.
www.zonamovilidad.es
Los bots ya generan más tráfico que las personas en Internet
Ampliar

Los bots ya generan más tráfico que las personas en Internet

Por Federica Estrella
x
Infozonamovilidades/4/4/18
sábado 23 de mayo de 2026, 17:00h

Escucha la noticia

Internet ya no está dominado por personas, sino por máquinas. Según el informe Bad Bot 2026 de Thales, los bots representaron en 2025 el 53% del tráfico global de Internet, frente al 47% generado por usuarios humanos. El dato marca un cambio importante en la forma en la que funciona el entorno digital, especialmente ahora que la inteligencia artificial está acelerando la automatización a una escala difícil de asumir con controles tradicionales.

El informe, analizado por Thales Cybersecurity Products y distribuido por Exclusive Networks, muestra que la actividad automatizada ya no es un fenómeno secundario. En 2025, los ataques de bots impulsados por IA se multiplicaron por 12,5 respecto al año anterior, pasando de 2 millones a 25 millones. Además, cuatro de cada diez peticiones que reciben las aplicaciones y sitios web de las organizaciones proceden ya de agentes automatizados con intenciones maliciosas.

Este crecimiento no solo aumenta el volumen de tráfico artificial, sino que cambia la naturaleza de la amenaza. La IA está permitiendo que los bots actúen con más velocidad, adapten mejor su comportamiento y se mezclen con interacciones aparentemente legítimas. En este contexto, el informe identifica una nueva categoría dentro del tráfico automatizado: los agentes de IA, que interactúan con aplicaciones y APIs en nombre de usuarios reales para obtener datos o ejecutar tareas.

Por su parte, Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products, ha explicado que la IA no está creando necesariamente nuevos tipos de ataque, sino potenciando los existentes con una velocidad y una escala que las defensas clásicas ya no pueden absorber. En este sentido, ha señalado que el reto no es solo saber si una petición procede de un bot, sino entender qué intención tiene y con qué sistemas críticos está interactuando.

Las APIs se han convertido en uno de los grandes objetivos. Según el estudio, el 27% de los ataques de bots ya se dirige a estas interfaces, que son la base de muchos servicios digitales actuales. El problema es que estos ataques pueden ser especialmente difíciles de detectar, porque no siempre pasan por la interfaz visible para el usuario y pueden utilizar autenticaciones válidas o solicitudes que, a simple vista, parecen normales.

La identidad también está bajo presión. El fraude de toma de cuentas, conocido como Account Takeover, creció un 70% interanual, con especial impacto en los servicios financieros. Este sector concentró el 24% de todos los ataques de bots y el 46% de los incidentes de toma de cuentas, lo que lo sitúa como uno de los principales focos de riesgo.

El impacto de este tipo de ataques va más allá del acceso no autorizado. Una toma de cuenta puede acabar en pérdida de datos, fraude económico, sanciones regulatorias y daño reputacional. En Europa, además, estas brechas pueden tener consecuencias bajo marcos como RGPD, DORA, NIS2 o PSD2, especialmente cuando afectan a sectores críticos o información sensible.

El informe también pone el foco en los agentes de IA que no se identifican claramente como tales. Dentro del tráfico detectable de IA en 2025, el 85% correspondía a crawlers utilizados para entrenamiento de modelos y el 15% a fetchers, sistemas que ejecutan tareas en respuesta a instrucciones de los usuarios. Sin embargo, más del 10% de las sesiones de fetchers y casi el 9% de las de crawlers activaron reglas de detección de bots maliciosos, una señal de que parte de esta automatización empieza a comportarse como una amenaza.

Ante este escenario, Thales advierte de que los enfoques tradicionales basados únicamente en identificar y bloquear bots ya no son suficientes. La automatización no siempre es maliciosa y, precisamente por eso, las organizaciones necesitan más visibilidad, políticas claras y análisis de comportamiento para diferenciar qué agentes pueden interactuar con sus sistemas y cuáles deben ser bloqueados.

En palabras de Fernández, la respuesta a esta nueva generación de bots no puede depender de un único producto. El directivo ha defendido la necesidad de plataformas integradas que conecten la detección de automatización maliciosa con la protección de identidades y la seguridad de APIs. Porque, en un Internet donde más de la mitad del tráfico ya no es humano, proteger una web o una aplicación exige entender mucho mejor quién, o qué, está al otro lado.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios