Este año, la prensa generalista ha informado de un cambio histórico: el tráfico automatizado ha superado al tráfico generado por personas en Internet online. Y las cifras que hay detrás de ese cambio son más difíciles de ignorar que la mayoría de los hitos de la historia de Internet.
El dato más citado procede del Informe sobre bots maliciosos de Imperva de 2025, la duodécima edición de su serie anual que analiza las tendencias del tráfico automatizado desde 2013. Al analizar los patrones de tráfico de 2024, el informe reveló que, por primera vez en sus registros, la actividad automatizada representó más del 50 % de todo el tráfico web, alcanzando el 51 %. Cabe destacar que Imperva ya se había acercado a este umbral anteriormente. Su informe de 2024 registraba un 49,6 % de bots, por lo que no se trata tanto de un salto repentino como de la confirmación de una tendencia que lleva años consolidándose entre múltiples proveedores y frameworks.
Imperva no es la única que lo documenta. Cloudflare, Akamai, TollBit y Human Security han publicado datos que apuntan en la misma dirección. En Kinsta, nuestro propio análisis de más de 10 mil millones de solicitudes en toda nuestra infraestructura administrada muestra una tendencia clara: el tráfico de bots con IA se disparó un 300 % en un solo año, y los efectos ya no son algo abstracto.
Y aunque la diferencia entre el tráfico humano y el automatizado sigue siendo pequeña, las implicaciones son enormes. Echemos un vistazo a largo plazo para ver cómo este cambio en el tráfico de bots está dando forma a la web.
¿Qué son los bots y por qué las definiciones antiguas ya no sirven?
Tradicionalmente, los bots (abreviatura de robots) son aplicaciones de software diseñadas para realizar tareas automatizadas sin intervención humana. El más conocido es Googlebot, el rastreador automatizado de Google que escanea e indexa páginas web para las búsquedas. Otros bots comunes se encargan de monitorizar el tiempo de actividad, la indexación, el análisis de datos, los escaneos de seguridad y otras funciones útiles que ayudan a que la web funcione de forma eficiente.
Aunque muchos de estos bots son inofensivos (e incluso beneficiosos), con el tiempo ha surgido otro tipo de bots que resulta mucho más problemático. Se trata de los rastreadores de IA que operan a una escala tal que sobrecargan la infraestructura, independientemente de su intención.
En nuestro informe sobre tráfico de IA y bots, David Belson, antiguo jefe de Análisis de Datos en Cloudflare, comentó que «la mayor parte de lo que vemos no es malicioso. Son bots que se comportan de forma ineficiente a gran escala, y ahí es donde empiezan los verdaderos problemas».
Históricamente, los bots eran relativamente fáciles de identificar, ya que normalmente no podían ejecutar JavaScript, simular el movimiento del puntero, mantener sesiones de navegador realistas ni alternar direcciones IP de forma eficaz. Eso ha cambiado radicalmente. La automatización basada en la inteligencia artificial permite ahora a los bots imitar el comportamiento humano con una sofisticación sorprendente, ocultando las señales tradicionales que se usaban para detectarlos.
Como dice Belson: «Hay gente que ayer no tenía ni idea de lo que estaba haciendo, pero hoy ha programado un bot haciendo vibe coding y lo ha soltado ahí fuera, sin molestarse siquiera en comprobar el archivo robots.txt».
El resultado es que los sistemas se están alejando cada vez más de la detección basada en la identidad y se están orientando hacia el análisis del comportamiento.
¿A qué nos referimos con tráfico humano?
Para que no haya confusiones, cuando hablamos de tráfico humano, no nos referimos simplemente a clics o interacciones obvias de los usuarios. El tráfico humano abarca las numerosas solicitudes que se generan al servir y renderizar una página web o la experiencia de una aplicación.
Una sola visita humana a una página puede generar docenas (a veces cientos) de solicitudes. Estas pueden incluir solicitudes de HTML, CSS, JavaScript, fuentes, imágenes, APIs, scripts de análisis, recursos publicitarios y otros elementos necesarios para mostrar una página web moderna.
Esta distinción es importante porque los debates sobre el tráfico de bots frente al tráfico humano suelen basarse en el número de solicitudes y la actividad de red, en lugar de en el número de personas reales online. Un número relativamente pequeño de bots agresivos puede generar enormes volúmenes de tráfico al solicitar páginas repetidamente, extraer datos de las APIs, descargar recursos o ejecutar acciones automatizadas a escala industrial.
¿Por qué ahora?
Hay varios factores que están acelerando el crecimiento del tráfico de bots, más allá de la IA generativa por sí sola.
1. La recompensa económica
Los tiempos en los que las bromas, la curiosidad o la destreza técnica eran las principales motivaciones detrás de las actividades maliciosas online han quedado, prácticamente atrás. El Internet de hoy en día fomenta un entorno en el que las operaciones ilegales llevadas a cabo por particulares o por grandes organizaciones criminales pueden generar beneficios de millones de dólares.
El fraude, el robo de datos, la explotación y destrucción de sistemas, la manipulación del mercado, la extracción masiva de contenidos, la distribución de ransomware y otras formas de generación ilícita de ingresos ahora se llevan a cabo a una escala enorme mediante sistemas automatizados y bots maliciosos.
El acceso no autorizado e ilegal a los datos personales se ha convertido en un negocio gigantesco, y los bots basados en IA hacen que estas actividades sean cada vez más difíciles de detectar, rastrear y detener.
2. Un marco normativo deficiente
Internet es un entorno fragmentado a nivel mundial en el que las leyes, su aplicación y la jurisdicción varían enormemente de un país a otro y de una región a otra. Esa fragmentación crea un terreno fértil para que prospere la automatización maliciosa.
Los marcos normativos débiles permiten que proliferen los bots de IA dañinos, ya que las leyes, su aplicación y la coordinación internacional no han seguido el ritmo de la rápida evolución de la automatización impulsada por la IA. Aunque esto lleva mucho tiempo siendo un reto en el ámbito tecnológico, la velocidad y la magnitud del desarrollo de la IA han agravado el problema de forma espectacular.
3. Los agentes de usuario ya no proporcionan señales fiables
Durante años, los agentes de usuario proporcionaron una de las señales de identidad más fiables de la web. Un agente de usuario identificaba de forma fiable el navegador, el sistema operativo y, a veces, el dispositivo que realizaba una solicitud. Los sistemas dependían en gran medida de estos identificadores para distinguir entre navegadores legítimos, rastreadores de motores de búsqueda, dispositivos móviles y bots automatizados.
Ese modelo se está desmoronando. Los bots modernos pueden ocultarse, suplantar o manipular los agentes de usuario con tanta eficacia que la señal en sí misma es cada vez menos fiable. Ahora, un bot malicioso puede hacerse pasar por un navegador legítimo, imitar un dispositivo móvil o incluso disfrazarse de rastreador de confianza. La automatización basada en la IA ha acelerado esta tendencia al hacer que la suplantación sofisticada sea más fácil y barata de implementar a gran escala.
Como resultado, los sistemas de seguridad modernos se basan cada vez más en el comportamiento, en lugar de solo en la identidad.
Cómo detectar los bots hoy en día
Como la reputación de las direcciones IP y otras señales tradicionales ya no son totalmente fiables, los sistemas de detección buscan cada vez más patrones de comportamiento que indiquen automatización o actividad maliciosa.
Las solicitudes que llegan a una velocidad, escala y frecuencia imposibles de reproducir por parte de los humanos siguen siendo una de las señales de alerta más claras. Los intentos repetidos de inicio de sesión, los comportamientos de scraping muy secuenciales, el uso agresivo de las APIs y las grandes ráfagas de solicitudes suelen indicar que hay un proceso automatizado en marcha.
Los datos de la propia infraestructura de Kinsta registraron que un solo bot generó 3,75 millones de solicitudes a las URLs de añadir al carrito de una web en 24 horas, lo que supone aproximadamente una solicitud cada 23 milisegundos, durante todo el día, y cada una de ellas llegaba al servidor como una solicitud nueva que no se podía almacenar en caché.

El comportamiento de navegación de los humanos suele ser algo impredecible. Los bots, incluso los más sofisticados, suelen producir patrones de interacción muy repetitivos, flujos de navegación predecibles o una extracción inusualmente sistemática, incluso cuando imitan con éxito la ejecución de JavaScript, las sesiones de navegador realistas y los movimientos del ratón. Por eso la detección se ha orientado hacia evaluar la intención del comportamiento en lugar de la identidad declarada.
En Kinsta, esta es exactamente la lógica que usamos para clasificar el tráfico en los sitios administrados. En lugar de una simple distinción binaria entre humano o bot, nuestro sistema de protección contra bots funciona con seis categorías: bots verificados, probablemente humanos, probablemente bots, tráfico automatizado, tráfico sin clasificar y tráfico malicioso, con una designación aparte para los rastreadores de IA con tasa excesiva que están verificados pero que generan una carga que sobrecarga la infraestructura, independientemente de su intención.

Cada categoría se gestiona de forma diferente, ya que la respuesta adecuada ante un rastreador de entrenamiento de IA mal configurado no es la misma que ante un ataque de credential stuffing. Por defecto, las defensas a nivel de plataforma de Kinsta detienen aproximadamente entre el 15 % y el 20 % del tráfico clasificado como malicioso antes de que llegue a tu sitio. Las capas de protección contra bots que se suman a esa base permiten a los propietarios de los sitios web filtrar o bloquear categorías adicionales en función de sus propios patrones de tráfico y su tolerancia al riesgo.

Implicaciones y tendencias a tener en cuenta
A medida que estos sistemas evolucionan, sus repercusiones van mucho más allá de la mera ciberseguridad y empiezan a afectar a las infraestructuras, la publicación de contenidos, el análisis de datos, el comercio electrónico y la calidad general de la propia web.
¿Hay algo a la vista que pueda frenar el crecimiento del tráfico de bots? Los datos indican que no. El tráfico de bots de IA se disparó un 300 % en un solo año, y la proporción de visitas de bots de IA pasó de 1 de cada 200 a 1 de cada 31 en menos de 12 meses. Como dice Daniel Pataki, director técnico de Kinsta: «A gran escala, el rastreo ineficiente deja de ser un problema de tráfico y se convierte en un problema de recursos». Las condiciones que impulsan esa escala no están remitiendo.
Costes de la infraestructura de alojamiento
Una de las consecuencias más inmediatas del aumento del tráfico de bots es el incremento de los costes de infraestructura. Cada solicitud que recibe un sitio web consume ancho de banda, recursos informáticos, consultas a la base de datos, memoria, sistemas de caché e infraestructura de almacenamiento.
El problema es especialmente grave en los sitios de WordPress que utilizan WooCommerce, la función de búsqueda o muchos plugins. A diferencia de las páginas estáticas que se sirven desde la caché, los endpoints dinámicos hacen que el servidor tenga que trabajar de verdad en cada solicitud. Un bot atrapado en un bucle de cadenas de consulta no sabe distinguir entre una página que se puede almacenar en caché y una que consume muchos recursos. Un solo bucle de este tipo en un sitio gestionado por Kinsta generó 550 millones de solicitudes en 30 días antes de que una regla de mitigación específica lo detectara.
Como dice Daniel Pataki: «No existe eso de “solo tráfico de bots”. Cada solicitud supone un trabajo real. A gran escala, un rastreo ineficiente deja de ser un problema de tráfico y se convierte en un problema de recursos».
Los editores más pequeños y los propietarios de sitios web independientes son especialmente vulnerables porque a menudo carecen de los sistemas de mitigación de nivel empresarial de los que disponen las grandes organizaciones.
Analíticas sesgadas
El tráfico generado por bots de IA distorsiona cada vez más las métricas de analítica de formas que pueden resultar muy engañosas. El número inflado de visitas a la página, la interacción falsa, el tráfico de referencia artificial y las interacciones automatizadas pueden llevar a los responsables de la toma de decisiones a sacar conclusiones erróneas a partir de datos poco fiables.
El problema se agrava a medida que los bots se parecen más a los humanos. Las herramientas que se basan en el seguimiento mediante JavaScript, como Google Analytics, suelen subestimar la actividad de los bots porque muchos de ellos no ejecutan JavaScript. Las analíticas a nivel de servidor, que cuentan cada solicitud basada en la IP, tienden a sobreestimarla porque detectan bots que JavaScript no capta.
En Kinsta, las analíticas de MyKinsta se basan en los registros de acceso a nivel de servidor y excluyen explícitamente los agentes de usuario de bots conocidos del recuento de visitas facturables, pero incluso esa distinción tiene sus límites, ya que el tráfico automatizado que imita muy de cerca el comportamiento humano puede seguir apareciendo en las cifras que se muestran.
Desde noviembre de 2025, las listas de solicitudes más frecuentes de Kinsta empezaron a reflejar todo el tráfico, incluidos los bots, precisamente para que los propietarios de las webs tuvieran una idea más clara de lo que realmente está afectando a su infraestructura frente a lo que se les factura.

Cuando tus visitas aumentan, pero el volumen de búsquedas de marca, las conversiones y el tráfico directo se mantienen estables, lo más probable es que los bots sean los responsables de esa diferencia.
La llegada de la «web muerta»
El fenómeno conocido como «web muerta» se refiere a la creciente avalancha de contenido de baja calidad generado por máquinas que aparece por todo Internet. Aunque algunas de las versiones más extremas de esta teoría rozan la especulación, no hay duda de que la IA está facilitando enormemente la generación a gran escala de artículos sintéticos, reseñas falsas, blogs de spam, medios automatizados y contenido de escaso valor.
El resultado puede ser una web contaminada en la que cada vez resulte más difícil encontrar información fiable y realmente útil.
Aumento de los riesgos de seguridad provocados por bots maliciosos
Los bots basados en IA están aumentando considerablemente la sofisticación de los ciberataques. Los ataques de «credential stuffing», la apropiación de cuentas, el uso indebido de APIs, las campañas de phishing, el escaneo de vulnerabilidades y el despliegue de ransomware se están volviendo más rápidos, más escalables y más adaptables gracias a la automatización.
Como los sistemas de IA pueden aprender de los fallos y perfeccionar sus métodos continuamente, a las defensas tradicionales basadas en reglas les cuesta cada vez más seguirles el ritmo.
La economía de los rastreadores y la inversión económica
Históricamente, los rastreadores de búsqueda como Googlebot creaban una relación económica relativamente equilibrada con los editores. Rastreaban el contenido, lo indexaban y, a continuación, devolvían tráfico a los sitios web de origen.
Los modernos sistemas de scraping basados en IA están cambiando esa relación. Cada vez más, los sistemas de IA extraen contenido, resumen la información en otros sitios y ofrecen respuestas directamente sin que el tráfico tenga que volver necesariamente a la fuente original. Esto da lugar a una «economía del scraping» cada vez mayor, en la que los editores y creadores asumen el coste de producir contenido y mantener la infraestructura, mientras que los sistemas automatizados se llevan gran parte del valor añadido.
Navegadores basados en IA y agentes autónomos
Estos sistemas van mucho más allá del simple rastreo web. Los agentes basados en IA ahora pueden navegar por la web, interactuar con aplicaciones, hacer búsquedas, comprar online, concertar citas, rellenar formularios y tomar decisiones con poca o ninguna intervención humana.
A medida que estos sistemas siguen mejorando, cada vez es más difícil distinguir entre la actividad humana y la generada por máquinas. Ese cambio podría transformar de raíz lo que entendemos por «tráfico web» en el futuro.
En un principio, Internet se creó partiendo de la idea de que los humanos eran los principales usuarios. Esa idea se está desmoronando rápidamente. A medida que la automatización impulsada por la IA se vuelve cada vez más autónoma, el futuro de la web quizá dependa menos de distinguir a los humanos de los bots, y más de decidir qué tipo de Internet impulsada por máquinas estamos dispuestos a aceptar.
La línea entre humanos y máquinas ha desaparecido
El impacto de este cambio va más allá de lo que la mayoría de los propietarios de sitios web creen. Los costes de infraestructura están subiendo. Cada vez cuesta más confiar en los datos analíticos. La economía de los scrapers está desplazando el valor de los editores que crean contenido hacia los sistemas que lo extraen. Y a medida que los agentes impulsados por IA son capaces de navegar, investigar y tomar decisiones de forma autónoma, la pregunta ya no es «¿cómo gestiono el tráfico de bots?», sino algo mucho más amplio.
Internet se creó partiendo de la idea de que detrás de cada solicitud había una persona. Esa idea se está desmoronando más rápido de lo que pueden adaptarse la infraestructura, la normativa y los modelos de negocio que se han construido a partir de ella.
Ya estamos de lleno en una era en la que las máquinas se comunican entre sí sin necesidad de interacción humana.
Para conocer más a fondo los datos que hay detrás de este cambio, lee el informe completo de Kinsta sobre IA y tráfico de bots. Si ya estás notando los efectos en tu sitio web, la protección contra bots de Kinsta te ofrece las herramientas que necesitas para gestionarlos.