Tendencias

El comercio electrónico se sitúa en el epicentro de ataques de bots de IA y del fraude automatizado en 2026

Con la evolución hacia automatizaciones con agentes y herramientas de IA autónomas, el sector del comercio se ha convertido en el más atacado del mundo, según el último informe de Akamai (NASDAQ: AKAM) sobre el estado de Internet (SOTI), «Protección de las tiendas online: ataques en el sector del comercio».

El  estudio destaca que, a fecha de diciembre de 2025, casi la mitad (47,9 %) de todo el tráfico comercial en la red global de Akamai está compuesto ahora por bots de IA. Además, el sector sigue sufriendo un incesante aluvión de actividad de denegación de servicio (DDoS) distribuida en la capa de aplicación (capa 7), exploits maliciosos de aplicaciones web y una peligrosa acotación de la brecha entre los ataques a aplicaciones tradicionales y los ataques dirigidos a API.

«Estamos protegiendo una frontera digital en la que el ‘cliente’ se está convirtiendo en un agente de IA que opera en nombre del usuario humano», afirma Patrick Sullivan, director de Tecnología de Estrategia de Seguridad de Akamai. «Este informe revela cómo y por qué los líderes de seguridad tienen que prepararse con flexibilidad para diseñar sitios que acojan la IA legítima y, al mismo tiempo, detengan a los bots maliciosos de forma agresiva».

Estos son algunos de los resultados principales:

 

●       El aumento del fraude comercial con agentes de IA: Según Pam Lindemoen, colaborador invitado, director de Seguridad y vicepresidente de Estrategia de RH-ISAC, los agentes de compras de IA autónomos están creando un problema de enmascaramiento de señales que imita perfectamente los microcomportamientos humanos. Los atacantes utilizan ahora tácticas de secuestro de agentes para poner en peligro a los asistentes de IA legítimos y abusar de las credenciales de pago almacenadas. También están implementando grandes modelos lingüísticos (LLM) para crear fraudes de identidad sintéticos en forma de cuentas «Frankenstein» que eluden fácilmente las defensas estáticas.

 

●       La afluencia sin control de los bots de IA: Impulsados por el desarrollo de LLM, los rastreadores de formación de IA representan más del 70 % de las solicitudes de bots de IA en el comercio. OpenAI, ByteDance y Anthropic son los tres principales bots de IA observados. Las organizaciones comerciales situaron más del 90 % de su actividad de bots de IA en la categoría de «supervisión», pero permitieron que tres cuartas partes de la actividad restante pasaran sin restricciones, exponiéndose a riesgos subyacentes.

 

●       Exposición y vulnerabilidades de API: Los ataques web dirigidos a las API aumentaron un 9 % interanual. De hecho, el estudio sobre el impacto en la seguridad de las API de 2026 de Akamai reveló que el 85 % de los encuestados del sector comercial experimentó al menos un incidente relacionado con las API en el último año, pero solo el 22 % sabe cuál de sus API expone datos confidenciales.

 

●       Más ataques DDoS a la capa 7: El comercio fue atacado con ataques DDoS de capa 7 casi 3 billones de veces en 2025, y el sector del retail soportó el 84 % de ese volumen. Los atacantes utilizan botnets HTTP para inundar las API durante los picos de tráfico de las vacaciones, agotar los servidores de aplicaciones y detener las ventas.

 

●       Procesos industrializados de phishing y malware: Entre noviembre de 2025 y abril de 2026, el malware representó el 56,5 % de la actividad observada de amenazas en los endpoints, seguido del phishing, con un 37,6 %. El volumen medio diario de phishing entre los clientes de este sector se disparó de 56 600 en febrero a 134 600 en abril, y sirvió como materia prima principal que impulsó el robo de cuentas (ATO) y el robo de puntos de fidelidad.

Tendencias regionales

La actividad automatizada de bots y los ataques web varían según la región:

 

●       Norteamérica y EMEA: Estos mercados maduros experimentaron aumentos modestos de bots (7 % y 16 %, respectivamente), pero ataques web significativos basados en el periodo festivo, con una actividad líder en Norteamérica de bots de IA de 33 000 millones de casos.

 

●       APAC y LATAM: La actividad de bots aumentó un 63 % en APAC y un 48 % en Latinoamérica. El mercado de viajes fragmentado de APAC y los programas de lealtad lo convirtieron en un objetivo principal de ataques de bots y DDoS a la capa 7.

Estrategias de mitigación

Para contrarrestar eficazmente estas amenazas en constante evolución, el informe «Protección de las tiendas online: ataques en el sector del comercio» Ofrece una hoja de ruta estratégica para los directores de seguridad de la información. Las recomendaciones incluyen:

 

●       Definir la cadena de ingresos: Implemente detecciones y haga inventario de manera continua del estado de las API para eliminar las brechas de visibilidad críticas relacionadas con la exposición de datos confidenciales.

 

●       Controlar la automatización: Aléjese de los modelos binarios de «permitir/bloquear» y fomente una gobernanza basada en el riesgo que clasifique los bots por intención y valor empresarial.

 

●       Minimizar el alcance del impacto: Implemente la microsegmentación para eliminar el movimiento lateral. Aunque el 92 % de las organizaciones utiliza la segmentación de red básica, solo el 35 % ha avanzado hacia una verdadera microsegmentación.

 

●       Establecer resiliencia cooperativa: Integre equipos de ciberseguridad y prevención de fraudes para implementar biometría conductual en tiempo real, autenticación multifactor basada en riesgos y conmutadores de interrupción automatizados para congelar las cuentas comprometidas al instante.

 

Ahora, en su decimosegunda edición, los informes SOTI en materia de seguridad de Akamai continúan ofreciendo perspectivas críticas sobre las tendencias de la ciberseguridad y el rendimiento de la web, extraídas de los ataques observados en la infraestructura de ciberseguridad de Akamai, que maneja un volumen significativo del tráfico web global.

Shares: