En los últimos meses, propietarios de sitios web alrededor del mundo han observado un aumento inexplicable de visitas procedentes de ciudades como Lanzhou y de nodos en Singapur. Estos picos no se comportan como tráfico humano: las sesiones registran permanencias de casi 0 segundos y ausencia de interacción, lo que sugiere la acción de bots masivos que influyen en métricas, costes y la percepción de calidad de los portales.
Paralelamente, informes de seguridad han indicado que grupos patrocinados por estados están incorporando asistentes y modelos de inteligencia artificial para automatizar fases de reconocimiento y explotación.
En conjunto, ambos fenómenos reconfiguran la manera en que se recopila información del tejido web y cómo los defensores deben responder.
Origen aparente y enrutamiento: ¿por qué lanzhou y singapur?
Cuando herramientas como Google Analytics muestran concentraciones de tráfico en una ciudad específica, el resultado puede ser engañoso. Lanzhou, una ciudad del noroeste chino conocida por su industria y su pasado como nodo de la Ruta de la Seda, no es un centro tecnológico obvio ni alberga la mayor parte de centros de datos del país.
Analistas que han investigado el fenómeno señalan que los indicadores geográficos pueden deberse a decisiones de enrutamiento o a heurísticas de localización aplicadas por proveedores de servicios.
Trazas en los sistemas de enrutamiento
El rastro más consistente apunta a que gran parte del tráfico pasa por ASNs pertenecientes a proveedores de nube chinos, entre ellos identificaciones relacionadas con Tencent, Alibaba y Huawei. Un Autonomous System Number (ASN) es la etiqueta que usan los proveedores para anunciar rutas en Internet; bloquear o filtrar ASNs enteros ha reducido la presión en algunos sitios, aunque no la ha eliminado completamente.
Motivos y consecuencias del raspado masivo
Existen varias explicaciones plausibles para la actividad: desde empresas que agregan contenidos para motores de búsqueda, plataformas que recopilan datos para entrenamiento de modelos hasta actores interesados en copiar texto protegido por derechos. En, la actividad de bots vinculada a procesos de entrenamiento de modelos de lenguaje creció notablemente, lo que sugiere una demanda elevada de datos públicos.
Para propietarios de portales, las consecuencias son tangibles: aumento del ancho de banda consumido, distorsión de analíticas y riesgos comerciales como la depreciación del valor frente a anunciantes que penalizan dominios con audiencias artificiales.
Costes reales para los operadores
Algunos editores han visto cómo sus ingresos por publicidad caen tras la detección de tráfico automatizado que hace sospechar a redes como AdSense sobre la calidad del público. Además, la necesidad de herramientas más sofisticadas de mitigación o el bloqueo geográfico completo para IPs de ciertos países representan decisiones con coste operativo y político.
Agentes de IA en manos de adversarios: casos y lecciones
En el ámbito de la ciberseguridad, empresas de inteligencia como Google han documentado intentos de actores como APT31 (también conocido por nombres como Violet Typhoon o Judgment Panda) de aprovechar asistentes de IA para automatizar análisis de vulnerabilidades y trazar planes de intrusión. Google indicó que el grupo usó el chatbot Gemini para crear planes de pruebas y combinó esa capacidad con herramientas como Hexstrike para evaluar exploits.
Estas observaciones subrayan dos preocupaciones: la capacidad de los agentes de IA para acelerar el ciclo de identificación y aprovechamiento de fallos, y la ampliación del patch gap, es decir, el intervalo entre la divulgación de un bug y su corrección efectiva en entornos productivos. En algunos entornos, ese proceso tarda semanas, tiempo que los atacantes con IA pueden aprovechar para escalar campañas.
Qué implica para la defensa
Frente a esta tendencia, los defensores deben considerar el uso de IA para automatizar respuestas y corregir vulnerabilidades a velocidad de máquina. Las organizaciones también necesitan monitorizar intentos de model extraction o robo intelectual de modelos, que reduce el coste de replicar capacidades avanzadas.
Mientras tanto, administradores web participan en foros y herramientas comunitarias para identificar patrones de los bots (por ejemplo, agentes que reportan sistemas operativos antiguos o tamaños de pantalla atípicos) y comparten reglas temporales de bloqueo que ayudan a mitigar la presión sin sacrificar acceso legítimo.
Mantener la integridad de sitios y redes exige una combinación de medidas técnicas, inteligencia compartida y, en algunos casos, decisiones de negocio que prioricen la calidad del tráfico sobre el volumen numérico.
