Conecta con nosotros

Noticias

El comercio electrónico, en el punto de mira de los ataques de bots de IA y del fraude automatizado en 2026

Publicado el

El comercio electrónico, en el punto de mira de los ataques de bots de IA y del fraude automatizado en 2026

El sector del comercio elect?onico se ha convertido en el que más ataques recibe en todo el mundo, según el último informe sde Akamai sobre el estado de Inernet (SOTI). Según sus resultados, hasta diciembre de 2025, un 47,9% de todo el tráfico de red global de Akamai está compuesto por bots de IA. Además, el sector sigue sufriendo una elevada actividad de ataques de denegación de servicio distribuidos (DDoS) en la capa de aplicación, la 7.

Esto además de experimentar los efectos de exploits maliciosos de aplicaciones web, así como de una acotación de la brecha entre ataques a aplicaciones tradicionales y los que están dirigidos a las APIs. Por otro lado, los agentes de compras de IA autónomos están generando un problema de enmascaramiento de señales en el comercio electrónico que imitan casi a la perfección los microcomportamientos humanos.

Los atacantes emplean ahora técnicas de secuestro de agentes para poner en peligro a los asistentes de IA legítimos y abusar de las credenciales de pago almacenadas. Además, están implementando modelos grandes de lenguaje (LLM) para generar fraudes de identidad sintéticos en forma de cuentas falsas, que se saltan con facilidad las defensas estáticas.

Los rastreadores de formación de IA, impulsados por el desarrollo de los modelos grandes de lenguaje, suponen más del 70% de peticiones de bots de IA en el comercio. Los tres principales bots de IA detectados son de OpenAI, ByteDance y Anthropic. Las empresas situaron más del 90% de su actividad de bots de IA en la categoría de «supervisión», pero permitieron que las tres cuartas partes de la actividad restante pasaran sin restricciones, lo que les deja expuestas a riesgos subyacentes.

Cargando anuncio...

Los ataques web dirigidos a las API subieron un 9% interanual, y el 85% de los encuestados para realizar el estudio sobre el impacto en la seguridad de las API de 2026 de Akamai experimentó al menos un incidente relacionado con las API en el último año. Solo el 22% sabe cuál de sus API expone datos confidenciales, con el peligro que esto supone.

En 2025, los sitios de comercio electrónico recibieron ataques DDoS de capa 7 casi 3.000 millones de veces, y el sector del retail soportó el 84% del volumen de ataques. Los atacantes usan botnets HTTP para atacar las APIs durante los picos de tráfico de las vacaciones, agotar los servidores de aplicaciones y detener la ventas.

Entre noviembre de 2025 y abril de 2026, el malware representó el 56,5% de la atividad observada de amenazas en los endpoints. El phishing alcanzó un 37,6%. El volumen medio diario de phishing entre los clientes de este sector registró un importante aumento entre febrero y abril: pasó de 56.600 a 134.600 de intentos de ataque. Además, sirvió como ingrediente principal para impulsar el robo de cuentas y de puntos de fidelidad de distintos programas.

En Norteamérica y EMEA, ambos mercados maduros en comercio electrónico, se registró un aumento modesto de bots, del 7% y 16% respectivamente. Pero los ataques web que experimentaron sus páginas fueron significativos en periodo festivo, con una actividad de bots de IA encabezada por Norteamérica con 33.000 millones de casos.

Cargando anuncio...

Mientras tanto, en Asia-Pacífico y Latinoamérica, la actividad de bots registró un aumento del 63% y del 48% respectivamente. El mercado de viajes fragmentado de Asia-Pacífico, así como los programas de fidelidad, lo convirtieron en un objetivo principal de ataques de bots y DDoS a la capa 7.

Para contrarrestar estos ataques en comercio electrónico, desde Akamai proponen recomendaciones que incluyen la definición de la cadena de ingresos, controlar la automatización con una gobernanza basada en riesgo que clasifique bots por intención y valor de empresa e implementar microsegmentación para eliminar el movimiento lateral y minimizar el alcance del impacto.

También integrar equipos de ciberseguridad y prevención de fraudes para implentar biometría conductial en tiempo real, autenticación multifctor basada en riesgos y conmutadores de interrupción automatizados para congelar las cuentas comprometidas al instante.

Cargando anuncio...

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído