Imagine que os cibercriminosos tinham, até pouco tempo atrás, um exército de “soldados rasos” digitais: bots simples, repetitivos, fáceis de detectar. Agora, com AI (Inteligência Artificial), cada um desses soldados ganhou um “upgrade de inteligência” e virou espião especializado, capaz de imitar gente de verdade, burlar filtros e testar fraudes em escala industrial. É exatamente esse cenário que o novo State of the Internet (SOTI), o Fraud and Abuse Report 2025 da Akamai, coloca no centro do radar: o volume de bots de IA cresceu 300% em um ano e o Brasil virou o principal campo de batalha na América Latina.
Para quem trabalha com e-commerce, bancos digitais, meios de pagamento ou segurança corporativa, esse relatório não é apenas mais um PDF técnico. Ele funciona como um alerta vermelho piscando sobre a combinação explosiva que define hoje o cenário “Akamai bots IA Brasil”.
Brasil lidera ataques de bots com IA na América Latina
Entre julho e agosto de 2025, a Akamai registrou 948 bilhões de interações de bots na América Latina. Dentro desse oceano de automação, 697 milhões foram gerados por bots de IA. E aqui vem o dado que interessa diretamente ao leitor brasileiro: 408 milhões dessas interações ocorreram no Brasil, bem à frente do México, que aparece em segundo lugar com 230 milhões.
Ou seja, se pensarmos na região como um mapa de calor da automação maliciosa, o Brasil aparece como o ponto mais luminoso. Fernando Serto, Field CTO da Akamai para a América Latina, resume a situação de forma direta: o país se tornou o “ambiente ideal” para esse tipo de golpe.
Varejo e serviços financeiros: o coração do ataque
Os alvos principais desse novo exército de bots de IA não surpreendem: o dinheiro segue sendo o centro de gravidade. O relatório mostra que o Varejo lidera com folga, acumulando 468 milhões de detecções de bots de IA na região. Na prática, isso significa ataques focados em:
- Raspagem de dados: cópia massiva de preços, descrições, imagens e estoques, usada para alimentar comparadores obscuros, clones de lojas e estratégias desleais de concorrência.
- Manipulação de preços e estoques: compra automatizada de itens em promoção para esvaziar campanhas, explorar arbitragem ou revender mais caro.
- Bloqueio de consumidores reais: sobrecarga de carrinhos, filas virtuais e sistemas de login, impedindo o tráfego legítimo de concluir compras.
Em seguida vêm os serviços financeiros, com 83 milhões de detecções. Nessa camada, os bots são usados para testar credenciais roubadas, validar cartões de crédito obtidos ilegalmente, abrir contas falsas e simular padrões de uso que tentam enganar sistemas antifraude.
Entre os bots mais ativos na região aparecem nomes que muita gente já viu em relatórios técnicos: GPTBot, ChatGPT-User, Meta-ExternalAgent, ClaudeBot e OAI-SearchBot. Alguns são usados para indexação e pesquisa legítima, mas o ponto do relatório é que, em um ambiente sem controle claro, a mesma tecnologia pode ser reaproveitada em rota de colisão com o negócio.
Fraud-as-a-Service: a IA como ferramenta de crime
Se antes gerenciar um ataque online exigia conhecimento técnico avançado, hoje o relatório da Akamai aponta para um cenário muito mais preocupante: a consolidação do modelo “Fraud-as-a-Service (FaaS)”.
Fernando Serto explica que a IA transformou o cibercrime em um serviço. Em vez de aprender programação ou segurança, o criminoso compra ou aluga pacotes prontos. Plataformas clandestinas oferecem desde kits de phishing até bots que automatizam a compra de ingressos de eventos disputados. Ferramentas como FraudGPT e WormGPT usam IA generativa para criar:
- e-mails de phishing personalizados com uma precisão quase cirúrgica;
- códigos maliciosos que exploram falhas conhecidas ou mal configuradas;
- identidades falsas, com dados sintéticos e perfis aparentemente legítimos.
Atividades que antes levariam dias de preparação agora acontecem em minutos. A IA reduz erros humanos, aumenta a escala dos ataques e encurta o ciclo entre a ideia do golpe e sua execução. E, quando isso se encontra com mercados altamente digitais, a conta fecha rapidamente a favor do criminoso.
Por que o Brasil virou o alvo perfeito
O relatório deixa claro que o problema não é apenas técnico, é estrutural. O Brasil reúne três condições que, combinadas, explicam por que “Akamai bots IA Brasil” é mais do que uma palavra-chave de relatório:
- Altíssima digitalização do consumo
O brasileiro compra online, usa aplicativos para tudo, contrata serviços financeiros digitais e vive dentro de plataformas de varejo e marketplace. Quanto mais digital é o comportamento, maior a superfície de ataque para bots. - Pagamentos instantâneos, como o Pix
Sistemas como o Pix permitem liquidação praticamente em tempo real. Para o usuário, é prático. Para o criminoso, significa vantagem econômica rápida: se o golpe funciona, o dinheiro gira em segundos e desaparece em camadas de contas laranja. - Infraestrutura crítica exposta a APIs
Bancos, varejistas, fintechs e até órgãos públicos dependem de APIs para integrar serviços. Quando essas APIs não seguem boas práticas de segurança, viram corredores discretos para bots de IA explorarem falhas de autenticação, lógica de negócio e controle de acesso.
Nesse contexto, o Brasil acaba funcionando como um “laboratório” para golpes sofisticados. O que é testado aqui tende a ser replicado em outros mercados da América Latina.
Como as empresas podem reagir: monitorar antes de bloquear
Diante desse cenário, a reação instintiva de muitos times de TI é simples: bloquear tudo que pareça automatizado. Só que a própria Akamai alerta que isso é um tiro no pé. Nem toda automação é má. Ferramentas de busca, integradores de preço, soluções de monitoramento e até parceiros de negócio legítimos podem se comportar como bots.
Por isso, o conselho de Fernando Serto é claro: “monitorar antes de bloquear”. Em vez de tratar todo bot como inimigo, a empresa precisa de visibilidade e contexto para responder com precisão. Em termos práticos, isso significa:
- Entender quem é quem: identificar a origem, o padrão de acesso e o impacto de cada bot no negócio.
- Criar camadas de defesa: combinar detecção comportamental, limitação de requisições, autenticação adicional e firewalls especializados em IA.
- Proteger APIs e aplicações: integrar segurança em todo o ciclo de vida da API, monitorar endpoints esquecidos ou “zumbis” e revisar configurações com frequência.
- Adotar frameworks reconhecidos: usar o OWASP Top 10 e o OWASP API Security como referência para priorizar correções de vulnerabilidades críticas.
- Definir regras de acesso claras: publicar e respeitar arquivos como robots.txt e políticas similares, deixando explícito o que pode ou não ser rastreado.
- Testar continuamente: realizar testes de penetração, simulações de ataque e, quando fizer sentido, contar com o apoio de um MSSP especializado em gerenciamento de bots e proteção contra fraudes.
Em seu 11º ano, os relatórios State of the Internet (SOTI) da Akamai se apoiam em uma infraestrutura que processa mais de um terço do tráfego global da internet. Em outras palavras, não se trata de um alerta isolado, e sim da leitura de quem consegue enxergar o problema em escala planetária. Para o Brasil, a mensagem é direta: os bots de IA já estão aqui, operando em massa sobre Varejo, serviços financeiros e o ecossistema do Pix. Ignorar esse movimento é dar ao adversário exatamente o tempo que ele precisa para escalar os ataques.
No fim das contas, a pergunta que cada empresa precisa se fazer não é se deve ou não bloquear bots, mas se está preparada para diferenciar o tráfego legítimo dos abusos. A orientação do relatório é cristalina: monitorar primeiro, classificar a intenção do bot e só então bloquear, quando fizer sentido. Quem conseguir aplicar essa lógica, apoiada em frameworks como o OWASP, terá bem mais chances de sobreviver ao novo exército de bots de IA que avança sobre o Brasil e a América Latina.
