Perspectiva del CISO: Informe de conocimientos sobre amenazas del segundo trimestre de 2025

Chief Information Security Officer

El equipo de investigación de seguridad de Fastly tiene un conocimiento único sobre las tendencias de seguridad, los vectores de ataque y la actividad de amenazas en todo el panorama de la seguridad de las aplicaciones. Basándonos en billones de peticiones de nuestra base global de clientes, podemos obtener una visión en tiempo real de lo que está impactando materialmente a los equipos de seguridad en el contexto de tendencias más amplias.
Cada trimestre, resumimos y presentamos nuestros hallazgos clave, con perspectivas sobre lo que todo esto significa para el mercado en general y para ti. El objetivo es proporcionar a los lectores conocimientos para informar tus propias estrategias, prioridades y prácticas de programas de seguridad.
Con la reciente publicación de nuestro Informe de conocimientos sobre amenazas del segundo trimestre, me he propuesto ofrecer mi perspectiva sobre los hallazgos y, en particular, cómo impactan a las empresas desde la perspectiva más amplia de mi rol como CISO. A continuación, mis opiniones sobre los hallazgos del segundo trimestre…
Los bots vienen a por nosotros
El tema predominante de nuestro informe del segundo trimestre —y la razón por la que dedicamos todo el informe a ellos— fueron los bots. Los bots son una categoría de rápido crecimiento de tráfico web automatizado, y ya están, y seguirán remodelando la forma en que se accede, se extrae y se rentabiliza el contenido en internet.
Comprender el creciente impacto de la automatización impulsada por la IA y todas sus implicaciones es crucial para las organizaciones que desean seguir siendo competitivas y, lo más importante, seguras. Los conocimientos sobre el comportamiento y las capacidades suficientes de visibilidad y seguridad son esenciales para navegar los rápidos cambios que ocurren en internet.
Hasta este punto, del total de la actividad de tráfico observada en la red global de Fastly, descubrimos que el 37 % era tráfico automatizado de bots, lo que destaca la importancia de que las organizaciones consideren herramientas y estrategias para mitigar los resultados no deseados.
El porcentaje de tráfico web compuesto por bots de IA sin duda seguirá creciendo a medida que los LLM hambrientos de datos continúen rastreando la web, las soluciones de IA existentes vean una mayor adopción y las nuevas herramientas agenticas medien cada vez más la experiencia entre los consumidores y los sitios web. Las implicaciones para los propietarios de sitios web son desfavorables si no comprenden adecuadamente el tráfico y el comportamiento de los bots, y si no se implementan medidas apropiadas para contrarrestar los impactos negativos.
La explosión de los bots de IA ejercerá presión sobre los sitios web, disminuirá la efectividad de los análisis del sitio y generará un riesgo de seguridad al permitir que los atacantes se oculten en grandes volúmenes de tráfico automatizado.
La visibilidad es clave
Aunque no todo el tráfico de bots es malo —piensa en la monitorización del tiempo de actividad y el rastreo de motores de búsqueda—, los propietarios de sitios web se enfrentan a un verdadero reto al definir el tráfico web «bueno» frente al «malo» y filtrar en consecuencia.
Hemos descubierto que alrededor del 87 % del tráfico de bots es malicioso, lo que significa oportunidades para la apropiación de cuentas, fraude publicitario, uso indebido de tarjetas y una multitud de otros problemas de seguridad. Y los bots de IA añaden otra capa de complejidad: aunque no necesariamente maliciosos a primera vista, los bots de IA obtienen contenido (sin permiso) para entrenar modelos y enriquecer las respuestas de los modelos. Los propietarios de sitios pueden ver esta actividad como beneficiosa o arriesgada para la salud general de su sitio web.
A medida que el rastreo y la recopilación de datos por parte de la IA sigan creciendo, será cada vez más difícil distinguir entre el tráfico humano, el tráfico de bots deseados y el tráfico de bots no deseados. Surgirán matices adicionales al filtrar más el tráfico automatizado que es activamente malicioso y facilita la apropiación de cuentas u otros ataques basados en la web.
Por lo tanto, la visibilidad inteligente del tráfico es absolutamente esencial en el clima actual.
Los bots están evitando la detección
Como mencioné antes, hay implicaciones en el rendimiento web debido a los bots de IA: los rastreadores y buscadores de IA provocan un rendimiento degradado y un aumento en los costos de infraestructura. Y estamos observando que los bots evitan activamente ser detectados.
Nuestro informe del segundo trimestre mostró indicadores de que algunas empresas de IA «disfrazan» bots para eludir la detección de bots Standard. Observamos que algunos bots «ocultan su identidad deliberadamente utilizando cadenas User-Agent de navegadores web comunes». Este engaño a menudo permite que los bots que los proveedores web desearían bloquear pasen desapercibidos. Alternativamente, también puede resultar en que «los bots de IA deseables [sean] clasificados como bots maliciosos y posteriormente bloqueados por las defensas del sitio web».
A medida que este comportamiento engañoso se intensifique, estaremos en peligro de crear una especie de juego del «gato y el ratón» entre los rastreadores de IA y los proveedores de gestión de bots. Las organizaciones deben asegurarse de tener soluciones de gestión de bots que puedan aplicar activamente el nivel de aceptación determinado por el proveedor del sitio web para el tráfico de bots.
¿Qué deberías hacer con los bots?
Obtén una gran herramienta de administración de bots
Será cada vez más importante que los propietarios de sitios web implementen soluciones proactivas que les proporcionen una visibilidad detallada y control sobre el tráfico de bots. Herramientas como los Firewall de aplicación web (WAF) y las soluciones de gestión de bots ya no serán soluciones de seguridad opcionales basadas en el perfil de riesgo de una empresa. Se convertirán en soluciones críticas para el negocio.
Las soluciones avanzadas de gestión de bots como Fastly Bot Management ofrecen a los propietarios de sitios web un control detallado sobre qué bots de IA están permitidos, con qué frecuencia pueden acceder al sitio y a qué contenido pueden llegar. Estas herramientas identifican de manera dinámica el creciente número de bots de IA en tiempo real y ofrecen una visibilidad integral de la actividad de los bots para ayudar a supervisar y gestionar el acceso de manera eficaz.
Tu mayor conclusión de nuestros hallazgos debería ser la absoluta necesidad de adoptar una solución de gestión de bots capaz de manejar el tráfico de bots tradicionales y de IA. No hacerlo resultará inevitablemente en la pérdida de tiempo, ingresos y recursos, y quizás, lo que es aún más preocupante, en implicaciones de seguridad.
Para obtener más conocimientos detallados sobre la actividad de los bots, lee nuestro informe del segundo trimestre aquí.