Tendencias Seguridad

Entendiendo el Tráfico Bot De Dónde Viene y Por Qué Dominan el Tráfico Web

16 de diciembre de 2025 | cerebrosDigitales | 9 min de lectura
Entendiendo el Tráfico Bot De Dónde Viene y Por Qué Dominan el Tráfico Web

Una Realidad Que Incómoda: Hasta el 60% de Tu Tráfico Puede Ser Completamente Falso

Un cliente nos contactó preocupado por las métricas de su blog. Al revisar su Google Analytics, nos encontramos con datos que no cerraban por ningún lado:

  • 333 usuarios de China (30% del tráfico total)
  • 210 usuarios de Singapur (19% del tráfico)
  • 287 usuarios desde Lanzhou (una ciudad china desconocida)
  • 187 usuarios desde Singapur ciudad

Eso es casi el 50% de todo su tráfico.

El problema: El blog está en español. Los servicios son para Argentina y Latinoamérica. No hay ninguna razón lógica para tener 543 visitantes de China y Singapur.

Y acá viene lo peor: la tasa de retención es 0%. Cero. Nada.

No son usuarios reales. Son bots. Granjas de bots inflando métricas, probando vulnerabilidades, minando datos o simplemente haciendo ruido en las estadísticas.

Y si esto le está pasando a este cliente, probablemente te esté pasando a vos también.

En este artículo te vamos a mostrar:

  • Por qué China y Singapur son los epicentros del tráfico falso
  • Qué buscan estos bots en tu sitio
  • El impacto real en costos y decisiones de negocio
  • Soluciones prácticas para protegerte

Vamos al grano.

 

Por Qué China y Singapur Dominan el Tráfico Bot

No es conspiración. Es economía y geografía.

Las Granjas de Bots Necesitan Infraestructura Barata

China tiene:

  • Hosting extremadamente barato
  • Regulaciones laxas sobre scraping
  • Infraestructura de red masiva
  • Miles de IPs residenciales comprometidas

Singapur es:

  • El hub tecnológico del sudeste asiático
  • Punto de conexión entre Asia y Occidente
  • Hosting premium con regulaciones favorables para bots "legítimos"
  • Casa de múltiples CDN y proxy providers

Los Números No Mienten

Los datos del caso son reveladores:

Top países por usuarios:

  • China: 333 usuarios (30.2% del total) - Retención: 0%
  • Singapur: 210 usuarios (19.0%) - Retención: 0%
  • España: 152 usuarios (13.8%) - Retención: 0%
  • USA: 135 usuarios (12.2%) - Retención: 0%
  • México: 52 usuarios (4.7%) - Retención: 0%
  • Argentina: 45 usuarios (4.1%) - Retención: 0%

Argentina, el mercado objetivo, está en 6to lugar. Detrás de China, Singapur, España, USA y México.

Y esa retención del 0% en todos los casos no es casualidad. Los bots entran, escanean la página, y se van. Nunca vuelven.

Ciudades Específicas: La Smoking Gun

Ahora mirá el top 10 de ciudades:

  1. Lanzhou, China - 289 usuarios
  2. Singapore - 187 usuarios
  3. Madrid - 22 usuarios
  4. Buenos Aires - 16 usuarios
  5. Columbus, USA - 15 usuarios
  6. Barcelona - 12 usuarios
  7. Ili, China - 11 usuarios

Lanzhou y Ili no son centros tecnológicos. Son ciudades chinas de las que nadie habla en tech. ¿Por qué? Porque ahí están las granjas de bots. Infraestructura barata, lejos de los radares.

 

Cómo Detectar Tráfico Bot: 5 Señales Claras

No necesitás ser experto en seguridad. Estas son las señales que encontramos en el análisis:

1. Concentración geográfica sospechosa

  • Más del 20% del tráfico de países sin relación con tu negocio
  • China, Singapur, Rusia en top 5 (sin tener contenido/servicios para esos mercados)

2. Retención cercana a 0%

  • Usuarios reales vuelven (retención día 7: 2-8%)
  • Bots nunca vuelven (retención día 7: 0%)

3. Tiempo de interacción anormalmente bajo

  • En este caso: 6.74 segundos promedio para artículos de 2500+ palabras
  • Usuarios reales: 2-5 minutos en artículos largos
  • Bots: 0-10 segundos (apenas cargan y raspan)

4. Tráfico directo excesivo

  • En este caso: 67% del tráfico es "Direct" (757 usuarios)
  • Normal para un blog: 20-40% directo
  • Bots no vienen desde Google, vienen directo (sin referrer)

5. Eventos sin interacción real

  • 2,245 page views pero solo 890 scroll events (39.6%)
  • Usuarios reales: 60-80% hacen scroll
  • Bots: cargan la página pero no interactúan
 

Por Qué los Bots Atacan Sitios Argentinos

No es personal. Es automatizado. Pero tiene razones.

1. Mining de Datos y Emails

Qué buscan:

  • Direcciones de email en formularios de contacto
  • Números de teléfono
  • Información de contacto para spam/phishing

Cómo operan:

  • Scraping automatizado de páginas de contacto
  • Extracción de datos de formularios HTML
  • Recopilación de metadata

En el caso analizado:

  • 399 vistas a la página "Contacto"
  • 269 inicios de formulario registrados
  • ¿Cuántos son reales? Probablemente 20-30%

2. Testing de Vulnerabilidades

Qué buscan:

  • Versiones de WordPress (wp-login.php, wp-admin)
  • Plugins conocidos con exploits
  • Formularios sin CAPTCHA
  • APIs sin rate limiting

Cómo operan:

  • Requests a URLs comunes de WP
  • Intento de SQL injection en forms
  • Testing de XSS en campos de entrada

Por qué importa:

  • Identifican sitios vulnerables para atacar después
  • Venden listas de sitios hackeables en dark web
  • Tu sitio puede terminar en una botnet

3. SEO Spam y Link Farming

Qué hacen:

  • Buscan blogs con comentarios abiertos
  • Buscan formularios de contacto para enviar spam
  • Rastrean sitios para medir autoridad (para comprar links después)

4. Scraping de Contenido

Qué buscan:

  • Contenido original para republicar (plagio automatizado)
  • Precios de productos/servicios
  • Información de contacto de clientes potenciales
 

Soluciones Técnicas: Cómo Protegerte

Hay 3 niveles de protección que podés implementar:

Nivel 1: Cloudflare (Gratis, 20 minutos de setup)

Cloudflare es la solución más efectiva para la mayoría de los sitios. En su plan gratuito incluye:

Bot Fight Mode: Detecta y bloquea automáticamente bots conocidos sin que tengas que hacer nada.

Firewall Rules: Podés crear reglas para bloquear países específicos (China, Singapur, Rusia) o mostrarles un CAPTCHA antes de entrar.

Protección DDoS: Automática contra ataques de volumen.

Resultado esperado: Reducción de 60-80% del tráfico bot + mejora en velocidad de carga (funciona como CDN).

Nivel 2: Protección en el Código

Si tenés código nativo (no WordPress), podés implementar:

Rate Limiting: Limitar requests por IP (ej: máximo 30 por minuto). Los bots que hacen 100+ requests por minuto quedan bloqueados automáticamente.

Form Tokens: Tokens únicos por sesión en formularios. Los bots que envían formularios de forma automatizada no pueden generar tokens válidos.

Validación de User-Agent: Bloquear requests que vienen sin user-agent o con user-agents conocidos de bots (curl, wget, scrapers).

Nivel 3: Configuración de Servidor

Para servidores Apache (.htaccess) o Nginx, configurar reglas que:

  • Bloqueen bots por user-agent
  • Limiten rate de requests
  • Protejan archivos sensibles
  • Deshabiliten directory browsing

La combinación de Cloudflare + protección en código reduce el tráfico bot en más del 85%.

 

El Impacto Real en Tu Negocio

El tráfico bot no es solo un número en Analytics. Tiene consecuencias concretas:

1. Decisiones Basadas en Datos Falsos

En el caso analizado, lo que mostraba Analytics era:

  • 1,125 usuarios activos
  • 1,103 visitantes al blog

La realidad (descontando bots):

  • ~450 usuarios reales
  • ~400 visitantes reales al blog

Diferencia: Estaban invirtiendo en contenido de blog pensando que "funcionaba bien", cuando en realidad necesitaban optimizar la conversión del blog hacia los servicios. Métricas infladas = estrategia equivocada.

2. Señales Negativas para SEO

Google ve: tiempo de permanencia de 6.74 segundos, retención 0%, bounce rate altísimo. Interpreta: "Contenido de baja calidad".

Resultado: Peor posicionamiento orgánico. En este caso, solo 322 usuarios orgánicos (29% del blog) cuando debería ser 60-70% para un blog de calidad.

3. Riesgo de Seguridad

Los bots están mapeando tu sitio: versión de WordPress, plugins instalados, formularios vulnerables, archivos expuestos. Esa información se usa para ataques posteriores o se vende en dark web.

 

Código Nativo vs WordPress: Vulnerabilidad a Bots

Por qué WordPress es más vulnerable:

WordPress tiene estructura predecible que los bots conocen de memoria:

  • /wp-admin/ para login
  • /wp-content/plugins/ lista todos los plugins instalados
  • /xmlrpc.php es puerta de entrada común
  • Base de datos con 12+ tablas por defecto

Cada plugin es una superficie de ataque adicional. WooCommerce solo ya agrega 50+ tablas a la base de datos.

Caso de migración real:

Antes (WordPress + WooCommerce):

  • 847 intentos de login diarios
  • 120 GB bandwidth/mes (80% bots)
  • Tiempo de carga: 8.2 segundos

Después (código nativo):

  • 0 intentos de login (no existe wp-admin)
  • 35 GB bandwidth/mes
  • Tiempo de carga: 1.1 segundos

Ventajas del código nativo contra bots:

  1. Sin estructura predecible - URLs personalizadas, bots no saben qué buscar
  2. Superficie de ataque mínima - Solo el código necesario, sin plugins
  3. Performance nativo - 5-10x más rápido = menos oportunidad para bots
  4. Protección integrada - Rate limiting, form tokens, validaciones desde el código

Los sitios con código nativo incluyen protección anti-bot por diseño, no como agregado posterior.

 

Conclusión: Los Bots No Son el Futuro, Son el Presente

El 48% del tráfico analizado era falso. 543 "usuarios" que jamás van a contratar servicios, jamás van a leer artículos completos, jamás van a ser clientes.

Solo están ahí para:

  • Robar datos
  • Mapear vulnerabilidades
  • Inflar métricas
  • Costar plata en hosting

Y lo más probable es que tu sitio tenga el mismo problema.

La buena noticia: Ahora sabés cómo detectarlo y solucionarlo.

La pregunta es: ¿Vas a seguir tomando decisiones basadas en métricas infladas por bots chinos? ¿O vas a limpiar tu Analytics y proteger tu sitio?

La elección es tuya. Pero los datos no mienten.

¿Necesitas ayuda con tu proyecto digital?

Contáctanos y te ayudaremos a llevar tu negocio al siguiente nivel

Contactar ahora
Compartir este artículo
Volver al blog

Artículos Relacionados