La web ya no es, sobre todo, un lugar recorrido por personas. Según el Bad Bot Report 2026 de Thales, los bots representaron en 2025 el 53 % del tráfico web observado a escala global, frente al 47 % generado por usuarios humanos. El dato marca un cambio relevante para cualquier empresa que dependa de una web, una aplicación o una API: la automatización ya no es una anomalía, sino una parte estructural de internet.
El problema no está solo en el volumen. Del total del tráfico web, el 40 % corresponde a bots maliciosos y solo el 13 % a automatización considerada benigna. Es decir, dentro del tráfico no humano predominan los sistemas capaces de raspar contenido, probar credenciales, abusar de APIs, manipular flujos de compra, saturar formularios o explotar procesos internos. La inteligencia artificial no ha creado estas amenazas desde cero, pero sí las ha hecho más baratas, rápidas y difíciles de distinguir del comportamiento legítimo.
Los agentes de IA rompen la vieja división entre bots buenos y malos
Durante años, la clasificación era relativamente sencilla. Había bots “buenos”, como los rastreadores de buscadores o servicios de monitorización, y bots “malos”, como herramientas de scraping agresivo, credential stuffing, scalping o ataques automatizados. La llegada de los agentes de IA ha roto esa separación.
Thales introduce una tercera categoría: sistemas automatizados que interactúan con aplicaciones y APIs en nombre de usuarios reales. Pueden consultar información, recuperar contenido, completar tareas o ejecutar flujos de trabajo sin que haya una persona haciendo clic en cada paso. No siempre son maliciosos, pero tampoco encajan en el tráfico humano tradicional.
Esa zona gris es uno de los grandes desafíos de la web en la era de la IA. Una misma solicitud puede proceder de un asistente útil, de un crawler de entrenamiento, de un agente empresarial o de un atacante que imita todos esos patrones. La defensa ya no consiste solo en detectar si algo es un bot, sino en entender qué pretende hacer esa automatización y si su comportamiento respeta las reglas del servicio.
| Indicador real del informe Thales 2026 | Dato |
|---|---|
| Tráfico web generado por bots en 2025 | 53 % |
| Tráfico web generado por humanos | 47 % |
| Tráfico total atribuido a bots maliciosos | 40 % |
| Tráfico total atribuido a bots benignos | 13 % |
| Solicitudes automatizadas bloqueadas por Thales en 2025 | 17,2 billones |
| Crecimiento interanual de ataques de bots con IA | 12,5 veces |
| Media diaria de ataques de bots con IA bloqueados | 25 millones |
| Ataques de bots dirigidos a APIs | 27 % |
| Ataques de bots contra servicios financieros | 24 % |
| Account Takeover contra servicios financieros | 46 % |
La cifra de crecimiento es especialmente relevante para el sector de la inteligencia artificial. Los ataques de bots impulsados por IA aumentaron 12,5 veces en 2025, con una media diaria de solicitudes bloqueadas que pasó de 2 millones a 25 millones. Este salto no significa que todo bot moderno sea “inteligente” en sentido estricto, pero sí que los atacantes están usando IA para acelerar reconocimiento, adaptación, evasión y generación de patrones de comportamiento.
El informe describe bots que modifican huellas digitales, ajustan tiempos de interacción, reutilizan cookies o sesiones, simulan navegadores reales y cambian de estrategia cuando una defensa empieza a funcionar. La automatización se vuelve más persistente. Ya no aparece únicamente como un pico puntual de tráfico, sino como una presión continua sobre la infraestructura.
APIs, identidad y lógica de negocio: el nuevo campo de batalla
La web visible es solo una parte del problema. El 27 % de los ataques de bots analizados por Thales se dirigió directamente a APIs. Esto importa porque las APIs sostienen la mayoría de servicios digitales modernos: login, pagos, búsquedas, precios, disponibilidad, carritos, reservas, datos de usuario y conexiones con aplicaciones móviles o sistemas internos.
Los bots no necesitan usar una página como la usaría una persona. Pueden atacar directamente los endpoints que mueven el negocio. Y lo hacen con peticiones bien formadas, a veces autenticadas, que no siempre parecen peligrosas desde el punto de vista técnico. El abuso aparece por la escala, la repetición y la intención.
En retail, los bots pueden añadir productos al carrito sin comprarlos para crear falsa escasez. En viajes, pueden consultar precios y disponibilidad miles de veces hasta alterar ratios de búsqueda y reserva. En medios digitales, pueden rastrear contenido sin devolver visitas. En banca, pueden probar credenciales filtradas, explotar flujos de recuperación de cuenta o atacar APIs de autenticación.
La toma de control de cuentas sigue siendo una de las amenazas más dañinas. Thales sitúa a los servicios financieros como el sector más afectado, con el 24 % de los ataques de bots y el 46 % de los incidentes de Account Takeover. Es lógico: las cuentas bancarias, de inversión o de pago tienen valor económico directo. Pero la amenaza también alcanza a comercio electrónico, viajes, salud, educación y plataformas de contenidos.
| Tráfico de IA detectable en 2025 | Peso aproximado |
|---|---|
| AI crawlers orientados a recopilar datos | 85 % |
| AI fetchers que recuperan contenido bajo demanda | 15 % |
| Sesiones de AI fetchers que activaron reglas de bad bots | 10,8 % |
| Sesiones de AI crawlers que activaron reglas de bad bots | 8,8 % |
| AI crawlers bloqueados por reglas definidas por clientes | 11,9 % |
| AI fetchers bloqueados por reglas definidas por clientes | 7 % |
Estos datos muestran que no todo el tráfico de IA puede tratarse como benigno por defecto. Los crawlers de IA recopilan contenido para entrenamiento, indexación o descubrimiento. Los fetchers recuperan información en tiempo real para responder a una petición de usuario. Ambos pueden tener usos legítimos, pero una parte de esas sesiones ya activa reglas asociadas a bots maliciosos o políticas de bloqueo definidas por los propios administradores.
Para las empresas de IA, este punto es delicado. Sus productos dependen de acceder a información, pero los propietarios de webs empiezan a exigir identificación, límites, control y compensación. La web abierta sobre la que se entrenaron muchos modelos está entrando en una fase más regulada, técnica y comercialmente.
El impacto para medios y creadores de contenido
El sector editorial es uno de los más expuestos. Akamai publicó en abril de 2026 un informe en el que sostiene que la actividad global de bots de IA creció un 300 % en 2025. Dentro de ese tráfico, los medios representaron el 13 % y las editoriales concentraron el 40 % de la actividad dentro de la categoría de medios. La presión no es solo de infraestructura; afecta al modelo económico.
El mismo informe señala que los chatbots de IA generaron en el cuarto trimestre de 2024 aproximadamente un 96 % menos de tráfico referido que la búsqueda tradicional de Google. Para los medios, esta diferencia es crítica. El buscador clásico rastreaba, indexaba y enviaba visitas. Muchos asistentes de IA, en cambio, pueden consumir contenido y responder al usuario sin llevarlo a la fuente original.
Cloudflare ha descrito este desequilibrio como la brecha entre rastreo y retorno. Sus datos apuntan a que, a mediados de 2025, el rastreo destinado al entrenamiento representaba cerca del 80 % de la actividad de bots de IA. La compañía ha impulsado propuestas como Pay Per Crawl, que busca permitir a los propietarios de contenido bloquear, permitir o cobrar a determinados crawlers por acceder a sus páginas.
La idea todavía está lejos de convertirse en un estándar universal. Para funcionar necesita identificación fiable de bots, aceptación por parte de las grandes plataformas de IA y un modelo económico razonable para webs grandes y pequeñas. Pero refleja un cambio claro: los creadores ya no quieren que el acceso automatizado a sus contenidos sea una decisión unilateral de las empresas tecnológicas.
La web de la IA necesita nuevas reglas
La conclusión más incómoda es que la automatización no va a reducirse. Los agentes de IA serán cada vez más habituales en navegadores, buscadores, aplicaciones de productividad y herramientas empresariales. Algunos serán útiles. Otros serán intrusivos. Y una parte será directamente maliciosa.
La respuesta no puede ser bloquear todo tráfico automatizado. Sería inviable y, en muchos casos, perjudicial. Tampoco basta con permitir todo bajo la idea de que internet siempre ha sido abierto. El nuevo equilibrio exige gobernanza: saber qué bots acceden, desde dónde, con qué finalidad, a qué ritmo y sobre qué recursos.
Las empresas tendrán que proteger sus APIs como infraestructura crítica, vigilar los flujos de identidad, revisar la lógica de negocio y diferenciar entre automatización aceptable y abuso. Los medios deberán decidir qué crawlers autorizan y bajo qué condiciones. Las compañías de IA, por su parte, tendrán que demostrar que sus agentes respetan límites técnicos, comerciales y legales.
La web no está desapareciendo, pero sí está cambiando de naturaleza. Cada vez hay más interacciones máquina contra máquina, más contenido consumido por sistemas automáticos y más decisiones que se toman antes de que el usuario llegue a una página. Para un medio de IA, esta tendencia debería leerse como una advertencia: el futuro de los agentes no dependerá solo de la calidad de los modelos, sino de la confianza que generen al moverse por la infraestructura digital de otros.
Preguntas frecuentes
¿Qué porcentaje del tráfico web ya son bots?
Según el Bad Bot Report 2026 de Thales, los bots representaron en 2025 el 53 % del tráfico web observado globalmente.
¿Todos los bots de IA son maliciosos?
No. Hay crawlers, fetchers y agentes con usos legítimos. El problema es que una parte de ese tráfico activa reglas de detección de bots maliciosos o accede a contenidos y APIs sin una gobernanza clara.
¿Por qué las APIs son tan importantes en esta amenaza?
Porque los bots pueden saltarse la interfaz visual y atacar directamente funciones internas como login, pagos, precios, reservas, carritos, formularios o recuperación de cuentas.
¿Qué pueden hacer los medios frente a los bots de IA?
Pueden monitorizar crawlers, aplicar reglas de acceso, bloquear bots no deseados, revisar logs, usar herramientas de gestión de bots y valorar modelos de licencia o pago por rastreo cuando estén disponibles.
vía: Revista cloud
