Los agentes de IA son el nuevo vector de fraude. Y esta es la razón por la que su detección probablemente los pasa por alto.
Los agentes basados en LLM controlan navegadores reales, razonan sobre las páginas y parecen humanos en la superficie. Las señales de comportamiento y de CAPTCHA que atrapaban a los bots de script son mucho más débiles frente a ellos.
Durante la mayor parte de la última década, «detección de bots» significaba diferenciar la automatización de los humanos. La señal era clara porque la brecha era amplia: los bots no tenían temblor de ratón, ni pausas de lectura, ni conciencia del contexto. Eran evidentes si sabía dónde mirar.
Esa brecha se está cerrando. La categoría de amenaza que los equipos de fraude necesitan entender en 2026 es el agente basado en LLM: automatización construida sobre grandes modelos de lenguaje capaz de leer, razonar, decidir y actuar de formas que se asemejan a la cognición humana más que cualquier generación anterior de bots. Las señales de detección que funcionaban contra los bots basados en scripts son notablemente menos eficaces frente a agentes entrenados con comportamiento humano.
Esto no es especulación sobre una amenaza futura. El tráfico dirigido por agentes ya está en sus registros de fraude, en su mayoría mal etiquetado como «usuarios reales» o como «bots sofisticados». La composición de este tráfico está cambiando. Los enfoques de detección que aguantan requieren un modelo de arquitectura diferente del que despliega la mayoría de las plataformas.
Este artículo es para líderes de seguridad y producto que intentan entender qué tiene de verdaderamente distinto la automatización dirigida por agentes, por qué importa para la defensa contra el fraude y qué patrones de detección funcionan frente a ella.
Qué es realmente un agente de IA en el contexto del fraude
La expresión «agente de IA» se usa con ligereza. En el contexto del fraude, la definición relevante es la de una automatización que cumple tres criterios:
- Impulsada por un modelo de lenguaje (GPT-4, Claude, Gemini o similar) para la toma de decisiones, en lugar de scripts codificados a mano.
- Que opera en un entorno de navegador real —normalmente una instancia headless o con interfaz de Chrome, Firefox o Safari, a menudo ejecutándose en infraestructura de nube diseñada para la automatización de navegadores.
- Capaz de adaptarse a estados de página inesperados —mensajes de error, cambios de diseño, pasos de verificación adicionales— sin necesidad de que un desarrollador actualice el script.
Esta combinación es cualitativamente distinta de la automatización antigua. Un bot basado en scripts que sigue una macro grabada falla en cuanto una página cambia. Un agente lee la página, entiende lo que está viendo y ajusta su enfoque. La primera generación se construyó para casos de uso legítimos (investigación web, pruebas de accesibilidad, navegación automatizada). La segunda generación incluye operadores que aplican estas herramientas al fraude a escala.
Por qué las señales de detección antiguas son más débiles frente a los agentes
El conjunto tradicional de herramientas de detección de bots se apoya en señales que distinguen la automatización de los humanos. Los agentes cambian la fuerza de cada señal.
Señales de comportamiento. Entropía del movimiento del ratón, dinámica de pulsaciones, patrones de scroll. Los humanos reales tienen una variación natural: temblor, vacilación, corrección de errores. Los bots basados en scripts o bien no tienen variación (líneas perfectamente rectas, rellenado instantáneo de formularios) o bien una variación generada que es estadísticamente detectable.
Los agentes que controlan navegadores reales tienden a producir patrones más parecidos a los humanos. Usan la simulación de entrada del propio navegador, a menudo aleatorizada. Se toman su tiempo para «leer» las páginas porque el modelo subyacente necesita procesar el contenido visual o del DOM. La señal de comportamiento sigue presente, pero es más ruidosa y requiere un análisis más sofisticado para extraerla.
CAPTCHA. Los servicios modernos de resolución de CAPTCHA siempre han podido derrotar CAPTCHA a escala por unos 0,001 dólares por desafío. Los agentes lo hacen de forma nativa. Un GPT-4o o un Claude genéricos pueden mirar un CAPTCHA basado en imágenes e identificar qué pulsar con alta precisión. El valor defensivo del CAPTCHA frente a los agentes es casi nulo.
Reglas de velocidad. Umbrales fijos de acciones por minuto. Los bots basados en scripts tienden a violarlos de forma agresiva porque su razón de ser es optimizar la velocidad. Los agentes se ralentizan deliberadamente porque su modelo subyacente está entrenado con comportamiento humano, que tiene un ritmo natural. Las reglas de velocidad solo atrapan a los agentes cuando están configurados para operaciones de alto volumen.
Fingerprinting simple. Listas estáticas de hashes de canvas, fuentes, cadenas User-Agent. Los agentes que ejecutan navegadores reales producen valores legítimos para todo esto. La huella parece correcta porque lo es: el agente usa un navegador real, y el navegador reporta lo que realmente es.
El patrón: las señales basadas en «la automatización se ve diferente de los humanos» se debilitan a medida que la automatización se parece más a los humanos.
Las señales que siguen funcionando
La detección frente a los agentes requiere señales que la automatización no pueda ocultar con facilidad, por muy humano que parezca el comportamiento de superficie.
Firmas a nivel de red. Los agentes suelen ejecutarse en infraestructura de nube: AWS, GCP, Azure o servicios especializados de automatización de navegadores. Los rangos de IP son identificables. Las huellas de TCP/TLS difieren de las de los ISP de consumo. Las señales observables del lado del servidor atrapan la mayor parte del tráfico de agentes independientemente de lo que declare el cliente.
Los proveedores que operan productos de navegador como servicio específicamente (Browserbase, Anchor, Steel.dev y otros) tienen firmas de red identificables. Los usuarios reales desde ISP residenciales se ven diferentes a nivel de red que los agentes que se ejecutan en entornos de nube. Esta es la señal más fiable en 2026.
Huellas de dispositivo sutiles. Las GPU reales producen patrones de coma flotante difíciles de falsear píxel a píxel. Los entornos virtualizados y las instancias de GPU en la nube producen patrones ligeramente diferentes. El fingerprinting de AudioContext revela diferencias en el procesamiento de audio entre el hardware físico y el virtualizado. La desviación del reloj en tiempo real difiere entre los dispositivos de consumo en una red local y las instancias de nube sincronizadas con servidores NTP de alta calidad.
Cada señal individual es pequeña. Combinadas en más de 130 sondas, producen una imagen coherente: «esto parece un dispositivo de consumo real» frente a «esto parece un entorno de navegador alojado en la nube, independientemente de lo que declare el User-Agent».
Vinculación entre sesiones. Las operaciones con agentes a menudo implican un único sistema subyacente que controla muchas sesiones. Incluso cuando cada sesión tiene una huella de dispositivo única, las correlaciones de comportamiento entre sesiones (patrones de temporización idénticos, toma de decisiones idéntica, respuesta idéntica a los errores) revelan la coordinación.
Comprobaciones de coherencia del lado del servidor. Los agentes pueden suplantar cualquier señal individual. Mantener la coherencia entre todas las señales es muchísimo más difícil. Si el entorno de JavaScript afirma «Chrome 120 en macOS» pero la huella de red indica un servidor Linux en AWS, esa es una inconsistencia sobre la que el cliente no tiene visibilidad y, por tanto, no puede corregir.
Detección polimórfica. El código de detección del lado del cliente que cambia a diario niega a los agentes la capacidad de preentrenarse sobre él. Las sondas estáticas acaban sometidas a ingeniería inversa; las sondas rotativas no.
El patrón de arquitectura: múltiples señales débiles, combinadas con comprobación de coherencia, superan a cualquier señal fuerte individual. Las señales fuertes individuales acaban derrotadas. La combinación de cincuenta señales débiles con requisitos de coherencia entre ellas resiste la evasión mucho más tiempo.
Cómo son los ataques dirigidos por agentes en la práctica
Tres patrones que observamos en el tráfico de 2026:
Patrón 1: creación masiva de cuentas (farming). Los agentes crean cuentas a escala, completando la verificación de email, los pasos de KYC y el onboarding inicial del producto. Cada cuenta se destina a una extracción de valor posterior: reclamación de bonos, explotación del plan gratuito, farming de airdrops, scraping de contenido. El agente hace el trabajo que antes requería o bien scripts rudimentarios (atrapados con facilidad) o bien mano de obra humana (cara).
La economía unitaria financiera favorece al atacante. Una operación con agentes puede ejecutar 1,000 sesiones de navegador simultáneas en infraestructura de nube estándar por menos de 50 dólares la hora. Cada cuenta exitosa vale cierto valor (50-500 € por bonos de bienvenida de iGaming, 10-100 dólares por explotación del plan gratuito de un SaaS, mucho más por airdrops de criptomonedas). El coste marginal por cuenta se aproxima a cero mientras que el valor marginal sigue siendo significativo.
Patrón 2: credential stuffing con lógica adaptativa. Las herramientas antiguas de credential stuffing lanzan pares de credenciales contra los endpoints de login con velocidad de fuerza bruta. Los enfoques modernos dirigidos por agentes prueban con más cuidado, gestionan el CAPTCHA cuando aparece, navegan a los flujos de recuperación cuando el login inicial falla y tratan cada credencial «exitosa» con más cuidado para evitar activar una defensa agresiva.
La tasa de éxito por credencial es similar a la de las técnicas antiguas. La dificultad de detección es mayor porque el agente no parece una operación de fuerza bruta: parece una serie de intentos de login normales con un ritmo normal.
Patrón 3: abuso de códigos promocionales y scraping de contenido. Los ataques con agentes de ritmo más lento. El agente visita páginas de producto, aplica códigos promocionales, captura precios, captura contenido y sale. El volumen por IP es modesto. El volumen por sesión es pequeño. La señal es sutil, pero el coste agregado —pérdida de inteligencia competitiva, agotamiento del presupuesto promocional, robo de contenido— es significativo.
Estos tres patrones comparten un reto defensivo común: la firma por acción parece humana. La detección requiere o bien observar patrones agregados entre muchas sesiones, o bien observar las capas más profundas (red, hardware, coherencia) que el agente no puede falsear con facilidad.
Qué significa esto para su equipo
Tres observaciones que importan sea cual sea el tipo de plataforma:
Observación 1: las puntuaciones de detección de bots que ha estado registrando pueden subestimar la amenaza real. La mayoría de las plataformas mide el «tráfico de bots» usando señales que el tráfico de agentes no activa. La puntuación ha ido disminuyendo o manteniéndose estable en muchas plataformas no porque la amenaza se esté reduciendo, sino porque la medición se está perdiendo la nueva categoría.
Observación 2: los proveedores construidos sobre modelos de señales antiguos están expuestos. Si el marketing de su proveedor de detección enfatiza el análisis de comportamiento como principal diferenciador, hágale preguntas difíciles sobre cómo gestiona su arquitectura el tráfico de agentes. Muchos proveedores van meses o años por detrás en esta categoría.
Observación 3: la arquitectura correcta no es una única capa. La detección a nivel de red por sí sola pasa por alto a los agentes que se ejecutan en infraestructura de proxies residenciales. La detección a nivel de dispositivo por sí sola pasa por alto a los agentes que se ejecutan en hardware físico. La arquitectura defendible combina capas con comprobación de coherencia.
Las plataformas que gestionan bien esta transición comparten un patrón: tratan su detección como una capacidad continua en lugar de como un producto desplegado. Miden cada trimestre, ajustan reglas cada mes y mantienen con su proveedor de detección una relación que incluye I+D continua en lugar de un contrato SaaS estático.
Los próximos 18 meses
Tres predicciones sobre cómo evoluciona esta categoría:
Predicción 1: la cuota del tráfico de agentes crece. De porcentajes de un solo dígito en 2025 hacia porcentajes de dos dígitos para finales de 2026. Los incentivos económicos favorecen la expansión: el coste de la infraestructura de agentes sigue bajando, la capacidad de los agentes sigue mejorando y el valor del fraude automatizado sigue atrayendo inversión.
Predicción 2: surgen plataformas de agentes especializadas. La automatización genérica basada en LLM es la primera ola. La segunda ola son agentes construidos a propósito para categorías de fraude específicas: agentes de farming de bonos, agentes de credential stuffing, agentes de farming de airdrops. Cada uno está optimizado para su objetivo concreto y es más difícil de detectar que los agentes de propósito general.
Predicción 3: la respuesta de los defensores se consolida en torno a patrones de arquitectura específicos. La detección multicapa con comprobación de coherencia entre capas y código polimórfico del lado del cliente se convierte en el estándar. Los proveedores que no entreguen esta arquitectura en los próximos 18 meses dejarán de ser competitivos frente a los que sí lo hagan.
La ventana para adelantarse a esta amenaza es aproximadamente ese periodo de 18 meses. Las plataformas que desplieguen una detección eficaz en la primera parte de la ventana tendrán un camino más fácil que las plataformas que esperen hasta que el tráfico de agentes domine su superficie de amenaza y luego tengan que adaptarse a posteriori.
Dónde encaja Tracio
La detección de agentes es una de las principales inversiones en I+D de Tracio en 2026. La arquitectura cubre las capas de señales que aguantan frente a los agentes: firmas de red (incluidos los entornos de navegador alojados en la nube conocidos), comprobaciones de coherencia del dispositivo (atrapando el hardware virtualizado independientemente del entorno declarado), biometría de comportamiento (patrones de submilisegundos que siguen diferenciando incluso a los agentes sofisticados) y uso compartido de señales entre clientes (atrapando campañas coordinadas que abarcan múltiples plataformas).
La capa de JavaScript polimórfico niega a los agentes la capacidad de preentrenar evasiones contra sondas estáticas. El veredicto del lado del servidor integra todas las señales y entrega una decisión ALLOW, CHALLENGE o BLOCK en menos de 50 milisegundos, con el razonamiento adjunto para que su equipo pueda verificar y ajustar.
El despliegue es rápido: un SDK en la página y una llamada de verificación del lado del servidor en cada punto de decisión crítico. El plan gratuito cubre 2,500 verificaciones al mes, suficientes para ejecutar un piloto significativo y ver qué hay realmente en su tráfico.
¿Tiene curiosidad por saber qué porcentaje de su tráfico está dirigido por agentes?
Inicie su prueba gratuita
— 2,500 verificaciones gratis, sin tarjeta de crédito.
Solicite una demo
para recorrer su superficie de amenaza concreta y obtener una estimación de referencia del tráfico de agentes en su plataforma.