El 53% del tráfico web global en 2025 fue generado por bots, superando la actividad humana y destacando la predominancia de bots maliciosos según el informe Bad Bot 2026.

El 53% del tráfico en internet es generado por bots

• La irrupción de la inteligencia artificial ha transformado la red, provocando que actualmente esté saturada de agentes automatizados. De acuerdo con el informe Bad Bot 2026, durante el año 2025 los bots superaron a los usuarios humanos, concentrando el 53% del tráfico web global, mientras que las personas solo representaron el 47%.

La IA ha cambiado drásticamente el mundo, y uno de los más afectados es cómo funciona internet, el cual ahora está plagado de bots. Según el informe Bad Bot 2026, los bots representaron en el año 2025 el 53% de todo el tráfico web global, frente al 47% generado por personas. Es decir, que más de la mitad de las interacciones que reciben webs, aplicaciones y APIs ya proceden de sistemas automatizados controlados por IA.

Lo peor de todo, es que los ataques de bots impulsados por IA se multiplicaron por 12,5 veces, pasando de 2 millones a 25 millones, hasta el punto de que la compañía francesa Thales Group bloqueó 17,2 billones de solicitudes automatizadas procedentes de bots. Es más, nosotros mismos recibimos un ataque de bots desde china el pasado mes de abril con 7 millones de solicitudes automatizadas en poco más de 24 horas.

No sólo hay más bots en Internet, sino que gracias a la IA ahora la mayoría han pasado de ser bots "buenos" a maliciosos

Así es, la clave no está solo en que haya más bots, sino en que la IA está cambiando su comportamiento. Hasta ahora, la clasificación habitual distinguía entre bots “buenos”, que son los rastreadores de buscadores o sistemas de monitorización, y bots maliciosos. Pero Thales introduce una tercera categoría: los agentes de IA. Estos son capaces de interactuar con aplicaciones y APIs en nombre de usuarios reales para consultar datos, ejecutar tareas o completar flujos de trabajo. Esto complica mucho la defensa, porque el problema ya no es simplemente detectar si una persona es un bot, sino entender qué intención tiene y si su comportamiento encaja con el uso legítimo del servicio.

El dato más llamativo es que el 40% de todo el tráfico web ya corresponde a bots maliciosos, tres puntos más que el año anterior. No todo ese 40% tiene por qué ser necesariamente “IA pura”, pero la IA sí está acelerando la creación, evasión y adaptación de estos bots. Thales indica que los bots ya pueden modificar huellas digitales, ajustar tiempos de interacción y adaptarse a controles defensivos. Esto hace que las técnicas tradicionales como bloqueos simples, listas negras o límites de frecuencia sean cada vez menos eficaces.

El nuevo frente crítico son las APIs. El informe señala que el 27% de los ataques de bots ya se dirige directamente a estas interfaces, evitando la capa visual de las webs y operando contra los sistemas internos a velocidad de máquina. Esto es especialmente problemático porque muchas de estas peticiones parecen legítimas: pueden usar autenticación válida, solicitudes bien formadas y patrones que no disparan alertas evidentes. En la práctica, el atacante no necesita “romper” la web tradicional; puede abusar de la lógica de negocio, consultar datos, automatizar compras, manipular precios, probar credenciales o explotar flujos internos.

El sector financiero es el más afectado de este tráfico web global plagado de bots

Según Thales, los servicios financieros concentraron el 24% de todos los ataques de bots y el 46% de Account Takeover, es decir, toma de control de cuentas. Este tipo de ataque es especialmente sensible porque combina fraude directo, robo de identidad, pérdida de confianza y riesgo regulatorio. En Europa, una brecha de este tipo puede tener implicaciones bajo marcos como RGPD, DORA, NIS2 o PSD2. Especialmente si afecta a datos personales, continuidad operativa o servicios financieros críticos. El informe también pone el foco en los agentes de IA no autorizados.

Del tráfico de IA detectable en 2025, se distingue entre crawlers de IA, orientados al entrenamiento o recopilación de datos, y fetchers de IA, que recuperan contenido en tiempo real para responder a una petición de usuario. Según el informe, el 85% del tráfico de IA identificado correspondía a crawlers y el 15% a fetchers. Además, más del 10% de las sesiones de fetchers y casi el 9% de las sesiones de crawlers activaron reglas de detección de bots maliciosos, lo que refuerza la idea de que parte de esta automatización ya se comporta como una amenaza de Internet, aunque se presente como actividad legítima.

Este fenómeno de bots tiene una lectura especialmente relevante para medios digitales y las web de contenido. La corporación líder en ciberseguridad, Akamai, publicó en abril de 2026 un informe sobre el impacto de los bots de IA en el sector editorial. En concreto, la actividad de estos bots creció un 300% en 2025. Los medios representaron el 13% del tráfico de bots de IA, con las editoriales concentrando el 40% de esa actividad dentro del sector de medios. El problema no es solo la carga técnica, sino el modelo de negocio. Los chatbots de IA generaron aproximadamente un 96% menos de tráfico referido que la búsqueda tradicional de Google en el cuarto trimestre de 2024. Esto ha reducido las visitas, ingresos publicitarios y visibilidad de marca. Es decir, que el Internet tal y como lo conocemos está muriendo.

Cloudflare también ha descrito este desequilibrio como una brecha entre rastreo y retorno de tráfico. Sus datos apuntan a que el rastreo destinado a entrenamiento representaba cerca del 80% de la actividad de bots de IA a mediados de 2025. Además indicó que los creadores de contenido estaban cayendo. Es decir, las máquinas no solo consumen cada vez más contenido, sino que están cerrando las webs que lo generan. Por eso están apareciendo propuestas como "Pagar por Entrenar", con la idea de que los propietarios de contenido puedan permitir, bloquear o cobrar a determinados crawlers por acceder a sus páginas. Spoiler, eso no está sucediendo, y se está acelerando el número de webs que cierran.