Segundo uma nova pesquisa da F5 – empresa de cybersecurity e entrega de aplicações de missão crítica –, a explosão da IA generativa faz com que, agora, alguns conteúdos web sejam mais acessados por Robôs do que por seres humanos. O 2025 Advanced Persistent Bots Report da F5 Labs analisa 207 bilhões de transações de web e APIs entre novembro de 2023 e setembro de 2024. É um estudo que analisa o que se passa em grandes corporações usuárias da F5 no Brasil e no mundo que contam com defesas de bots implementadas. Ficou claro que acessos automatizados realizados por meio de bots já são a maioria do tráfego da Internet.
O relatório revelou que 50,04% das solicitações de página web vieram de fontes automatizadas. A presença de bots também representa 22,3% das solicitações de Search na web e 21,5% de transações Adicionar ao Carrinho (caso de portais B2C). Vale destacar que, no caso de organizações que bloqueiam o acesso de bots a suas aplicações e APIs, o operador dos bots não desiste e continua a enviar solicitações.
Vale destacar que 10 bilhões (4,8%) dos acessos consistiram em tráfego de bots maliciosos.
“Durante anos, o tráfego de bots foi direcionado primariamente a fluxos de Search, bem como aspectos da jornada do usuário em que alguém se inscreve ou faz login para usar um serviço, adiciona um item ao carrinho, faz checkout ou tenta alterar sua senha”, disse David Warburton, diretor da F5 Labs.
“O enorme aumento no scraping de conteúdo, sem dúvida associado à explosão de IA generativa e LLMs, destaca quão dinâmico é o tráfego de bots. É fundamental que as organizações estejam constantemente atentas a mudanças nos padrões de ataque.” O estudo revela que há um crescimento significante no tipo de web scrapers usados por provedores de LLM como OpenAI, Anthropic e Perplexity.
Robôs presentes em todas as verticais
Os padrões e a prevalência do tráfego de bots variaram conforme a vertical de negócios. As indústrias mais visadas na web foram hospitalidade (44,6% do tráfego de bots), saúde (32,6%) e comércio eletrônico (22,7%).
Nos dispositivos móveis, o entretenimento (23%) foi, de longe, o setor mais visado, bem à frente de comércio eletrônico (4,5%) e fast food (4,2%).
Várias indústrias ainda enfrentam níveis elevados de ataques de preenchimento de credenciais que buscam assumir o controle de contas de usuários.
Na web, mais de um terço das tentativas de login para empresas do setor de tecnologia (BigTechs) foram tentativas de invasão para controle de contas (33,5%). No caso do varejo essa marca ficou em 25,7%. Em games, 19,6%. Nos acessos realizados a partir de dispositivos móveis, esses ataques foram mais prevalentes contra empresas de entretenimento (24,7%) e provedores de comércio eletrônico (23,8%).
A sofisticação dos ataques também variou conforme a vertical. A grande maioria do tráfego automatizado direcionado à saúde, tanto na web quanto em dispositivos móveis, foi classificada como ‘básica’. Outras indústrias experimentaram níveis relativamente altos de tráfego mais sofisticado considerado ‘avançado’ – os três principais na web são varejo, bancos e empresas aéreas.
Apesar dos elevados níveis de tráfego de bots, a maioria das indústrias monitoradas experimentou um declínio na atividade automatizada em comparação a 2023. Isso sugere que os controles de bots em vigor estavam tendo o efeito desejado.
Fora da curva ficaram hospitalidade na web, que aumentou em 18,3% e fast food na web, com alta de 11,2%. Embora tenha experimentado uma parcela muito maior de tráfego de bots em dispositivos móveis do que qualquer outra indústria, a de entretenimento ainda registrou uma queda de 11,5% em relação a 2023.
“Certas indústrias são alvos perenes para tráfego de bots indesejado”, acrescentou Warburton. “A hospitalidade experimenta volumes elevados porque os agregadores querem fazer scraping de dados de disponibilidade e tarifas de quartos de hotéis, ou atores maliciosos estão tentando roubar pontos de fidelidade. De semelhante modo, os provedores de comércio eletrônico são alvos de revendedores e bots treinados para explorar detalhes de vouchers e vales-presente.”
A partir dos dados, fica claro que certas indústrias se adaptaram ao longo do tempo: setores amplamente visados, como empresas aéreas e serviços financeiros, criaram defesas para frustrar invasores menos sofisticados, o que significa que, agora, precisam lutar com uma proporção maior de tráfego proveniente de operadores mais avançados e altamente persistentes.
Modelos de negócios inteiramente baseados em bots
O relatório avaliou também o impacto da dissuasão no tráfego de bots, comparando as experiências de clientes que estavam monitorando o tráfego automatizado com as daqueles que o estavam mitigando.
Nos dispositivos móveis, a tendência era clara e esperada. As organizações que mitigavam o tráfego viram uma parcela significantemente menor de atividade automatizada em seu tráfego de Pesquisa (0,9% em comparação com 24,8% para as que apenas monitoravam), um padrão correspondido em Login (5% para as mitigadoras em comparação com 21,7% para as monitoradoras) e Inscrição (2,4% em comparação com 21,7%).
Na web, a história foi diferente. Na maioria dos fluxos de trabalho, o tráfego automatizado foi maior para organizações que estavam mitigando bots ativamente.
Essas clientes viram 20,9% de tráfego automatizado em Pesquisa versus 14,9% para as que simplesmente monitoravam, e a equação foi a mesma em Adicionar ao Carrinho (19,2% versus 18,2%), Finalizar Compra (8,6% versus 7,4%) e Recuperar Conta (6,6% versus 4,6%).
“Nós esperaríamos que a mitigação de bots levasse a um declínio no tráfego de bots, levando os operadores bloqueados a buscarem alvos mais fracos”, disse Warburton. “Entretanto, agora existem modelos de negócios inteiros construídos em torno de scraping de dados, preços e propriedade intelectual: esses operadores não desistirão facilmente. Um aumento no tráfego pode significar que esses atores estão se esforçando mais e de mais maneiras – mas não necessariamente tendo sucesso. A tendência constante desta pesquisa, e de toda a nossa experiência na F5, é de que a mitigação funciona e a dissuasão faz diferença.”