Los bots ya dominan internet y representan más de la mitad del tráfico total; de ese volumen, el 40% es malicioso. Esto se evidencia en el Informe Bad Bot 2026: “Bad Bots in the Agentic Age”, de Thales, que muestra un cambio estructural en el funcionamiento de internet, donde la automatización impulsada por inteligencia artificial se consolida como un componente central de la infraestructura digital moderna.
El estudio identifica tres transformaciones principales: la aparición de los agentes de IA como una nueva categoría de tráfico en internet, el predominio de la actividad automatizada por sobre la interacción humana y la rápida expansión de los ataques dirigidos a interfaces de programación de aplicaciones (API) y sistemas de identidad, que funcionan como base de los negocios digitales.
La IA redefine el tráfico de internet y la seguridad
El informe demuestra que la inteligencia artificial incrementa el volumen de actividad de bots y transforma su naturaleza. . En 2025, los ataques de bots impulsados por IA se multiplicaron por 12,5 en comparación con el año anterior.
De forma más significativa, los agentes de IA comienzan a consolidarse como una tercera categoría de tráfico, junto con los bots “buenos” y los “maliciosos” tradicionales, al interactuar directamente con aplicaciones y API para obtener datos y ejecutar tareas. Este cambio difumina la frontera entre automatización legítima y maliciosa, lo que dificulta cada vez más determinar la intención detrás de cada interacción.
“La inteligencia artificial está transformando la automatización: ya no es algo que las organizaciones solo intentan bloquear, sino también gestionar”, señaló Tim Chang, vicepresidente global y gerente general de Seguridad de Aplicaciones en Thales. “El desafío ya no pasa por detectar bots, sino por entender qué hace cada bot, agente o automatización, si responde a una intención de negocio y cómo interactúa con sistemas críticos”.
Esta evolución amplía una brecha creciente de visibilidad. Gran parte de la actividad impulsada por IA hoy no puede verificarse o distinguirse del tráfico legítimo, lo que deja a las organizaciones con una visión incompleta del riesgo real.
Los bots superan cada vez más a los humanos en internet
El informe muestra una consolidación del dominio de la automatización en la web. En 2025, los bots representaron más del 53% del tráfico total de internet, frente al 51% del año anterior, mientras que la actividad humana cayó al 47%. Esto refleja un cambio estructural: los bots dejaron de estar asociados a campañas puntuales, como el raspado de datos o el robo de credenciales, para convertirse en una presencia constante en los entornos digitales.
Las API y los sistemas de identidad, nuevo foco de ataque
A medida que los servicios digitales dependen cada vez más de las API para sus funciones centrales, los atacantes siguen ese mismo camino. El informe indica que el 27% de los ataques de bots ya se dirige a las API, donde logran evitar las interfaces visibles e interactuar directamente con sistemas internos a velocidad de máquina.
Estos ataques suelen parecer legítimos: utilizan autenticaciones válidas y solicitudes que no presentan anomalías, pero explotan la lógica de negocio, extraen información sensible o manipulan flujos de trabajo a gran escala. El impacto es especialmente fuerte en sectores de alto valor. Los servicios financieros concentraron el 24% de los ataques de bots y el 46% de los incidentes de toma de cuentas, lo que muestra cómo la automatización se utiliza para monetizar directamente los ciberataques.
Una nueva era de interacción dominada por máquinas
A medida que avanza la adopción de la inteligencia artificial, el informe concluye que internet se vuelve cada vez más un entorno dominado por máquinas. Los bots ya no son solo herramientas de ataque: participan activamente en los sistemas digitales, influyen en patrones de tráfico, impactan en métricas de negocio e interactúan en tiempo real con las plataformas. En este escenario, la capacidad de gestionar la automatización a escala se vuelve clave para sostener la seguridad, el rendimiento y la confianza.
El desafío de la automatización sin control
El informe concluye que los enfoques tradicionales de seguridad, centrados en identificar y bloquear bots, ya no resultan suficientes en un entorno donde la automatización es ubicua y muchas veces legítima. Las organizaciones deben avanzar hacia modelos de gobernanza que combinen visibilidad, aplicación de políticas y análisis de comportamiento para diferenciar entre automatización aceptable y maliciosa. Esto implica definir qué agentes de IA pueden interactuar con los sistemas, implementar controles en el nivel de API e identidad, y diseñar defensas capaces de adaptarse a la evolución de los bots.
