Cloud Ciberseguridad Inteligencia Artificial Big Data CIO Digital transformation IoT (Internet de las cosas) Software Entrevistas PAÍSES

ANÁLISIS

Las APIs bajo fuego: los ataques con inteligencia artificial crecieron como nunca y nadie está preparado

Home Ciberseguridad
Dirección copiada

Mientras las interfaces de programación se multiplican sin control, los ciberdelincuentes aprovechan herramientas de IA para lanzar ataques automatizados y cada vez más difíciles de detectar. Las brechas se repiten y las defensas no alcanzan.

Publicado el 29 de ago de 2025
Nicolás Della Vecchia

Jefe de redacción

Las APIs bajo fuego: los ataques con inteligencia artificial crecieron como nunca y nadie está preparado

Los ataques cibernéticos crecieron con fuerza en volumen y sofisticación durante 2024, impulsados por el uso de inteligencia artificial (IA). A lo largo del año, se registraron 311.000 millones de ataques web en todo el mundo, lo que marcó un aumento del 33% respecto de 2023, según el informe Estado de la Seguridad de API y Aplicaciones 2025 de Akamai.

Buena parte de ese salto se relaciona con la expansión de herramientas de IA integradas en APIs, que amplían la superficie expuesta y exigen nuevas estrategias de ciberseguridad. En otras palabras, la misma tecnología que permite desarrollar servicios más inteligentes también está siendo usada por ciberdelincuentes para automatizar y escalar sus ataques.

La empresa Akamai, especializada en servicios de red y seguridad, detectó 150.000 millones de ataques dirigidos a APIs entre enero de 2023 y diciembre de 2024.

En América Latina, los registros fueron igualmente alarmantes: se reportaron 3.000 millones de ataques web, y el 12% se dirigió contra interfaces de programación de aplicaciones (API), según el mismo informe.

Estos números reflejan que la seguridad de las API dejó de ser un tema técnico para transformarse en una preocupación estratégica en cualquier empresa que opera online.

Crecen los ataques impulsados por IA: los hackers ya no necesitan saber programar

La aparición de modelos de lenguaje avanzados (LLMs) y otras herramientas de IA generativa les permitió a los ciberdelincuentes crear amenazas de forma más rápida y a una escala mucho mayor. Hoy incluso existen modelos de IA clandestinos diseñados con fines maliciosos —como WormGPT, FraudGPT o DarkGPT— que se ofrecen en la darknet con capacidades preocupantes.

Uno de los ejemplos más alarmantes es FraudGPT, que promete a los atacantes la posibilidad de “escribir código malicioso, crear malware indetectable, generar páginas de phishing y desarrollar herramientas de hacking” de manera automatizada.

Uno de los ejemplos más alarmantes es FraudGPT, que promete a los atacantes la posibilidad de “escribir código malicioso, crear malware indetectable, generar páginas de phishing y desarrollar herramientas de hacking”
Uno de los ejemplos más alarmantes es FraudGPT, que promete a los atacantes la posibilidad de “escribir código malicioso, crear malware indetectable, generar páginas de phishing y desarrollar herramientas de hacking”

Estas IAs pueden generar en minutos correos de phishing muy convincentes, software malicioso a medida e incluso variantes de ransomware, sin que el atacante necesite saber programar.

Un análisis de Palo Alto Networks reveló que es posible utilizar LLMs para generar miles de variantes de malware —por ejemplo, en JavaScript— mediante la reescritura y ofuscación de código ya existente. De esta forma, logran evadir la detección en el 88% de los casos.

La IA amplía la caja de herramientas de los hackers: les permite lanzar campañas de phishing más creíbles y crear malware más sofisticado en tiempo récord.

Las APIs, el nuevo objetivo de los ciberataques potenciados por inteligencia artificial

En este escenario, las APIs se volvieron uno de los blancos preferidos de los atacantes que utilizan inteligencia artificial. Son el engranaje que permite que distintos servicios intercambien información y, con su expansión, también quedaron expuestas a mayores riesgos.

Un informe reciente de Salt Security reveló que el 99% de las organizaciones sufrió al menos un incidente de seguridad vinculado con APIs en los últimos 12 meses. En otras palabras, casi todas las empresas enfrentaron problemas relacionados con estas interfaces. Además, más de una de cada cinco (22%) reportó brechas de datos asociadas a fallas en su protección.

Muchas veces, las APIs dejan expuestos datos sensibles o funciones clave. Si un atacante logra explotarlas, las consecuencias pueden ser severas.

Un caso reciente: a fines de julio de 2025, un desarrollador del Departamento de Government Efficiency (DOGE) publicó por error una clave privada de API para los modelos de lenguaje de xAI (empresa de Elon Musk) en un repositorio público de GitHub.

Esa clave daba acceso a más de 50 LLMs privados, incluidos modelos avanzados tipo GPT‑4, lo que generó inquietud sobre una posible exposición de datos sensibles de agencias como el Departamento de Seguridad Nacional o el Tesoro. El repositorio fue retirado, pero la clave siguió activa durante un tiempo, poniendo en evidencia graves fallos en el manejo de credenciales.

También se registró otro caso en julio de 2025: una vulnerabilidad en Base44, una plataforma de “vibe coding” (donde se genera código a través de IA), permitió que mediante simplemente un app_id público se registrara acceso a aplicaciones privadas sin autenticación. Esto dejaba expuestos datos confidenciales como información del personal, comunicaciones internas o herramientas de automatización. Wix, la empresa propietaria de Base44, corrigió el problema en un día, y no hubo evidencia de un ataque real

Uno de los mayores desafíos es que una gran parte de las APIs no están bajo control. Se estima que solo el 10% de las organizaciones documenta completamente sus APIs, mientras que el 90% restante opera con lo que se conoce como “shadow APIs”: interfaces que funcionan sin supervisión ni mantenimiento.

Estas APIs fantasma, sin monitoreo ni actualizaciones, se transforman en puertas traseras ideales para los intrusos.

Falta de preparación empresarial

Aunque las amenazas crecieron, muchas empresas siguen sin estar preparadas. Solo el 37% cuenta con una solución específica para proteger sus APIs, según datos de Salt Security. La mayoría aún depende de medidas generales, como firewalls o autenticación tradicional, que ya no alcanzan frente a los ataques más sofisticados.

Peor aún, menos del 13% de las organizaciones prueba o monitorea sus APIs en tiempo real para detectar vulnerabilidades, de acuerdo con cifras publicadas por ventasdeseguridad.com. Un estudio publicado en noviembre de 2024 por Akamai reveló que el porcentaje de compañías que realizaban testing continuo de APIs cayó del 18% al 13% en un año. Eso significa que casi 9 de cada 10 empresas operan “a ciegas”, sin la visibilidad ni los controles necesarios para bloquear ataques antes de que generen daños.

Por eso no sorprende que las brechas en APIs sigan ocurriendo. Los controles tradicionales no detectan los patrones de ataque más recientes, y las herramientas convencionales no tienen eficacia para frenar las técnicas modernas de intrusión por esta vía. La distancia entre la capacidad ofensiva de los atacantes y la preparación defensiva de las empresas se está ampliando de forma alarmante.

La inteligencia artificial amplifica las vulnerabilidades en las APIs

La misma inteligencia artificial que potencia a los atacantes también expone con mayor crudeza las debilidades en las defensas de las APIs. Hoy, herramientas impulsadas por IA automatizan pruebas de penetración y detectan fallos con una velocidad y escala imposibles para cualquier humano.

En foros clandestinos ya se comercializan sistemas de IA capaces de escanear sitios web y APIs, comparando posibles fallas con bases de datos enormes de CVEs —exploits conocidos. Esto le permite a cualquier actor malicioso que cuente con un modelo de lenguaje entrenado identificar APIs mal configuradas o con bugs explotables, mucho más rápido que un atacante tradicional.

Además, estos modelos pueden generar código de explotación a medida, diseñado para aprovechar vulnerabilidades específicas, lo que acelera la automatización de ataques contra APIs.

No sorprende que el 84% de los profesionales de seguridad crea que la irrupción de la inteligencia artificial y los modelos de lenguaje complicará aún más la protección de las APIs en los próximos años, según datos de Kong, empresa que se dedica a desarrollar tecnologías APIs en la nube.

Referentes del sector advierten que, aunque la IA puede mejorar la eficiencia, también multiplica los riesgos si no se refuerzan las medidas de seguridad. En definitiva, la inteligencia artificial funciona como un amplificador de amenazas: cualquier falla en una API mal protegida puede ser detectada y explotada a velocidad de máquina.

Preocupación al más alto nivel por la seguridad de las APIs ante ataques con IA

Los responsables de tecnología y seguridad están prestando atención a una combinación peligrosa: APIs vulnerables y ataques potenciados por inteligencia artificial. Según una encuesta global reciente, el 92% de las organizaciones ya aplica medidas para frenar ciberataques que aprovechan la IA, según publicó Kong en el informe mencionado antes.

Las amenazas potenciadas por IA ya se perciben como el principal riesgo de seguridad para las empresas que dependen de aplicaciones. Esto se traduce en un cambio de foco en muchas juntas directivas y consejos de administración, donde la seguridad de las APIs escaló al primer plano de la agenda.

Dicho este, el mismo estudio de Kong reveló que el 88% de los líderes en tecnología prioriza la seguridad de las APIs por encima o al mismo nivel que otras áreas de ciberseguridad, como redes o dispositivos, Y no se trata de una preocupación hipotética: el 25% de las empresas encuestadas ya sufrió incidentes de seguridad donde se utilizó IA o modelos de lenguaje en alguna etapa del ataque.

La mayoría de los ejecutivos admite que “no podemos subestimar nuestros propios riesgos en la era de la IA” y que hay que cerrar los puntos ciegos antes de que los atacantes los aprovechen. La convergencia entre IA y APIs aparece como la mayor amenaza actual, y prepararse para enfrentarla se convirtió en una prioridad urgente para los equipos directivos.

Costos elevados por incidentes de API

El impacto económico de no resolver las vulnerabilidades en las APIs puede ser muy alto. Atender un incidente de seguridad en este terreno no solo exige recursos técnicos, sino también representa pérdidas importantes por interrupciones operativas, tareas de reparación y consecuencias indirectas.

Según datos del estudio API Security Perspectives 2025: AI-Enhanced Threats and API Security , el 47% de las organizaciones que atravesaron un incidente vinculado a sus APIs desembolsaron más de US$ 100.000 en los trabajos de recuperación. En uno de cada cinco casos, los costos superaron los US$ 500.000. En sectores como el financiero, donde la sensibilidad de los datos es mayor, el promedio por incidente oscila entre US$ 600.000 y US$ 800.000, de acuerdo con cifras de ventasdeseguridad.com.

La infografía refleja que, aunque los líderes de TI reconocen la seguridad de las APIs como crítica y están actuando frente a amenazas con IA, los ataques siguen siendo comunes, caros y generan desconfianza en las defensas actuales.
La infografía refleja que, aunque los líderes de TI reconocen la seguridad de las APIs como crítica y están actuando frente a amenazas con IA, los ataques siguen siendo comunes, caros y generan desconfianza en las defensas actuales.

A ese gasto directo se le suman posibles multas regulatorias en caso de filtraciones de datos personales, la pérdida de confianza por parte de los clientes y el daño a la reputación de la empresa. Un informe de Gartner subraya que, cuando la filtración ocurre a través de una API, se expone 10 veces más información sensible que en otros tipos de fallas de seguridad.

En otras palabras, un solo error en una API puede dejar consecuencias mucho más graves que cualquier otra vulneración. Para los CEOs y CFOs, estos números muestran con claridad que invertir en prevención es mucho más barato que enfrentar las consecuencias de un ataque.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Nicolás Della Vecchia
Jefe de redacción

Periodista especializado en innovación, tecnología y negocios más. Licenciado en Periodismo en la Universidad del Salvador. Colaborador de Forbes Argentina desde 2019.

Sígame en

Canales

Artículos relacionados

  • La economía del conocimiento en 2025 mejora su competitividad, frena la fuga de talento y proyecta exportaciones por US$ 30.000 millones tras la flexibilización cambiaria.

  • informe

    La economía del conocimiento en 2025 gana competitividad con la normalización cambiaria

    09 Jul 2025

    Compartir
  • Mujer analizando datos en laptop mientras colegas revisan gráficos de ciencia de datos e inteligencia artificial en reunión corporativa.

  • ESPECIAL

    Ciencia de datos e inteligencia artificial en B2B

    11 Ago 2025

    Compartir
  • image

  • energía

    Energía eólica: cómo funciona, cuánto produce y por qué lidera el futuro renovable

    10 Jul 2025

    Compartir
  • Robótica

  • ESPECIALES

    Robot programable: casos reales en la industria

    01 Ago 2025

    Compartir
  • Representación visual de una red neuronal profunda (DNN) con nodos interconectados simulando procesamiento de datos en capas jerárquicas.

  • ESPECIALES

    DNN: Qué es una red neuronal profunda y cómo puede ayudar a tu PyME

    24 Jul 2025

    Compartir
  • Grupo de profesionales revisando dispositivos móviles y tablets durante una reunión sobre migración a la nube empresarial, evitando errores comunes.

  • ESPECIALES

    Migración cloud: errores comunes y cómo evitarlos ✅

    18 Jun 2025

    Compartir

Artículo 1 de 7