O que significa 'tráfego de bots de 51%'?

A medição independente feita pelo setor em 2025 documentou que os bots (user-agents automatizados) ultrapassaram pela primeira vez 51% do tráfego total da internet. O limiar é importante porque inverte o pressuposto antigo de que os humanos eram o usuário dominante. Agora a maior parte do tráfego é não humana e a pergunta de segurança já não é 'este usuário é um bot' (assuma que sim), mas 'o que é que este bot está a tentar fazer.'

Por que os CAPTCHAs já não são eficazes?

Os CAPTCHAs baseavam-se no pressuposto de que os humanos conseguiam resolvê-los, mas os bots não. A partir de 2026, ambas as metades desse pressuposto enfraqueceram. Os modelos de visão de IA resolvem CAPTCHAs de imagem com precisão ao nível humano. Os serviços de resolução de CAPTCHA funcionam em residential proxies com solucionadores humanos pagos, a uma tarifa que é uma fração de um cêntimo por chamada. O atrito é alto para os usuários legítimos, o custo de bypass é baixo para os atacantes — exatamente o oposto do que um controle de segurança eficaz deveria parecer.

O que é a impressão digital comportamental?

A impressão digital comportamental determina se o ator é, de forma plausível, humano, analisando os padrões na forma como uma sessão interage com a aplicação — a curvatura do movimento do rato, o ritmo de digitação, a velocidade de scroll, a temporização de navegação, a distribuição de cliques. Os sinais são difíceis de falsificar de forma convincente em escala: um bot que imita perfeitamente o movimento do rato humano deixa de ser um bot barato. A impressão digital comportamental funciona sem CAPTCHA, sem cookies e sem armazenar PII no cliente. O gerenciamento de bots da TR7 usa a análise de padrões comportamentais como um de 11 fatores de detecção ponderados.

Como os botnets de residential proxy contornam a reputação de IP?

As redes de residential proxy roteiam o tráfego de bots através de conexões domésticas de internet comprometidas — por vezes alugadas legitimamente (serviços pagos no estilo VPN), muitas vezes através de dispositivos de consumidores infetados por malware. O tráfego do bot parece vir não de um data center, mas de um IP doméstico típico, o que torna ineficazes as listas de reputação de IP baseadas em faixas de data center. A defesa exige sinais em camadas: a impressão digital comportamental captura o comportamento de bot mesmo que o IP pareça residencial, e o gerenciamento de bots moderno combina vários sinais fracos numa decisão conjunta forte.

E quanto aos agentes de IA legítimos e aos bons bots?

Nem todos os bots são maus. Googlebot, Bingbot e outros crawlers de busca indexam o seu conteúdo. Os crawlers de busca de IA (GPTBot, ClaudeBot, PerplexityBot) alimentam respostas que direcionam tráfego. Os agentes de clientes autorizados (classe Skyvern) realizam fluxos de trabalho legítimos de usuários. O bom gerenciamento de bots distingue-os dos bots maliciosos: permite os bons, bloqueia os maus e aplica atrito (não bloqueio) aos incertos. A abordagem da TR7 usa filtragem baseada em intenção — categoriza não só se é um bot, mas o propósito aparente do bot.

Que métricas devo acompanhar?

Seis métricas práticas. (1) Proporção de tráfego bot-humano por endpoint — revela os caminhos de aplicação que mais atraem automação. (2) Distribuição por categoria de bot — crawler de busca, raspador, credential stuffer e agente de IA; cada um exige uma política diferente. (3) Latência de detecção — quão rápido uma sessão é classificada; idealmente abaixo de 5 ms para que os usuários legítimos não sintam impacto. (4) Taxa de falsos positivos contra populações de usuários conhecidamente bons — medida por tickets de suporte e quedas de funil, não apenas por estimativas internas. (5) Tendência da taxa de bypass — como muda ao longo do tempo a proporção de bots que alcançam as ações protegidas; reflete o estado da corrida armamentista. (6) Custo por bloqueio — algumas defesas são mais caras do que o valor daquilo que bloqueiam; estratifique as suas defesas pelo custo por decisão, não pela capacidade.

O que o TR7 Gerenciamento de Bots realmente faz?

O TR7 Gerenciamento de Bots combina 11 fatores de detecção ponderados com análise comportamental adaptativa. Os fatores incluem: reputação de IP a partir de várias fontes de dados, análise de padrões comportamentais (rato, digitação, scroll), impressão digital TLS (JA4), impressão digital HTTP/2, consistência de headers, temporização de navegação e mais alguns. As decisões são tomadas em menos de 5 milissegundos. O sistema adapta-se à medida que surgem novos padrões de bot — os adversários mudam de tática e as regras estáticas envelhecem. O resultado é uma resposta arquitetural ao problema dos 51%: a pergunta já não é 'humano ou bot', mas 'que categoria e o que fazer quanto a isso.'

Gerenciamento de Bots 2026: Detecção Comportamental na Era dos 51%

Quando o Tráfego de Bots Se Torna Maioria, a Pergunta Muda

A segurança web baseou-se durante muito tempo num pressuposto silencioso: por trás da requisição recebida há, na maioria das vezes, um humano. Sobre esse pressuposto construíram-se o gerenciamento de sessões, a prevenção de fraude, o rate limiting, a segurança de login, a proteção de conteúdo e as políticas de WAF. Os bots existiam; mas a maioria dos sistemas tratava-os como exceção. O tráfego humano era considerado normal e o tráfego de bots era visto como um desvio a separar.

Ao entrar em 2026, esse equilíbrio mudou. O tráfego de bots já não é um pequeno problema à margem do tráfego web. Crawlers de motores de busca, ferramentas de SEO, raspadores de preços, bots de credential stuffing, redes de click fraud, infraestruturas de residential proxy e agentes de IA acedem à mesma superfície de aplicação com intenções diferentes.

Por isso, no gerenciamento de bots moderno a pergunta já não é apenas: esta requisição é um bot? A pergunta mais importante é: que tipo de bot é este e o que está a tentar fazer?

Porque nem todo bot é hostil. O Googlebot precisa de aceder ao seu site. As ferramentas de monitoramento autorizadas precisam de verificar os seus serviços. Um agente de IA que processa em nome de um cliente pode criar um modelo de acesso completamente novo. Em contrapartida, os bots que fazem credential stuffing, que roubam os seus dados de preços, que esgotam estoque ou que raspam conteúdo precisam de ser detidos. A defesa construída sem fazer essa distinção produz dois maus resultados: bloqueia os bons bots e deixa passar os maus.

O gerenciamento de bots moderno, por isso, não se resume a uma única decisão de bloqueio. Avalia em conjunto os sinais comportamentais, as impressões digitais de protocolo, o fluxo de sessão, o contexto de IP e ASN, o volume de requisições e os indicadores de intenção. Depois aplica uma política diferente a cada categoria.

Imperva — 2025 Bad Bot Report OWASP Automated Threats to Web Applications

A Era dos 51% em Números

51%

Participação dos Bots no Tráfego da Internet

Os bots ultrapassaram pela primeira vez o limiar humano/não humano em 2025

Imperva Bad Bot Report 2025

Fatores de Detecção Ponderados

O TR7 Gerenciamento de Bots usa em conjunto sinais comportamentais, de protocolo, de identidade e de reputação

TR7 Produto

<5ms

Meta de Latência de Decisão

A detecção deve correr no fluxo da requisição sem afetar os usuários legítimos

TR7 Engenharia

Categorias de Política

Necessário (permitir), tolerável (restringir), hostil (bloquear) — uma única decisão não basta

OWASP OAT

Por Que a Era do CAPTCHA Terminou?

Os CAPTCHAs foram durante muito tempo o controle padrão da defesa contra bots. A ideia base era simples: criar uma tarefa que o humano resolve facilmente, mas o bot não consegue resolver. Essa ideia já perdeu a sua força antiga. Os modelos modernos de IA visual conseguem resolver CAPTCHAs de imagem com alta precisão. Os sistemas de speech-to-text neutralizam os CAPTCHAs de áudio. Perguntas simples de matemática ou lógica não representam um obstáculo para os LLMs. Já os CAPTCHAs comportamentais do estilo arrastar-soltar ou puzzle podem ser superados por bibliotecas de automação que imitam o movimento humano. Mais importante ainda, o bot nem precisa de resolver o próprio CAPTCHA. Os serviços de resolução de CAPTCHA funcionam como uma cadeia de suprimentos global — o bot recebe o challenge, encaminha-o para um serviço de resolução de baixo custo e usa a resposta em tempo real. Entretanto, o usuário legítimo perde alguns segundos, sofre problemas de acessibilidade ou cai da sessão. O equilíbrio de custos inverteu-se: o CAPTCHA acrescenta atrito ao usuário legítimo, mas não consegue deter o atacante motivado. A abordagem mais correta é recolher sinais em segundo plano sem pedir ao usuário que se prove — é por isso que a impressão digital comportamental, a análise de protocolo e a classificação de intenção se situam no centro do gerenciamento de bots moderno.

O Gerenciamento de Bots Moderno Não Depende de um Único Sinal

Ficou para trás a era em que um único sinal bastava na detecção de bots. A reputação de IP, por si só, não chega; as redes de residential proxy conseguem emitir tráfego a partir de conexões domésticas reais. O user-agent não é confiável. A verificação de navegador headless, isolada, é fraca. A resolução de CAPTCHA não é confiável. O gerenciamento de bots eficaz avalia em conjunto muitos sinais fracos — cada um pode ser superado isoladamente, mas é difícil para o atacante imitar todos ao mesmo tempo, de forma consistente e a baixo custo.

Impressão Digital Comportamental

Os usuários reais interagem com a aplicação de formas irregulares, contextuais e biologicamente inconsistentes — os movimentos do rato não desenham curvas perfeitas, o ritmo de digitação não é constante, a velocidade de scroll varia com o conteúdo, os eventos de foco, os tempos de espera, os retrocessos e as pequenas hesitações formam um padrão natural ao longo da sessão. Os bots caem num de dois extremos: demasiado regulares (temporização perfeita, movimentos lineares, requisições igualmente espaçadas) ou imitação humana inconsistente. A impressão digital comportamental avalia esses microssinais em conjunto — ao usuário legítimo não se mostra nenhum challenge visível.

Impressão Digital TLS (JA4)

Os bots tentam, na maioria das vezes, fazer-se passar por um navegador moderno — o user-agent pode ser definido como Chrome, os headers podem ser ajustados, o ambiente JS pode ser parcialmente imitado. Mas, nas camadas inferiores, fica o rasto real da biblioteca cliente. A lista de cipher suites dentro do TLS Client Hello, a ordem das extensões, os grupos suportados e os detalhes do handshake produzem sinais fortes sobre a identidade do cliente. Mesmo que Python requests, um Chrome real, um navegador headless ou uma ferramenta de automação personalizada tentem parecer iguais, deixam rastos diferentes ao nível TLS.

Impressão Digital HTTP/2

O HTTP/2 produz, de forma semelhante, sinais valiosos — as configurações de frame, a ordenação de pseudo-headers, o comportamento de codificação HPACK, as preferências de priorização e os detalhes de gerenciamento de conexão refletem a natureza real da biblioteca cliente. O comportamento HTTP/2 dos navegadores reais e o das bibliotecas de automação não são, na maioria das vezes, exatamente iguais. Mesmo que os headers sejam imitados na camada superior, os detalhes de protocolo permanecem diferentes — essa diferença é valiosa na detecção de bots avançados que parecem muito próximos de um navegador real.

Análise de Fluxo de Sessão

Um dos sinais mais valiosos é a forma da sessão. As requisições individuais podem parecer limpas — os headers estão corretos, o IP não é suspeito, o perfil TLS é aceitável. Mas, quando se examina a sessão inteira, a intenção revela-se. O comportamento dos usuários reais segue uma jornada: chega à página inicial, navega no conteúdo, passa à categoria, examina o produto, espera. Os bots saltam a fase de exploração — vão diretamente ao endpoint-alvo, repetem a mesma operação, carregam o formulário de login com credenciais diferentes, puxam as páginas de preços em intervalos regulares, executam o fluxo de pagamento sem examinar o produto.

Reputação de IP e ASN

As redes de residential proxy enfraqueceram seriamente as defesas baseadas em reputação de IP. Os atacantes já não vêm apenas de IPs de data center. Mesmo assim, a reputação de IP e ASN não é totalmente inútil. Se de um IP residencial chegam milhares de requisições por minuto, isso continua a ser suspeito. Um ASN que faz um grande número de tentativas de conta em pouco tempo continua a ser relevante. As redes vistas anteriormente em abuso devem contribuir para a pontuação de risco. A abordagem correta: o IP não deve decidir sozinho — mas deve acrescentar peso à decisão.

Classificação de Intenção

O verdadeiro ponto de viragem é a classificação de intenção. 'Tráfego automatizado' não é, por si só, uma categoria suficiente — o motor de busca também é automático, o bot de credential stuffing também. A classificação de intenção olha para as seguintes perguntas: que endpoints estão a ser visados, em que ordem chegam as requisições, como variam os payloads, como variam as credenciais nas tentativas de login, com que ritmo são puxadas as páginas de preços ou inventário. O credential stuffer e o raspador de preços não são tratados da mesma forma. O gerenciamento de bots sai da decisão 'bloquear/permitir'; transforma-se num sistema que aplica política conforme a categoria.

Três Categorias: Permitir, Restringir, Bloquear

No gerenciamento de bots moderno, o objetivo não é eliminar todos os bots. Isso não é possível nem é algo desejável. Alguns bots são necessários para o seu negócio. Outros são toleráveis. Outros, ainda, devem ser diretamente bloqueados. Na prática, é preciso dividir o tráfego de bots em três categorias principais.

Bots Necessários — Permitir

O seu acesso é valioso para o seu negócio ou operacionalmente necessário. Os crawlers de motores de busca indexam as suas páginas e trazem tráfego orgânico. Os bots de pré-visualização de redes sociais garantem que os links apareçam corretamente. As ferramentas de monitoramento autorizadas verificam a disponibilidade do serviço. Os seus próprios testes sintéticos medem a saúde da aplicação. Os agentes de IA — autenticados, autorizados, a processar em nome do usuário — situam-se aqui; não devem ser tratados como um mau bot anônimo. A política correta não é o bloqueio, mas a verificação e a permissão controlada.

Bots Toleráveis — Restringir

Não são diretamente necessários, mas também não precisam de ser bloqueados em todos os casos. Raspadores lentos, leitores de RSS, ferramentas de arquivamento, geradores de pré-visualização de redes sociais e crawlers de análise de nível médio entram neste grupo. São toleráveis dentro de certos limites — mas não se deve permitir que consumam recursos da aplicação, puxem dados de forma agressiva ou afetem a experiência do usuário. A política correta: rate limiting, baixa prioridade, aplicar challenge, limitar a determinados endpoints. As sessões incertas também podem ser colocadas nesta categoria — testadas com atrito de baixo custo.

Bots Hostis — Bloquear

Bots cujo objetivo é causar dano diretamente. Os bots de credential stuffing testam palavras-passe vazadas nos endpoints de login. Os ataques de account takeover tentam tomar o controle de contas. Os raspadores concorrenciais roubam dados de preços e inventário. Os bots de click fraud consomem o orçamento de publicidade. Os bots de inventário esgotam estoques de forma artificial. Os raspadores de conteúdo não autorizados recolhem os seus dados para outros modelos, concorrentes ou data brokers. A política correta é clara: bloquear, registrar, gerar alarme e, se necessário, acionar processos de segurança adicionais. Cada requisição bem-sucedida gera custo — aqui é preciso a detenção direta, não o atrito.

A Camada de Política: Separar a Detecção da Ação

Um erro comum no gerenciamento de bots é tratar a detecção e a política como a mesma coisa.

A detecção responde à pergunta: o que é este tráfego?

A política responde a uma pergunta diferente: o que vamos fazer com este tráfego?

Quando essas duas decisões não são separadas, o sistema torna-se frágil. Uma regra simples como 'se for bot, bloquear' coloca no mesmo cesto o Googlebot, o leitor de RSS, o agente de IA e o credential stuffer. Isso aumenta os falsos positivos e corta tráfego valioso para o negócio.

A abordagem mais resiliente é esta: a camada de detecção determina o tipo e a intenção do bot; a camada de política aplica a ação conforme a categoria.

Por exemplo, permitir para o Googlebot, permitir para o monitor de uptime, aplicar rate limit ao leitor de RSS, aplicar um challenge de baixo custo à automação incerta, restringir ou bloquear o raspador de preços, bloquear e gerar alarme para o credential stuffing, bloquear e reportar para o click fraud.

Essa separação proporciona flexibilidade operacional. Quando surge uma nova categoria de agente de IA, a política pode ser atualizada sem reescrever o motor de detecção. Quando se aumenta a sensibilidade de detecção, os motores de busca não são bloqueados por engano. Diferentes categorias de bots podem ser geridas a ritmos diferentes.

Como Medir Se o Seu Gerenciamento de Bots Está a Funcionar?

O gerenciamento de bots não é uma configuração única. À medida que os atacantes mudam, os sinais também mudam. Por isso, o sucesso do sistema deve ser medido continuamente por meio de seis métricas práticas.

Proporção Bot-Humano por Endpoint

A média de todo o site não é, por si só, suficiente. Os endpoints de login, registro, pagamento, busca, preços, inventário, API e conteúdo devem ser monitorados separadamente. O problema dos bots concentra-se, em geral, em determinados endpoints. A proporção de bots num endpoint de pagamento não está no mesmo nível de risco que a proporção de bots numa página de blog. A visão por endpoint permite ver o problema no lugar certo.

Distribuição por Categoria de Bot

A informação 'há X% de tráfego de bots' não gera, por si só, ação. O importante é a distribuição: quanto é motor de busca, quanto é ferramenta de monitoramento, quanto é raspador, quanto é credential stuffing, quanto é agente de IA, quanto é automação incerta. Se a maior parte do seu tráfego de bots vem de motores de busca, tem um problema de segurança diferente do que se vier de tráfego de credential stuffing — completamente diferente.

Latência de Detecção

As decisões de detecção de bots devem ser tomadas rapidamente. O usuário não deve esperar que o sistema decida em fluxos críticos como login, pagamento ou busca. Até latências da ordem de milissegundos podem afetar a experiência do usuário em aplicações de alto volume. A meta prática é que o mecanismo de decisão funcione de forma rápida o suficiente para não ser sentido pelo usuário. O TR7 Gerenciamento de Bots foi concebido para tomar essa decisão com latência inferior a 5 ms.

Sinais de Falsos Positivos

Os falsos positivos não se percebem apenas no painel de segurança. Os sinais reais aparecem, na maioria das vezes, nos tickets de suporte, nas reclamações de usuários, nas quedas do funil de conversão, no aumento de logins falhados ou nas taxas de abandono de pagamento. O acompanhamento de falsos positivos não deve ser deixado apenas às pontuações internas do motor de detecção — deve ser monitorado em conjunto com a experiência do usuário e as métricas de negócio. Se uma defesa de bots, ao deter o atacante, também detém o cliente real, não é bem-sucedida.

Taxa de Bypass

Uma das métricas mais importantes que mostra a saúde de longo prazo do sistema. Deve monitorar-se a proporção de sessões de bots hostis confirmadas que alcançam as ações protegidas — tentativas de login, criação de conta, compra, chamadas de API sensíveis, descarga de conteúdo. A tendência importa mais do que o número absoluto. Se a taxa de bypass é estável, a defesa pode estar a acompanhar o ritmo do atacante. Se está a aumentar, significa que os atacantes começaram a superar os sinais existentes — são necessários novos sinais, ajustes de política ou controles mais fortes.

Custo por Bloqueio

Nem toda defesa tem o mesmo custo. Os controles baseados em assinatura e os sinais de IP/ASN podem operar com baixo custo em grande volume. A análise comportamental exige mais contexto. A inferência de ML pesada ou a análise profunda de sessão devem ser usadas não em cada requisição, mas nos pontos de decisão de alto valor. A defesa de bots deve ser construída em camadas — sinais baratos no tráfego amplo, análises mais caras no login, pagamento, criação de conta, API sensível e ações de alto risco. A métrica correta não é apenas 'quantos bots foram bloqueados?'. Uma pergunta melhor: o valor do ataque que bloqueámos é superior ao custo da defesa?

Os Agentes de IA Criam uma Nova Categoria de Bots

Um dos novos temas que tornam o gerenciamento de bots mais difícil em 2026 são os agentes de IA. A distinção tradicional de bots fazia-se, na maioria das vezes, entre bom bot e mau bot. Motor de busca bom, credential stuffer mau. Mas os agentes de IA esbatem essa linha. Um agente de IA pode preencher um formulário em nome do usuário, pesquisar produtos, fazer uma reserva, comparar preços ou completar um fluxo de trabalho corporativo. Nesse caso, ser tráfego automatizado não significa, por si só, má intenção. O que é crítico aqui é a identidade e a autorização. Um agente de IA autorizado deve ser tratado não como um bot anônimo, mas como um cliente que age em nome do usuário. Isso une o gerenciamento de bots ao controle de acesso. Em nome de quem processa, que permissões tem, que ações pode realizar e a que limites de taxa está sujeito deve ser definido com clareza. Por causa dos agentes de IA, o gerenciamento de bots já não é apenas uma camada de segurança — torna-se um modelo de acesso que deve ser pensado em conjunto com a identidade, a política e a experiência da aplicação.

Conclusão: Sinal em Vez de CAPTCHA, Classificação em Vez de Bloqueio

Em 2026, o gerenciamento de bots não pode ser conduzido com os reflexos antigos.

Os CAPTCHAs perderam a sua eficácia como controle primário. As redes de residential proxy tornaram a reputação de IP, por si só, insuficiente. Os navegadores headless conseguem superar as verificações simples de impressão digital. E os agentes de IA tornam impossível explicar o tráfego automatizado apenas com a categoria de bot mal-intencionado.

Neste ambiente, a abordagem correta tem três partes: detecção com sinais comportamentais e baseados em protocolo; classificação de intenção com análise de fluxo de sessão e de payload; política separada por categoria de bot.

Assim, não se mostra CAPTCHA ao usuário legítimo. Os bots necessários são permitidos. Os bots toleráveis são limitados. Os bots hostis são bloqueados. E os agentes de IA são geridos no contexto de identidade e autorização.

O objetivo do gerenciamento de bots moderno não é 'eliminar todos os bots'. O objetivo é aplicar o tratamento correto a cada tráfego automatizado.

Referências e Fontes

Medição anual do setor que documenta que a participação dos bots ultrapassou 51% em 2025. https://www.imperva.com/resources/resource-library/reports/bad-bot-report/

Catálogo abrangente de ameaças automatizadas, incluindo credential stuffing (OAT-008), scraping (OAT-011) e abuso de criação de contas (OAT-019). https://owasp.org/www-project-automated-threats-to-web-applications/

O pacote moderno de impressão digital TLS da FoxIO, que substitui o antigo JA3 com recursos de codificação mais fortes. https://github.com/FoxIO-LLC/ja4

Relatórios trimestrais de inteligência de ameaças sobre padrões de tráfego de bots e tendências de detecção. https://www.akamai.com/security-research/the-state-of-the-internet

Artigos técnicos sobre detecção de residential proxy, análise comportamental e técnicas de impressão digital. https://blog.cloudflare.com/tag/bots/

A Impressão Digital Comportamental É Mais Forte do Que os CAPTCHAs

O TR7 Gerenciamento de Bots usa em conjunto 11 fatores de detecção ponderados, incluindo análise de padrões comportamentais, impressão digital TLS e HTTP/2, contexto de IP/ASN, fluxo de sessão e classificação de intenção. As decisões foram concebidas para serem tomadas em menos de 5 ms. Não cria atrito de CAPTCHA para os usuários legítimos. Já para os bots hostis, aumenta o custo, reforça a detecção e torna possível a intervenção baseada em política.

Explorar o TR7 Gerenciamento de Bots

Gerenciamento de Bots em 2026: Como Distinguir o Humano da Máquina Quando o Tráfego de Bots Ultrapassa 51%?