Los bots ya superan a los humanos en el tráfico de Internet

Los bots representan ya el 53% del tráfico de Internet, según el el informe Bad Bot 2026 de Thales. Es la primera vez que el tráfico humano queda por debajo de la actividad de las máquinas, impulsadas por la automatización basada en inteligencia artificial, lo que supone un cambio estructural en el funcionamiento del espacio digital y, de paso, en un elevado incremento del riesgo.

El informe de Thales se presenta como un estudio anual de referencia sobre actividad de bots maliciosos en Internet, identificando tres cambios principales:

• El predominio de la actividad automatizada sobre la interacción humana.
• La aparición de los agentes de IA como una nueva categoría de tráfico en Internet.
• La rápida expansión de los ataques dirigidos a interfaces de programación de aplicaciones (APIs) y sistemas de identidad, que funcionan como base de los negocios digitales.

El informe revela que la IA incrementa el volumen de actividad de bots y transforma su naturaleza. En 2025, los ataques de bots impulsados por IA se multiplicaron por 12,5 frente al año anterior, aumentando desde los 2 millones hasta los 25 millones. Y, por primera vez, los agentes de IA se convierten en la tercera categoría de tráfico automatizado -junto a los bots ‘buenos’ y los ‘maliciosos’ tradicionales- que interactúan directamente con aplicaciones y APIs en nombre de usuarios reales para obtener datos y ejecutar tareas, desdibujando la frontera entre automatización legítima y maliciosa.

«Estamos ante una transformación profunda del panorama de amenazas. La IA no está inventando nuevos tipos de ataque, sino potenciando los existentes a una velocidad y escala que los controles tradicionales no pueden absorber. La manera de pensar sobre la protección debe evolucionar: ya no basta con identificar si algo es un bot, hay que entender qué intención tiene y con qué sistemas críticos interactúa», afirma Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products.

Un nuevo -y peligroso- dominador en el tráfico de Internet

El estudio desvela que en 2025 los bots representaron el 53% de todo el tráfico global de Internet, mientras el tráfico humano retrocedió hasta el 47%. De ese total automatizado, el 40% correspondió a bots maliciosos (tres puntos porcentuales más), lo que supone que cuatro de cada diez peticiones que reciben las aplicaciones y sitios web de las organizaciones proceden de agentes con intenciones adversas. A lo largo de 2025, Thales bloqueó un total de 17,2 billones (europeos) de peticiones de bots.

El 27% de los ataques de bots ya se dirigen a las APIs, donde los bots evitan completamente las interfaces de usuario e interactúan con los sistemas internos a velocidad de máquina. Estos ataques resultan especialmente difíciles de detectar porque parecen legítimos: utilizan autenticaciones válidas y solicitudes que no presentan anomalías.

El fraude en cuentas de usuario –Account Takeover (ATO)- es otro de los perímetros bajo asedio, registrando un crecimiento interanual del 70%, con los servicios financieros en el punto de mira: el 24% de todos los ataques de bots y el 46% de los incidentes de ‘toma de cuentas’ se concentraron en este sector. Un ataque ATO exitoso puede suponer sanciones bajo RGPD, DORA, NIS2 o PSD2, además de daño reputacional y pérdida de confianza del cliente.

El informe refleja además una nueva dimensión: el riesgo de los agentes de IA que no se identifican como tales. Del tráfico de IA detectable en 2025, el 85% correspondía a crawlers de IA (entrenamiento de modelos) y el 15% a fetchers de IA (ejecución de tareas en respuesta a prompts de usuario). Más del 10% de las sesiones de fetchers de IA y casi el 9% de las de crawlers activaron reglas de detección de bots maliciosos, lo que indica que la automatización de IA ya está evolucionando hacia comportamientos típicamente asociados a amenazas.

Según Thales, los enfoques tradicionales de seguridad, centrados en identificar y bloquear bots, ya no resultan suficientes en un entorno donde la automatización es ubicua y muchas veces legítima. Las organizaciones deben avanzar hacia modelos de gobernanza que combinen visibilidad, aplicación de políticas y análisis de comportamiento para diferenciar entre automatización aceptable y maliciosa. Esto implica definir qué agentes de IA pueden interactuar con los sistemas, implementar controles en el nivel de API e identidad y diseñar defensas capaces de adaptarse a la evolución de los bots.