El equilibrio de fuerzas en la infraestructura digital global ha cruzado un umbral invisible pero de profundas consecuencias operativas. Por primera vez, la actividad humana en la red se sitúa por debajo de la automatización. Las interacciones generadas por personas descendieron al 47% del volumen global, cediendo la hegemonía a sistemas automatizados que ya gestionan el 53% de las peticiones en la infraestructura digital. Este cambio de paradigma no responde a una evolución lineal, sino a la irrupción de agentes autónomos que operan a velocidad de máquina y que transforman el tráfico de bots en un desafío de gobernanza para los comités de dirección.
La proliferación de la inteligencia artificial generativa ha alterado la taxonomía tradicional de la red. Hasta ahora, el ecosistema se dividía entre tráfico legítimo de usuarios y programas de indexación automatizada. La realidad actual muestra una fragmentación más compleja, donde los vectores de ataque se confunden con herramientas operativas cotidianas, abriendo interrogantes sobre la capacidad de resistencia de las arquitecturas de seguridad actuales en el tejido empresarial español.
El tráfico de bots y la reconfiguración de la seguridad perimetral
El volumen total de incidentes gestionados por las corporaciones evidencia la dimensión del cambio. Durante el último año fiscal, Thales Cybersecurity Products, cuya distribución en el mercado español realiza Exclusive Networks, llegó a bloquear 17,2 billones de peticiones automatizadas a nivel global. El dato adquiere una relevancia crítica si se atiende a la naturaleza de estas conexiones: el 40% del tráfico total corresponde a variantes maliciosas, un incremento de tres puntos porcentuales que sitúa a las organizaciones ante un asedio continuo donde cuatro de cada diez solicitudes web buscan explotar vulnerabilidades del sistema.
Este incremento en la intensidad coincide con una mutación en las herramientas utilizadas por los atacantes. El Informe Bad Bot 2026: «Bad Bots in the Agentic Age» destaca que las agresiones perpetradas mediante automatizaciones basadas en inteligencia artificial se multiplicaron por 12,5 en un solo ejercicio, pasando de 2 millones a 25 millones de incidentes registrados. Esta aceleración reduce el tiempo de reacción de los equipos de respuesta a incidentes, obligando a sustituir las defensas estáticas por modelos analíticos basados en el comportamiento del usuario.
La complicación reside en la aparición de los denominados agentes de IA, que actúan en representación de usuarios legítimos para realizar consultas o extraer información directamente de las aplicaciones. Esta categoría intermedia diluye las fronteras de los sistemas de filtrado habituales. Muchas consultas legítimas de asistentes virtuales imitan patrones de recolección de datos que las reglas corporativas catalogan como sospechosos, lo que eleva la tasa de falsos positivos y añade fricción a la experiencia del cliente digital.
Vulnerabilidades en APIs y el sector financiero
La evolución de las arquitecturas de software hacia modelos de microservicios e interconexión continua ha trasladado el centro de gravedad de los riesgos. El 27% de las ofensivas dirigidas por software automatizado ya no buscan vulnerar la interfaz gráfica de una página web, sino que atacan de manera directa las Interfaces de Programación de Aplicaciones (APIs). En estas capas intermedias, los programas maliciosos interactúan directamente con las bases de datos de la empresa sin pasar por los controles visuales del navegador, ejecutando peticiones con credenciales válidas que simulan transacciones rutinarias.
El impacto económico de estas técnicas se concentra de forma asimétrica en los sectores con mayor nivel de transaccionalidad. El fraude por usurpación de identidad, conocido en el ámbito técnico como Account Takeover (ATO), experimentó un crecimiento interanual del 70%. Las entidades financieras absorben el impacto principal de esta tendencia: el 24% de los ataques globales de bots y el 46% de los casos detectados de captura de cuentas afectaron a este sector.
«Estamos ante una transformación profunda del panorama de amenazas. La IA no está inventando nuevos tipos de ataque, sino potenciando los existentes a una velocidad y escala que los controles tradicionales no pueden absorber. La manera de pensar sobre la protección debe evolucionar: ya no basta con identificar si algo es un bot, hay que entender qué intención tiene y con qué sistemas críticos interactúa», detalla Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products.
Las implicaciones de un acceso no autorizado van más allá del perjuicio financiero inmediato o la interrupción del servicio. En el entorno regulatorio español y europeo, una brecha de seguridad de esta naturaleza activa de inmediato los protocolos de penalización contemplados en marcos normativos estrictos como el Reglamento General de Protección de Datos (RGPD), la directiva NIS2, la normativa PSD2 para servicios de pago o el reglamento DORA, específico para la resiliencia operativa del sector financiero. El coste derivado de las sanciones administrativas y la pérdida de confianza de los clientes supera, con frecuencia, la inversión necesaria para la actualización de las defensas informáticas.
La gobernanza ante los agentes de IA no autorizados
El análisis pormenorizado del tráfico derivado de la inteligencia artificial revela una falta de transparencia que dificulta la gestión de los activos digitales. Del volumen total de conexiones de IA que se pueden identificar en la red, el 85% corresponde a rastreadores dedicados al entrenamiento de modelos masivos de lenguaje (crawlers), mientras que el 15% restante está asociado a herramientas que ejecutan tareas concretas tras la orden directa de un usuario (fetchers).
Sin embargo, el anonimato y la falta de identificación de estas herramientas distorsionan las métricas operativas. Los datos analizados por Thales indican que más del 10% de las sesiones iniciadas por fetchers de IA y cerca del 9% de los rastreadores automatizados activaron de manera directa las alarmas perimetrales de las empresas por comportamientos idénticos a los de un ataque informático. Este fenómeno demuestra que las herramientas de automatización de IA emplean tácticas agresivas de extracción de información que saturan los servidores corporativos.
Frente a este escenario, las estrategias de protección que se limitan a bloquear direcciones IP o patrones conocidos de navegación pierden efectividad. Las corporaciones se ven obligadas a transitar hacia modelos de gobernanza dinámica que evalúen la intencionalidad de cada flujo de datos en tiempo real. Esto implica un rediseño de las políticas internas para determinar qué motores de IA tienen autorización para interactuar con los sistemas corporativos y cuáles deben ser rechazados en la capa de red para proteger la propiedad intelectual de la organización.
«La respuesta efectiva a los bots de nueva generación no puede depender de un único producto. Requiere una plataforma integrada que conecte la detección de automatización maliciosa con la protección de la identidad y la seguridad de las APIs. Eso es lo que ofrecemos desde Thales Cybersecurity Products en combinación con Imperva: visibilidad unificada, aplicación de políticas y análisis de comportamiento en cada capa donde los atacantes intentan operar», añade Fernández.
El diseño de la defensa corporativa se desplaza, de este modo, hacia una supervisión integral que coordina la identidad corporativa, los puntos de acceso de software y la monitorización heurística. La automatización avanzada ya no es un factor exógeno que deba bloquearse por defecto, sino un componente estructural del tráfico diario con el que las empresas deben coexistir, gestionando el riesgo operativo sin estrangular la conectividad ni los servicios de los que dependen sus usuarios legítimos.
