La web que ven los usuarios cada día ya no está formada principalmente por personas navegando, leyendo noticias, comprando o consultando servicios online. Según el informe Bad Bot Report 2026 de Thales, los bots representaron en 2025 el 53 % de todo el tráfico web observado a escala global, frente al 47 % generado por humanos. La cifra confirma un cambio de fondo: internet se ha convertido en un espacio donde la automatización ya pesa más que la actividad humana.
El dato más preocupante no es solo que haya más bots, sino qué tipo de bots son. Del total del tráfico web, el 40 % correspondió a bots maliciosos y el 13 % a automatización considerada benigna, como rastreadores de buscadores, herramientas de monitorización o determinados crawlers legítimos. Dicho de otra forma: dentro del tráfico automatizado, la mayoría ya procede de bots que pueden raspar contenido, probar credenciales, abusar de APIs, saturar servicios o manipular procesos de negocio.
La IA acelera el problema de los bots
La inteligencia artificial no ha inventado los bots, pero está cambiando su escala y su comportamiento. Thales señala que los ataques de bots impulsados por IA crecieron 12,5 veces en 2025, con una media diaria de solicitudes bloqueadas que pasó de 2 millones a 25 millones. En todo el año, la compañía afirma haber bloqueado 17,2 billones de solicitudes automatizadas.
La novedad es que los bots actuales son más adaptativos. Pueden modificar huellas digitales, ajustar tiempos de interacción, cambiar patrones de navegación y volver a probar un servicio pocas horas después de que se aplique una mitigación. Esto hace que las defensas clásicas, como bloquear IPs, filtrar por user-agent o aplicar límites de frecuencia simples, sean cada vez menos eficaces.
El informe introduce además una tercera categoría de tráfico automatizado: los agentes de IA. Hasta ahora, muchas organizaciones separaban entre bots “buenos”, como los rastreadores de buscadores, y bots “malos”, como scrapers, scalpers o herramientas de credential stuffing. Los agentes de IA complican esa clasificación porque pueden acceder a una web o una API en nombre de un usuario, recuperar información, ejecutar tareas y completar flujos de trabajo. No siempre son maliciosos, pero tampoco pueden tratarse como tráfico humano normal.
Esa frontera borrosa obliga a cambiar el enfoque. La pregunta ya no es simplemente si una petición viene de una persona o de una máquina. La cuestión relevante es qué está haciendo esa automatización, con qué frecuencia, contra qué endpoint y con qué impacto en el negocio.
| Indicador del informe Thales 2026 | Dato principal |
|---|---|
| Tráfico web generado por bots | 53 % |
| Tráfico web generado por humanos | 47 % |
| Tráfico total atribuido a bots maliciosos | 40 % |
| Tráfico total atribuido a bots benignos | 13 % |
| Solicitudes de bots bloqueadas por Thales en 2025 | 17,2 billones |
| Crecimiento de ataques de bots con IA | 12,5 veces |
| Ataques de bots dirigidos a APIs | 27 % |
| Ataques de bots contra servicios financieros | 24 % |
| Account Takeover contra servicios financieros | 46 % |
Las APIs y la identidad se convierten en el nuevo frente
Uno de los cambios más importantes está en las APIs. Thales calcula que el 27 % de los ataques de bots ya se dirige directamente a estos puntos de entrada. Es una evolución lógica: las aplicaciones modernas dependen de APIs para autenticar usuarios, mostrar precios, gestionar carritos, procesar pagos, consultar disponibilidad o entregar datos a aplicaciones móviles.
Para un atacante automatizado, la API suele ser más interesante que la interfaz visual. No necesita “navegar” como una persona. Puede enviar solicitudes bien formadas, usar credenciales válidas y explotar la lógica del servicio a velocidad de máquina. El tráfico no siempre parece malicioso desde el punto de vista técnico, porque muchas peticiones son correctas. El abuso aparece por el volumen, la repetición, la intención o el contexto.
El informe destaca tres amenazas frecuentes contra APIs: fuga de datos, abuso de lógica de negocio y ataques técnicos como ejecución remota de código o inclusión de archivos. En la práctica, esto puede traducirse en scraping masivo, consultas automatizadas de precios, manipulación de promociones, ataques contra formularios de login, pruebas de credenciales o explotación de flujos de compra y reserva.
La toma de control de cuentas, conocida como Account Takeover, sigue siendo uno de los usos más dañinos. Los bots prueban combinaciones de usuario y contraseña filtradas en otros servicios, explotan reutilización de credenciales y atacan endpoints de autenticación. Incluso con MFA, muchas empresas siguen expuestas si no monitorizan patrones de comportamiento, sesiones sospechosas, cambios bruscos de geografía o uso anómalo de APIs de identidad.
El sector financiero es el más afectado. Según Thales, concentró el 24 % de todos los ataques de bots y el 46 % de los incidentes de Account Takeover. El motivo es evidente: las cuentas financieras tienen valor directo para el fraude, el robo de identidad y la monetización rápida. En Europa, además, un incidente de este tipo puede activar obligaciones bajo normas como RGPD, DORA, NIS2 o PSD2, especialmente si afecta a datos personales, continuidad operativa o servicios esenciales.
Los medios digitales también están bajo presión
El problema de los bots no afecta solo a bancos, tiendas online o aerolíneas. Los medios de comunicación y las webs de contenido se enfrentan a una presión creciente por parte de crawlers de IA y sistemas de recuperación de información en tiempo real.
Akamai publicó en abril de 2026 un informe centrado en el sector editorial en el que señaló que la actividad de bots de IA creció un 300 % en 2025. Dentro del tráfico de bots de IA, el sector de medios representó el 13 %, y las editoriales concentraron el 40 % de esa actividad dentro de la categoría. El impacto no es únicamente técnico. Según Akamai, los chatbots de IA generaron en el cuarto trimestre de 2024 alrededor de un 96 % menos de tráfico referido que la búsqueda tradicional de Google.
Esto cambia el equilibrio económico de internet. Durante años, los buscadores rastreaban contenido, lo indexaban y devolvían tráfico a las webs. Con los sistemas de IA generativa, parte de ese contenido puede alimentar respuestas directas sin que el usuario visite la fuente original. Para un medio digital, eso significa más carga técnica, más consumo de contenido por máquinas y menos oportunidades de generar ingresos por publicidad, suscripción o marca.
Cloudflare ha descrito este fenómeno como una brecha entre rastreo y retorno de tráfico. Sus datos apuntan a que, a mediados de 2025, el rastreo destinado al entrenamiento ya representaba cerca del 80 % de la actividad de bots de IA. La compañía también ha presentado propuestas como Pay Per Crawl, un sistema en beta privada que permitiría a los propietarios de contenido elegir entre permitir, bloquear o cobrar a determinados crawlers por acceder a sus páginas.
La idea todavía está lejos de resolver el problema de fondo. Cobrar a los crawlers exige identificación fiable, acuerdos comerciales y un marco técnico aceptado por las grandes plataformas de IA. Mientras tanto, muchas webs pequeñas y medianas solo tienen dos opciones poco satisfactorias: permitir el rastreo sin retorno claro o bloquear de forma agresiva con el riesgo de perder visibilidad.
Qué deben hacer las empresas
La defensa frente a bots ya no puede limitarse a instalar un WAF y revisar logs cuando hay un pico de tráfico. El informe de Thales insiste en un cambio de enfoque: pasar de la defensa puntual a la gobernanza de la automatización.
Eso implica definir qué agentes de IA pueden acceder a la web, qué crawlers deben bloquearse, qué endpoints deben quedar fuera del alcance de automatismos externos y qué límites se aplican a APIs, login, checkout, buscadores internos o formularios. No todo bot es malo, pero todo tráfico automatizado debería estar identificado, medido y controlado.
Las empresas también necesitan proteger la lógica de negocio. En retail, por ejemplo, un bot puede añadir productos al carrito sin comprar para crear falsa escasez. En viajes, puede consultar precios y disponibilidad miles de veces para distorsionar ratios de búsqueda y reserva. En servicios financieros, puede probar credenciales, abusar de procesos de recuperación de cuenta o atacar APIs de autenticación.
Las señales superficiales ya no bastan. Muchos bots se presentan como navegadores legítimos, usan proxies residenciales o móviles, ejecutan JavaScript y simulan recorridos humanos. Thales indica que Chrome fue el navegador más suplantado por bots maliciosos en 2025, con un 41 % del tráfico declarado como Chrome. La detección necesita análisis de comportamiento, consistencia de sesión, reputación contextual y revisión continua de patrones.
La consecuencia es clara: el tráfico automatizado ya forma parte estructural de internet. No desaparecerá. La tarea de las organizaciones será separar la automatización útil de la abusiva, proteger las APIs como infraestructura crítica y decidir qué papel quieren dar a los agentes de IA en sus servicios.
Para los usuarios, este cambio será casi invisible hasta que falle algo: una web que carga mal, una tienda sin stock real, una cuenta bloqueada, un captcha constante o un medio que deja de publicar porque su contenido alimenta sistemas externos sin retorno suficiente. Para las empresas, en cambio, el mensaje ya es urgente. La web se ha vuelto mayoritariamente máquina contra máquina, y la seguridad tiene que adaptarse a esa realidad.
Preguntas frecuentes
¿Qué porcentaje del tráfico web son bots?
Según el Bad Bot Report 2026 de Thales, los bots representaron en 2025 el 53 % del tráfico web observado a escala global, frente al 47 % generado por humanos.
¿Todos los bots son maliciosos?
No. El informe distingue entre bots maliciosos, que suponen el 40 % del tráfico total, y bots benignos, que representan el 13 %. Aun así, dentro del tráfico automatizado predominan los bots maliciosos.
¿Por qué la IA empeora el problema?
La IA permite crear bots más adaptativos, capaces de modificar su comportamiento, imitar patrones humanos, resolver o rodear controles y ajustar sus ataques cuando son bloqueados.
¿Qué sectores están más afectados por los bots?
Los servicios financieros concentran el mayor volumen de ataques de bots y casi la mitad de los incidentes de toma de control de cuentas. Retail, viajes, medios, tecnología y telecomunicaciones también aparecen muy expuestos.
