Las API se convierten en un factor de riesgo crítico para las empresas

API de terceros

El estudio enfatiza el riesgo que significan para las empresas las API de terceros, ya que algunas de ellas pueden no tener estándares de seguridad rigurosos o quedar fuera de las políticas de monitoreo, transformándose en puntos débiles que pueden ser explotados para tener acceso a datos sensibles o interferir servicios críticos.

Edgardo Fuentes, Universidad Andrés Bello .

En este sentido, Edgardo Fuentes, director de Ingeniería en Ciberseguridad de la Universidad Andrés Bello (UNAB), señala que, “casos recientes han evidenciado cómo APIs mal gestionadas pueden ser explotadas para el robo de credenciales, fraudes automatizados o filtraciones de información personal. La falta de inventario actualizado, la exposición de claves en repositorios públicos y la ausencia de pruebas de seguridad en entornos DevOps son algunos de los puntos críticos que enfrentan las organizaciones. En este escenario, la seguridad de las APIs debe dejar de ser un asunto técnico aislado y convertirse en una prioridad estratégica transversal”.

Daniela Arroyo, Sophos.

Una opinión coincidente tiene Daniela Arroyo, Global Solutions Engineer - Service Desk de Sophos, quien advierte que “los ataques dirigidos a APIs no sólo están en aumento, sino que se han vuelto más sofisticados: robo de tokens, ataques de dispositivos expuestos y manipulación de datos son algunas de las técnicas más comunes. A menudo, el problema no radica en la tecnología, sino en la falta de visibilidad y capacidad de respuesta”.

Ley de Protección de Datos Personales

La reciente promulgación de la nueva Ley de Protección de Datos Personales en Chile ha elevado aún más el estándar. Esta normativa, alineada con principios del RGPD europeo, exige que las organizaciones demuestren responsabilidad proactiva en el tratamiento de datos personales, incluyendo aquellos que transitan por API.

Fabiana Ramírez, ESET.

A juicio de Fabiana Ramirez Cuenca, investigadora de Seguridad Informática de ESET Latinoamérica, “podríamos decir que lo que la ley establece, de alguna manera, elevaría el nivel de exigencia en seguridad a nivel genérico y más allá del tipo de tecnología. Algunos de los nuevos requisitos implican un estándar más alto de seguridad con relación a lo anterior que, por extensión, también afectaría los flujos de datos que usualmente transitan vía APIs”.

Edgardo Fuentes, de la UNAB, agrega que ya no basta con proteger el perímetro, sino que es necesario asegurar cada integración, flujo de datos y autorización. “La ley impone obligaciones como la minimización de datos, el consentimiento informado, la trazabilidad de accesos y la realización de evaluaciones de impacto. Esto obliga a revisar contratos con terceros, prácticas de desarrollo y políticas internas, incorporando la protección de datos como eje estructural del diseño y operación de APIs”, destaca.

La IA generativa introduce vulnerabilidades

La adopción de IA generativa en los procesos de negocio empresariales ha aumentado el uso de API para la integración de modelos como OpenAI, Google Gemini e IBM Watson, incrementando la superficie de ataque y creando preocupaciones sobre la protección de datos críticos y la integridad de los flujos automatizados.

Siguiendo con las conclusiones del estudio de Entel Digital, al 60 % de los ejecutivos les preocupa que se filtren datos a través de las API por la IA generativa, así como el crecimiento de la superficie de ataque debido a esta tecnología.

André Goujon, Lockbits.

En este sentido, André Goujon, CEO de Lockbits, sostiene que, al llevar la IA generativa a producción, se multiplican las API y, con ellas, el riesgo de exponer datos sensibles: “Por eso recomiendo usar sólo herramientas aprobadas por la empresa; no copiar/pegar información confidencial en prompts; desactivar el ‘entrenamiento’ con nuestros datos y revisar la política de retención del proveedor”.

“Cada integración con un modelo generativo implica riesgos asociados a la falta de trazabilidad, la posible fuga de información y la automatización de ataques. Los mismos modelos pueden ser utilizados por atacantes para generar payloads maliciosos, evadir validaciones o simular tráfico legítimo. Por ello, la gobernanza de APIs debe incluir políticas claras sobre qué datos se comparten con modelos externos, mecanismos de anonimización, límites explícitos a las respuestas generadas por IA y auditoría continua de los flujos de datos sensibles”, agrega Edgardo Fuentes, de la UNAB.

Claves para fomentar la seguridad de las API

Gerardo Carrión, Cisco.

Los expertos explican que, para potenciar la seguridad de las API, es fundamental aplicar buenas prácticas que garanticen la protección de los datos y la integridad de los sistemas. En primer lugar, se debe implementar mecanismos sólidos de autenticación y autorización, utilizando estándares como OAuth 2.0 y OpenID Connect, y asegurando que cada usuario o aplicación tenga únicamente los permisos necesarios. Por otra parte, es importante validar cuidadosamente todas las entradas que recibe la API para evitar vulnerabilidades como inyecciones o ataques de tipo XSS.

“También se debe proteger la información mediante cifrado, tanto en tránsito como en reposo, empleando protocolos seguros como HTTPS/TLS. Otro aspecto clave es el monitoreo y control del uso de las APIs, aplicando límites de peticiones, registrando las actividades y detectando comportamientos anómalos que puedan indicar intentos de ataque. Además, es recomendable integrar la seguridad en todo el ciclo de desarrollo (enfoque DevSecOps), mantener las dependencias actualizadas, realizar pruebas de seguridad y auditorías periódicas, y apoyarse en API gateways que centralicen las políticas de protección”, concluye Gerardo Carrión, Cybersecurity Technical Solutions Architect en Cisco.