Piensa en la última vez que tu equipo calibró los umbrales de detección de anomalías, ajustó las reglas de rate limiting, o revisó las líneas base de comportamiento de usuarios en tus sistemas de autenticación. Lo más probable es que esas calibraciones se hicieran asumiendo que la mayoría del tráfico entrante es generado por personas. Según HUMAN Security, esa premisa ya no es válida: el tráfico automatizado está creciendo ocho veces más rápido que el tráfico humano, y los sistemas de inteligencia artificial han comenzado a participar activamente en el comercio digital. El problema no es que existan bots. El problema es que tu infraestructura fue diseñada para un internet que ya no existe.

Los números que cambian el contexto

En 2025, la plataforma de defensa de HUMAN Security analizó más de un cuatrillón de interacciones digitales, revelando un internet moldeado por el auge del tráfico impulsado por IA, que creció un 187% de enero a diciembre, con una diversidad creciente de automatización detrás de él.

Ese 187% de crecimiento anual en tráfico de IA ya es disruptivo por sí solo. Pero dentro de esa categoría, la subcategoría más destacada de 2025 fue la de la IA agéntica: el tráfico generado por sistemas autónomos capaces de navegar y actuar en la web creció un 7,851% interanual. La diferencia entre este fenómeno y los bots tradicionales es cualitativa, no solo cuantitativa. Lo que hacen estos agentes de IA es cualitativamente diferente a lo que existía antes: los crawlers leían datos, pero los agentes de IA interactúan con ellos. Pueden completar compras en línea, gestionar cuentas y navegar sesiones autenticadas.

El dato más accionable para los equipos de seguridad proviene del 2026 Cloudflare Threat Report, publicado el 3 de marzo de 2026: según la telemetría de Cloudflare, en los últimos tres meses analizados, el 63% de todos los logins involucró credenciales ya comprometidas en otra parte, y el 94% de todos los intentos de login se originaron en bots. Esto significa que si tu sistema de detección de anomalías identifica una desviación del “comportamiento normal de login”, está midiendo una desviación respecto a una línea base que es mayoritariamente automatizada, no humana.

Para cerrar el contexto: Matthew Prince, CEO de Cloudflare, declaró en el SXSW de marzo de 2026 que, al ritmo actual de crecimiento de la inteligencia artificial, el tráfico de bots superará al tráfico humano en internet para 2027. No es una predicción especulativa. Prince lo expresó de forma directa: “Sospechamos que en 2027 la cantidad de tráfico de bots en línea superará la cantidad de tráfico humano.” Y añadió que este crecimiento no tiene señales de desaceleración.

Tres capas de impacto en tu organización

Seguridad y autenticación. Los bots usan credential stuffing, ataques de fuerza bruta y listas de contraseñas robadas para intentar acceder a sitios web, aplicaciones y APIs. Con el 94% de los intentos de login siendo automatizados, los modelos de detección entrenados en patrones de comportamiento “humano” están operando con una línea base incorrecta. Adicionalmente, infostealers como LummaC2 extraen tokens de sesión activos de máquinas infectadas, no contraseñas almacenadas. Esos tokens dan acceso a sesiones ya autenticadas, eludiendo completamente el MFA. La consecuencia práctica: el MFA bien implementado no protege contra un atacante que ya tiene el token de sesión. Tu arquitectura de autenticación necesita pensar en validación continua de sesión, no solo en el momento del login.

Analítica y métricas de negocio. El comportamiento de tráfico que antes señalaba un ataque —navegación rápida, llenado automatizado de formularios— es ahora normal para un agente de compras legítimo. Pero esto no significa que toda la automatización sea confiable. Si tus métricas de conversión, tasa de rebote, funnel de e-commerce o modelos de scoring de propensión fueron construidos sobre datos históricos de sesiones, es probable que estén contaminados con comportamiento automatizado clasificado como humano. El reporte de HUMAN Security señala un desafío crítico: los patrones de comportamiento del comercio legítimo de IA y del fraude automatizado son casi idénticos, con apenas 0.5 puntos porcentuales de diferencia entre automatización benigna y maliciosa. Esto vuelve obsoleta la lógica de seguridad tradicional basada en el binario humano vs. máquina.

Infraestructura y costos operativos. Los bots incrementan el uso web en paralelo al crecimiento de la IA generativa porque pueden visitar muchos más sitios para obtener respuestas. Si un humano realizando una tarea visitara cinco sitios web, el agente que la ejecuta por él puede visitar 1,000 veces más sitios. Esto se traduce directamente en carga sobre tus APIs, tus sistemas de CDN, tus reglas de WAF y tus presupuestos de cómputo. Las reglas de rate limiting diseñadas para picos de tráfico humano son insuficientes frente a un agente que necesita hacer miles de requests para completar una sola tarea de usuario.

Cómo adaptar tu arquitectura a esta nueva realidad

La respuesta no es bloquear todo el tráfico automatizado. Parte de ese tráfico representa oportunidades de negocio reales: agentes que compran en nombre de usuarios, crawlers legítimos de plataformas de IA —y bloquearlo indiscriminadamente es tan costoso como ignorarlo. El objetivo es implementar una capa de validación de confianza, no de identificación binaria.

Un punto de partida concreto para equipos técnicos:

• Auditar las líneas base. Revisar los umbrales de detección de anomalías en sistemas de autenticación, APIs y WAF usando datos recientes. Si fueron configurados hace más de 12 meses, probablemente reflejan una composición de tráfico obsoleta.
• Separar identidad de comportamiento. Implementar validación continua de sesión, no solo en el punto de autenticación. Los tokens robados eluden el MFA: la validación conductual de sesión no.
• Auditar pipelines de analytics. Identificar qué porcentaje del tráfico histórico usado para entrenar modelos de comportamiento, scoring o personalización fue clasificado correctamente como humano vs. automatizado.
• Definir políticas diferenciadas por tipo de bot. El éxito en esta nueva era requiere ir más allá de los controles estáticos basados en identidad hacia una validación conductual continua a lo largo de todo el ciclo de vida de la sesión.
• Evaluar la exposición agéntica. En 2025, el 77% de la actividad de IA agéntica ocurrió en páginas de producto y búsqueda, mientras que el 8.8% se produjo en páginas de cuenta, el 5% en flujos de autenticación y el 2.3% en páginas de pago. Mapear cuáles de esos puntos son más críticos en tu arquitectura es el primer paso para priorizar dónde reforzar controles.

Cómo podemos ayudar desde Threan

Adaptarse a esta nueva composición del tráfico no es un proyecto de seguridad aislado: toca autenticación, arquitectura de APIs, pipelines de datos y modelos analíticos al mismo tiempo. En Threan trabajamos con equipos de tecnología de empresas medianas y grandes que necesitan capacidad técnica especializada para abordar estas iniciativas sin detener su operación habitual.

A través de nuestro modelo de staff augmentation y equipos dedicados nearshore, podemos aportar perfiles especializados en DevSecOps, arquitectura cloud, ingeniería de datos y desarrollo a medida que se integran directamente con tus equipos internos. No vendemos proyectos cerrados: trabajamos como una extensión de tu equipo técnico, con la flexibilidad de escalar según las prioridades que definas.

La brecha entre el tráfico automatizado y el humano seguirá ampliándose. Las organizaciones que construyan ahora la capacidad técnica para distinguir entre automatización legítima y maliciosa estarán en mejor posición para capitalizar el internet agéntico, no solo para defenderse de él.

¿Quieres explorar cómo tu arquitectura actual responde a este escenario? Conversemos.

Preguntas frecuentes

¿Debemos bloquear todo el tráfico de bots y agentes de IA? No. Parte de ese tráfico puede representar canales de ventas emergentes: agentes que actúan en nombre de clientes reales. La estrategia correcta es clasificar y gestionar el tráfico automatizado, no bloquearlo indiscriminadamente. Necesitas visibilidad antes de tomar decisiones de política.

¿El 94% de logins siendo bots significa que nuestro MFA no sirve? No exactamente. Los infostealers modernos extraen tokens de sesión activos, no contraseñas. Esos tokens dan acceso a sesiones ya autenticadas, eludiendo el MFA. El MFA sigue siendo necesario, pero debe complementarse con validación continua de sesión y detección de tokens comprometidos.

¿Cómo sé si mis métricas de analytics están contaminadas por tráfico de bots? Una señal de alerta es una tasa de rebote anormalmente baja o tiempos de sesión homogéneos en segmentos específicos. Un agente de IA navegando productos, accediendo a una cuenta y completando un pago podría estar actuando en nombre de un cliente real, o ejecutando una operación de fraude de forma autónoma. El comportamiento es el mismo. La intención no. Un ejercicio de segmentación entre sesiones humanas verificadas y tráfico automatizado sobre datos históricos es el punto de partida.

¿Esto aplica también a empresas medianas que no son e-commerce? Sí. Según el reporte 2026 de HUMAN Security, el volumen de ataques de account takeover cayó más del 30% en 2025, pero el porcentaje del tráfico de login que intenta un ATO tuvo su mayor salto en años, especialmente desde EMEA donde superó el 13%, frente a menos del 3.5% globalmente. Los ataques son más selectivos y eficientes, no menos frecuentes. Cualquier sistema con autenticación es un objetivo.