Pesquisa: número de bots com IA cresce 300% no mundo e impulsiona fraudes digitais
Brasil e México concentram a maior parte da atividade de bots na América Latina, com foco no varejo e serviços financeiros
8 de dezembro de 2025
De acordo com o novo relatório State of the Internet (SOTI) da Akamai Technologies, empresa de cibersegurança e computação em nuvem que protege e impulsiona negócios digitais, a atividade de bots alimentados por inteligência artificial aumentou 300% em um ano, sendo a maior parte ligada a raspagem de dados, manipulação de preços e tentativas de fraude. O novo Fraud and Abuse Report 2025 mostra que bots com IA já representam quase 1% de toda a automação detectada na plataforma da Akamai, o que equivale a bilhões de interações diárias capazes de distorcer análises, sobrecarregar sistemas e impactar diretamente as receitas das empresas.
“Os bots com IA impulsionam ataques ao manipular e imitar ações legítimas de pessoas, permitindo fraudes digitais, transações não autorizadas e identidades falsas”, explica Fernando Serto, Field CTO da Akamai Technologies para a América Latina. “Esse é um padrão global, mas com nuances regionais. Nos mercados latino-americanos, onde o consumo é altamente digitalizado e sistemas de pagamento instantâneo, como o Pix no Brasil, são amplamente usados, os bots com IA encontram o ambiente ideal para explorar vulnerabilidades e obter vantagem econômica rápida.”
Brasil lidera quase toda a atividade de bots com IA na região
Entre julho e agosto de 2025, a Akamai identificou 948 bilhões de interações de bots na América Latina, sendo 697 milhões geradas por bots com inteligência artificial. O Brasil lidera a maior parte dessas detecções, com 408 milhões de interações, seguido pelo México, com 230 milhões. Outros países da região registraram atividade bem menor, a Colômbia teve 32 milhões, e o Chile, apenas 7,6 milhões.
O varejo lidera o ranking de setores com maior volume de bots com IA na América Latina, com 468 milhões de detecções, seguido pelos serviços financeiros (83 milhões) e pelo setor público (40 milhões). Dentro do comércio, o segmento de varejo respondeu por 95% das interações de bots. Entre os bots mais ativos da região estão GPTBot, ChatGPT-User, Meta-ExternalAgent, ClaudeBot e OAI-SearchBot.
De raspagem de dados a fraudes: a evolução dos bots
Grande parte das fraudes digitais é conduzida por bots programados para cometer uma ampla variedade de crimes. No setor financeiro, eles automatizam tentativas de login com credenciais roubadas, testam números de cartão de crédito obtidos ilegalmente e criam e gerenciam identidades falsas. Outros bots impedem que consumidores concluam compras, prejudicam o tráfego legítimo de redes corporativas e reduzem a capacidade das empresas de operar processos críticos.
“A inteligência artificial transformou o cibercrime em um serviço”, afirma Fernando Serto. “O avanço do modelo fraud-as-a-service (FaaS), com golpes vendidos prontos em mercados clandestinos, facilitou a execução de esquemas diversos de fraude online. Ferramentas como FraudGPT e WormGPT, que usam IA generativa para criar mensagens de phishing, códigos maliciosos e identidades falsas, tornaram as fraudes digitais acessíveis a qualquer pessoa. Hoje, é possível até alugar um bot para realizar ataques ou comprar ingressos de eventos disputados.”
Segundo o relatório, atividades que antes exigiam alto conhecimento técnico agora podem ser executadas em minutos. A inteligência artificial aumentou a escala e a velocidade dos ataques, reduzindo erros humanos que antes permitiam detectar fraudes com mais facilidade.
Boas práticas para empresas que lidam com bots de IA
Embora os bots possam ser classificados de acordo com seu comportamento e impacto, cabe às empresas determinar se um bot é benéfico ou prejudicial. Um mesmo tipo de automação pode ser útil para uma organização e nocivo para outra, dependendo do tipo de site e das áreas que ele acessa.
“Em vez de bloquear toda a atividade automatizada, as empresas devem avaliar a intenção e a identidade do bot para entender o impacto em seus negócios. Isso exige soluções especializadas de gerenciamento de bots”, diz Serto. “A orientação é monitorar antes de bloquear, diferenciando o tráfego legítimo, como o de mecanismos de busca, de atividades maliciosas. Também é essencial adotar estruturas de defesa reconhecidas, como o OWASP Top 10, que ajuda a mapear vulnerabilidades em aplicações, APIs e modelos de IA.”
Ao identificar falhas de controle de acesso, brechas de autenticação, injeções de código, abusos de lógica de negócio, configurações incorretas e exposição de dados, as equipes de segurança podem priorizar melhor suas defesas.
Medidas recomendadas incluem:
- Monitorar antes de bloquear: entender o tipo de bot que acessa o site e diferenciar os legítimos dos maliciosos.
- Criar camadas de defesa: combinar detecção comportamental, limitação de requisições, autenticação forçada e firewalls especializados em IA.
- Proteger APIs e aplicações: revisar configurações, integrar segurança em todo o ciclo de vida da API e monitorar endpoints ocultos ou “zumbis”.
- Adotar frameworks reconhecidos: seguir as diretrizes do OWASP Top 10 e OWASP API Security para corrigir vulnerabilidades críticas.
- Definir regras de acesso claras: publicar arquivos robots.txt ou políticas similares para controlar o rastreamento automatizado.
- Testar continuamente: realizar testes de penetração e simulações de ataque para validar a eficácia das defesas.
Em seu 11º ano, os relatórios State of the Internet da Akamai continuam oferecendo uma visão aprofundada sobre tendências de cibersegurança e desempenho da web, baseados na infraestrutura da empresa, que processa mais de um terço do tráfego global da internet.
Fonte: CNDL
