Más de la mitad de Internet ya son bots
Más de la mitad de Internet ya son bots y ese dato cambia por completo la forma en que debe entenderse la seguridad digital actual. De acuerdo con el 2025 Imperva Bad Bot Report, el tráfico automatizado representó 51% de toda la actividad web en 2024, superando por primera vez en una década al tráfico humano. Aún más preocupante, 37% del tráfico total de Internet correspondió a bad bots, es decir, automatizaciones maliciosas orientadas a fraude, scraping, robo de cuentas, manipulación de inventario y otros abusos.
Este cambio no es un detalle técnico menor. Significa que buena parte de la actividad que hoy circula por sitios web, aplicaciones y APIs ya no proviene de personas, sino de sistemas automatizados que observan, extraen, prueban, atacan o simulan comportamiento humano. El informe de Imperva atribuye este salto, en buena medida, a la expansión de la inteligencia artificial y de los grandes modelos de lenguaje, que han reducido la barrera de entrada para crear bots y han facilitado ataques más escalables y evasivos.
Qué significa realmente que los bots ya dominen Internet
Cuando se habla de bots, no todo es necesariamente dañino. Existen bots legítimos, como rastreadores de buscadores, herramientas de monitorización o automatizaciones útiles. El problema aparece cuando ese crecimiento del tráfico automatizado está liderado por actores maliciosos. El reporte de Imperva indica que la actividad de bad bots aumentó por sexto año consecutivo y pasó de 32% en 2023 a 37% en 2024, una subida muy fuerte para un solo año.
En otras palabras, no solo hay más bots; también hay más bots dañinos. Y esa diferencia importa mucho, porque cambia el foco de la conversación. Ya no se trata solo de detectar automatización, sino de distinguir intención, nivel de sofisticación y capacidad de evasión. Ese mismo desplazamiento aparece aún más marcado en el 2026 Bad Bot Report de Thales, que eleva la cifra a 53% del tráfico en 2025 y sitúa a los bad bots cerca de 40% del total. Aunque ese dato es más reciente y ya corresponde a otro período, refuerza la idea de una tendencia sostenida al alza.
Por qué la inteligencia artificial está acelerando este problema
Uno de los hallazgos más relevantes del informe de Imperva es que la IA no solo está haciendo más sofisticados a los bots avanzados; también está multiplicando los bots simples. Según el reporte, los simple bad bots crecieron hasta representar 45% del tráfico malicioso en 2024, frente a menos de 40% el año anterior. La explicación propuesta es clara: las herramientas generativas y los servicios de bots como plataforma han facilitado que personas con menos conocimientos técnicos puedan lanzar ataques automatizados.
Esto tiene una implicación estructural importante. Antes, parte del riesgo estaba concentrado en atacantes más especializados. Ahora, la IA reduce fricción, acelera scripts, mejora evasión y amplía el acceso a capacidades que antes exigían más conocimiento técnico. El resultado no es solo más sofisticación; también es más volumen, más frecuencia y más actores con capacidad de dañar.
Qué hacen exactamente los bots maliciosos
Los bad bots no son un fenómeno abstracto. Se usan para objetivos muy concretos. Imperva destaca tácticas como data scraping, account hijacking, inventory hoarding, credential stuffing y abuso de APIs con fines de fraude y extracción de valor económico. También indica que los ataques de account takeover crecieron 40% en 2024, impulsados probablemente por el uso de IA y aprendizaje automático para perfeccionar técnicas de robo de cuentas.
Este punto es clave porque explica por qué el tema no debe leerse solo como una curiosidad estadística. Cuando los bots crecen, no solo aumenta “el ruido” en la red. También crecen los intentos de apropiación de cuentas, el scraping de contenido, el agotamiento de inventario en ecommerce, la presión sobre infraestructuras y la exposición de datos sensibles. El impacto puede ser económico, reputacional y operativo al mismo tiempo.
Las APIs se han convertido en un objetivo prioritario
Otro hallazgo especialmente importante del reporte de 2025 es el cambio de foco hacia las APIs. Imperva señala que 44% del tráfico de bots avanzados se dirigió a APIs en 2024, frente a solo 10% orientado a aplicaciones tradicionales. Esto refleja un desplazamiento claro de los atacantes hacia los puntos de integración y datos que sostienen el funcionamiento moderno de servicios digitales, ecommerce, banca, telecomunicaciones y salud.
La razón es bastante lógica. Las APIs concentran procesos, autenticación, intercambio de datos y operaciones críticas. Atacarlas puede resultar más rentable que simular el comportamiento humano completo en la interfaz. Por eso, sectores como servicios financieros, telecomunicaciones, negocios y salud aparecen entre los más afectados por ataques de bots sobre APIs, acumulando más de 75% de estos incidentes según el informe.
Qué sectores están más expuestos
El reporte identifica al sector travel como el más atacado en 2024, superando al retail. Imperva indica que el sector viajes representó 27% de todos los ataques de bad bots, y que en sitios de viajes 48% del tráfico web provenía de bad bots, mientras el tráfico humano quedaba en 47%. Esto refleja un entorno donde las automatizaciones maliciosas ya compiten directamente con usuarios reales por espacio operativo y recursos.
El caso del turismo y las aerolíneas es especialmente ilustrativo porque combina múltiples incentivos para el abuso automatizado: scraping de precios, reserva masiva, acaparamiento temporal de inventario, fraude y sobrecarga operativa. Pero no es el único sector bajo presión. Los servicios financieros siguen encabezando incidentes de account takeover y las APIs en sectores críticos están cada vez más expuestas.
Por qué esto importa también a sitios pequeños y medianos
Aunque los grandes informes suelen enfocarse en industrias y plataformas de alto tráfico, el problema no afecta solo a grandes corporaciones. Sitios medianos, blogs, tiendas online, medios digitales y servicios con recursos limitados suelen tener menos capacidad de defensa, menos observabilidad y menos herramientas para distinguir tráfico humano de automatización abusiva. Un bot de scraping, una oleada de intentos de acceso o una extracción automatizada de precios puede impactar mucho más a una estructura pequeña que a una gran plataforma con protección especializada. Esta es una inferencia razonable a partir de la naturaleza de los ataques descritos por Imperva y de la relación entre automatización, volumen y capacidad defensiva.
Además, el crecimiento del tráfico automatizado no solo genera amenazas directas. También distorsiona analítica web, complica la atribución de campañas, consume recursos de servidor, reduce calidad de datos y puede afectar la experiencia de usuarios legítimos. El costo no siempre llega como una brecha espectacular; muchas veces aparece como degradación progresiva del entorno digital. Esta interpretación es una inferencia lógica basada en las funciones que los bots desempeñan y en el tipo de operaciones que el informe describe.
La frontera entre automatización legítima y abuso es cada vez más difusa
Uno de los cambios más profundos del escenario actual es que ya no basta con detectar si una interacción es humana o no. El desafío es entender qué está haciendo esa automatización y con qué propósito. Esa idea aparece con mucha claridad en la cobertura reciente del reporte de 2026, donde se advierte que el problema ya no es solo identificar bots, sino distinguir entre agentes útiles, automatización legítima y actividad maliciosa.
Ese matiz es importante porque Internet depende cada vez más de automatizaciones legítimas: indexación, integración de sistemas, monitoreo, asistentes y agentes. Pero esa misma expansión hace que el comportamiento malicioso pueda camuflarse mejor entre patrones de automatización cada vez más normales. Y ahí la IA vuelve a jugar un papel decisivo: no solo crea más bots, sino que les da mejor capacidad de imitación, adaptación y evasión.
Qué lección deja este panorama
La principal conclusión es que la conversación sobre bots ya no puede quedarse en el terreno técnico más estrecho. Cuando más de la mitad del tráfico es automatizado y una porción tan alta es maliciosa, el fenómeno pasa a ser un problema de seguridad, negocio, analítica, propiedad intelectual y resiliencia operativa. Ya no se trata solo de proteger formularios o bloquear scrapers aislados. Se trata de asumir que buena parte de la actividad que llega a cualquier servicio digital moderno puede no ser humana y que esa realidad exige nuevas prioridades defensivas.
También deja una advertencia clara para el corto plazo: si la IA sigue reduciendo barreras de entrada y aumentando la capacidad de evasión, el volumen de tráfico automatizado no parece encaminado a disminuir. Más bien lo contrario. Por eso, pensar que este es un problema “de otros” o “de grandes plataformas” sería una lectura demasiado optimista. Esa última afirmación es una inferencia razonable apoyada en la continuidad de la tendencia observada entre 2024 y 2025 en los reportes citados.
Preguntas frecuentes sobre el auge de los bots en Internet
¿De verdad más de la mitad de Internet ya son bots?
Sí. El 2025 Imperva Bad Bot Report afirma que el tráfico automatizado representó 51% del tráfico web en 2024, superando por primera vez en una década al tráfico humano.
¿Qué parte de ese tráfico corresponde a bots maliciosos?
Según el mismo informe, 37% de todo el tráfico de Internet en 2024 correspondió a bad bots, es decir, bots maliciosos.
¿Por qué están creciendo tanto los bots?
El informe atribuye buena parte del crecimiento a la expansión de la inteligencia artificial y de herramientas que facilitan crear, escalar y mejorar bots, incluso para actores con menos conocimientos técnicos.
¿Qué hacen los bad bots?
Se usan para scraping de datos, robo de cuentas, credential stuffing, manipulación de inventario, fraude y ataques a APIs, entre otros abusos.
¿Qué sectores están más expuestos?
En 2024, el sector viajes fue el más atacado por bots maliciosos. También destacan ataques relevantes sobre APIs y account takeover en servicios financieros y otros sectores con operaciones sensibles.
Recuerde que…
Más de la mitad de Internet ya son bots no es solo un titular llamativo. Es una señal de que la web está entrando en una fase donde la actividad automatizada ya no es periférica, sino dominante. Y cuando una parte tan grande de ese tráfico es malicioso, la pregunta deja de ser si hay bots en Internet. La pregunta real es cuánto de lo que hoy parece interacción digital normal ya está siendo condicionado, manipulado o atacado por máquinas.
Pueden leer más contenido en https://fernandojuca.com así como videotutoriales y podcast en youtube.com/fernandojucamaldonado.
Ingeniero en Sistemas de Información y docente universitario en el área de tecnología. Especialista en el desarrollo de sitios web, plataformas e-commerce y entornos virtuales de aprendizaje basados en Moodle. Experiencia en soluciones tecnológicas aplicadas a la educación y a la transformación digital de organizaciones.
