Actualmente, una Interfaz de Programación de Aplicaciones, o simplemente API, es fundamental para la mayoría de empresas a nivel mundial dada su capacidad de mejorar las experiencias de los empleados y clientes. Estos conjuntos de reglas funcionan como intermediarios entre distintos sistemas o aplicaciones, y ocupan un rol central en la transformación digital de las compañías. Sin embargo, ante la creciente explotación de este avance por parte de los ciberdelincuentes, garantizar su seguridad se volvió una prioridad para las organizaciones.
En este contexto, Akamai Technologies compartió un nuevo informe llamado Al acecho en las sombras, las tendencias de ataque ponen de relieve las amenazas de las APIs. El mismo reveló que el 29% de los ataques web registrados entre enero y diciembre de 2023 tuvieron como objetivo las APIs, por lo que se deduce que son un área de interés para el cibercrimen.
Al respecto, Helder Ferrão, director Estratega de Industria para Latinoamérica de Akamai Technologies, comentó: “No es de extrañar que las APIs representen un riesgo de seguridad cada vez mayor, ya que las aplicaciones web o servicios web disponibles lo más probable es que estén respaldados, de alguna manera, por una API. Desde aplicaciones móviles y dispositivos del Internet de las cosas (IoT) hasta aplicaciones internas, servicios al cliente basados en la nube y arquitecturas de microservicios, las APIs hacen posible la comunicación y las transacciones en las empresas”.
Índice de temas
El comercio, el sector más perjudicado
Por otro lado, el estudio indica que el 44% de los ataques a las APIs corresponden al sector del comercio, que continúa siendo el más afectado, mientras que el siguiente es el de los servicios empresariales, con un aproximado del 32%. Con cifras que rondan 300 millones de compradores digitales solo en América Latina, se espera que este número crezca más de un 15% para 2027.
Al mismo tiempo, se estima que las ventas minoristas en línea en la región se aproximen a los 200.000 millones de dólares para 2026. En el caso de Argentina, los ingresos esperados para dicho año por ventas de e-commerce son 41 mil millones de dólares.
Ante esta situación, Helder Ferrão explicó que la fuerte incidencia en el comercio se debe a múltiples factores, como la naturaleza compleja de su ecosistema, la alta dependencia de las APIs y la gran cantidad de información confidencial de los clientes. A su vez, destacó que los ataques a las APIs pueden relacionarse con la explotación de vulnerabilidades técnicas, el uso de credenciales robadas o el abuso de la lógica empresarial que permite el uso de APIs de formas inesperadas, entre otras cosas.
Más descubrimientos importantes
Algunos otros datos relevantes que se presentan en el informe de Akamai son:
- Las organizaciones que carecen de soluciones para supervisar las anomalías en la actividad de las APIs corren el riesgo de sufrir ataques en el tiempo de ejecución, como el scraping de datos, que las utiliza para extraer lentamente los datos desde el interior.
- Los tipos de ataques a las APIs incluyen técnicas de filtración como la inclusión de archivos locales (LFI), la inyección SQL (SQLi) y los scripts entre sitios (XSS).
- Las APIs son la base de la mayoría de las transformaciones digitales actuales, por lo que es fundamental comprender las tendencias del sector y los casos de uso relevantes, como los ataques de fraude en los programas de fidelización, abuso, autorización y carding.
- Las organizaciones deben pensar en los requisitos de cumplimiento y en la legislación que va surgiendo al comienzo de su estrategia de seguridad para evitar reajustes.
La demanda de soluciones de seguridad
Tal como indica Ferrão, la falta de seguridad de APIs puede conducir a filtraciones de datos, interrupciones del servicio o infracciones de la normativa que pueden implicar multas. Todo esto, sin mencionar el daño a la reputación y a la confianza de los clientes.
Por su parte, Steve Winterferld, director asesor de Seguridad de la Información de Akamai, prevé que estos ataques sigan creciendo ante el aumento en la adopción de APIs. Por esta razón, recomienda a las organizaciones que las tengan en cuenta y protejan las interfaces entre aplicaciones.
Asimismo, Winterfeld afirmó: “Las APIs son cada vez más fundamentales en las organizaciones, pero observamos que su seguridad no suele estar adaptada a la capacidad o que el equipo de seguridad no puede seguir el ritmo a las implementaciones de nuevas tecnologías”, y finalizó: “A medida que las APIs se vuelven más integrales para las operaciones, las empresas deben invertir en soluciones de seguridad de APIs sólidas para proteger sus datos confidenciales y su propiedad intelectual”.
Prohibida su reproducción total o parcial.