¿Cuántas veces una página tarda en cargar, una compra se agota en segundos o una cuenta pide verificar de nuevo la contraseña sin motivo claro? Detrás de esa rutina digital ya no siempre hay personas. Cada vez más, hay máquinas hablando con otras máquinas.
Eso es lo que revela el informe Bad Bot 2026 de Thales: en 2025, los bots generaron el 53% de todo el tráfico web global, por encima del 47% producido por usuarios humanos. El hallazgo no es solo estadístico. También marca un cambio de mecanismo: la IA aceleró la cantidad y la agresividad de esos sistemas automatizados.
Además, el 40% del tráfico web ya corresponde a bots maliciosos, tres puntos más que el año anterior. Y los ataques impulsados por IA crecieron 12,5 veces, al pasar de 2 millones a 25 millones. Thales incluso bloqueó 17,2 billones de solicitudes automáticas, incluida una ofensiva de 7 millones en poco más de 24 horas desde China.
La pieza clave es que ya no alcanza con preguntar si una visita es humana o no. Ahora el reto central es entender su intención.
Thales introduce una nueva categoría: los “agentes de IA”, programas capaces de entrar a aplicaciones y APIs (puertas internas entre sistemas) en nombre de un usuario real. Pueden consultar datos, completar tareas y recorrer flujos de trabajo como si fueran un cliente más. Ese cableado hace más difícil detectar cuándo el uso es legítimo y cuándo es un abuso.
La analogía más simple es la de una casa con timbre, llave y pasillos internos. Antes, la defensa consistía en mirar por la ventana y decidir si quien estaba afuera parecía sospechoso. Ahora el problema es distinto: algunos intrusos ya entran con una llave válida, caminan despacio, no hacen ruido y abren cajones concretos.
No fuerzan la puerta: usan la casa como fue diseñada. Esa es la clave del nuevo escenario.
Por eso las técnicas clásicas, como listas negras, bloqueos simples o límites de frecuencia, pierden eficacia. Los bots actuales pueden modificar su huella digital, ajustar tiempos de interacción y adaptarse a los sistemas defensivos. Es decir, cambian de “paso”, de ropa y hasta de recorrido dentro del edificio para no activar la alarma.
El punto ciego de las APIs
Una parte creciente del problema está en las APIs, que concentraron el 27% de los ataques de bots. Son conexiones invisibles para el usuario, pero fundamentales para que una app consulte saldo, procese pagos o valide identidades. Si la web visible es la recepción, la API es el pasillo de servicio que conecta con la caja fuerte.
Ahí los atacantes pueden robar datos, probar credenciales, manipular precios o automatizar compras. Muchas de esas solicitudes parecen normales porque usan autenticación válida y patrones cotidianos. El bot no rompe el sistema: aprovecha su lógica de negocio.
El sector financiero concentra el 24% de todos los ataques de bots y el 46% de los casos de toma de control de cuentas, o Account Takeover (secuestro de cuentas). La consecuencia no es abstracta. Se traduce en fraude, robo de identidad, pérdida de confianza y problemas regulatorios bajo normas como RGPD, DORA, NIS2 o PSD2.
Un internet que se consume, pero devuelve menos
El informe también muestra otra oportunidad incómoda para pensar la red. El 85% del tráfico de IA corresponde a crawlers (rastreadores de contenido) y el 15% a fetchers (recuperadores en tiempo real). Parte de ambos ya activa detecciones de comportamiento malicioso.
En medios y editoriales, la actividad de bots de IA creció un 300% en 2025. Los medios representaron el 13% de ese tráfico y las editoriales concentraron el 40% dentro del sector. Sin embargo, los chatbots generaron un 96% menos de tráfico referido que Google a fines de 2024.
Ese engranaje consume información, pero devuelve muy poco a quienes la producen. Menos visitas implica menos publicidad, menos visibilidad y, en muchos casos, más cierres de sitios. La web sigue encendida, pero parte de su corriente ya no alimenta a las personas que la sostienen. Y ese puede ser el verdadero interruptor del problema: no solo quién entra a la casa digital, sino si todavía queda alguien capaz de mantenerla en pie.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
