6 trilhões de bots maliciosos: automação supera atividade humana na internet em 2024

Estudo mostra que mais da metade do tráfego na internet já é automatizado, sendo 37% de bad bots

Pela primeira vez, o tráfego automatizado na internet superou o da atividade humana. Mais da metade (51%) de tudo que circulou na web em 2024 foi gerado por programas de computador. A informação é da CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, que analisou os dados do Imperva Bad Bot Report 2025. Estudo que coletou, analisou e bloqueou, a partir da rede global da Imperva, quase 6 trilhões de solicitações de bots mal-intencionados, média de 2 milhões de ataques diários com uso de IA, e impetrado contra milhares de domínios, de diversos setores.

O 12º relatório anual sobre bots maliciosos da Imperva, empresa adquirida pela Thales, referência em proteção de aplicações, APIs e dados críticos em larga escala, e cuja aquisição fortaleceu sua posição no setor. “O estudo explora a expansão dos ataques automatizados, e os riscos crescentes aos negócios representados pelos bots maliciosos, a ascensão da IA na criação de ataques mais evasivos e escaláveis e o aumento das vulnerabilidades das APIs”, explica Abílio Branco, Diretor Regional de Data Security para o Brasil e SOLA da Thales.

Principais dados do Imperva Bad Bot Report 2025

A atividade dos bots maliciosos aumentou pelo sexto ano consecutivo, atingindo 37% de todo o tráfego da internet, 5% a mais que em 2023.

Ataques simples, de alto volume, com bots aumentaram substancialmente, respondendo agora por 45% de todos os ataques com bots, em 2023 eram 40%. 

O número de ataques de sequestro de contas (ATO) aumentou 40% em relação ao ano passado e 54% à 2022.

44% do tráfego de bots avançados foram direcionados contra APIs. “Proteger APIs deixou de ser apenas mais uma medida de segurança. Trata-se, agora, de se preservar a base dos ecossistemas digitais de uma empresa”, comenta Pamela Paganotti, gerente de produtos Thales na CLM.

Serviços financeiros, assistência médica e e-commerce são os setores mais visados pelos ataques com bots contra APIs. 

Mais da metade de todos os ataques com bots foram contra os Estados Unidos (53%), seguidos do Brasil e Reino Unido, que ocupam a segunda posição, com 6% cada um.

Em 2024, o setor de viagens superou o de varejo, sendo afetado por mais de um quarto de todos os ataques de bots maliciosos, 27%, tornando-se o setor mais visado. Esses ataques contra o setor de varejo diminuíram significativamente, de 24% em 2023 para 15% em 2024.

A IA tem permitido que invasores executem uma infinidade de ciberameaças como ataques DDoS, exploração de regras personalizadas e violações de API. Embora as violações de API possam envolver atividades automatizadas de bots, elas também incluem cenários mais amplos, como tentativas de acesso não autorizado e exploração de configurações incorretas. 

Além disso, os ataques por bots estão mais sofisticados e difíceis de detectar. Em 2024, bots maliciosos representaram mais de 16% de todos os ataques habilitados por IA. Quando combinados com ataques de lógica de negócios - que usam automação para reconhecimento furtivo e lento - esse número sobe para 41%.

O relatório observa que os invasores estão se aproveitando da IA para refinar suas técnicas, particularmente na identificação e exploração de vulnerabilidades de API para extrair dados confidenciais. À medida que os recursos de IA avançam, a defesa contra o Abuso de Lógica de Negócios se tornará ainda mais desafiadora.