De acordo com o novo relatório State of the Internet (SOTI) da Akamai Technologies, empresa de cibersegurança e computação em nuvem que protege e impulsiona negócios digitais, a atividade de bots alimentados por inteligência artificial aumentou 300% em um ano, sendo a maior parte ligada a raspagem de dados, manipulação de preços e tentativas de fraude. O novo Fraud and Abuse Report 2025 mostra que bots com IA já representam quase 1% de toda a automação detectada na plataforma da Akamai, o que equivale a bilhões de interações diárias capazes de distorcer análises, sobrecarregar sistemas e impactar diretamente as receitas das empresas.
“Os bots com IA impulsionam ataques ao manipular e imitar ações legítimas de pessoas, permitindo fraudes digitais, transações não autorizadas e identidades falsas”, explica Fernando Serto, Field CTO da Akamai Technologies para a América Latina. “Esse é um padrão global, mas com nuances regionais. Nos mercados latino-americanos, onde o consumo é altamente digitalizado e sistemas de pagamento instantâneo, como o Pix no Brasil, são amplamente usados, os bots com IA encontram o ambiente ideal para explorar vulnerabilidades e obter vantagem econômica rápida.”
Entre julho e agosto de 2025, a Akamai identificou 948 bilhões de interações de bots na América Latina, sendo 697 milhões geradas por bots com inteligência artificial. O Brasil lidera a maior parte dessas detecções, com 408 milhões de interações, seguido pelo México, com 230 milhões. Outros países da região registraram atividade bem menor, a Colômbia teve 32 milhões, e o Chile, apenas 7,6 milhões.
O varejo lidera o ranking de setores com maior volume de bots com IA na América Latina, com 468 milhões de detecções, seguido pelos serviços financeiros (83 milhões) e pelo setor público (40 milhões). Dentro do comércio, o segmento de varejo respondeu por 95% das interações de bots. Entre os bots mais ativos da região estão GPTBot, ChatGPT-User, Meta-ExternalAgent, ClaudeBot e OAI-SearchBot.
Grande parte das fraudes digitais é conduzida por bots programados para cometer uma ampla variedade de crimes. No setor financeiro, eles automatizam tentativas de login com credenciais roubadas, testam números de cartão de crédito obtidos ilegalmente e criam e gerenciam identidades falsas. Outros bots impedem que consumidores concluam compras, prejudicam o tráfego legítimo de redes corporativas e reduzem a capacidade das empresas de operar processos críticos.
“A inteligência artificial transformou o cibercrime em um serviço”, afirma Fernando Serto. “O avanço do modelo fraud-as-a-service (FaaS), com golpes vendidos prontos em mercados clandestinos, facilitou a execução de esquemas diversos de fraude online. Ferramentas como FraudGPT e WormGPT, que usam IA generativa para criar mensagens de phishing, códigos maliciosos e identidades falsas, tornaram as fraudes digitais acessíveis a qualquer pessoa. Hoje, é possível até alugar um bot para realizar ataques ou comprar ingressos de eventos disputados.”
Segundo o relatório, atividades que antes exigiam alto conhecimento técnico agora podem ser executadas em minutos. A inteligência artificial aumentou a escala e a velocidade dos ataques, reduzindo erros humanos que antes permitiam detectar fraudes com mais facilidade.
Embora os bots possam ser classificados de acordo com seu comportamento e impacto, cabe às empresas determinar se um bot é benéfico ou prejudicial. Um mesmo tipo de automação pode ser útil para uma organização e nocivo para outra, dependendo do tipo de site e das áreas que ele acessa.
“Em vez de bloquear toda a atividade automatizada, as empresas devem avaliar a intenção e a identidade do bot para entender o impacto em seus negócios. Isso exige soluções especializadas de gerenciamento de bots”, diz Serto. “A orientação é monitorar antes de bloquear, diferenciando o tráfego legítimo, como o de mecanismos de busca, de atividades maliciosas. Também é essencial adotar estruturas de defesa reconhecidas, como o OWASP Top 10, que ajuda a mapear vulnerabilidades em aplicações, APIs e modelos de IA.”
Ao identificar falhas de controle de acesso, brechas de autenticação, injeções de código, abusos de lógica de negócio, configurações incorretas e exposição de dados, as equipes de segurança podem priorizar melhor suas defesas.
Medidas recomendadas incluem:
- Monitorar antes de bloquear: entender o tipo de bot que acessa o site e diferenciar os legítimos dos maliciosos.
- Criar camadas de defesa: combinar detecção comportamental, limitação de requisições, autenticação forçada e firewalls especializados em IA.
- Proteger APIs e aplicações: revisar configurações, integrar segurança em todo o ciclo de vida da API e monitorar endpoints ocultos ou “zumbis”.
- Adotar frameworks reconhecidos: seguir as diretrizes do OWASP Top 10 e OWASP API Security para corrigir vulnerabilidades críticas.
- Definir regras de acesso claras: publicar arquivos robots.txt ou políticas similares para controlar o rastreamento automatizado.
- Testar continuamente: realizar testes de penetração e simulações de ataque para validar a eficácia das defesas.
Em seu 11º ano, os relatórios State of the Internet da Akamai continuam oferecendo uma visão aprofundada sobre tendências de cibersegurança e desempenho da web, baseados na infraestrutura da empresa, que processa mais de um terço do tráfego global da internet.
O Fraud and Abuse Report 2025 pode ser acessado aqui.
