Al conectarse a API y sistemas críticos, los bots con IA aceleran la automatización, pero también crean nuevos retos de seguridad y acceso para las organizaciones
Ciudad de México, febrero de 2026. Los chatbots basados en IA se han convertido en un elemento central del rendimiento empresarial. Según datos de Google, los mexicanos confían en estas herramientas más que los habitantes de otros países: el 66% de las personas mexicanas conectadas las ha utilizado en los últimos 12 meses. Para 2026, estas soluciones se extenderán mucho más allá del servicio al cliente para dar soporte a procesos y funciones internas como ventas, operaciones y soporte técnico.
A medida que los chatbots se convierten cada vez más en intermediarios entre los usuarios y los sistemas corporativos, crece su dependencia de la tecnología de API (interfaz de programación de aplicaciones). Las APIs conectan aplicaciones, datos y servicios a través de entornos digitales. Si bien esta integración mejora la eficiencia, escalabilidad y agilidad, también centraliza datos sensibles y lógica crítica de negocio, ampliando la superficie de ataque y desafiando los modelos tradicionales de seguridad.
Este riesgo se ve agravado por el crecimiento más amplio de la automatización impulsada por IA. Según datos de Akamai Technologies, el tráfico automatizado generado por bots de IA aumentó un 300 % sólo en la primera mitad de 2025. Esto se tradujo en miles de millones de solicitudes dirigidas a aplicaciones web y APIs. A esta escala, se vuelve significativamente más complejo distinguir la actividad legítima del abuso, particularmente en entornos con múltiples integraciones y visibilidad limitada sobre el comportamiento automatizado.
“Cuando hablamos de chatbots, hablamos de aplicaciones que operan conectadas a varios sistemas simultáneamente”, señala Fernando Serto, Field CTO de Akamai Technologies para América Latina. “Estas aplicaciones acceden a APIs para recuperar datos, ejecutar acciones y responder a solicitudes en tiempo real. Esto modifica el rol de estas interfaces dentro de la arquitectura de seguridad”.
Las API se han convertido en objetivos principales
A medida que los chatbots y los agentes automatizados se utilizan de forma más generalizada, las APIs se han convertido en un objetivo prioritario para los atacantes debido a la concentración de permisos sensibles y accesos que gestionan.
Para operar, los chatbots deben conectarse a sistemas como plataformas CRM, sistemas financieros, bases de datos de clientes, herramientas de soporte y aplicaciones internas. Estas conexiones dependen de APIs que utilizan claves específicas, tokens de autenticación y permisos definidos. En entornos bien gestionados, el acceso se limita a lo estrictamente necesario y se supervisa de forma continua. Sin embargo, en la práctica, las APIs suelen implementarse con alcances demasiado amplios, controles de autorización débiles y visibilidad limitada sobre su uso.
Este escenario crea oportunidades de explotación. Incluso sin comprometer directamente un chatbot, los atacantes pueden aprovechar fallas de autenticación en APIs conectadas, utilizar credenciales legítimas de forma indebida o explotar comportamientos anómalos y la lógica de negocio para acceder a más datos de los previstos. Una sola API vulnerable puede permitir la extracción masiva de datos, la interrupción de servicios y el movimiento lateral dentro de entornos corporativos.
El impacto va más allá de la infraestructura tecnológica. Las brechas de datos y las interrupciones de servicio afectan directamente la confianza de clientes, socios y usuarios. En sectores regulados como servicios financieros, salud y comercio digital, estos incidentes pueden derivar en sanciones legales y daños reputacionales permanentes.
“El problema no es la IA en sí, sino cómo se conecta a los sistemas existentes. Sin los controles adecuados, una API vulnerable puede comprometer toda una cadena de servicios”, explica Fernando Serto.
La seguridad como parte de la arquitectura
Para abordar este escenario, se requiere un enfoque de seguridad en capas, con especial atención en las APIs y las aplicaciones impulsadas por IA. El enfoque pasa de proteger únicamente el perímetro a implementar controles más granulares, basados en políticas, sobre accesos, permisos y comportamientos.
Entre las principales recomendaciones se incluyen mecanismos robustos de autenticación y autorización, validación estricta de entradas, monitoreo continuo de las interacciones y capacidades de mitigación de bots que permitan distinguir el tráfico automatizado legítimo de la actividad maliciosa.
La microsegmentación cobra relevancia al permitir aislar aplicaciones, cargas de trabajo e integraciones. Esto reduce el alcance de los incidentes y limita el movimiento lateral. Las estrategias basadas en Zero Trust, donde ninguna identidad, aplicación o solicitud se considera confiable por defecto, complementan este modelo y mejoran la resiliencia en entornos altamente automatizados.
“A medida que los chatbots y los agentes de IA se convierten en una parte estructural de las operaciones digitales, la seguridad de las APIs que soportan estas interacciones deja de ser un detalle técnico y se convierte en un requisito fundamental para la continuidad del negocio”, concluye Serto
Acerca de Akamai
Akamai potencia y protege la vida digital. Las empresas más innovadoras del mundo eligen Akamai para proteger y ofrecer sus experiencias digitales, ayudando a miles de millones de personas a vivir, trabajar y disfrutar cada día. Con la plataforma perimetral más grande y confiable del mundo, Akamai mantiene las aplicaciones, el código y las experiencias más cerca de los usuarios que cualquier otra, y las amenazas aún más lejos. Para más información sobre los productos y servicios de seguridad, entrega de contenido y computación perimetral de Akamai, visita www.akamai.com, blogs.akamai.com o sigue a Akamai Technologies en Twitter y LinkedIn.
