La arquitectura fundamental de Internet ha sufrido un punto de inflexión irreversible. Según los datos del “Informe Bad Bot 2026” de Thales, el ecosistema digital ha transitado hacia una infraestructura de máquina a máquina (M2M) donde el tráfico automatizado (53%) ha superado definitivamente a la interacción humana (47%). Este cambio estructural sitúa a los usuarios como una minoría en su propio entorno y plantea retos sin precedentes para la gobernanza y la comunicación corporativa.
La consolidación de la “Era Agéntica” [Gemini dice que es un cambio de paradigma en la inteligencia artificial donde pasamos de “asistentes que responden preguntas” a “agentes inteligentes que actúan por sí solos”] ha introducido una nueva categoría de tráfico compuesta por agentes de Inteligencia Artificial que operan de forma autónoma. Entre estos destacan los Crawlers de IA, dedicados a la recolección masiva de datos y que representan 85% del tráfico de IA, y los Fetchers de IA (15%), que ejecutan tareas en tiempo real. Sin embargo, la mayor alarma recae en el surgimiento de una “IA en la sombra”: cerca de 10% de estos agentes ya muestran comportamientos maliciosos y no autorizados.
Métricas contaminadas
Para los departamentos de comunicación corporativa y marketing, la escala masiva de esta automatización significa operar sobre un terreno de datos contaminados. Con un aumento espectacular en los incidentes de bots impulsados por IA (de 2 a 25 millones en el último año), la frontera entre el interés humano legítimo y el rastreo sintético ha desaparecido, obligando a las empresas a tomar decisiones basadas en “espejismos estadísticos”.
A nivel reputacional y de gobernanza, el riesgo es aún más severo. El fraude mediante la toma de control de cuentas (ATO) ha crecido 70% interanual, con repercusiones devastadoras que pueden destruir instantáneamente la fidelidad del cliente y provocar el abandono hacia la competencia. Este nivel de exposición somete a las organizaciones a graves riesgos de incumplimiento de normativas críticas como RGPD, DORA, NIS2 y PSD2 [normativas clave de la Unión Europea diseñadas para garantizar la privacidad, proteger los datos, asegurar las transacciones digitales y aumentar la ciberseguridad empresarial].
El sector financiero es el principal afectado, concentrando 46% de los incidentes de ATO (Account Takeover, o robo/apropiación de cuentas) y 24% de los ataques globales de bots.
APIs: el nuevo campo de batalla
Los ciberdelincuentes han adaptado sus tácticas a la transformación digital. 27% de los ataques de bots actuales evitan las interfaces de usuario tradicionales para asediar directamente las APIs (Interfaz de Programación de Aplicaciones -por sus siglas en inglés, Application Programming Interface-. En resumen, es un conjunto de reglas y protocolos que permite que diferentes aplicaciones de software se comuniquen e intercambien datos entre sí de forma automática y segura). Este ataque a las APIs lo hacen utilizando autenticaciones válidas para filtrar datos masivos a velocidad de máquina.
“Estamos ante una transformación profunda del panorama de amenazas”, advierte Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products. “La IA no está inventando nuevos tipos de ataque, sino potenciando los existentes a una velocidad y escala que los controles tradicionales no pueden absorber. La manera de pensar sobre la protección debe evolucionar: ya no basta con identificar si algo es un bot, hay que entender qué intención tiene y con qué sistemas críticos interactúa”.
La ciberseguridad y la verdad corporativa
Ante controles de seguridad tradicionales basados en el bloqueo de IPs que han quedado completamente obsoletos, los expertos de Thales y Exclusive Networks delinean una respuesta estratégica obligatoria. Las empresas necesitan desplegar modelos de gobernanza de nueva generación, apoyados en soluciones como la Plataforma Imperva, que integren el análisis de la intención conductual para distinguir la automatización valiosa del fraude.
La dirección empresarial debe afrontar una evolución en su mentalidad defensiva. La ciberseguridad ha dejado de ser un centro de costes para convertirse en el pilar fundamental que garantiza la veracidad de las comunicaciones corporativas y proteger la integridad de la relación con el cliente en la nueva realidad digital.
Seguiremos Comunicando…
