Relatório da Thales mostra como bots maliciosos impulsionados por IA simulam tráfego legítimo, ampliam ataques a APIs e desafiam Cyber Security
Por: Wellington dos Santos, CTO e CISO da CLM Software
Durante muito tempo, empresas desenharam suas estratégias digitais partindo de uma premissa simples, do outro lado de um acesso, de um login, de uma compra online ou de uma solicitação digital, havia uma pessoa. Essa premissa já não se sustenta da mesma forma.
De acordo com a pesquisa “Bad Bot Report 2026”, da Thales/Imperva, 53% do tráfego observado na internet em 2025 veio de bots. Dentro desse volume, 40% correspondia a bots maliciosos, enquanto apenas 47% era tráfego humano. Mais do que um dado estatístico, esse número mostra uma mudança estrutural na internet corporativa que está se tornando, cada vez mais, um ambiente acessado e pressionado por máquinas.
O desafio não está apenas no volume. Está na sofisticação. O relatório aponta que ataques de bots impulsionados por IA cresceram 12,5 vezes em um ano, com a média diária de bloqueios passando de 2 milhões para 25 milhões em 2025. A automação maliciosa ficou mais barata, mais rápida e mais adaptável.
Isso muda a conversa que CIOs e CISOs precisam levar ao board. Bots não são mais apenas um problema de disponibilidade, nem um ruído técnico a ser filtrado na borda da rede. Eles podem afetar receita, credibilidade, integridade de dados, experiência do cliente, custos operacionais e conformidade.
Em muitos casos, o impacto não vem de uma invasão clássica, mas do uso abusivo de fluxos legítimos, ou seja, de interações comuns das aplicações, como login, consulta de preços, busca por disponibilidade, reserva, checkout ou solicitação de códigos de autenticação, executadas em escala e com intenção maliciosa.
É aqui que o tema fica mais complexo. Um bot moderno nem sempre chega fazendo barulho. Ele pode usar um navegador válido, seguir uma jornada esperada, gerar requisições bem formadas e até interagir com APIs autenticadas. Na superfície, parece comportamento normal. O problema está na intenção, na frequência, no contexto e na escala. Como destaca a pesquisa, a distinção entre automação legítima e maliciosa está cada vez menos clara, porque ambas passam a operar por canais, fluxos e infraestruturas semelhantes.
Essa é uma mudança importante para quem pensa segurança. Durante anos, nos acostumamos a procurar sinais evidentes de anomalia. Um endereço suspeito, uma assinatura conhecida, um volume fora do padrão ou um comportamento tecnicamente malformado. Mas, quando o tráfego automatizado aprende a parecer humano, a segurança precisa evoluir de uma lógica de bloqueio simples para uma lógica de interpretação.
O ponto central passa a ser entender se aquela automação faz sentido para o negócio. Um mecanismo automatizado de busca, também chamado de crawler, usado por buscadores para indexar páginas públicas, pode ser aceitável em uma página pública. Um agente de IA pode trazer valor em determinadas interações, mas uma automação consultando preços, estoques, APIs de autenticação ou fluxos transacionais em alta frequência pode distorcer indicadores, consumir infraestrutura, criar escassez artificial ou abrir caminho para fraude.
As APIs tornam esse cenário ainda mais crítico. De acordo com o relatório, 27% dos ataques de bots em 2025 foram direcionados a endpoints de API. A Thales também observa campanhas desenhadas como “API-first”, nas quais bots ignoram a interface do usuário e interagem diretamente com serviços de backend por meio de requisições bem formadas e, muitas vezes, autenticadas.
Para o board, isso precisa ser traduzido de forma simples, APIs não são apenas componentes técnicos. Elas sustentam autenticação, pagamentos, consultas, reservas, integrações, aplicativos móveis, canais digitais e, cada vez mais, interações com IA. Quando uma API é mal utilizada por automação, o risco atinge diretamente a lógica operacional da empresa.
Outro dado relevante é que 21% dos ataques de bots miraram lógica de negócio, manipulando fluxos legítimos das aplicações. Esse talvez seja o ponto mais importante. Nem todo risco nasce de uma falha de software, muitas vezes, nasce do uso de uma funcionalidade exatamente como ela foi desenhada, porém em escala, velocidade ou contexto que o negócio não previa.
Por isso, a resposta não pode ser apenas mais uma camada de bloqueio. As empresas precisam governar a automação. Isso significa definir quais bots e agentes podem acessar quais ambientes, estabelecer limites, proteger APIs críticas, monitorar comportamento, analisar sessões, entender padrões históricos e conectar times de segurança, tecnologia, fraude, operação e negócio.
Também significa reconhecer que controles tradicionais continuam importantes, mas não bastam sozinhos. MFA, criptografia, certificados, firewalls e testes de segurança seguem essenciais. Porém, em uma internet dominada por automações, confiança digital também depende da capacidade de identificar intenção. Quem acessa? O que acessa? Com qual frequência? Por qual caminho? Em nome de qual processo? Com qual impacto?
Enxergamos nesse tema uma agenda cada vez mais estratégica para canais, integradores e clientes finais. A proteção contra bots não deve ser tratada apenas como uma solução pontual, mas como parte de uma arquitetura mais ampla de resiliência digital.
BURNOUT – Quem Protege os Defensores?
Split Payment: A Engenharia de Dados e Cibersegurança por Trás da Nova Era Fiscal Brasileira
GMO GlobalSign lança o TLS Connect, trazendo automação de CLM para Pequenas e Médias Empresas (PMEs)
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.


Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!








