2024 marcou a primeira vez em que o tráfego gerado por automação ultrapassou o humano na internet, com 51% do total sendo alimentado por sistemas automatizados e 37% por bad bots. O Imperva Bad Bot Report 2025, que analisou quase 6 trilhões de solicitações, descreve uma média de 2 milhões de ataques diários com IA contra milhares de domínios de diferentes setores.
O estudo, em sua 12ª edição, aponta que a automação de ataques cresceu pelo sexto ano consecutivo. Em 2024, a atividade de bots representou 37% do tráfego total da web, um aumento de 5 pontos percentuais em relação a 2023. A pesquisa destaca que a IA está tornando os bots mais sofisticados e difíceis de detectar. A aquisição da Imperva pela Thales é apontada como fator que fortalece a proteção de aplicações, APIs e dados críticos em larga escala.
Entre os destaques, ataques simples de alto volume com bots cresceram para 45% das investidas automatizadas em 2024, frente a 40% em 2023. Os sequestros de contas (ATO) também subiram, 40% em relação ao ano anterior e 54% desde 2022. As APIs aparecem como o elo mais vulnerável, recebendo 44% do tráfego de bots avançados.
Geograficamente, mais da metade dos ataques (53%) foi direcionada aos Estados Unidos, com Brasil e Reino Unido empatados na segunda posição (6% cada). No recorte setorial, o setor de viagens tornou-se o mais atingido, respondendo por 27% de todos os ataques automatizados, enquanto o varejo caiu para 15% em 2024.
A evolução da IA amplifica as ameaças digitais: 16% de todos os ataques habilitados por IA ocorreram em 2024, e, quando combinados com ataques de lógica de negócios, esse total chega a 41%. Os invasores utilizam IA para refinar técnicas de exploração e identificar vulnerabilidades em APIs, com o objetivo de roubar dados e obter acesso não autorizado a sistemas corporativos. As empresas são chamadas a investir em proteção de APIs, aprendizado de máquina defensivo e monitoramento em tempo real.
No conjunto, a automação é apontada como o maior vetor de risco digital atual. Organizações devem investir em visibilidade contínua, bloqueio inteligente de tráfego automatizado e integração de IA em soluções de ciberdefesa para proteger operações digitais.
