O uso de bots impulsionados por inteligência artificial cresceu 300% em um ano, segundo o novo “Fraud and Abuse Report 2025” da Akamai Technologies. O levantamento indica que essa nova geração de automações já representa quase 1% de toda a atividade detectada pela empresa, um volume equivalente a bilhões de interações diárias que podem distorcer análises, sobrecarregar sistemas e gerar prejuízos diretos às empresas.

Fernando Serto, Field CTO da Akamai para a América Latina, disse em comunicado que “os bots com IA impulsionam ataques ao manipular e imitar ações legítimas de pessoas, permitindo fraudes digitais, transações não autorizadas e identidades falsas”. Ele ressalta que a América Latina reúne condições ideais para a proliferação desses ataques, especialmente em países com alto grau de digitalização e uso intensivo de pagamentos instantâneos, como o Brasil.

Entre julho e agosto de 2025, foram registradas 948 bilhões de interações de bots na região, das quais 697 milhões envolviam IA. O Brasil concentrou 408 milhões dessas ocorrências (mais da metade do total latino-americano) seguido pelo México (230 milhões) e Colômbia (32 milhões). O setor varejista lidera o ranking de alvos, com 468 milhões de detecções, à frente dos serviços financeiros (83 milhões) e do setor público (40 milhões). Entre os bots mais ativos estão GPTBot, ChatGPT-User, Meta-ExternalAgent, ClaudeBot e OAI-SearchBot.

Crime sob demanda

O relatório aponta ainda a consolidação do modelo fraud-as-a-service (FaaS), no qual golpes e ferramentas de ataque são vendidos prontos em mercados clandestinos. Soluções como FraudGPT e WormGPT permitem criar mensagens de phishing, códigos maliciosos e identidades falsas, tornando a fraude digital mais acessível e difícil de detectar. Serto alerta: “a inteligência artificial transformou o cibercrime em um serviço. Hoje, é possível até alugar um bot para realizar ataques ou comprar ingressos de eventos disputados”.

Para mitigar riscos, a Akamai recomenda que as empresas monitorem antes de bloquear o tráfego automatizado, distinguindo bots legítimos, como os de mecanismos de busca, de atividades maliciosas. Entre as boas práticas indicadas, além do monitoramento, estão a adoção de camadas de defesa combinadas, proteção de APIs e aplicações críticas, uso dos frameworks como OWASP Top 10 e OWASP API Security, ter regras claras e bem definidas para controlar o rastreamento e a realização contínua de testes e simulações.