Durante 2024 se registraron 311.000 millones de ataques web en todo el mundo, lo que representa un aumento del 33% con respecto al año anterior, según el informe Estado de la Seguridad de API y Aplicaciones 2025 de Akamai. El principal motivo de esta escalada está relacionado con la expansión del uso de inteligencia artificial a través de APIs, que amplía la superficie vulnerable y exige nuevas estrategias de protección.
Índice de temas
La seguridad de las API en jaque por la inteligencia artificial
Según el estudio, muchas API basadas en IA utilizan mecanismos de autenticación débiles, lo que las convierte en un blanco ideal. Además, la tecnología permite a los atacantes automatizar procesos y aplicar técnicas más sofisticadas.
La seguridad de las API dejó de ser un tema exclusivo de los equipos técnicos. Hoy representa una preocupación transversal para cualquier empresa digital. Akamai registró 150.000 millones de ataques contra APIs entre enero de 2023 y diciembre de 2024. En Latinoamérica, se reportaron 3 mil millones de ataques web durante ese mismo período, y un 12% se dirigió específicamente a interfaces de programación.
El informe también advierte que la velocidad con la que crece el mercado de API con IA va a la par de los riesgos, ya que su integración en plataformas clave las vuelve aún más expuestas.
Seguridad de las API: el e-commerce, el más atacado
El sector del comercio electrónico encabeza el listado de víctimas. Recibió más de 230.000 millones de ataques web, casi tres veces más que el sector tecnológico, que quedó segundo. Las plataformas de e-commerce manejan grandes volúmenes de datos personales y transacciones sensibles, lo que las convierte en objetivos muy rentables para los atacantes.
A esto se suma el avance de ataques más complejos. Uno de los principales vectores fueron los DDoS (ataques distribuidos de denegación de servicio) en la capa 7, que afecta directamente a las aplicaciones web y APIs. Entre el primer trimestre de 2023 y el cuarto trimestre de 2024, este tipo de ataques creció un 94%. En diciembre de 2024 se alcanzó un pico de 1,1 billones de ataques en un solo mes. En Latinoamérica, se detectaron 258 mil millones de ataques DDoS en la capa 7 durante el período, y el 18% se dirigió a APIs.
También aumentaron los incidentes relacionados con las diez principales vulnerabilidades de seguridad de API listadas por OWASP. La mayoría de los casos se debieron a fallos en autenticación y autorización, que dejan expuestos datos y funciones críticas.
Seguridad de las API en Latinoamérica: avances regulatorios y riesgos pendientes
La región atraviesa una transformación digital acelerada, que abre nuevas oportunidades, pero también la deja más expuesta a amenazas. El informe señaló que países como México, Brasil, Chile, Argentina y Colombia avanzan en regulaciones para fortalecer la seguridad de los ecosistemas digitales.
Aunque la cantidad general de ataques web en la región muestra una leve baja, los ciberdelincuentes están cambiando de objetivos. Ahora apuntan a sectores como el farmacéutico, los servicios empresariales y también a nuevos formatos de ataque como el ransomware.
Otro punto preocupante es la proliferación de APIs zombis y APIs en la sombra. Estas interfaces olvidadas o no documentadas operan sin control, cuestión que abre puertas ocultas en sistemas que, en apariencia, están protegidos.
Cómo reforzar la seguridad de las API frente a ataques automatizados
Los atacantes utilizan herramientas cada vez más avanzadas. Se incrementó el uso de bots y técnicas automatizadas con IA, lo que se refleja en un aumento del 30% en las alertas relacionadas con el marco de seguridad MITRE.
El informe describe el caso de una empresa de comercio electrónico que fue víctima de un ataque a su API. El problema comenzó por una interfaz expuesta que no contaba con una política de seguridad adecuada, lo que permitió la infiltración sin necesidad de grandes esfuerzos.
Frente a este panorama, Akamai propone una estrategia integral que combine ciberseguridad, defensa proactiva, reducción de vulnerabilidades, protección contra ransomware y preparación frente a los riesgos que plantea la inteligencia artificial.”La IA está transformando la seguridad de la web y las API, mejorando la detección de amenazas y desvelando nuevos retos. Este informe es fundamental para comprender los catalizadores de este cambio y cómo adelantarse a los ataques con las estrategias de mitigación pertinentes”, sostuvo Rupesh Chokshi, vicepresidente sénior de la Cartera de Seguridad de Aplicaciones de Akamai.
