Decir “tenemos tráfico de bots” ya no es suficiente. Antes, los bots eran visitantes no humanos; hoy en día, son actores que operan activamente en internet. No solo recopilan datos, sino que también los comparan, toman decisiones, negocian y ejecutan acciones en nombre de personas y, cada vez más, de empresas enteras.
Este cambio obliga a replantear la estrategia digital, ya que no se trata solo de bloquear bots, sino de gestionarlos como aliados o amenazas estratégicas.
Un dato incómodo: bloquear por defecto ya no te da control
En 2025, el tráfico de bots de IA aumentó alrededor de un 300% en webs y API. Sin embargo, lo más relevante no es el porcentaje, sino lo que esto significa para la estrategia digital.
Seguir enfocándose en «bloquear todo lo que no parezca humano» puede hacer que se pierda influencia en los canales donde realmente se toman decisiones.
Actualmente, los agentes de IA no solo recopilan información, sino que también influyen en lo que compramos, reservamos y contratamos, y muchas veces esa capa de decisión ni siquiera pasa por tu sitio web o por Google. Al mismo tiempo, los scrapers y los bots de IA ya representan una fracción significativa del tráfico en muchos sitios web y su presencia sigue creciendo rápidamente.
Del “miedo al bot” ha pasado al “gobierno del bot”
Durante años, la respuesta fue sencilla: bloquear, filtrar, meter captcha, rezar y esperar lo mejor. Funcionaba cuando “bot” significaba scraping básico o credenciales robadas.
Hoy, con agentes modernos, la pregunta ya no es “¿bot sí o bot no?”; la verdadera pregunta es: ¿Qué intenta hacer?; ¿Para quién trabaja?; ¿Qué permisos necesita de verdad?; ¿Cómo demuestro su identidad y su intención?
Si no se hacen estas preguntas, se acaba en uno de estos dos extremos — malos los dos o el bloqueo masivo con el que se pierde visibilidad y ventas “mediadas por IA” o la permisividad ingenua que lleva a abusos, scraping agresivo, fraude y automatización maliciosa.
La forma en que gestionemos a los bots será determinante para saber si permanecemos a la defensiva o aprendemos a utilizarlos como aliados estratégicos. Ignorar estas cuestiones ya no es una opción, pues el futuro digital exige tomar decisiones con claridad.
Agentic commerce: cuando el bot deja de mirar… y empieza a pagar
En 2026 experimentaremos un auge del agentic commerce: agentes de IA que investigan, comparan, negocian y cierran compras o reservas con mínima intervención humana. Esto cambiará radicalmente la forma en que diseñamos la experiencia digital y la gestión de permisos.
Respecto a la autenticación y autorización, ya no basta con un “inicio de sesión de usuario”. Los modelos de permisos deben ser más granulares. Estableciendo los permisos para cada uno de ellos: este agente puede consultar precios y disponibilidad, este otro puede reservar, pero no pagar, este puede pagar hasta X€ pero solo si se cumplen ciertas condiciones, etc.
En cuanto al diseño del “punto de venta”, el proceso de pago y las API dejan de ser exclusivos para humanos. Para ganar cuando un agente toma decisiones, necesitas:
flujos claros y verificables, APIs limpias y bien documentadas y controles de riesgo inteligentes que vayan más allá de la simple fricción.
Diseñar para intención (y contexto), no para IP
Las direcciones IP, los user-agents y los “indicadores” clásicos se están volviendo menos fiables. Algunos bots imitan patrones humanos, otros reparten tráfico y otros alternan identidades. Lo que mejor funciona hoy en día es un enfoque por capas:
- Identidad del agente (quién es)
- Propósito (qué intenta)
- Comportamiento (cómo lo hace)
- Riesgo (qué impacto tendría si se equivoca o es malicioso)
Eso te permite una política más madura:
- Allow (permitir) lo que aporta valor
- Throttle (ralentizar) lo que abusa sin ser claramente malicioso
- Challenge (desafiar) lo que es dudoso
- Block (bloquear) lo que es dañino
Sí, suena más complejo que “captcha para todo”», pero esta complejidad es precisamente lo que diferencia la seguridad que impulsa y habilita el negocio de la que lo frena.
La polémica Clawbot/Moltbot: el ejemplo de lo que se nos viene encima
Lo de Clawbot/Moltbot no es un simple cotilleo tecnológico: es un caso de manual de 2026. Agentes populares, confusión de marca, cadena de suministro y fraude se mezclan en un escenario real.
Tras un conflicto de marca, el asistente viral pasó de Clawbot a Moltbot. Ese cambio abrió la puerta a la suplantación de identidad: dominios typosquat, repositorios clonados y extensiones falsas que acababan instalando malware.
Lecciones clave para empresas:
- La identidad es el nuevo campo de batalla: no es solo “humano vs bot”, sino agente legítimo vs impostor.
- El Branding también es seguridad: un cambio de nombre o un plugin no oficial puede convertirse en vía de ataque.
- Las señales clásicas ya no bastan: repos de GitHub o estrellas no garantizan seguridad.
Checklist rápido:
- Canales oficiales únicos y releases firmadas.
- Verificación fuerte para integraciones (tokens con scopes, expiración corta, rotación, mTLS cuando aplique).
- Separar permisos: leer → escribir → operar, auditando cada salto.
- Observabilidad específica: saber qué hace el agente, no solo cuántas requests.
- Preparar “modo incidente”: detectar y bloquear impostores sin romper el negocio.
Una nueva ventaja digital
En este nuevo contexto, la ventaja competitiva ya no se mide solo en función del precio, el SEO o la experiencia de usuario “para humanos”. También significa: ser legible para agentes, permitir compras de forma segura y ser visible donde la IA recomienda.
La revolución no es solo técnica, sino también estratégica. En 2026, las empresas que entiendan que los agentes forman parte del mercado y no solo del tráfico podrán convertirlos en un canal, un aliado y una palanca de eficiencia sin regalarles nada a quienes vengan disfrazados.
En última instancia, no ganará quien más tráfico tenga, sino quien sepa interpretarlo y gestionarlo.
Por Federico Vadillo, Senior Solutions Engineer para EMEA de Akamai Technologies
