Automação impulsionada por inteligência artificial redefine o tráfego global e expõe vulnerabilidades críticas em identidade digital, APIs e sistemas de autenticação
Com 53% do tráfego web já gerado por bots, o desafio deixou de ser bloquear e passou a ser governar a automação
A 13ª edição de 2026 do Thales Bad Bot Report, baseada em dados de 2025, consolida uma mudança estrutural na internet. Produzido pela Thales Cybersecurity, anteriormente Imperva, o relatório deixa claro que a automação deixou de ser periférica e passou a ser dominante. Bots não são mais exceção. São maioria.
O dado central resume essa virada. 53% de todo o tráfego web global já é gerado por bots, sendo que 40% são maliciosos. Em termos absolutos, a Thales bloqueou 17,2 trilhões de requisições automatizadas ao longo do ano.
O relatório não trata apenas de volume. Ele revela um novo paradigma. A inteligência artificial não apenas ampliou o número de ataques, mas mudou sua natureza. Bots aprendem, se adaptam e passam a operar com comportamento cada vez mais próximo do humano, pressionando diretamente os sistemas de identidade digital, autenticação e proteção de APIs.
O novo equilíbrio do tráfego na internet
A divisão entre humano e máquina já não é equilibrada. É dominada pela automação.
Em 2025, 53% do tráfego foi gerado por bots. Desse total, 40% foram bots maliciosos e 13% bots considerados legítimos. Os humanos representaram 47%.
Esse cenário marca uma ruptura histórica. Há uma década, bots representavam uma parcela minoritária e previsível do tráfego. Hoje, são maioria e operam em múltiplas camadas da infraestrutura digital.
O impacto é direto. Toda arquitetura de segurança baseada na premissa de que o usuário é humano se torna insuficiente. A distinção entre tráfego legítimo e malicioso deixa de ser evidente, exigindo novas abordagens baseadas em comportamento, contexto e identidade.
A ascensão dos agentes de IA como terceira categoria de tráfego
O relatório introduz um elemento crítico. Surge uma nova categoria entre bots bons e ruins. Os agentes de IA.
Esses agentes executam tarefas em nome de usuários. Acessam APIs, coletam dados, interagem com sistemas e automatizam processos complexos. Não são necessariamente maliciosos, mas operam nos mesmos canais utilizados por ataques.
Essa convergência cria um problema estrutural. O mesmo tipo de requisição pode representar um serviço legítimo ou uma tentativa de fraude.
O estudo aponta que 85% do tráfego de IA identificado vem de crawlers e 15% de fetchers, que executam ações mais diretas. Mais de 10% das sessões de fetchers acionaram regras de detecção de bots maliciosos.
Entre os agentes identificados estão ferramentas associadas a grandes plataformas de tecnologia, incluindo crawlers e interfaces automatizadas utilizadas por sistemas de IA generativa.
Outro ponto crítico é o chamado efeito iceberg. O relatório analisa apenas o tráfego detectável. Uma parcela significativa da automação permanece invisível, operando fora dos mecanismos tradicionais de monitoramento.
Os tipos de ataque mais comuns
Os ataques automatizados seguem padrões recorrentes, mas com níveis crescentes de sofisticação.
A automação geral responde por 29% dos ataques. Violações de API representam 24% e o abuso de lógica de negócio, 21%. Path Traversal aparece com 9%, Data Leakage com 5%, RCE e RFI com 4% e XSS também com 4%. SQL Injection permanece presente, embora menos dominante.
Do ponto de vista de classificação, 21% dos ataques se enquadram nas categorias OWASP Automated Threats e 68% nas categorias OWASP WAF e API.
Mais relevante do que a tipologia é a evolução da sofisticação. 44% dos ataques são considerados avançados e 14% moderados. Isso significa que 58% das ameaças já operam acima do nível básico de detecção tradicional.
Account Takeover como principal vetor de fraude automatizada
O Account Takeover, ou ATO, é o ponto de convergência entre automação e identidade digital.
O relatório mostra um crescimento de 70% entre julho de 2024 e julho de 2025, com pico entre maio e julho de 2025. Esse aumento coincide com a expansão do uso de ferramentas baseadas em IA.
O ATO ocorre, em grande parte, por meio de credential stuffing, reuso de credenciais vazadas, exploração de APIs de autenticação e automatização de tentativas de login.
Bots conseguem testar milhares de combinações em segundos e conseguem contornar mecanismos tradicionais de proteção, incluindo autenticação multifator em determinados contextos.
O impacto regulatório é relevante. Um ATO bem-sucedido pode acionar legislações como GDPR, CCPA, HIPAA, DORA, PSD2 e NIS2.
No setor financeiro, o risco é ainda mais crítico. 46% dos ataques de ATO foram direcionados a serviços financeiros.
Para o Brasil, esse dado tem implicações diretas. O avanço de open finance, Pix, contas digitais e onboarding remoto amplia a superfície de ataque baseada em identidade.
APIs como superfície de ataque dominante
As APIs se consolidaram como o principal vetor técnico.
27% de todos os ataques de bots tiveram como alvo APIs.
O modelo API-first, essencial para fintechs, plataformas digitais e serviços conectados, trouxe eficiência, mas também expôs novas vulnerabilidades.
As principais ameaças incluem Data Leakage com 26%, RCE e RFI com 13% e abuso de lógica de negócio também com 13%.
Diferentemente de interfaces web, ataques a APIs frequentemente não apresentam sinais evidentes de anomalia. Eles simulam comportamento legítimo.
O relatório destaca que 51% dos desenvolvedores afirmam temer chamadas não autorizadas originadas por agentes de IA.
Isso reforça uma mudança importante. APIs deixaram de ser apenas um componente técnico e passaram a ser infraestrutura crítica de segurança e identidade.
Indústrias mais visadas
O setor financeiro permanece no topo com 24% de todos os ataques de bots, 46% dos ataques de ATO e 51% dos ataques classificados como avançados.
O varejo lidera em abuso de lógica de negócio com 24%, seguido pelo setor de viagens com 17%.
Telecom registra 62% de tráfego ruim sobre o total. Law and Government apresenta 71% de ataques avançados. O setor de gaming cresce rapidamente, com ataques avançados saltando de 27% para 50%. Healthcare também apresenta tendência de alta.
O relatório cita casos específicos, como ataques de SMS pumping em seguradoras, evidenciando o uso de automação para exploração direta de custos operacionais.
Táticas de evasão no século da IA
Os bots evoluíram e aprenderam a se esconder.
Entre as principais técnicas estão o uso de IA para adaptação de comportamento, resolução automatizada de CAPTCHA, uso de proxies residenciais, evasão de fingerprinting, execução direta via APIs, navegadores headless, bots como serviço e ataques persistentes e paralelos.
Outro dado relevante mostra que 41% dos bots se passam pelo navegador Chrome e 17% utilizam perfis de Android Browser.
A consequência é clara. A detecção baseada em superfície, como identificação de navegador ou IP, já não é suficiente.
América Latina e Brasil
O relatório não apresenta um recorte detalhado para América Latina ou Brasil.
Na lista global, os Estados Unidos lideram com 59% dos ataques, seguidos por Austrália com 12%, Reino Unido com 9% e França com 3%. Colômbia aparece com 2% e México com 1%. O Brasil não aparece entre os principais países listados.
Isso não deve ser interpretado como ausência de risco.
O ambiente brasileiro reúne características que aumentam a exposição, como forte digitalização bancária, adoção massiva do Pix, crescimento de fintechs, uso intensivo de APIs e expansão de identidade digital e onboarding remoto.
Na prática, o país opera com um dos ecossistemas mais avançados do mundo em serviços financeiros digitais e, por consequência, se torna altamente atrativo para automação maliciosa.
Recomendações
O relatório aponta uma mudança de mentalidade.
Não se trata mais de bloquear bots. Trata-se de governar automação.
Entre as recomendações estão definir uma estratégia específica para tráfego de IA, desenvolver defesas adaptativas, adotar governança em vez de bloqueio indiscriminado, tratar APIs como infraestrutura crítica, tratar identidade digital como infraestrutura crítica, proteger a lógica de negócio, assumir que bots podem ser indistinguíveis de humanos, preparar-se para automação persistente, cobrir toda a superfície digital, combinar inteligência artificial com análise humana e evitar exposição completa das estratégias de defesa.
O ponto central é a mudança de paradigma. Segurança deixa de ser reativa e passa a ser estratégica.
Conclusão
O relatório da Thales consolida um cenário inevitável. A internet já é dominada por máquinas.
A questão não é mais identificar bots. É entender seu papel, sua intenção e seu impacto sobre sistemas de identidade, autenticação e negócios digitais.
A inteligência artificial acelerou esse processo. Tornou ataques mais eficientes, mais baratos e mais difíceis de detectar.
Nesse contexto, a identidade digital assume um papel central, não apenas como mecanismo de acesso, mas como elemento estruturante da confiança.
O desafio agora não é impedir a automação. É aprender a conviver com ela, controlá-la e integrá-la de forma segura.
Ficha do relatório
Nome: 2026 Thales Bad Bot Report
Edição: 13ª
Ano de publicação: 2026
Período analisado: ano-base 2025
Empresa: Thales Cybersecurity, anteriormente Imperva
Fonte dos dados: Thales Threat Research e Security Analyst Services
Acesso: cpl.thalesgroup.com/bad-bot-report
Hashtag oficial: #2026BadBotReport
Glossário
ATO Account Takeover: invasão de contas por uso indevido de credenciais
API Application Programming Interface: interface que permite comunicação entre sistemas
BOLA Broken Object Level Authorization: falha de autorização em nível de objeto
CAPTCHA: mecanismo para diferenciar humanos de bots
CCPA California Consumer Privacy Act: lei de privacidade da Califórnia
Credential Stuffing: ataque que usa credenciais vazadas em múltiplos serviços
DDoS Distributed Denial of Service: ataque de negação de serviço distribuído
DORA Digital Operational Resilience Act: regulamentação europeia de resiliência digital
Fingerprinting: técnica de identificação de dispositivos
GDPR General Data Protection Regulation: regulamentação europeia de proteção de dados
HIPAA Health Insurance Portability and Accountability Act: lei americana de dados de saúde
LFI Local File Inclusion: vulnerabilidade de inclusão de arquivos locais
LLM Large Language Model: modelo de linguagem de grande escala
MFA Multi-Factor Authentication: autenticação multifator
NIS2: diretiva europeia de segurança de redes e informação
OWASP: organização focada em segurança de aplicações
PSD2: diretiva europeia de pagamentos
Proxy residencial: IP real de usuário usado para mascarar tráfego automatizado
RCE Remote Code Execution: execução remota de código
RFI Remote File Inclusion: inclusão remota de arquivos
SAS Security Analyst Services: área de análise de segurança
Scalping: compra automatizada de itens para revenda
Scraping: coleta automatizada de dados
SQLi SQL Injection: ataque de injeção de código SQL
XSS Cross-Site Scripting: ataque de injeção de scripts em páginas web
Identidade Digital
Na era da computação quântica gestão de identidade deixa de ser um recurso técnico e passa a ser um ativo estratégico de governança. Leia mais sobre esse tema aqui!
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!
