Radware, empresa especializada en seguridad de aplicaciones y soluciones de entrega para entornos multicloud, publicó recientemente su «2026 E-Commerce Bot Threat Report», un informe que documenta un cambio significativo en la composición del tráfico web durante los períodos de mayor actividad comercial en línea. Los bots maliciosos representaron el 43% del tráfico en sitios de comercio electrónico durante la temporada de compras navideñas de 2025, frente al 46% generado por compradores humanos, lo que sitúa a la automatización maliciosa a una diferencia de apenas tres puntos porcentuales del total de la audiencia humana.
La tendencia que documenta el reporte no es nueva, pero sí se ha agudizado de manera notable. En años anteriores, la narrativa dominante era el incremento sostenido del tráfico automatizado en general; el año pasado, el tráfico total de bots superó al humano por primera vez. Este año, el foco se ha desplazado hacia la proporción específica de bots maliciosos y su proximidad al volumen de tráfico humano.
Esa proporción pasó del 31% registrado un año antes al 43% actual, un aumento de doce puntos porcentuales en un solo ciclo anual.
Connie Stack, directora de crecimiento de Radware, señaló que la inteligencia artificial generativa está reduciendo la barrera de entrada para los atacantes y acelerando el crecimiento de las amenazas automatizadas, lo que hace cada vez más necesario que las organizaciones distingan la automatización legítima de la actividad maliciosa. Este factor explicaría, en parte, un hallazgo que resulta contraintuitivo: cerca del 70% del tráfico de bots maliciosos observado durante la temporada navideña fue clasificado como de baja sofisticación, lo que sugiere que las herramientas basadas en IA están permitiendo que una población más amplia de actores con escasa experiencia técnica construya y lance ataques automatizados.
El informe detalla el comportamiento de estas amenazas en al menos un gran minorista multinacional, donde los datos resultan especialmente ilustrativos de la magnitud del problema. Los ataques de apropiación de cuentas se multiplicaron más de cinco veces respecto al año anterior, los ataques de carding —que consisten en probar la validez de tarjetas de pago robadas— se incrementaron aproximadamente quince veces, y los registros falsos de cuentas crecieron seis veces.
Técnicas tradicionales como el raspado de precios, el acaparamiento de inventario y el raspado de contenido también se intensificaron durante el período, algunas de ellas en órdenes de magnitud.
Uno de los aspectos que el reporte subraya con particular énfasis es el momento en que se concentran los ataques. Muchos de ellos alcanzaron su pico en los días previos a los grandes eventos de compras, cuando se reactivaban cuentas inactivas y se actualizaba la información de pago almacenada, lo que indica que los atacantes se preparan con antelación para explotar el tráfico legítimo en los momentos de mayor demanda.
El informe introduce además una categoría emergente que las empresas de comercio electrónico deberán gestionar con creciente atención: los rastreadores de inteligencia artificial.
Durante la temporada navideña, los rastreadores de entrenamiento de IA representaron más de la mitad de toda la actividad de rastreadores de IA observada, lo que refleja el creciente apetito de los desarrolladores de modelos por datos extraídos directamente de sitios de retail. A ello se suma la irrupción del comercio agéntico —sistemas de IA que navegan, comparan precios, recuperan información y realizan transacciones en nombre de usuarios— como un vector de automatización que los minoristas aún no tienen protocolos consolidados para gestionar.
El contexto en que se publica este reporte es relevante. Según datos de la firma de análisis Imperva, el sector del comercio electrónico ha sido históricamente uno de los más afectados por el tráfico de bots debido a la rentabilidad de los ataques de carding y la reventa de inventario acaparado.
La aceleración que documentan los datos de Radware coincide con un período de expansión en el uso comercial de herramientas de IA generativa, que en 2024 y 2025 proliferaron en foros especializados y mercados clandestinos.
Para los equipos de seguridad, la dificultad práctica no reside únicamente en bloquear el tráfico malicioso, sino en hacerlo sin degradar la experiencia de los usuarios legítimos ni obstaculizar la automatización empresarial válida, como los agregadores de precios o los sistemas de gestión de inventario propios.
Fuente: Radware | Editado por CDOL
