Cuando decenas de miles de fans se apresuraron a comprar entradas para los espectáculos del Concierto en Vivo de Ye el 6 y 8 de junio de 2026 en el Gelredome, en los Países Bajos, no eran los únicos que intentaban entrar. Detrás de cada venta importante de entradas hoy en día, hay una batalla invisible sucediendo: una que la mayoría de los fans nunca ven, pero que definitivamente sienten.
Aquí está el desglose técnico de cómo Weeztix pasó de ser "golpeado" por los bots (debido a su arquitectura de API abierta) a convertirse en un líder de la industria al vencerlos y prevenir el acaparamiento de entradas. Todo esto mientras mantiene su experiencia de usuario (UX) tan agradable como los clientes esperan.
La economía detrás del acaparamiento (scalping)
Antes de entrar en los detalles técnicos, vale la pena entender por qué los eventos de esta escala atraen a los bots en primer lugar. El acaparamiento de entradas es un negocio de alto margen. Compra 50 entradas a 180€ cada una, enlístalas en mercados secundarios no regulados por 600€ cada una, y el retorno de una sola sesión oscila entre el 100% y el 200%. Para un evento raro como este, el incentivo es lo suficientemente significativo como para justificar una inversión seria en herramientas.
La estrategia detrás de los bots
El instrumento dominante para este tipo de operación es el "sneaker bot", originalmente construido para ventas de zapatillas de edición limitada de marcas como Nike y Adidas. Para 2025, se había producido una migración clara. Los acaparadores se dieron cuenta de que las entradas para conciertos también ofrecían buenos márgenes con menos competencia, y trajeron herramientas como Stellar AIO y Adonis con ellos. Las plataformas que nunca habían necesitado defenderse contra estos bots de repente se convirtieron en nuevos objetivos.
La estrategia de los bots es la siguiente: desplegar 10,000 bots para inundar la cola. Todos esos bots se distribuyen a través de la cola y, una vez dentro, intentan reservar tantas entradas baratas como sea posible. Incluso una tasa de éxito del 1% puede reportarles 100 entradas y un beneficio masivo. Los bots normalmente no comprarán todas las entradas que reservan; solo comprarán lo que necesiten. Esto significa que ciertos tipos de entradas, como las "early bird", pueden volver a estar disponibles para otros compradores después de aparecer como agotadas, lo que hace que la venta sea increíblemente caótica y frustrante para los fans.
Los bots que enfrentamos
Los bots que enfrentamos durante el pico de venta de los Conciertos en Vivo de Ye en los Países Bajos se dividieron en tres categorías distintas, cada una requiriendo una respuesta diferente.
1. Sneaker bots a nivel del consumidor
Ahora ampliamente disponibles como servicios de suscripción, estas herramientas no requieren formación técnica para operar. Las interfaces preconfiguradas permiten a los usuarios atacar las colas de venta de entradas con una configuración mínima, automatizando los pasos que un fan humano daría a través del front-end de la plataforma.
2. Bots de acaparadores profesionales
Una amenaza más seria. Estas herramientas están construidas específicamente para acaparar entradas y es probable que sean operadas por operadores (semi)profesionales. Estos bots están activos en grandes eventos internacionales y conciertos y son mucho más potentes que los bots de consumidor (lo que significa que realizan muchas más solicitudes por segundo).
3. Bots de pedidos inválidos
La categoría más disruptiva que encontramos fue la que causó más daño durante la primera venta. Estos bots envían oleadas de solicitudes malformadas sin intención de completar una compra. Su propósito es desconocido. El resultado, sin embargo, es mucho ruido adicional en la base de datos, lo que obliga a ejecutar una lógica de validación costosa repetidamente.
Medidas de seguridad habituales
Gestionamos miles de ventas de alta demanda cada año y rara vez tenemos inconvenientes. Aquí tienes un resumen de las soluciones estándar que tuvimos implementadas en todos nuestros eventos, incluida la primera venta pico de Ye:
1. Queue-it
Cada tienda de Weeztix está protegida por Queue-it, una sala de espera virtual que se sitúa frente a la venta y controla cuántos usuarios entran a la tienda simultáneamente. Cuando la demanda supera un umbral establecido, los visitantes permanecen en una cola ordenada y son admitidos a un ritmo controlado. Esto protege a la plataforma de verse saturada en el momento del lanzamiento y asegura que el acceso se distribuya de manera justa, por estricto orden de llegada.
2. Limitación de tasa en el stack
Dentro de la propia aplicación, la limitación de frecuencia restringe cuántas solicitudes puede realizar un único usuario o dirección IP en un intervalo de tiempo determinado. Esto crea un nivel básico de protección contra herramientas automatizadas que intentan inundar el sistema con solicitudes rápidas y repetidas. Cualquier tráfico que exceda el comportamiento humano normal es frenado o bloqueado antes de que pueda causar algún daño.
3. Monitoreo en tiempo real
Durante cada venta de alta demanda, nuestro equipo monitorea el comportamiento de la plataforma en tiempo real. Se realiza un seguimiento continuo de los patrones de tráfico, las tasas de error, la carga de la base de datos y los tiempos de respuesta, lo que nos brinda la visibilidad necesaria para identificar anomalías a medida que surgen, en lugar de hacerlo a posteriori. Cuando aparece algo inusual, podemos responder de inmediato en lugar de esperar a que el daño se agrave.
4. Moving shops to Weeztix-hosted pages
Para las ventas importantes, las tiendas integradas y flotantes en los sitios web de los organizadores se trasladan a páginas alojadas por Weeztix. Cuando una tienda funciona en un sitio web de terceros, la gestión del tráfico se divide entre la infraestructura del organizador y la nuestra, lo que limita nuestra capacidad de control. Al alojar la tienda en nuestro propio entorno, todo el tráfico fluye a través de nuestros sistemas, dándonos visibilidad total y la capacidad de aplicar nuestras protecciones sin interferencias de infraestructuras externas.
5. Entradas Selladas
Las Entradas Selladas dificultan significativamente las actividades fraudulentas, como la reventa o la falsificación en mercados secundarios no regulados. Cuando una entrada está sellada, significa que no se puede descargar hasta una fecha y hora determinadas, que por lo general suelen estar muy próximas al inicio del evento. Las Entradas Selladas pueden venderse en plataformas secundarias reguladas como TicketSwap y Tixel sin problemas, incluso mientras las entradas permanecen selladas.
6. Reducción de carga en la base de datos para la conversión
Desactivamos temporalmente la Personalización Tardía durante el periodo de máxima demanda. La Personalización Tardía permite a los compradores de entradas completar la mayoría de sus datos después de realizar la compra, lo que agiliza el proceso de pago. El inconveniente es que esto resulta más exigente para nuestra base de datos. Para la segunda venta, la desactivamos, liberando una capacidad sustancial de la base de datos para gestionar el volumen de transacciones.
Qué cambiamos para el segundo evento
Lamentablemente, estas protecciones resultaron ser insuficientes para un evento de esta magnitud y la venta se vio afectada. Por lo tanto, para la segunda venta, sabíamos que necesitábamos realizar cambios, moviendo nuestra protección aún más cerca de la fuente del tráfico y por encima de todas nuestras medidas de seguridad habituales.
1. Limitación de frecuencia (Edge-Level) vía Cloudflare
El cambio más trascendental fue reubicar la limitación de frecuencia al borde de la red utilizando Cloudflare, para evaluar y bloquear el tráfico en el punto de entrada. Los bots que anteriormente llegaban a la capa de aplicación y consumían recursos del servidor ahora eran detenidos mucho antes de ese punto.
2. Infraestructura para introducir nuevos elementos y acertijos
Realizamos un cambio de infraestructura que nos permitió introducir y rotar acertijos en la interfaz de usuario (UI). Una acción pequeña e inesperada que los compradores deben completar una vez que han llegado al frente de la cola antes de que se les permita entrar a la tienda. Al rotar los acertijos antes y durante un evento, es mucho más difícil que los bots a nivel del consumidor sean preprogramados para lidiar con ellos.
3. Segmentación de la tienda por geografía
Reestructuramos la venta en tres entornos distintos, cada uno con sus propios controles de acceso y métodos de pago. Por ejemplo, para este evento, creamos tres tiendas diferentes para:
- Países Bajos y Bélgica
- Alemania
- Resto del mundo: abierto a todas las regiones, con una aplicación de CAPTCHA significativamente más estricta.
Las direcciones IP fuera de las regiones geográficas esperadas (por ejemplo, los Países Bajos y Bélgica para la tienda local) se descartan inmediatamente por motivos de seguridad. Esto significó que una red de bots operando en una región no pudiera afectar la disponibilidad o el rendimiento para los fans en otra.
El resultado
Los resultados de la segunda venta reflejaron los cambios directamente: los errores relacionados con la base de datos cayeron un 98 por ciento en comparación con la primera venta. El tráfico de bots seguía presente, pero fue absorbido eficazmente antes de que pudiera afectar el rendimiento de la plataforma, lo que permitió que los fans reales pudieran completar sus compras.
La protección en el borde hizo lo que las defensas de la capa de aplicación no pudieron: redujo el volumen de tráfico que llegaba al sistema a un nivel que la plataforma podía gestionar de forma limpia.
Lo que esto realmente demuestra
No pretendemos haber resuelto permanentemente el problema de los bots. Las personas detrás de estas herramientas son persistentes: adaptan y perfeccionan sus scripts para igualar nuestros movimientos, convirtiéndolo en un juego continuo del gato y el ratón, especialmente para los revendedores profesionales de entradas.
Sin embargo, estamos varios pasos por delante, y los resultados lo reflejan. Desde los cambios que realizamos para la segunda venta de Ye, hemos agotado las entradas de eventos importantes y gestionado ventas de alta demanda de forma limpia, protegiendo la experiencia de los fans de clientes como Audio Obscura, Thuishaven, Verknipt y ADE. Continuaremos monitoreando los avances y realizando ajustes donde sea necesario. Para las ventas a gran escala hoy en día, esto significa tener las herramientas y la capacidad para mantener a raya a los bots y dar a los fans reales una oportunidad justa. Es una capacidad que nos hemos ganado por el camino difícil, y una que tenemos la intención de mantener.
Una nota para organizadores y socios
Si estás planeando una venta de alta demanda y quieres entender cómo estas dinámicas podrían afectar tu evento, estaremos encantados de analizar los detalles específicos. Los detalles anteriores se comparten con esa intención: cuanto más abiertamente hablemos de lo que realmente sucede durante las grandes ventas, mejor posicionados estaremos todos para proteger a los fans y mantener una experiencia justa.
¿Te interesa saber cómo aborda Weeztix las ventas de alta demanda? No dudes en ponerte en contacto con nosotros a través del chat o enviando un correo electrónico a info@weeztix.com.