La automatización impulsada por IA está transformando el tráfico en Internet y desdibujando la línea entre la automatización legítima y maliciosa, según se desprende del estudio “Bad Bot 2026: bad bots in the agentic age”, elaborado por Thales Cybersecurity Products.
El informe revela que hay tres factores que están cambiando el tráfico y aumentando los riesgos. El primero es el predominio de la actividad automatizada sobre la interacción humana. El segundo es la aparición de los agentes de IA como una nueva categoría de tráfico en Internet y el tercero es la rápida expansión de los ataques dirigidos a interfaces de programación de aplicaciones (API) y sistemas de identidad.
En 2025, los ataques de bots impulsados por IA se multiplicaron por 12,5 frente al año anterior, aumentando desde los 2 millones hasta los 25 millones. Y los agentes de IA se están convirtiendo en la tercera categoría de tráfico automatizado, junto a los bots “buenos” y los “maliciosos” tradicionales.
En este sentido, el informe indica que en 2025 los bots representaron el 53 % de todo el tráfico global de Internet, mientras el tráfico humano retrocedió hasta el 47 %. Del total automatizado, el 40 % correspondió a bots maliciosos, lo que supone tres puntos porcentuales más que en estudios anteriores. Esto significa que cuatro de cada diez peticiones que reciben las aplicaciones y sitios web de las organizaciones proceden de agentes con intenciones adversas. Thales en 2025 bloqueó 17,2 billones (europeos) de peticiones de bots.
Otro dato relevante que refleja el informe es que el 27 % de los ataques de bots ya se dirigen a las API, donde los bots evitan completamente las interfaces de usuario e interactúan con los sistemas internos a velocidad de máquina. Estos ataques resultan especialmente difíciles de detectar porque parecen legítimos.
El estudio pone de manifiesto que está surgiendo una nueva amenaza que es el de los agentes de IA que no se identifican como tales. En el tráfico de IA detectable en 2025, el 85 % ha correspondido a crawlers de IA (entrenamiento de modelos) y el 15 % a fetchers de IA (ejecución de tareas en respuesta a prompts de usuario). Mas del 10 % de las sesiones de fetchers de IA y casi el 9 % de las de crawlers activaron reglas de detección de bots maliciosos, lo que indica que la automatización de IA ya está evolucionando hacia comportamientos típicamente asociados a amenazas.
En este sentido, los enfoque tradicionales de seguridad centrados en identificar y bloquear bots, ya no resultan suficientes.
Eutimio Fernández, regional sales manager para Iberia en Thales Cybersecurity Products, explica que “la IA no está inventando nuevos tipos de ataque, sino potenciando los existentes a una velocidad y escala que los controles tradicionales no pueden absorber. La manera de pensar sobre la protección debe evolucionar: ya no basta con identificar si algo es un bot, hay que entender qué intención tiene y con qué sistemas críticos interactúa”.
Thales Cybersecurity Products indica que las organizaciones deben avanzar hacia modelos de gobernanza que combinen visibilidad, aplicación de políticas y análisis de comportamiento para diferenciar entre automatización aceptable y maliciosa.
“La respuesta efectiva a los bots de nueva generación no puede depender de un único producto. Requiere una plataforma integrada que conecte la detección de automatización maliciosa con la protección de la identidad y la seguridad de las APIs. Eso es lo que ofrecemos desde Thales Cybersecurity Products en combinación con Imperva: visibilidad unificada, aplicación de políticas y análisis de comportamiento en cada capa donde los atacantes intentan operar”, añade Fernández.
