Bots generaron el 58% del tráfico web en Singapur durante 2025, según informe de Thales

El informe 2026 Bad Bot Report: Bad Bots in the Agentic Age de Thales expuso cómo el tráfico automatizado afectó aplicaciones web, interfaces de programación de aplicaciones (API) y sistemas de identidad en Singapur durante 2025, según informó la compañía de seguridad.

A nivel global, los bots representaron el 53% del tráfico web, un aumento desde el 51% registrado el año anterior, mientras que el tráfico humano cayó al 47%, según Thales. La tendencia en Singapur superó el promedio mundial, con los bots alcanzando el 58% frente al 42% de usuarios humanos.

Los ataques de bots impulsados por inteligencia artificial se multiplicaron por 12,5 en 2025 en comparación con el año previo, según el informe. Thales identificó a los agentes de IA como una categoría de tráfico separada, junto a los bots buenos tradicionales y los bots maliciosos.

Los agentes de IA interactúan con aplicaciones y API para recuperar datos, completar tareas y automatizar flujos de trabajo, según explicó la compañía. Esto crea un desafío de clasificación porque la actividad automatizada puede ser legítima, dañina o difícil de verificar basándose únicamente en patrones de tráfico, añadió Thales.

"La IA está transformando la automatización de algo que las organizaciones intentan bloquear a algo que también deben gestionar", dijo Tim Chang, vicepresidente global y gerente general de seguridad de aplicaciones en Thales. "El desafío ya no es identificar bots. Es entender qué está haciendo el bot, agente o automatización, si se alinea con la intención del negocio y cómo interactúa con sistemas críticos", agregó Chang.

El informe señaló que parte de la actividad impulsada por IA permanece sin verificar o es difícil de distinguir del tráfico legítimo. Esto limita la visibilidad para las organizaciones que evalúan cómo los sistemas automatizados interactúan con aplicaciones orientadas al cliente y servicios backend, según Thales.

En Singapur, los deportes, viajes y salud fueron las tres industrias más atacadas por bots avanzados. Los deportes representaron el 55% de estos ataques, seguidos por viajes con el 40% y salud con el 29%, según el reporte.

Thales también informó que el 27% de los ataques de bots se dirigieron a API. Las API permiten que los sistemas de software intercambien datos y activen funciones sin pasar por una interfaz de usuario, lo que las convierte en una ruta directa hacia servicios backend, explicó la compañía.

La actividad de bots dirigida a API puede usar autenticación válida y solicitudes correctamente formateadas, según Thales. Estos ataques pueden explotar la lógica empresarial, extraer datos sensibles o manipular flujos de trabajo sin aparecer como tráfico malformado u obviamente sospechoso, añadió la empresa.

Los servicios financieros concentraron el 79% de los ataques de bots en Singapur, según el informe. El sector de computación y tecnologías de la información registró la mayor proporción de ataques de apropiación de cuentas, con el 45% de los incidentes registrados, informó Thales.

La industria del juego registró el porcentaje más alto de tráfico de bots maliciosos en Singapur, alcanzando el 100%. Thales señaló que las cifras muestran cómo la actividad automatizada se está utilizando en sectores donde el acceso a cuentas, transacciones o datos monetizables son centrales para las operaciones comerciales.

"Los hallazgos de Singapur son una llamada de atención sobre cómo la automatización impulsada por IA está remodelando nuestro panorama digital", dijo Andy Zollo, vicepresidente senior para Asia-Pacífico y Japón de seguridad de aplicaciones y datos en Thales.

Zollo afirmó que los agentes de IA se han convertido en "una categoría distinta de tráfico por derecho propio", agregando que ahora están integrados en cómo funcionan las aplicaciones y API. También señaló que los servicios financieros representaron casi el 80% de los ataques de bots locales.

El informe indicó que el aumento de la interacción impulsada por máquinas está cambiando cómo las organizaciones monitorean la actividad de las aplicaciones. Los bots y agentes de IA ahora afectan la composición del tráfico, la actividad de cuentas, el uso de API y los controles de seguridad, según Thales.

Las defensas convencionales contra bots basadas principalmente en detección y bloqueo son menos adecuadas para entornos donde la automatización también puede ser legítima, según la compañía. Thales señaló un enfoque basado en gobernanza que incluye visibilidad, aplicación de políticas y análisis de comportamiento.

El reporte concluyó que las organizaciones necesitan definir qué agentes de IA tienen permitido interactuar con los sistemas, aplicar controles en las capas de API e identidad, y evaluar el comportamiento automatizado basándose en el contexto en lugar de solo en la clasificación.