La automatización impulsada por inteligencia artificial se está convirtiendo en un elemento fundamental del tráfico de Internet, traduciéndose en un cambio estructural en el funcionamiento del espacio digital y en un elevado incremento del riesgo.

Thales Cybersecurity Products, distribuido por Exclusive Networks, analiza las principales conclusiones del Informe Bad Bot 2026: ‘Bad Bots in the Agentic Age’, el estudio anual de referencia sobre actividad de bots maliciosos en Internet, que identifica tres cambios principales: el predominio de la actividad automatizada sobre la interacción humana; la aparición de los agentes de IA como una nueva categoría de tráfico en Internet; y la rápida expansión de los ataques dirigidos a interfaces de programación de aplicaciones (APIs) y sistemas de identidad, que funcionan como base de los negocios digitales.

La IA reescribe las reglas de la automatización maliciosa

El informe revela que la IA incrementa el volumen de actividad de bots y transforma su naturaleza. En 2025, los ataques de bots impulsados por IA se multiplicaron por 12,5 frente al año anterior, aumentando desde los 2 millones hasta los 25 millones. Y, por primera vez, los agentes de IA se convierten en la tercera categoría de tráfico automatizado -junto a los bots ‘buenos’ y los ‘maliciosos’ tradicionales- que interactúan directamente con aplicaciones y APIs en nombre de usuarios reales para obtener datos y ejecutar tareas, desdibujando la frontera entre automatización legítima y maliciosa.

“Estamos ante una transformación profunda del panorama de amenazas. La IA no está inventando nuevos tipos de ataque, sino potenciando los existentes a una velocidad y escala que los controles tradicionales no pueden absorber. La manera de pensar sobre la protección debe evolucionar: ya no basta con identificar si algo es un bot, hay que entender qué intención tiene y con qué sistemas críticos interactúa”, afirma Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products.

Más de la mitad del tráfico de Internet ya es automatizado

El informe desvela que en 2025 los bots representaron el 53% de todo el tráfico global de Internet, mientras el tráfico humano retrocedió hasta el 47%. De ese total automatizado, el 40% correspondió a bots maliciosos (tres puntos porcentuales más), lo que supone que cuatro de cada diez peticiones que reciben las aplicaciones y sitios web de las organizaciones proceden de agentes con intenciones adversas. A lo largo de 2025, Thales bloqueó un total de 17,2 billones (europeos) de peticiones de bots.

Las APIs y la identidad: el nuevo perímetro bajo asedio

A medida que los servicios digitales dependen de las APIs para sus funciones centrales, los atacantes siguen ese mismo camino. El 27% de los ataques de bots ya se dirigen a las APIs, donde los bots evitan completamente las interfaces de usuario e interactúan con los sistemas internos a velocidad de máquina. Estos ataques resultan especialmente difíciles de detectar porque parecen legítimos: utilizan autenticaciones válidas y solicitudes que no presentan anomalías.

Por su parte, el fraude en cuentas de usuario -Account Takeover (ATO)- registró un crecimiento interanual del 70%, con los servicios financieros en el punto de mira: el 24% de todos los ataques de bots y el 46% de los incidentes de ‘toma de cuentas’ se concentraron en este sector. Un ataque ATO exitoso puede suponer sanciones bajo RGPD, DORA, NIS2 o PSD2, además de daño reputacional y pérdida de confianza del cliente.

El reto de los agentes de IA no autorizados

El informe refleja además una nueva dimensión: el riesgo de los agentes de IA que no se identifican como tales. Del tráfico de IA detectable en 2025, el 85% correspondía a crawlers de IA (entrenamiento de modelos) y el 15% a fetchers de IA (ejecución de tareas en respuesta a prompts de usuario). Más del 10% de las sesiones de fetchers de IA y casi el 9% de las de crawlers activaron reglas de detección de bots maliciosos, lo que indica que la automatización de IA ya está evolucionando hacia comportamientos típicamente asociados a amenazas.

Los enfoques tradicionales de seguridad, centrados en identificar y bloquear bots, ya no resultan suficientes en un entorno donde la automatización es ubicua y muchas veces legítima. Las organizaciones deben avanzar hacia modelos de gobernanza que combinen visibilidad, aplicación de políticas y análisis de comportamiento para diferenciar entre automatización aceptable y maliciosa. Esto implica definir qué agentes de IA pueden interactuar con los sistemas, implementar controles en el nivel de API e identidad y diseñar defensas capaces de adaptarse a la evolución de los bots.

“La respuesta efectiva a los bots de nueva generación no puede depender de un único producto. Requiere una plataforma integrada que conecte la detección de automatización maliciosa con la protección de la identidad y la seguridad de las APIs. Eso es lo que ofrecemos desde Thales Cybersecurity Products en combinación con Imperva: visibilidad unificada, aplicación de políticas y análisis de comportamiento en cada capa donde los atacantes intentan operar”, concluye Fernández.