*Por Juan Villalobos
A digitalização da economia atingiu um novo marco histórico – hoje 50,04% do tráfego da Internet é formado por robôs. É o que revela o estudo 2025 Advanced Persistent BotsReport, que analisou 207 bilhões de transações de web e APIs em 2024. A presença de Bots representa, ainda, 22,3% das solicitações de Search na web e 21,5% de transações Adicionar ao Carrinho (caso de portais B2C). Vale destacar que 10 bilhões (4,8%) dos acessos analisados consistiram em tráfego de Bots maliciosos.
Isso configura um cenário digital em que os negócios das organizações são, em parte, baseados no acesso de Bots lícitos – caso dos agentes do Google, por exemplo – que efetivamente trazem consumidores para as páginas Web e Apps de cada empresa. Por outro lado, como indica o estudo acima, 4,8% dos acessos baseados em robôs reproduzem o comportamento humano como uma estratégia de ataque. A meta é monetizar na Dark Web dados críticos dessas plataformas de negócios.
Empresas de todas as verticais estão sob ataque
Embora todas as verticais sejam vulneráveis aos problemas causados pelos Bots, algumas indústrias conquistaram uma maior maturidade – é o caso dos setores financeiro e varejista. Infelizmente, novas áreas da economia transformaram-se em alvos preferenciais. Esse é o caso do setor de hospitalidade. A vulnerabilidade da indústria de hospitalidade tem origem no fato de que programas de fidelidade e cartões-presente são, essencialmente, moeda digital. Os criminosos cibernéticos podem, facilmente, converter esses ativos em dinheiro ou usá-los para a aquisição de bens e serviços.
Algumas redes de hotéis sofrendo um surto de 300% em atividade de Bots maliciosos em comparação com o ano passado.
Os invasores conseguem verificar saldos, transferir pontos ou resgatar prêmios ilegalmente. Para se protegerem, as empresas de hospitalidade precisam analisar padrões de transação e implementar soluções capazes de diferenciar seres humanos de Bots.
Reutilização de senhas facilita ação de criminosos
Uma das principais estratégias dos criminosos é o preenchimento de credenciais, quando senhas roubadas expõem dados valiosos. Trata-se de um ataque prevalente efetuado por Bots, que explora a prática generalizada de reuso de senhas. Segundo o estudo sobre Bots, em algumas organizações, mais de 80% do tráfego de logins é proveniente de ataques de preenchimento de credenciais lançados por Bots. O relatório destaca que, mesmo com uma baixa taxa de sucesso – 1% a 3% por campanha de ataque – o volume absoluto de logins automatizados se traduz em um número substancial de contas de usuários comprometidas.
Isso comprova que, enquanto as medidas tradicionais de segurança focam a prevenção de ataques maliciosos, as ameaças automatizadas estão obtendo acesso sem ser detectadas. Para isso, usa-se a Inteligência Artificial para desenvolver Bots que imitam o comportamento humano e exploram brechas na lógica de aplicações.
Incidentes como a invasão do PayPal em 2022, no qual quase 35.000 contas de usuários foram acessadas para expor informações pessoais altamente monetizáveis, fornecem gigantescas bases de dados de nomes de usuários e senhas para uso malicioso em outros serviços online. Devido ao fato de muitas pessoas reusarem senhas, até mesmo uma pequena taxa de sucesso dos ataques baseados em Bots pode resultar em ganhos financeiros para os criminosos digitais.
CAPTCHAs deixaram de ser eficazes
As defesas tradicionais contra Bots, como CAPTCHAs e bloqueio de IPs, não estão à altura de táticas de evasão cada vez mais sofisticadas. Os operadores de Bots podem terceirizar a solução de CAPTCHAs para fazendas de cliques humanas, nas quais pessoas recebem pagamentos para resolver desafios sob demanda.
Para combater eficazmente essas técnicas avançadas de evasão, as organizações precisam ir além das defesas tradicionais e abraçar soluções de Bots inteligentes. Essas soluções tiram partido de Inteligência Artificial, aprendizado de máquina e análise de comportamento para identificar Bots com base em suas características singulares.
O delicado equilíbrio entre robôs do bem e robôs do mal
Os negócios digitais dependem da Internet. Com o grau de automação atual – fator potencializado ainda mais pelo uso da IA no desenvolvimento de Bots – é impossível eliminar todo o tráfego de robôs. Vale destacar que uma parte significativa desse tráfego é formada por Bots “do bem”, que não devem ser bloqueados de maneira nenhuma.
CIOs e CISOs brasileiros lidando com essa realidade sabem disso, e buscam um ponto de equilíbrio entre a defesa eficaz contra robôs “do mal” e a instantânea identificação do que é um Bot que gera negócios. Uma forma de atingir essa meta é contar com serviços avançados de cybersecurity oferecidos a partir de plataformas globais com a inteligência e o poder de processamento necessários para discernir, em milissegundos, quem é quem no mundo dos Bots. E, a partir daí, garantir a entrega de aplicações e APIs com a máxima performance. Quem conquistar essa maturidade preservará a UX entregue aos consumidores, e a integridade digital da empresa onde atua.
*Juan Villalobos é diretor de Canais de Vendas da F5 América Latina.
