Fraude y uso indebido online en 2025: la IA está al volante

La IA no solo está acelerando el fraude y el uso indebido online, sino que los está sobrealimentando. Una nueva generación de bots de IA de modelos de lenguaje de gran tamaño (LLM) está complicando el panorama de las amenazas para las aplicaciones y API al automatizar (potencialmente) los ataques a gran escala.

Solo en el último año, el tráfico de bots con tecnología de IA aumentó un 300 %, lo que hace que sea más difícil diferenciar las actividades benignas de las maliciosas. Al mismo tiempo, el aumento del fraude como servicio (FaaS) en los mercados clandestinos ha reducido drásticamente las barreras de entrada para los ciberdelincuentes.

En consecuencia, facilita incluso a los atacantes novatos perpetrar actividades fraudulentas, desde la ingeniería social y el phishing hasta el fraude de identidad.

Analizamos este problema crítico en un nuevo informe sobre el estado de Internet (SOTI) Fraude y uso indebido en 2025: encontrar el rumbo en las turbias aguas de la IA.

Basándose en la última investigación de Akamai, el informe ofrece un examen en profundidad del creciente panorama del fraude y el uso indebido y su impacto en sectores y regiones clave. El informe también proporciona consejos sobre cómo las organizaciones pueden utilizar la IA para reforzar sus defensas y mantener el cumplimiento de normativas.

El tráfico de bots de IA representa miles de millones de solicitudes diarias en la red de Akamai y está creciendo más rápido que el tráfico general de bots. Esto magnifica la complejidad de distinguir entre los bots legítimos que promueven el crecimiento empresarial y el tráfico de bots maliciosos asociado al fraude y al uso indebido digital. Entre los efectos para las empresas se incluyen el aumento de los gastos, la degradación del rendimiento de los sitios y la contaminación de las métricas clave.

El informe SOTI analiza los diferentes tipos de bots de IA, y sus funciones, desde los bots de entrenamiento y los bots de agentes y asistentes hasta los bots de búsqueda. Aunque los bots legítimos son transparentes en sus intenciones, otros están diseñados para evadir la detección.

Son especialmente preocupantes los diseñados para imitar las interacciones humanas con el fin de detectar debilidades, y los chatbots de IA como FraudGPT y WormGPT que facilitan actos maliciosos, como el phishing y otros ciberataques.

El sector del comercio tuvo la mayor actividad de bots de IA, alcanzando los más de 25 000 millones de solicitudes de bots durante un periodo de observación de dos meses. En el sector sanitario, más del 90 % del tráfico de bots de IA se atribuye a actividades de scraping, principalmente de bots de búsqueda y entrenamiento. Otros sectores con un tráfico significativo de bots de IA son el sector de la alta tecnología y el sector editorial.

Entre julio y agosto de 2025, los clientes de Akamai de Norteamérica experimentaron el 54,9 % de toda la actividad de bots de IA, seguido por EMEA (23,6 %), APAC (20,2 %) y LATAM (1,3 %). En todas las regiones, los bots de entrenamiento representaban la gran mayoría del tráfico de bots de IA.

Centrándose en las vulnerabilidades clave, el informe analiza el fraude y el uso indebido desde el punto de vista de las 10 listas principales según OWASP. El informe asigna las vulnerabilidades relacionadas con OWASP a áreas comunes vinculadas con el fraude y el uso indebido para identificar los tipos más evitables; una información valiosa para mejorar las protecciones.

El informe SOTI incluye columnas de invitados especiales creadas por expertos en privacidad y seguridad que profundizan en temas específicos de interés.

John "JD" Denning, director de seguridad de la información del Financial Service Information Sharing and Analysis Center (FS-ISAC), enfatiza la importancia de las defensas por capas, las guías de respuesta, la inteligencia contra ciberamenazas de todas las fuentes y un enfoque colaborativo centrado en la defensa colectiva.

James A. Casey, vicepresidente y jefe de privacidad de Akamai, examina el panorama de cumplimiento de la IA global; ofrece prácticas recomendadas para adoptar un modelo de control flexible y basado en riesgos que satisfaga las normativas de IA emergentes, al tiempo que mantiene la velocidad, la escala y la precisión necesarias para defenderse de los ataques automatizados.

El informe SOTI también recomienda formas de mitigar de forma eficaz la amenaza que plantean el fraude y el uso indebido basados en IA mediante la combinación de controles técnicos con políticas organizativas claras y una supervisión continua.

Estos consejos prácticos incluyen la gestión y supervisión de bots basada en riesgos, controles de seguridad específicos de IA, el uso de marcos establecidos como los desarrollados por OWASP y la implementación de una estrategia de seguridad de API completa que abarque todo el ciclo de vida de las API.

Una cosa queda clara de nuestra investigación: la IA destaca como el impulsor más importante del cambio en el fraude y el uso indebido online, transformando tanto las estrategias de ataque como las de defensa.

Obtener una comprensión clara de esta amenaza en rápida evolución, y de lo que puede hacer usted para reducir sus riesgos, es una prioridad fundamental.

Puede comenzar descargando el informe sobre el estado de Internet (SOTI) Fraud and Abuse Report 2025: Charting a Course Through AI’s Murky Waters.