El ecosistema digital global ha cruzado un nuevo umbral. Según el 2025 Bad Bot Report, elaborado por Imperva, más de la mitad del tráfico web global en 2024 fue generado por sistemas automatizados, superando por primera vez en una década al tráfico humano. Dentro de este panorama, los bots maliciosos se consolidan como una amenaza crítica para las empresas, con un incremento constante durante los últimos seis años.
La aparición de herramientas de IA generativa ha reducido drásticamente la barrera técnica para el desarrollo de bots maliciosos. La facilidad para crear, desplegar y mejorar bots mediante modelos como ChatGPT, Claude o ByteSpider ha disparado su presencia y sofisticación.
Los atacantes usan estas tecnologías para simular comportamiento humano, burlar controles de seguridad y explotar lógicas de negocio en APIs, una tendencia que ya representa el 44% del tráfico de bots avanzados.
Los ataques a APIs se disparan
El informe revela un cambio significativo en las tácticas de los cibercriminales: las APIs se han convertido en el blanco predilecto frente a las aplicaciones web tradicionales. Imperva detectó que el 44 % del tráfico de bots avanzados se dirige a estas interfaces críticas que sustentan procesos clave como pagos, autenticación o servicios al cliente.
Los sectores más afectados incluyen servicios financieros, telecomunicaciones, retail y salud, con técnicas como el scraping, el fraude en pagos o el secuestro de sesiones.
Uno de los fenómenos más alarmantes es el auge de los ataques de toma de control de cuentas (Account Takeover – ATO), que crecieron un 40 % en 2024. Estos ataques combinan bots con credenciales robadas para infiltrarse en cuentas de usuarios y comprometer información sensible o realizar fraudes. Los sectores más afectados por ATO fueron servicios financieros (22 %), telecomunicaciones (18 %) y tecnología (17 %).
Retail y viajes: el epicentro del problema
Los bots maliciosos han encontrado un terreno fértil en el sector minorista y de viajes. En 2024, el sector viajes fue el más atacado (27 % del total), mientras que el retail sufrió un repunte de bots avanzados (59 % de su tráfico automatizado). Los atacantes apuntan a distorsionar precios, secuestrar inventarios y robar información de clientes en momentos clave como campañas de marketing o lanzamientos de productos.
En el caso de las aerolíneas, los bots simulan búsquedas masivas que inflan artificialmente el interés por rutas específicas, alterando algoritmos de precios e impidiendo una experiencia justa para los usuarios reales.
¿Cómo se camuflan los bots?
Explican en el informe de Imperva que, para eludir la detección, los bots recurren a técnicas cada vez más avanzadas: desde el uso de proxies residenciales (21% del tráfico automatizado), pasando por la suplantación de navegadores como Chrome o Safari, hasta el uso de navegadores sin interfaz (headless) potenciados por IA, como Puppeteer o Selenium.
Además, existe un auge del fenómeno Bots-as-a-Service, con actores que alquilan infraestructura de bots para facilitar ataques a escala.
Imperva propone una estrategia defensiva en múltiples capas, incluyendo protección específica para APIs; análisis del comportamiento del usuario y patrones de tráfico; mitigación dinámica en eventos de alto riesgo (como lanzamientos o rebajas); herramientas avanzadas de detección basadas en IA o autenticación multifactor (MFA) y control de proxies.
Estados Unidos encabeza el ranking de países más atacados (53 % del total), seguido de Reino Unido, Brasil y Francia. En EMEA, el Reino Unido recibió el 31% de los ataques automatizados, y en APAC, Hong Kong e Indonesia acumularon casi la mitad.
