A atividade de bots alimentados por inteligência artificial aumentou 300% em um ano, segundo o relatório Relatório de Fraude e Abuso 2025 da Akamai. O estudo informa que a maior parte deles está ligada à raspagem de dados, manipulação de preços e experiência de fraude: atualmente, os bots de IA já representam quase 1% de toda a automação bloqueada na plataforma da Akamai, o que equivale a bilhões de interações diárias capazes de distorcer análises, sobrecarregar sistemas e impactar diretamente as receitas das empresas.
“Os bots com IA impulsionam ataques ao manipular e imitar ações legítimas de pessoas, permitindo fraudes digitais, transações não autorizadas e identidades falsas”, explica Fernando Serto, Field CTO da Akamai Technologies para a América Latina. “Esse é um padrão global, mas com nuances regionais. Nos mercados latino-americanos, onde o consumo é altamente digitalizado e sistemas de pagamento instantâneos, como o Pix no Brasil, são amplamente usados, os bots com IA encontram o ambiente ideal para explorar vulnerabilidades e obter vantagem econômica rápida.”
Brasil liderou quase toda a atividade de bots com IA na região
Entre julho e agosto de 2025, a Akamai contratou 948 bilhões de interações de bots na América Latina, sendo 697 milhões gerados por bots com inteligência artificial. O Brasil liderou a maior parte dessas detecções, com 408 milhões de interações, seguidas pelo México, com 230 milhões. Outros países da região registraram atividade bem menor, a Colômbia teve 32 milhões, e o Chile, apenas 7,6 milhões.
O varejo liderou o ranking de setores com maior volume de bots com IA na América Latina, com 468 milhões de detecções, seguido pelos serviços financeiros (83 milhões) e pelo setor público (40 milhões). Dentro do comércio, o segmento de varejo respondeu por 95% das interações de bots. Entre os bots mais ativos da região estão GPTBot, ChatGPT-User, Meta-ExternalAgent, ClaudeBot e OAI-SearchBot.
De dta scraping a fraudes: a evolução dos bots
Grande parte das fraudes digitais é conduzida por bots programados para cometer uma ampla variedade de crimes. No setor financeiro, eles automatizam tentativas de login com credenciais roubadas, testam números de cartão de crédito obtidos ilegalmente e criam e gerenciam identidades falsas. Outros bots impedem que os consumidores concluam compras, prejudicam o tráfego legítimo de redes corporativas e controlam a capacidade das empresas de operar processos críticos.
“A inteligência artificial transformou o cibercrime em um serviço”, afirma Fernando Serto. “O avanço do modelo fraud-as-a-service (FaaS), com golpes vendidos em mercados clandestinos, facilita a execução de esquemas diversos de fraude online. Ferramentas como FraudGPT e WormGPT, que usam IA generativa para criar mensagens de phishing, códigos maliciosos e identidades falsas, reveladas como fraudes digitais acessíveis a qualquer pessoa. Hoje, é possível até alugar um bot para realizar ataques ou comprar ingressos de eventos disputados.”
Segundo o relatório, atividades que antes foram realizadas com alto conhecimento técnico agora podem ser realizadas em minutos. A inteligência artificial aumentou a escala e a velocidade dos ataques, diminuindo os erros humanos que antes permitiam fraudes detectadas com mais facilidade.
Boas práticas para empresas que lidam com bots de IA
Embora os bots possam ser classificados de acordo com seu comportamento e impacto, cabe às empresas determinar se um bot é benéfico ou prejudicial. Um mesmo tipo de automação pode ser útil para uma organização e nocivo para outro, dependendo do tipo de local e das áreas que ele acessa.
“Em vez de bloquear toda a atividade automatizada, as empresas devem avaliar a intenção e a identidade do bot para entender o impacto em seus negócios. Isso exige soluções especializadas de gerenciamento de bots”, diz Serto. “A orientação é monitorar antes de bloquear, diferenciando o tráfego legítimo, como o de mecanismos de busca, de atividades maliciosas. Também é essencial adotar estruturas de defesa reconhecidas, como o OWASP Top 10, que ajuda a mapear vulnerabilidades em aplicações, APIs e modelos de IA.”
Ao identificar falhas de controle de acesso, falhas de autenticação, injeções de código, abusos de lógica de negócio, configurações incorretas e exposição de dados, as equipes de segurança podem priorizar melhores suas defesas.
As medidas recomendadas incluem:
- Monitore antes de desbloquear: entender o tipo de bot que acessa o site e diferenciar os legítimos dos maliciosos.
- Criar camadas de defesa: combinação detecção comportamental, limitações de requisições, autenticação restrita e firewalls especializados em IA.
- Protege APIs e aplicações: rever configurações, integrar segurança em todo o ciclo de vida da API e monitorar endpoints ocultos ou “zumbis”.
- Adotar frameworks reconhecidos: siga as diretrizes do OWASP Top 10 e OWASP API Security para corrigir vulnerabilidades críticas.
- Definir regras de acesso claro: publicar arquivos robots.txt ou políticas similares para controlar o rastreamento automatizado.
- Testar continuamente: realizar testes de penetração e simulações de ataque para validar a eficácia das defesas.
