En 2023, más de la mitad (53%) de todo el tráfico de Internet en México provino de bots. Esto supone un incremento del 8% respecto al tráfico del año 2022, y el nivel más alto que Imperva ha notificado desde que comenzó a supervisar el tráfico automatizado en 2013.

Lo anterior es parte del informe Imperva Bad Bot 2024, un análisis global del tráfico automatizado de bots en Internet, el cual también destaca que el volumen de tráfico de bots maliciosos en México (aplicaciones de software automatizadas maliciosas capaces de realizar usos indebidos y ataques a alta velocidad) creció hasta el 42,8%. Y las repercusiones son inmediatas para las organizaciones, ya que les está costando miles de millones (USD) anuales debido a los ataques a sitios web, API y aplicaciones.

“Los bots son una de las amenazas más generalizadas y crecientes a las que se enfrentan todos los sectores”, afirmó Ricardo Cázares, vicepresidente de Imperva en Latinoamérica y el Caribe. “Desde el simple web scraping, hasta la toma de control maliciosa de cuentas, el spam y la denegación de servicio, los bots afectan negativamente a los resultados de una organización al degradar los servicios online y requerir más inversión en infraestructura y atención al cliente. Las organizaciones deben abordar de forma proactiva la amenaza de los bots maliciosos a medida que los atacantes agudizan su enfoque en los abusos relacionados con la API que pueden conducir al compromiso de cuentas o a la filtración de datos.”

Conclusiones clave del informe 2024 de Imperva sobre bad bots: 

• México en el top 3 de países con el tráfico más alto de bots maliciosos en el mundo: Irlanda (71%), Alemania (67,5%) y México (42,8%) fueron los 3 países con los niveles más altos de tráfico de bots maliciosos en 2023.
• Creciente uso de IA generativa conectada al aumento de bots maliciosos simples: La rápida adopción de IA generativa y los grandes modelos de lenguaje (LLM) dio como resultado que el volumen de bots maliciosos simples aumentara al 68,4% en 2023, frente al 45,6% de media global. La tecnología de IA utiliza bots para “scraping web” y rastreadores automatizados para alimentar modelos de entrenamiento, al tiempo que permite a los usuarios no técnicos escribir secuencias de comandos automatizadas para su propio uso.
• La usurpación de cuentas es un riesgo empresarial persistente: Los ataques de apropiación de cuentas (ATO) aumentaron un 10% en 2023 a nivel global, en comparación con el mismo periodo del año anterior. De todos los intentos de inicio de sesión a través de Internet, el 11% se asoció con este tipo de ataques. Los sectores que registraron el mayor volumen de ataques ATO en 2023 a nivel global fueron los servicios financieros (36,8%), turismo (11,5%) y los servicios empresariales (8%).
• Los sectores de telecomunicaciones (83,5%), los negocios de apuestas online (83,1%), los videojuegos (58,7%) las empresas de turismo (50,4%) y la industria de entretenimiento (47,5%) experimentan el mayor volumen de ataques de bots maliciosos en México. Mientras tanto, el comercio minorista y los servicios financieros experimentaron un incremento considerable en el volumen de ataques en 2023. Sin duda, los bots son un problema creciente para todas las industrias.
• Las API son un vector popular de ataque: Las amenazas automatizadas causaron un significativo 30% de los ataques a API en 2023 a nivel global. Entre ellos, el 17% eran bots maliciosos que explotaban vulnerabilidades de lógica empresarial, es decir, fallos en el diseño y la implementación de la API que permiten a los cibercriminales manipular funciones legítimas y acceder a datos confidenciales o cuentas de usuario. Los atacantes utilizan bots automatizados para encontrar y explotar las API, que actúan como una vía directa a los datos confidenciales, lo que las convierte en un objetivo principal para el abuso a la lógica empresarial.

“Los bots automatizados pronto superarán la proporción de tráfico de Internet procedente de seres humanos, lo que cambiará la forma en que las organizaciones abordan la creación y protección de sus sitios web y aplicaciones”, explicó Ricardo Cazares. “A medida que se introduzcan más herramientas habilitadas para IA, los bots se volverán omnipresentes. Las organizaciones deben invertir en herramientas de gestión de bots y seguridad de API para gestionar la amenaza del tráfico malicioso y automatizado”.