MADRID (Portaltic/EP) - La inteligencia artificial que impulsa la automatización de 'bots' está transformando el panorama del tráfico de Internet, lo que se traduce en un cambio estructural que pone en riesgo los cimientos en los que se basa la navegación por la red de redes: el 53 por ciento del tráfico global ya no es humano.

El informe Bad Bot 2026 de Thales identifica tres cambios principales en el funcionamiento del tráfico de internet: el predominio de la actividad automatizada sobre la interacción humana, la aparición de los agentes de IA como una nueva categoría de tráfico en Internet, y la rápida expansión de ataques dirigidos a interfaces de programación de aplicaciones (APIs) y sistemas de identidad, como base de los negocios digitales.

En 2025, los ataques de 'bots' impulsados por IA se multiplicaron por 12,5 frente al año anterior, lo que ha supuesto un aumento desde la cifra de los 2 millones hasta los 25 millones.

Por primera vez, los agentes de IA se convierten en la tercera categoría de tráfico automatizado, tras los bots 'buenos' y los 'maliciosos' tradicionales, que interactúan directamente con aplicaciones y APIs en nombre de usuarios reales para obtener datos y ejecutar tareas.

El director regional de Ventas para Iberia en Thales Cybersecurity Products, Eutimio Fernández, señala que "estamos ante una transformación profunda del panorama de amenazas. La IA no está inventando nuevos tipos de ataques, sino potenciando los existentes a una velocidad y escala que los controles tradicionales no pueden absorber. La manera de pensar sobre la protección debe evolucionar: ya no basta con identificar si algo es un bot, hay que entender qué intención tiene y con qué sistemas críticos interactúa".

El informe desvela que en 2025, los 'bots' representaron el 53 por ciento de todo el tráfico global de internet, mientras que el humano retrocedió hasta el 47 por ciento. Del total automatizado, el 40 por ciento correspondió a 'bots' maliciosos.

Esto significa que cuatro de cada diez peticiones que reciben las aplicaciones, como serían la de los bancos, y sitios web de las organizaciones llegan de agentes con intenciones adversas. En total, Thales afirma que bloqueó 17,2 billones de peticiones de 'bots'.

Las APIs, al ser las que se encargan de conectar los datos directamente sin intermediarios entre la 'app' del usuario en su móvil y el servidor del banco, se han convertido en el objetivo de los atacantes: un 27 por ciento de los ataques de 'bots' ya se dirigen a ellas. Este tipo de ataques resulta especialmente difícil de detectar.

Si anteriormente la seguridad web se basaba en buscar anomalías (como si un usuario entraba 500 veces en un minuto con contraseñas distintas) para detectar un comportamiento extraño y bloquearlo, con los ataques modernos a las APIs impulsados por IA, estos han aprendido a eliminar cualquier rastro que pueda ser identificado como anomalía. Es decir, ahora los ataques parecen legítimos al usar autenticaciones válidas y solicitudes sin anomalías.

El informe Bad Bot 2026 de Thales también ha identificado que el fraude en cuentas de usuario registró un crecimiento interanual del 70 por ciento, con los servicios financieros en el punto de mira (el 24% de todos los ataques de 'bots' y el 46% de incidentes se concentraron en este sector).

El informe destaca, asimismo, la nueva dimensión que está tomando el tráfico de Internet: el riesgo de los agentes de IA que no se identifican como tales. Del tráfico de IA detectable en 2025, el 85 por ciento correspondía a 'crawlers' de IA (dedicados al entrenamiento de los grandes modelos de lenguaje) y el 15 por ciento a 'fetchers' de IA (los encargados de la ejecución de tareas en respuesta a prompts del usuario).

Más del 10 por ciento y el 9 por ciento, respectivamente, activaron reglas de detección de 'bots' maliciosos, lo que indica que la automatización de IA ya evoluciona a comportamientos normalmente asociados a amenazas, como se destaca en el informe.

En este contexto, Thales afirma que las organizaciones deben avanzar hacia modelos de gobernanza que combinen visibilidad, aplicación de políticas y análisis de comportamiento para diferenciar entre automatización aceptable y maliciosa, ya que los métodos tradicionales de seguridad ya no resultan suficientes en un entorno donde la automatización ya está en todas partes y muchas veces legítima.