La web no humana: los bots IA toman el control. ¿Qué riesgos conlleva?

El informe de referencia de HUMAN Security para 2026 confirma un cambio estructural en internet: el tráfico automatizado crece ocho veces más rápido que el humano y los agentes de IA han pasado de experimento a realidad operativa. La Inteligencia artificial y los bots se han apoderado oficialmente de internet, con los riesgos de seguridad que esto supone. Lo analizamos en el artículo, dedicando especial atención al sector de medios de comunicación, uno de los más afectados.

Cuando publicamos contenido en internet, seguimos pensando en lectores humanos. Pero los datos actuales nos obligan a replantear esa suposición. Según “The 2026 State of AI Traffic & Cyberthreat Benchmark Report”, elaborado por HUMAN Security, el tráfico automatizado (todo el generado por sistemas no humanos) ha crecido un 23,51% interanual, aproximadamente ocho veces más rápido que el humano, que apenas subió un 3,10% en el mismo periodo.

Este dato no es anecdótico. Es una señal de que nuestros sitios web están siendo visitados, leídos y, cada vez más, utilizados por sistemas automáticos que actúan en nombre de personas o de otros sistemas. El director ejecutivo de la compañía, Stu Solomon, ha declarado a la CNBC que tenemos que vivir en un mundo donde las máquinas toman el control, por lo que es necesario establecer un nivel de confianza que perdure en el tiempo.

Antes de la era de la IA generativa, Internet estaba compuesto en un 20% por tráfico de bots, impulsado principalmente por el rastreador web de Google. Para 2027, expertos como el director ejecutivo de Cloudflare, Matthew Prince, auguran que los bots de IA superarán el tráfico humano, por la insaciable necesidad de datos de la inteligencia artificial.

El informe de HUMAN Security aborda esta cuestión, basándose en información anónima de sus clientes entre 2022 y 2025.

El tráfico impulsado por IA, protagonista indiscutible

Dentro de la automatización general, el tráfico impulsado por IA ha emergido como el vector de crecimiento dominante. Los volúmenes mensuales casi se triplicaron entre enero y diciembre de 2025, con un aumento del 187%. Más del 95% de este tráfico se concentra en tres sectores: comercio minorista y electrónico, streaming y medios de comunicación, y viajes y hostelería, donde los datos estructurados y actualizados con frecuencia tienen el mayor valor comercial para los productos de IA y la mayor utilidad para los usuarios finales.

En cuanto a quién genera ese tráfico, el informe es muy claro: los bots de OpenAI representan aproximadamente el 69% del total, Meta-External Agent contribuye con un 16% adicional y las identidades de Anthropic (ClaudeBot y Claude-SearchBot) con alrededor del 11%.

Fuente: Informe “The 2026 State of AI Traffic & Cyberthreat Benchmark Report”, de Human Security.

De rastreadores a agentes: un salto cualitativo

Si hay un dato que resume la transformación de fondo, es este: en enero de 2025, los rastreadores de entrenamiento representaban el 90% del tráfico de IA; en diciembre, esta cifra había caído al 74%, mientras los rastreadores en tiempo real subían al 24% y una nueva categoría, los agentes, alcanzaba el 1,7%.

Es un porcentaje pequeño, pero la trayectoria es lo que importa, según precisa el estudio, ya que el tráfico de IA agencial creció un 7.851% interanual. Los agentes no solo leen la web como hacían los rastreadores tradicionales: navegan por páginas, completan formularios, compran productos, inician sesiones y ejecutan compras de forma autónoma. Por primera vez, los sistemas de IA están realizando transacciones financieras reales en la web abierta. Según el estudio, el 2,3% de la actividad de IA automatizada ya se producía en páginas de pago.

Para los editores de contenido y los gestores de tiendas online, esto tiene implicaciones directas: los agentes de IA operan dentro de sesiones autenticadas (el 8,82% de su actividad ocurre en páginas de cuenta y el 4,95% en flujos de autenticación), lo que significa que la distinción clásica entre “usuario humano” y “bot” ya no basta para diseñar políticas de acceso o seguridad.

En concreto, el sector del streaming y medios de comunicación representa el 28,5% del tráfico agencial. Aquí, los scrapers de IA buscan contenido fresco en tiempo real para productos de resumen de noticias. Este fenómeno coincide con las tendencias para el sector media en 2026 de KPMG que recogimos en nuestro anterior artículo del blog.

El lado oscuro: las ciberamenazas siguen creciendo al mismo ritmo

El informe no es solo una crónica del auge de la IA. Es también una radiografía del deterioro del entorno de seguridad digital. Las superficies que los agentes IA están transformando (descubrimiento de productos, gestión de cuentas, pagos…) son exactamente las mismas que los ciberdelincuentes atacan con mayor frecuencia.

Principales ciberataques

• Robo de cuentas (ATO): 402.000 intentos de compromiso post-login detectados de media por organización en 2025, frente a 100.000 en 2024.

• Fraude con tarjetas: el volumen de interacciones de pago fraudulentas bloqueadas desde 2022 ha subido un 250%.

• Web scraping malicioso: un 20% del tráfico global intenta un ataque de scraping: el doble que en 2022. En sectores muy expuestos, como el de streaming, la cifra supera el 60%.

• Cuentas falsas: en 2025 han subido un 89% adicional, tras un crecimiento del 259% entre 2023 y 2024.

Medios y Streaming, en el punto de mira

Las empresas de streaming y medios de comunicación se enfrentan a patrones de ataque específicos, como delincuentes que prueban tarjetas robadas mediante suscripciones de bajo coste y operaciones de fraude en streaming que explotan cuentas falsas para generar una interacción artificial a gran escala.

Las compañías más afectadas han visto cómo los intentos de ataques de ATO casi se han duplicado desde 2023, alcanzando casi el 71% del tráfico de inicio de sesión en 2025. Por su parte, los ataques de web scraping están aumentando significativamente. La tasa media de intentos de ataque se ha duplicado desde 2022, superando el 37% del tráfico del sitio en 2025.

Fuente: Informe “The 2026 State of AI Traffic & Cyberthreat Benchmark Report”, de Human Security.

El nuevo reto

La pregunta ahora ya no es ¿es esto un bot o un humano?. Comportamientos que antes eran señales inequívocas de ataque (navegación rápida por páginas, cumplimentación programática de formularios, pagos automatizados…) ahora pueden corresponder perfectamente a un asistente de compras legítimo actuando en nombre de un usuario real.

“La cuestión ya no es si el tráfico está automatizado, sino si una interacción determinada es fiable, independientemente de si proviene de un ser humano, un agente de IA o un navegador automatizado”. 

HUMAN Security.

Según el informe, solo medio punto porcentual separa la tasa de automatización benigna de la maliciosa. En esta tesitura, bloquear toda automatización supone perder ingresos legítimos e ignorarla supone absorber el fraude. Las decisiones políticas que se tomen ahora sobre cómo gestionar este tráfico determinarán los riesgos y las oportunidades para las organizaciones durante los próximos años.

Precisamente, nuestro partner tecnológico Transparent Edge acaba de publicar una guía práctica sobre los bots de IA que cubre el panorama actual, las amenazas reales y las oportunidades que se abren con el comercio agéntico y la búsqueda generativa. Un documento que responde, entre otras preguntas, a las siguientes: ¿cómo distinguir los bots que aportan de los que atacan? ¿Cómo gobernar el tráfico automatizado sin perder visibilidad ni exponer el negocio?

El tráfico agencial ha llegado para quedarse, y la infraestructura de confianza para gestionarlo es una necesidad inmediata, no una hoja de ruta futura.

———

Bitban Technologies lleva más de una década colaborando con Transparent Edge para garantizar que bCube CMS funcione de manera más segura y estable. La plataforma de Transparent actúa como primera línea de defensa contra las amenazas más frecuentes en el sector de medios de comunicación y su arquitectura distribuida mantiene la continuidad del servicio incluso durante los picos de tráfico más exigentes.

Más allá de la infraestructura, la alianza aborda también los riesgos propios de la era de la IA. En nuestro Whitepaper conjunto sobre ciberseguridad, el capítulo dedicado a la IA analiza en detalle cómo los prompts se han convertido en un nuevo vector de ataque, los riesgos de los sistemas RAG conectados al CMS, el impacto de los agentes autónomos en los flujos editoriales y los bots automatizados y la extracción masiva del contenido. Porque en la era de la Inteligencia Artificial, proteger un medio ya no significa solo defender servidores, sino también proteger el diálogo.