Informe Conductual BotConduct — Mayo 2026

Mayo 2026

Observaciones desde el lado receptor sobre la actividad de actores automatizados

Publicado: Mayo 2026 Período cubierto: Abril–Mayo 2026

Un observatorio independiente. No vendemos los productos que clasificamos.

\newpage

Resumen Ejecutivo

El ochenta y tres por ciento del tráfico automatizado que llega a las superficies web empresariales en nuestro observatorio multi-vertical opera en la brecha entre la verificación de identidad y el monitoreo de transacciones — una capa que ningún producto en el stack defensivo actual está diseñado para observar.

Esto no es una predicción. Es una observación basada en datos conductuales recopilados desde el lado receptor a través de servicios financieros, salud, comercio electrónico, gobierno y verticales adyacentes durante la ventana de observación de abril–mayo 2026.

Tres hallazgos definen el panorama actual:

1. La mayoría extractiva. El 83% no es ruido aleatorio. Más de dos tercios del tráfico automatizado observado exhibe patrones de extracción dirigida — navegación precisa hacia rutas de alto valor, estructuras de sesión diseñadas para evitar límites de tasa, y perfiles conductuales inconsistentes con cualquier propósito declarado. Otro 16% opera como recolectores furtivos. Por cada sesión clasificada como legítima, el observatorio registró aproximadamente 14 que exhibían patrones de extracción o furtivos. Si su stack defensivo no incluye observación conductual en la capa de navegación, este tráfico es invisible para usted.

2. Persistencia de actores entre verticales. Aproximadamente el 5% de los actores automatizados persistentes fueron observados operando en dos o más verticales industriales dentro de una ventana de 30 días. Un WAF desplegado en una sola propiedad ve una visita de un actor desconocido. El observatorio, correlacionando entre verticales, ve al mismo actor activo en múltiples propiedades monitoreadas de diferentes industrias — dentro de la misma semana. Las defensas de propiedad única no pueden detectar intención multi-propiedad.

3. Cambio en el origen de la infraestructura. Los proveedores de infraestructura cloud chinos ahora colectivamente originan más tráfico conductual automatizado hacia superficies empresariales occidentales que cualquier proveedor individual de EE.UU. La infraestructura de relay de privacidad ha ingresado al top diez de fuentes. Los supuestos de atribución integrados en la mayoría de los stacks de seguridad están desactualizados.

\newpage

Tesis Central

El stack defensivo construido para la era humano-a-aplicación — identidad, WAF, CDN, DLP, SIEM — no fue diseñado para una era donde los agentes de IA actúan autónomamente en nombre de humanos autenticados. La capa conductual entre la autenticación y el resultado no está monitoreada en la mayoría de los despliegues empresariales. Este informe documenta lo que observamos en esa brecha.

La verificación de identidad confirma quién es el humano. No observa lo que su agente hace después de la autenticación.

Las redes de distribución de contenido optimizan y almacenan en caché. Clasifican solicitudes por firma, no por evolución conductual entre sesiones.

Los firewalls de aplicaciones web buscan coincidencias de patrones contra firmas de ataque conocidas. La mayoría del tráfico con patrón de extracción observado en este informe no porta ninguna firma que activaría una regla.

La prevención de pérdida de datos vigila lo que sale. No observa la secuencia conductual que precede a la extracción.

El SIEM agrega eventos de cada una de estas capas. Si ninguna capa genera un evento para patrones de navegación conductual, el SIEM no tiene nada que agregar.

La brecha es estructural, no operacional. Ninguna cantidad de ajuste del stack existente la cierra. Requiere una nueva capa de observación.

\newpage

Nota Metodológica

Período de observación: Abril–Mayo 2026

Enfoque: Observación conductual desde el lado receptor a través de múltiples verticales industriales. Toda la clasificación se basa en comportamiento observado, no en identidad declarada.

Muestra: Observatorio multi-vertical que cubre servicios financieros, comercio electrónico, medios, salud, gobierno y verticales adyacentes. Las observaciones abarcan miles de sesiones de miles de actores únicos.

Método de clasificación: Análisis de patrones conductuales basado en:

• Secuencias de navegación y patrones de acceso a páginas
• Coherencia de sesión y consistencia temporal
• Detección de señales de evasión (anomalías en fingerprinting TLS, cumplimiento de robots.txt, consistencia de User-Agent)
• Correlación longitudinal entre sesiones a través de ventanas de observación

Limitaciones:

• El observatorio refleja una perspectiva exclusivamente desde el lado receptor. Observamos lo que llega; no observamos la infraestructura de origen del actor más allá de lo que se divulga o es inferible de los metadatos de red.
• La intención declarada (cadenas de User-Agent, cumplimiento de robots.txt) se registra pero no se confía como base para la clasificación. Las señales conductuales tienen precedencia.
• La muestra puede sobre-representar sectores donde la actividad de extracción automatizada es más prevalente. Los hallazgos no deben extrapolarse a todo el tráfico web sin cualificación.
• El observatorio opera a través de sitios bajo acuerdos de monitoreo.

\newpage

Hallazgos Clave

Hallazgo 1: La mayoría extractiva

Más del 83% del tráfico automatizado observado cae en dos categorías conductuales: extracción dirigida (~67%) y recolectores furtivos (~16%). Estos actores navegan con precisión, evitan señales de detección comunes y operan predominantemente desde infraestructura cloud.

En contraste, solo aproximadamente el 5% del tráfico observado exhibe patrones consistentes con uso automatizado legítimo — combinando comportamiento de rastreo respetuoso con patrones declarados de usuario legítimo.

La proporción es contundente: por cada sesión clasificada como legítima o respetuosa, el observatorio registró aproximadamente 14 sesiones que exhibían patrones de extracción o furtivos.

La verificación de identidad confirma quién solicitó acceso. No dice nada sobre lo que sucede después. La mayoría extractiva no necesita derrotar la autenticación — opera después de la autenticación, o en superficies donde la autenticación no es requerida. Esta es una clase de actividad que las soluciones de identidad nunca fueron diseñadas para observar.

Las capas de distribución de contenido y firewall de aplicaciones clasifican por firma. Los patrones conductuales documentados aquí — targeting preciso de rutas, escalación entre sesiones, evasión TLS — no portan ninguna firma en ningún conjunto de reglas ampliamente desplegado. El tráfico pasa porque nunca fue definido como algo a bloquear.

Un segmento pequeño pero notable (~1.3%) del tráfico exhibió patrones consistentes con entrenamiento de contenido — patrones de acceso sistemáticos y de amplia cobertura que difieren de la extracción dirigida en su amplitud y ritmo. También se observó una categoría emergente de tráfico de exploración de agentes de IA (~0.3%), caracterizada por patrones de navegación conversacionales distintos del acceso automatizado tradicional.

En resumen: Si su stack no incluye una capa de observación conductual entre la identidad y la transacción, el 83% de la actividad automatizada en sus superficies no está monitoreada. No bloqueada, no permitida — simplemente invisible.

Hallazgo 2: Persistencia de actores entre verticales

Aproximadamente el 5% de los actores detectados fueron observados operando en dos o más verticales industriales dentro de una ventana de 30 días. Entre los actores persistentes (aquellos con cinco o más sesiones), la operación entre verticales fue significativamente más común.

Estos actores exhiben huellas conductuales consistentes — características TLS, patrones de navegación, firmas temporales — que permiten la correlación entre propiedades que de otro modo no estarían relacionadas.

Lo que esto significa en la práctica: Un WAF desplegado en una sola propiedad ve una visita de un actor desconocido. El observatorio, correlacionando entre verticales, ve al mismo actor activo en múltiples propiedades monitoreadas de diferentes industrias — dentro de la misma semana.

Los patrones conductuales observados no son estáticos. Los actores automatizados se adaptan, escalan y cambian patrones entre sesiones — un comportamiento que la evaluación puntual no puede capturar.

En resumen: La evaluación de riesgos a nivel de propiedad individual subestima sistemáticamente la exposición. Si su proveedor de seguridad no puede mostrarle correlación conductual entre propiedades, usted está viendo eventos aislados, no el patrón.

Hallazgo 3: Cambio en el origen de la infraestructura — Proveedores cloud de Asia-Pacífico

Los proveedores cloud chinos (Tencent Cloud y Alibaba Cloud combinados) ahora originan más tráfico conductual automatizado observado hacia superficies empresariales occidentales que AWS solo. Esto representa un cambio medible respecto a patrones observados en períodos anteriores, donde los proveedores cloud de EE.UU. dominaban el origen del tráfico automatizado.

Principales proveedores de infraestructura por volumen de sesiones automatizadas observadas:

La presencia de Apple iCloud Private Relay en el top diez es notable: la infraestructura de relay que preserva la privacidad es ahora una fuente medible de tráfico conductual automatizado, lo que complica los enfoques de atribución basados en IP.

Nota sobre la composición de la muestra: Esta distribución puede reflejar tanto tendencias geográficas genuinas en el tráfico automatizado como la composición multi-vertical de la muestra del observatorio. Se recomienda la verificación cruzada con otros observatorios públicos antes de extraer conclusiones geopolíticas.

En resumen: El origen de la infraestructura está cambiando más rápido que los supuestos defensivos. Si su modelo de amenazas asume tráfico automatizado dominado por cloud de EE.UU., está calibrado para la era anterior. Y si su estrategia de atribución depende de la reputación de IP, el auge de la infraestructura de relay de privacidad la vuelve cada vez más poco confiable.

Hallazgo 4: Sofisticación de la evasión

Entre los actores clasificados como recolectores furtivos, la señal de evasión más prevalente fue la ausencia de la extensión TLS ALPN — un indicador técnico presente en más del 80% de las sesiones furtivas. Esto indica un uso generalizado de bibliotecas de cliente HTTP que no replican completamente el comportamiento de negociación TLS del navegador.

Principales señales de evasión observadas:

1. Ausencia de extensión TLS ALPN — El handshake TLS omite la extensión de Negociación de Protocolo de Capa de Aplicación que todos los navegadores modernos incluyen. Presente en la gran mayoría de las sesiones de recolectores furtivos.
2. Incumplimiento de robots.txt — Actores que obtuvieron y luego ignoraron las directivas de robots.txt, o que nunca solicitaron robots.txt antes de acceder a rutas restringidas.
3. Discrepancia navegador/TLS — Actores que presentan cadenas de User-Agent de navegador (Chrome, Firefox) mientras exhiben huellas TLS inconsistentes con cualquier versión conocida de navegador.
4. Targeting preciso de rutas — Actores que navegan directamente a rutas de alto valor (páginas de precios, endpoints de API, feeds de datos) sin la cadena de referencia que una sesión humana exhibiría.

El espectro de evasión revela una brecha estructural importante. Las defensas de capa de aplicación inspeccionan lo que el actor declara (User-Agent, headers, cookies). La observación de capa de transporte revela lo que el actor realmente es (huella TLS, comportamiento de protocolo, características de conexión). La mayoría de los stacks desplegados inspeccionan una capa u otra. La mayoría extractiva explota la brecha entre ambas.

En resumen: La señal ya está disponible. Más del 80% de las sesiones de clase furtiva exhiben características TLS inconsistentes con la identidad de navegador que declaran. Esta señal no requiere cooperación del emisor — cualquier receptor puede observarla. La pregunta es si su stack está configurado para mirar.

Tráfico automatizado declarado vs. no declarado

Ocho crawlers de IA importantes actualmente declaran su identidad mediante headers de User-Agent al acceder a propiedades web: Anthropic-AI, Bytespider, CCBot, ChatGPT-User, ClaudeBot, Google-Extended, GPTBot y PerplexityBot.¹

En los datos del observatorio, las sesiones de crawlers de IA declarados representaron aproximadamente el 4% del tráfico total observado durante el período. El aproximadamente 96% restante del tráfico automatizado — incluyendo el 83% clasificado como patrones de extracción o furtivos — operó sin ninguna declaración específica de IA.

Entre los crawlers de IA declarados observados, el perfil conductual fue notable: la mayoría de las sesiones declaradas de IA fueron clasificadas como extracción dirigida o recolectores furtivos, no como rastreo respetuoso. Menos del 4% de las sesiones de crawlers de IA declarados exhibieron comportamiento consistente con rastreo respetuoso (cumplimiento de robots.txt, tasa moderada, identificación consistente).

Lo que esto significa: Bloquear o gestionar el tráfico basado únicamente en cadenas de User-Agent de crawlers de IA declarados aborda aproximadamente el 4% de la actividad automatizada. La gran mayoría del tráfico con patrón de extracción no porta ninguna declaración que lo identifique como operado por IA. Las directivas de robots.txt dirigidas a crawlers específicos — aunque útiles para la minoría que cumple — no alcanzan a la mayoría conductual.

Implicación para defensores: Las políticas de gestión de crawlers de IA que dependen exclusivamente de la identificación por User-Agent están abordando la fracción visible. Se requiere observación conductual para ver el resto.

¹ Listados alfabéticamente. La presencia en esta lista no implica clasificación por volumen o riesgo. Existen otros crawlers declarados que no fueron observados consistentemente durante el período.

\newpage

Spotlight de Patrón Conductual: “El Actor Evolutivo”

Caso real observado (anonimizado). Observación multi-vertical, rastreado durante una ventana de 26 días mediante huella conductual TLS.

Observación

Un solo actor, identificado por características TLS consistentes entre sesiones, exhibió cinco fases conductuales distintas a lo largo de más de cien sesiones durante 26 días.

Fase 1: Rastreo respetuoso (sesiones iniciales)

• Leyó robots.txt, bajo volumen de solicitudes, User-Agent consistente
• Clasificación conductual: RESPECTFUL_CRAWLER

Fase 2: Transición legítima

• Cambió a patrones consistentes con navegación legítima — acceso variado a páginas, profundidad moderada
• Clasificación conductual: LEGITIMATE_USER

Fase 3: Escalación dirigida

• Comenzó extracción dirigida de rutas de contenido específicas, aumentando la profundidad de sesión
• Clasificación conductual: TARGETED_EXTRACTION

Fase 4: Evasión

• Robots.txt ignorado, patrones de solicitud diseñados para evitar límites de tasa, adaptación conductual entre sesiones
• Sesión pico: miles de solicitudes
• Clasificación conductual: STEALTH_HARVESTER

Fase 5: Exploración

• Sondeó endpoints de descubrimiento de API y rutas específicas de agentes
• Clasificación conductual: AI_AGENT_EXPLORING

Análisis

A lo largo de más de cien sesiones durante una ventana de varias semanas, este actor recorrió todo el espectro desde comportamiento conforme hasta adversarial. La huella TLS permaneció consistente durante todo el período, permitiendo una correlación que el análisis de User-Agent por sí solo no podría proporcionar. Cada fase estableció credibilidad conductual antes de escalar. En el pico, las sesiones individuales contenían miles de solicitudes.

Implicación

La evaluación puntual clasificaría a este actor de manera diferente dependiendo de cuándo se realizara la observación. Solo el seguimiento longitudinal a lo largo de toda la ventana de 26 días revela la progresión como la evolución deliberada de un solo actor.

Esto es lo que parece la paciencia en adversarios automatizados. Un actor que comienza respetuosamente y escala durante semanas es invisible para cualquier sistema que clasifique sesiones de forma aislada. Si su proveedor no puede mostrarle cómo evolucionó el comportamiento de un actor entre sesiones, usted está viendo instantáneas, no la imagen completa.

Nota: Este es un caso real observado, no un compuesto.

\newpage

Mapeo de Marcos

La siguiente tabla mapea los hallazgos del observatorio a marcos de riesgo y seguridad establecidos.

Nota sobre aplicabilidad de marcos: Estos mapeos reflejan observaciones del observatorio correlacionadas con categorías de marcos. Están destinados a apoyar la discusión de riesgos, no a afirmar requisitos específicos de cumplimiento. Las organizaciones deben evaluar la aplicabilidad según su contexto regulatorio y postura de riesgo.

La brecha regulatoria

Los marcos actuales de gobernanza de IA se enfocan en dos lados de la cadena de despliegue de IA: desarrolladores y operadores.

El EU AI Act (particularmente los Artículos 9, 15 y 52) establece obligaciones para los proveedores de sistemas de IA y para los implementadores que integran esos sistemas. El Artículo 15 exige medidas de precisión, robustez y ciberseguridad — pero estas obligaciones recaen sobre la entidad que construye o despliega el sistema de IA, no sobre la entidad cuya superficie web recibe el tráfico del sistema de IA.

El NIST AI Risk Management Framework mapea el riesgo a través de las funciones Govern, Map, Measure y Manage — nuevamente orientadas hacia la organización que desarrolla u opera el sistema de IA. El receptor del tráfico generado por IA no es un rol definido en el marco.

El OWASP Top 10 for Agentic Applications identifica riesgos como Agencia Excesiva (A01), Mal Uso de Herramientas (A03) y Consumo Ilimitado (A10) — cada uno describiendo modos de falla desde la perspectiva del operador.

Lo que ninguno de estos marcos aborda es la perspectiva del receptor: la empresa cuya superficie web es accedida por agentes de IA que no desplegó, autorizó ni configuró. Esta entidad no tiene relación contractual con el agente, no tiene visibilidad sobre su mandato y — bajo los marcos actuales — no tiene un rol definido en la cadena de gobernanza.

Los datos del observatorio en este informe documentan lo que experimentan las organizaciones del lado receptor: tráfico automatizado a escala, operando sin declaración, exhibiendo patrones conductuales que las herramientas defensivas existentes no fueron diseñadas para clasificar. Los marcos que gobiernan el desarrollo y despliegue de IA aún no se extienden a proteger a las organizaciones que reciben tráfico impulsado por IA.

Esta no es una crítica a los marcos existentes — abordan necesidades de gobernanza reales e importantes. Es una observación de que existe una brecha estructural entre lo que cubren los marcos (obligaciones del desarrollador y operador) y lo que experimentan los receptores (tráfico automatizado no clasificado a escala). Cerrar esta brecha probablemente requerirá la extensión de los marcos existentes o el desarrollo de estándares complementarios del lado receptor.

\newpage

Cinco Recomendaciones para Defensores

1. Monitorear la capa conductual, no solo la capa de identidad.

La autenticación confirma quién. La observación conductual revela lo que hacen después de que se otorga el acceso. La tasa de extracción del 83% documentada en este informe opera en la brecha entre estas dos capas. Si usted monitorea identidad y transacciones pero no comportamiento, está monitoreando la entrada y la salida mientras ignora lo que sucede dentro del edificio.

2. Asumir que la correlación entre sitios existe para sus adversarios.

Si un actor extrae datos de su propiedad y de otras tres en la misma vertical, una defensa de propiedad única nunca verá el patrón. La visibilidad de propiedad única no puede detectar intención multi-propiedad. Si su stack defensivo carece de correlación entre propiedades, su evaluación de riesgos se basa en datos incompletos.

3. Tratar el cumplimiento de robots.txt como una señal débil, no como una clasificación.

En nuestro observatorio, actores que inicialmente cumplieron con robots.txt posteriormente lo violaron en una proporción significativa de casos. El cumplimiento en el momento T no predice el cumplimiento en el momento T+n. Cualquier sistema de clasificación que trate el cumplimiento inicial como una señal duradera es vulnerable al patrón de escalación documentado en este informe.

4. Evaluar el fingerprinting conductual TLS como suplemento de detección.

Más del 80% de las sesiones automatizadas de clase furtiva en nuestro observatorio exhibieron características TLS inconsistentes con el navegador que declaraban. Esta señal está disponible para cualquier receptor sin requerir cooperación del emisor. No es una solución mágica — actores sofisticados pueden y replican el comportamiento TLS del navegador — pero sigue siendo uno de los suplementos de detección de mayor señal disponibles hoy.

5. Solicitar datos conductuales longitudinales a sus proveedores de seguridad.

La clasificación puntual pierde patrones de escalación que se desarrollan durante días o semanas. Si su proveedor no puede mostrarle cómo evolucionó el comportamiento de un actor entre sesiones, usted está viendo una instantánea, no la imagen completa. Solicite datos de tendencias conductuales sesión a sesión. Si no existen, la clasificación es inherentemente incompleta.

\newpage

Implicaciones para la Gestión de Riesgos

Para CISOs

• La verificación de identidad confirma quién es el humano. No observa lo que su agente hace después de la autenticación. La tasa de extracción del 83% observada opera enteramente en esta brecha conductual. Si su stack no incluye observación conductual, este tráfico es invisible para usted.
• La detección basada en firmas y el rate-limiting abordan patrones conocidos. La mayoría extractiva opera con patrones conductuales — navegación precisa, evasión TLS, persistencia entre sesiones — que no portan ninguna firma conocida. Estos no son exploits de día cero. Son solicitudes de apariencia normal que, en conjunto, constituyen extracción sistemática.
• La correlación entre verticales no es una característica de ningún producto de seguridad ampliamente desplegado. El 5% de los actores observados en múltiples verticales representa una brecha de detección que requiere observación conductual desde el lado receptor para ser abordada.

Para Juntas Directivas y Liderazgo Ejecutivo

• El patrón de persistencia entre verticales observado sugiere operaciones de inteligencia organizadas que afectan múltiples unidades de negocio simultáneamente. La evaluación de riesgos a nivel de propiedad subestima la exposición.
• El cambio de origen de infraestructura hacia proveedores cloud de Asia-Pacífico puede tener implicaciones para la soberanía de datos, reporte regulatorio y evaluación de riesgo geopolítico.
• La proporción 14:1 de tráfico de extracción versus legítimo automatizado es una medida del estado actual. Es probable que empeore a medida que se acelere el despliegue de agentes de IA.

Para Equipos de Auditoría y Cumplimiento

• El Artículo 15 del EU AI Act requiere medidas de precisión y robustez para sistemas de IA de alto riesgo. El patrón de escalación conductual observado (de conforme a adversarial durante ventanas de observación de varias semanas) sugiere que las evaluaciones estáticas de cumplimiento al momento del despliegue pueden no reflejar la realidad operacional.
• La aparición de tráfico de exploración de agentes de IA (~0.3% de las sesiones observadas) señala que los agentes autónomos de IA están comenzando a interactuar con superficies web empresariales. Los marcos regulatorios están evolucionando para abordar esto; las líneas base observacionales establecidas ahora serán valiosas para futuros requisitos de cumplimiento.

Acerca de BotConduct

BotConduct opera un observatorio conductual independiente para la actividad de actores automatizados en superficies web empresariales. El observatorio caracteriza a los actores automatizados por lo que hacen, no por lo que declaran.

Las observaciones son desde el lado receptor, longitudinales y correlacionadas cruzadamente entre verticales industriales.

BotConduct no vende los productos que clasifica.

Autor: Equipo del Observatorio BotConduct

Contacto: hello@botconduct.org Web: botconduct.org

Próxima edición: Junio 2026

Cómo citar: Informe Conductual BotConduct, Mayo 2026. Observatorio BotConduct. https://botconduct.org/briefings/may-2026

Este informe se proporciona con fines informativos. Los hallazgos reflejan datos del observatorio para el período indicado y no deben interpretarse como inteligencia de amenazas integral. Los hallazgos en este informe son descriptivos, no predictivos. Los datos del observatorio reflejan lo que se ha observado; el comportamiento futuro puede diferir. Este informe no debe utilizarse como única base para decisiones de seguridad o riesgo. BotConduct no es un organismo regulador y no proporciona asesoría legal o de cumplimiento.

Copyright 2026 BotConduct. Todos los derechos reservados.