Más de la mitad del tráfico web global ya no procede de personas. Según los datos del informe Bad Bot 2026 de Thales, los bots representaron en 2025 más del 53% de toda la actividad online, mientras que el tráfico humano cayó al 47%. La cifra confirma un cambio de fondo en Internet: cada vez hay más máquinas visitando webs, consultando APIs, raspando contenido y ejecutando tareas automatizadas.
El dato sería llamativo por sí solo, pero hay otro más preocupante: el 40% de todo el tráfico web ya corresponde a bots maliciosos. No hablamos únicamente de rastreadores de buscadores o herramientas legítimas de monitorización, sino de sistemas diseñados para cometer fraude, probar credenciales, abusar de servicios, extraer datos o saturar infraestructuras.
La IA ha cambiado la naturaleza del problema
Durante años, la industria distinguía entre bots “buenos” y bots “malos”. Los primeros rastreaban páginas para buscadores, analizaban disponibilidad o ayudaban a indexar contenido. Los segundos intentaban aprovechar fallos, robar cuentas o manipular servicios.
Esa división se ha quedado corta. Thales introduce ahora una tercera categoría que complica el escenario: los agentes de IA. Estos sistemas pueden interactuar con aplicaciones y APIs en nombre de usuarios, consultar información, completar procesos y ejecutar acciones con un nivel de autonomía cada vez mayor.
El problema ya no es solo detectar si una petición viene de una persona o de una máquina. La pregunta importante pasa a ser otra: qué está intentando hacer esa automatización y si su comportamiento encaja con un uso legítimo del servicio.
Esta diferencia es clave. Un bot puede usar una sesión válida, enviar peticiones bien formadas y comportarse de forma aparentemente normal. Puede no romper una web, pero sí abusar de su lógica interna. Puede no parecer un ataque clásico, pero acabar generando fraude, extracción de datos o costes de infraestructura.
Los ataques automatizados se disparan
Thales asegura que los ataques de bots impulsados por IA crecieron 12,5 veces, pasando de 2 millones a 25 millones diarios entre 2024 y 2025. La compañía también afirma haber bloqueado 17,2 billones de solicitudes automatizadas procedentes de bots durante el año.
La explicación está en la propia evolución de estas herramientas. Los bots actuales son más difíciles de identificar porque pueden modificar huellas digitales, ajustar tiempos de interacción, simular comportamientos humanos y adaptarse a los controles defensivos.
Esto deja en peor posición a las medidas tradicionales, como las listas negras, los bloqueos simples por IP o los límites básicos de frecuencia. Funcionan contra ataques rudimentarios, pero pierden eficacia frente a automatizaciones capaces de cambiar de aspecto y comportamiento casi en tiempo real.
En la práctica, la defensa se parece menos a cerrar una puerta y más a interpretar patrones. No basta con saber de dónde viene una petición, sino que hay que entender qué intenta conseguir y si encaja con el funcionamiento normal de una web, una app o una API.
Las APIs se convierten en el gran objetivo
Uno de los puntos más sensibles está en las APIs, las interfaces que conectan aplicaciones, servicios y bases de datos. Según el informe, el 27% de los ataques de bots ya se dirige directamente contra ellas.
Esto cambia mucho el tablero. Atacar una API permite saltarse la parte visible de una web y operar directamente contra los sistemas internos. Un atacante puede probar credenciales, automatizar compras, consultar datos, manipular flujos, agotar inventarios o abusar de promociones sin pasar por una interfaz convencional.
Además, muchas de estas peticiones no parecen sospechosas a primera vista. Pueden estar autenticadas, seguir el formato correcto y no generar alertas evidentes. Por eso las APIs se han convertido en una zona crítica para empresas, bancos, comercios online y plataformas digitales.
El sector financiero, en el punto de mira
Los servicios financieros son uno de los grandes afectados. Según los datos recogidos en el informe, concentraron el 24% de todos los ataques de bots y el 46% de los casos de Account Takeover, es decir, toma de control de cuentas.
Este tipo de ataque es especialmente grave porque combina varias capas de riesgo. Puede implicar robo de identidad, fraude económico, acceso a datos personales, pérdida de confianza y posibles consecuencias regulatorias.
En Europa, este escenario conecta con marcos como el RGPD, DORA, NIS2 o PSD2, especialmente cuando se ven comprometidos datos personales, servicios financieros o continuidad operativa. La automatización no solo aumenta el volumen de ataques, también reduce el tiempo de reacción.
Los medios digitales también están bajo presión
La otra gran lectura afecta a los medios, blogs y webs de contenido. Akamai publicó en abril de 2026 un informe centrado en el impacto de los bots de IA en el sector editorial. Según sus datos, la actividad global de bots de IA creció un 300% en 2025, con el sector de medios como el segundo más afectado, acumulando el 13% del tráfico de bots de IA. Dentro de ese bloque, las editoriales concentraron el 40% de la actividad.
La amenaza no es solo técnica. No se trata únicamente de más carga en servidores o métricas contaminadas. El golpe va directo al modelo de negocio.
Akamai señala que los chatbots de IA generaron aproximadamente un 96% menos de tráfico referido que la búsqueda tradicional de Google en el cuarto trimestre de 2024. Es decir, los sistemas de IA consumen contenido, lo procesan y responden al usuario, pero devuelven muchas menos visitas a la web original.
Para los medios, esto supone una ruptura del equilibrio clásico de Internet. Antes, los buscadores rastreaban contenido y, a cambio, enviaban tráfico. Ese tráfico se convertía en lectores, ingresos publicitarios, suscripciones o visibilidad de marca. Con los asistentes de IA, ese retorno se reduce de forma drástica.
Cloudflare propone cobrar a los bots de IA
Cloudflare también ha entrado en esta batalla. En 2025 anunció herramientas para que los propietarios de webs puedan bloquear por defecto a determinados rastreadores de IA o permitir el acceso bajo un modelo de pago por rastreo, conocido como “pay per crawl”.
La idea es sencilla sobre el papel: si una empresa de IA quiere usar contenido para entrenar modelos, alimentar respuestas o recuperar información en tiempo real, el creador debería poder decidir si permite el acceso, lo bloquea o cobra por ello.
El movimiento refleja una tensión cada vez más visible. Las empresas de IA necesitan grandes cantidades de contenido para alimentar sus sistemas. Los editores, por su parte, ven cómo sus páginas reciben más tráfico automatizado, pero menos visitas humanas y menos ingresos.
No es casualidad que cada vez más webs estén limitando el acceso a crawlers de IA. Un estudio reciente sobre restricciones a rastreadores en el millón de webs más visitadas detectó que una cuarta parte de los 1.000 sitios principales ya bloquea algún crawler de IA, con una incidencia especialmente alta en medios informativos.
Una Internet menos humana y más automatizada
El auge de los bots no significa que Internet esté desapareciendo, pero sí que está cambiando su naturaleza. La web abierta se construyó sobre una relación relativamente clara: publicar contenido, ser indexado, recibir tráfico y monetizar atención.
La IA está alterando ese pacto. Ahora las máquinas no solo indexan, también resumen, responden, ejecutan tareas y compiten por el valor que antes llegaba a los creadores a través de visitas.
Para los usuarios, la comodidad es evidente. Para las empresas, los medios y cualquier web que dependa del tráfico, el desafío es mucho más incómodo. La próxima gran batalla de Internet no será solo por aparecer en Google, sino por decidir qué máquinas pueden acceder a cada página, para qué la usan y quién se queda con el valor generado.
