La actividad de los bots impulsados por la inteligencia artificial aumentó un 300% en un año, gran parte de la cual está vinculada al robo de datos, la manipulación de precios y los fraudes digitales, según el nuevo informe State of the Internet (SOTI) de Akamai Technologies.

El nuevo Fraud and Abuse Report 2025 señala que los bots de IA representan casi el 1% de toda la automatización detectada en la plataforma de Akamai, lo que equivale a miles de millones de interacciones diarias capaces de distorsionar analíticas, sobrecargar sistemas y afectar directamente a los ingresos de las empresas.

“Los bots de IA impulsan los ataques al manipular e imitar el comportamiento de las personas, lo que facilita los fraudes digitales, las transacciones no autorizadas y la creación de identidades falsas”, explicó Fernando Serto, Field CTO de Akamai Technologies para Latinoamérica. “Es un patrón que se repite globalmente, aunque con matices regionales. En los mercados latinoamericanos donde el consumo digital está muy extendido, como el pago sin contacto en México, que está ganando popularidad, los bots de IA encuentran el entorno ideal para explotar vulnerabilidades y obtener ventajas económicas rápidas”.

En Latinoamérica, México refleja un nivel de actividad significativo de bots con IA

Entre julio y agosto de 2025, Akamai identificó 948 mil millones de interacciones de bots en América Latina, de las cuales 697 millones fueron realizadas por bots impulsados por IA. México es el segundo país de la región con mayor actividad de bots de inteligencia artificial, con 230 millones de interacciones, situándose justo detrás de Brasil, que registró 408 millones. Sin embargo, otros países de la región registraron una actividad significativamente menor. Colombia reportó 32 millones, mientras que Chile registró solo 7,6 millones.

El sector comercial encabezó la lista de industrias con mayor actividad de bots de IA en la región, con 468 millones de interacciones, seguido por servicios financieros (83 millones) y el sector público (40 millones). Dentro del comercio, el segmento minorista concentró el 95% de los ataques. Los bots más activos detectados fueron GPTBot, ChatGPT-User, Meta-ExternalAgent, ClaudeBot y OAI-SearchBot.

De la extracción de datos al fraude: la evolución de los bots

Gran parte de los fraudes digitales son ejecutados mediante bots para cometer diversos delitos. En servicios financieros, automatizan intentos de inicio de sesión con combinaciones de usuario y contraseñas robadas, prueban números de tarjetas de crédito obtenidos ilícitamente o contraseñas comunes, y crean identidades falsas. Otros bots impiden que los consumidores completen compras, saturan el tráfico legítimo y obstaculizan procesos críticos de negocio.

“La IA ha convertido el cibercrimen en un servicio”, afirmó Fernando Serto. “El auge del fraud-as-a-service (FaaS), estafas vendidas como servicios listos para usar en mercados clandestinos, ha facilitado la ejecución de esquemas fraudulentos en línea. Herramientas como FraudGPT y WormGPT, que emplean IA generativa para crear mensajes de phishing, código malicioso e identidades falsas, han hecho que el fraude digital esté al alcance de cualquiera. Hoy se puede rentar un bot para casi cualquier tarea, desde lanzar un ataque hasta comprar boletos para un concierto muy demandado”.

Lo que antes requería habilidades técnicas avanzadas, ahora puede hacerse en minutos. La IA ha permitido automatizar ataques, aumentar su escala y velocidad, y reducir errores humanos que normalmente activan mecanismos de detección.

Mejores prácticas para enfrentar bots de IA

Si bien los bots pueden clasificarse según su comportamiento e impacto, son las empresas afectadas las que determinan si un bot es útil o dañino. Un bot beneficioso para una organización puede ser perjudicial para otra, dependiendo del tipo de sitio web y de las áreas que ataca.

“En lugar de bloquear toda la actividad de bots, las organizaciones deben evaluar su intención e identidad para entender su impacto potencial. Esto requiere soluciones especializadas de gestión de bots”, añadió Fernando Serto. “La recomendación es monitorear antes de bloquear, diferenciando el tráfico legítimo, como los motores de búsqueda, de la actividad maliciosa. También se sugiere adoptar marcos de defensa basados en estándares reconocidos, como el OWASP Top 10, que ayuda a mapear vulnerabilidades en aplicaciones, API y modelos de IA.”

Al mapear vulnerabilidades como fallas de control de acceso, brechas de autenticación, ataques por inyección, abuso de lógica de negocio, configuraciones incorrectas o exposición de datos, los equipos de seguridad pueden priorizar mejor sus medidas de protección.

Medidas recomendadas:

• Monitorear antes de bloquear: comprender qué tipo de bot accede al sitio y diferenciar entre bots legítimos y scrapers maliciosos.

• Crear capas de defensa: combinar detección de comportamiento, limitación de tasa, autenticación forzada y cortafuegos especializados en IA.

• Proteger APIs y aplicaciones: revisar configuraciones, integrar seguridad en el ciclo de vida de la API y supervisar todos los endpoints, incluidos los ocultos o “zombies”.

• Usar marcos reconocidos: seguir las guías de OWASP Top 10 y OWASP API Security para corregir vulnerabilidades críticas y reducir riesgos de fraude.

• Definir reglas claras de acceso: publicar archivos robots.txt o políticas similares para controlar las áreas que pueden rastrearse.

• Probar continuamente: realizar pruebas de penetración y simulaciones de ataques para validar la efectividad de las defensas.