ONPRE Marketing

Tráfico de Calidad: cómo evitar bots y otras visitas falsas en tu sitio web

Mariana

·

·

,
Pico de visitas "fantasma". Bots en la web.

¿Te pasó ver en tu Google Analytics que de pronto aparece un señor de Corea del Sur navegando tu home… y no hace nada? Sesión de 0 segundos, sin «source» (o sea, no sabés desde dónde vino), rebote del 100 %. A la hora la escena se repite con tráfico que viene de Seychelles, Uzbekistán o “(not set)”.

Son visitantes “fantasma” y aquí te explico qué son, por qué llegan a tu página web y cómo dejarlos afuera de tus estadísticas para que no afecten negativamente tu forma en que tomas desiciones.

Siempre digo que hay de tomar acción basándonos en datos, pero lo que nuestro sitio necesita es trafico de calidad: visitas reales, de gente con una necesidad puntual, alineada con nuestro producto o servicio y que están listos para cerrar una compra (o casi listos!).

Si, por el contrario, tu sitio recibe este «tráfico basura» de manera abundante, tenemos que identificarlo y dejarlo de lado de manera sistemática.

Porque ya sea que esos «hits» en el marcador de estadísticas sean de humanos que automatizan bots, o «crawlers» que navegan tu sitio, la realidad es que inflan las métricas de visitas de tu web pero no te generan ni una venta ni un lead.

1. ¿Qué es exactamente una “visita basura”?

Todos queremos que nuestro sitio reciba muchas visitas, pero queremos tráfico real, de personas reales y lo ideal es que sean nuestro público meta que llega listo para comprar. Mientras sean personas reales, ya sea que nos compran o no, vamos a poder tomar decisiones de negocios basadas en esos datos. Por eso es importante tener en claro cuales visitas son reales, y cuales no lo son.

Tengo un artículo donde hablo de las visitas fantasma en las campañas de Google Ads, te recomiendo revisarlo.

Las visitas «fantasma» de las que vamos a hablar aquí son sesiones generadas por bots, scrapers, herramientas de “análisis” dudosas o spam de referidos que llegan a tu sitio solo para:

  • Recolectar datos para herramientas de marketing (pueden ser propias o agenas, pero o deja de ser paradógico)
  • Rastrear tu contenido (scraping o «web scraping») y republicarlo en otro lado.
  • Probar vulnerabilidades en tu servidor.
  • Disparar anuncios o enlaces para manipular tus estadísticas y que hagas clic.
  • Simular “tráfico” que luego venden como visitas baratas.

¿Dónde se ven estas visitas?

Si son bots maliciosos, el log de los errores 404 de tu sitio será gigante. Herramientas como el plugin Redirection( WordPress) te permiten a la vez visibilizar esto y corregir en alguna medida el ataque de bots que navegan tu sitio intentando accesder a todo tipo de archivos por motivos inconfesables.

En GA4 las vas a encontrar con:

  • Fuente/medio vacío o “unassigned”.
  • Países o idiomas que jamás apuntás en tus campañas (yo recibía muchas visitas desde Pakistán, Bielorussia y Corea del Norte).
  • Engagement time ≈ 0 s y 1 sola página vista.
  • User-Agents raros o demasiado genéricos (“Mozilla/5.0 (compatible; AhrefsBot/7.0; +https://ahrefs.com/robot/)”).
Pico de visitas "fantasma". Bots en la web.

La imagen muestra un pico de 800 visitas durante abril, en un sitio que no solía recibir más de 150 visitas mensuales. La causa de estas anormalidades suelen ser acciones de bots.

2. ¿Por qué aparecen en tus estadísticas de visitas?

  1. Tu sitio está abierto por definición. Los bots no distinguen si sos PyME o multinacional: si existe, lo rastrean.
  2. Referral spam. Un bot llama a tu URL con un encabezado “referral” inventado. Vos ves la fuente, sentís curiosidad y terminás visitando su página: ¡publicidad gratis para ellos!
  3. Scrapers de contenido. Copian artículos para armar portales automáticos.
  4. Pruebas de fuerza bruta. Buscan formularios o CMS desactualizados para inyectar malware.
  5. Ventas de tráfico falso. Hay “proveedores” que prometen miles de visitas por centavos; esa “audiencia” se genera así.

3. ¿Cómo detectar si el tráfico es real o robot?

  1. Revisá países y ciudades: si de golpe recibís 200 visitas desde “Ashburn, Virginia” en cinco minutos, probablemente sea AWS o un datacenter.
  2. Mirá el engagement. Sesiones de cero segundos, sin scroll, sin eventos = sospechoso.
  3. Analizá la fuente/medio. Si está vacío o dice “referral” de un dominio con pinta spam (por ej. traffic-bot.xyz) ya sabés qué es.
  4. Explorá el User-Agent. En GA4 > Explorar podés agregar la dimensión “deviceCategory” + “platform / browser”. Versiones imposibles, bots declarados o strings genéricos son señal de alerta.
  5. Compará picos de tráfico con tu calendario de campañas reales. Si no lanzaste nada y estalla la gráfica, buscá bot.
  6. Si lo que tenés parece más una duplicación de eventos, quizá la respuesta esté en el Google Tag Manager. Podría estar midiendo doble algunas cosas.

4. Opciones para filtrar visitas fantasma o directamente bloquear el acceso a tu web (paso a paso)

A la hora de explicar este tema traté de usar vocabulario simple, pero muchas de las soluciones que te voy a proponer son necesariamente técnicas.

Si necesitás claridad en los procedimientos, dejame un comentario aquí o escribime a mariana@onpremarketing.com citando el link de este artículo y tu consulta puntual.

Ahora sí, ¡vamos a limpiar esas estadísticas!

※ Cómo bloquear el tráfico fantasma en Google Analytics 4

  • Activá los filtros de datos internos y de desarrollador. En Admin > Data Filters podés excluir IPs o rangos que identifiques como propios o de pruebas.
  • Creá un filtro “Bot Traffic” y marcá como Active los eventos donde traffic_type = bot o donde debug_mode está poblado.
  • Lista de exclusiones de referencia. En Admin > Data Streams > More Tagging Settings > List unwanted referrals. Pegá los dominios spam (ej. traffic-bot.xyz, darodar.com).
  • Segmentos comparativos. Mientras testeás, creá una Comparación con país = Corea; canal = unassigned; duración < 3 s. Podés ver cómo cambiarían tus KPIs sin esos datos.
  • Anotaciones de fechas. Si hay un pico histórico de spam, anotalo (mediciones > Notas) para no engancharte con conclusiones erróneas, como que la campaña de Ads tuvo resultados increíbles en esos días o que ese influencer la rompió con su mención de tu servicio.

※ Bloquear en el servidor o mediante una CDN

En el servidor (opción técnica pero sin instalar extras, funcional para sitios pequeños):

  • robots.txt… con reservas. Muchos scrapers lo ignoran, pero declararlo puede reducir bots “decentes” (Ahrefs, Semrush) si no te interesa que rastreen tu sitio.
  • Bloqueo por .htaccess / nginx. Agregá Deny from 203.0.113.0/24 para IPs concretas. Sirve para fuentes pequeñas, no resulta muy escalable que digamos para un sitio con miles de IPs.

Mediante CDN, Firewall o similar:

  • Uso de las soluciones de Cloudflare. En el plan gratuito de Bot Fight Mode ya podés desafiar o bloquear bots comunes; en Pro, Super Bot Fight Mode permite reglas avanzadas en el WAF (Web Application Firewall, o aplicación de Firewall de la Web). Cloudflare Docs
  • Reglas de firewall por país o ASN. Si nunca vendés a Asia y te cae tráfico de allí, bloqueá o desafía esos países.
  • Rate limiting. Definí que más de X solicitudes por minuto desde la misma IP reciban un captcha.

※ Otras medidas proactivas para mejorar la calidad de las visitas a tu web y evitar problemas de seguridad

  • Actualizá CMS y plugins. Mucho tráfico basura busca vulnerabilidades viejas.
  • Activa reCAPTCHA invisible en formularios para frenar envíos automáticos.
  • Deshabilitá APIs innecesarias (XML-RPC, REST) si no las usás.
  • Monitor de logs. Revisá access_logs una vez por semana; si hay patrones, bloquealos antes que lleguen a Analytics.

5. Bots en comentarios: el spam “afiliados” y por qué aparece

Un clásico del tráfico basura no sólo se ve en los gráficos de visitas: se ve en la caja de comentarios. Son bots que publican mensajes del estilo: « turn traffic into cash, join our affiliate program o partner with us«, casi siempre con links, con tags HTML pegados (por ejemplo </a> al final), y con frases pensadas para tentarte a hacer clic.

¿Cómo saber si es un bot? Hay señales que se repiten siempre.

Texto en inglés en un blog en español, frases genéricas de dinero rápido o afiliados, mensajes demasiado “perfectos” y publicitarios, enlaces en el cuerpo del comentario, y restos de HTML pegados como </a>.

Otro patrón común es que el nombre del supuesto comentarista sea una keyword o una marca rara, y el mail sea claramente falso o automático. Cuando se juntan dos o tres de estas señales, no hay duda: es spam.

A veces esto no afecta tanto tus estadísticas, pero sí afecta tu operación: te llena la moderación, te distrae, y si se cuela un comentario público, baja la confianza del sitio en segundos. Lo importante es entender que esto no es gente opinando: es automatización probando formularios públicos porque es barato y masivo.

※ Qué riesgos reales tiene (aunque no “rompa” Analytics)

El primer riesgo es de percepción: un blog con comentarios spam parece descuidado, y cuando alguien llega desde Google por primera vez, esa señal pesa más de lo que creemos.

El segundo riesgo es operativo: en cuanto entran en volumen, te comen tiempo, y el tiempo es el recurso más caro para cualquier emprendedor.

El tercero es técnico: muchos comentarios spam traen enlaces, y si por error alguno se publica, le estás regalando a terceros un link desde tu dominio, que en algunos casos puede ensuciar tu perfil de enlaces o, como mínimo, asociar tu marca con sitios de baja calidad.

※ Cómo frenarlos sin arruinar la experiencia del lector

La forma más efectiva es una combinación de tres capas: moderación inteligente, una trampa invisible y reglas simples.

  • Moderación inteligente significa que el primer comentario de cada usuario nuevo vaya a revisión, y que los comentarios con enlaces se frenen automáticamente. Esto solo ya reduce muchísimo el problema, porque la mayoría del spam depende de poder publicar links sin supervisión.
  • La trampa invisible suele llamarse honeypot: es un campo que el humano no ve, pero el bot completa, y con eso queda marcado como spam. La ventaja es que no le pide nada al lector, no lo frena con desafíos raros y no baja conversiones.
  • Las reglas simples son filtros por patrones: si el comentario contiene ciertas palabras o frases repetidas que aparecen en oleadas, se manda directo a spam o se bloquea. Acá no conviene obsesionarse con detectar todo, sino bloquear lo más repetido, lo más obvio y lo que más suele venir acompañado de links.

Si estos comentarios spam son un problema (típicos mensajes de affiliate program, high payouts, etc.), tengo una lista actualizada de frases y patrones para pegar directamente en la lista negra de WordPress y frenar la mayoría de estos bots sin meter captchas molestos. Si la querés, escribime y te la paso.

Pedímela por mail a info@onpremarketing.com y decime si tu sitio es WordPress y si usás Cloudflare, así te mando la versión correcta.

6. Mantener tus métricas GA4 limpias (y tu hosting sano)

Filtrar visitas basura no solo depura tus informes: te libera de decisiones basadas en datos contaminados. Con filtros bien configurados en Google Analytics 4, reglas sencillas en tu WAF y una mirada crítica cada mes, tus métricas vuelven a reflejar gente real, que entra con intención de leer, comprar o contratar.

Si sólo podés hacer una cosa hoy, te recomiendo esto: entrá en tu GA4, revisá los últimos 30 días de tráfico. ¿Ves países que nunca apuntaste en campañas pagas, que no son lógicos (países raros, como Pakistan o muchas visitas desde una misma ciudad) y que tienen un engagement nulo? Creá tu primer Data Filter “bot-traffic” y activalo en modo Testing —no cambia datos históricos y te permite ver la diferencia. Después contame cuánto varió tu tasa de rebote. 😉

Mi recomendación es si querés identificar tráfico de robots y limpiar datos en Google Analytics, tengas en cuenta los siguientes puntos:

  1. Revisión mensual de países y fuentes. Agendá una vista rápida: ¿apareció algo raro? Lo filtrás enseguida.
  2. Documentá tus filtros. Guardá en un doc la lógica de cada filtro con fecha y motivo; te sirve si mañana cambiás de analista o de herramienta.
  3. Combinalo con Search Console. Si ves picos de impresiones sin clics y matches con los países raros, puede ser el mismo bot.
  4. Educá a tu equipo o cliente. Contales que las “visitas” no siempre son personas; mostrar ejemplos ayuda a evitar pánicos infundados.
  5. No te obsesiones con bloquear todo. Algunos bots “legítimos” (por ejemplo, de marketing automation) te sirven. La clave es saber cuáles son y medir aparte.

Si sentís que el tema técnico te excede o querés revisar juntos tus números, escribime. Podemos armar un diagnóstico express y dejar tu Analytics tan prolijo como tu vidriera.

¿Qué te pareció este artículo?

ES UTIL
NO RESULTA UTIL

Servicios y Mentorías Personalizados.

Si te ven, te compran. Dejá que te vean.

Revisamos tu estrategia, tus campañas, tus procesos. Te enseño lo que nadie te dice. Te explico lo que parece difícil. Te doy ideas para todo. Trabajamos juntos en lo que haga falta. Resolvés y avanzás. Escribime y empezamos.

Contacto

Etiquetas:

Pico de visitas "fantasma". Bots en la web.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Suscribite al Newsletter AQUÍ y recibí consejos por email cada semana.

Usá el buscador para encontrar lo que te interesa:

Categorías de Temas del Blog

Seguir Leyendo

El apoyo que necesitás para emprender.
Newsletter Gratuito para Emprendedores

Impulso ONPRE

La mano que necesitás: SEO, Ads y presencia online explicados de forma simple, sin tecnicismos innecesarios. Recibí por correo ideas y consejos prácticos para hacer crecer tu negocio. Nada de Spam. Solo mando contenido de valor. Ese es mi compromiso.

Suscribite