualmente utiliza datos (anónimos) que hemos extraído, añadiendo IA al modo en que se permite a los clientes navegar por el sitio web mediante el uso de Artificial Intelligence y Amazon Web Services. El aprendizaje automático nos permite identificar patrones en el comportamiento de los bots que incluso los más sofisticados exhiben: senderos que no se dan cuenta de que están dejando atrás. Clasificará mejor entre los usuarios de la cola virtual que son bots y los que son auténticos fans. Y con el uso de mecanismos de retroalimentación (es decir, suministrando al algoritmo datos que confirmen que se trata de revendedores), este mecanismo de prevención aprenderá y se adaptará a medida que los revendedores cambien sus métodos y estrategias para eludir la detección.

CrowdHandler actúa como un portero de discoteca. El algoritmo escanea a los usuarios que esperan en la cola y analiza múltiples atributos sobre su identidad, pero también su comportamiento hasta el momento de entrar en la cola. Estos revendedores son "rebotados" al final de la cola o bloqueados por completo, lo que permite a los verdaderos aficionados acceder a las entradas. Y aunque disponemos de algunas reglas de bloqueo útiles basadas en heurísticas (por ejemplo, frecuencia de solicitudes combinada con número de sesiones desde una misma dirección IP, cadenas de agentes de usuario), sin duda hay que seguir experimentando para combatir el grado de sofisticación de los ataques que presentan estos bots.

Así pues, la batalla contra los bots es constante. La legislación permite a los vendedores primarios de entradas (que cuentan con medidas preventivas) perseguir a los revendedores, a los que se pueden imponer multas ilimitadas o penas de cárcel. Una mayor transparencia de los vendedores en los mercados secundarios de entradas nos ayudará a desarrollar mejores algoritmos para detener a los revendedores en taquilla. También se abren otros frentes en esta lucha, por ejemplo el programa de Ticketmaster Paperless Ticketing , que cuestiona cómo identificamos a los poseedores de entradas en el punto de entrada. Todo ello supone un incentivo para invertir y mejorar nuestro sistema de detección de revendedores, con el objetivo de proteger la reputación de nuestros clientes.