A pesar de que los ataques contra las API siguen en aumento, las organizaciones tienen cada vez menor visibilidad de los riesgos de estos componentes, mostró la tercera edición del estudio sobre el impacto que tienen las API en la seguridad de Akamai Technologies, conocido anteriormente como “API Security Disconnect”.

Los datos apuntan a que el 84 % de los encuestados sufrió algún incidente de seguridad relacionado con API en los últimos 12 meses. Con ello, las incursiones ya registran tres años consecutivos de aumento y un crecimiento que marca un récord histórico, por encima del 78 % de 2023. La cifra está en consonancia con otro estudio reciente de Akamai, que también reveló un incremento de los ataques a API.

“Este alarmante incremento de ataques a APIs también sucede en Latinoamérica, en donde las organizaciones gestionan enormes cantidades de datos de clientes, incluida la información de identificación personal. De esta manera, las empresas deben salvaguardar los datos de los consumidores y mantener su confianza, ya que el incumplimiento de las medidas de seguridad adecuadas puede tener consecuencias devastadoras. Imaginemos escenarios en los que, en un entorno financiero, las APIs con las que se intercambia información sensible de tarjetas de crédito sean expuestas, o que en las instituciones de salud expongan –por medio de las API– información sensible como datos personales o secretos de los pacientes, violando las regulaciones locales”, afirmó Patricio Villacura, especialista de Seguridad Empresarial para Akamai.

Sin embargo, a pesar de que las incursiones han aumentado, son menos los encuestados que tienen un inventario completo de sus API y saben cuáles transfieren datos confidenciales. Esta cifra, ya de por sí baja en 2023, ha pasado del 40 % a tan solo el 27 % en 2024. Así lo expone el “Gartner Market Guide for API Protection” de mayo de 2024: "Según datos actuales, se estima que, cada vez que se ataca una API, se filtran de media 10 veces más datos confidenciales que con cualquier otro tipo de vulneración". En vista de estas tendencias, se espera que la seguridad de las API se convierta pronto en uno de los principales problemas de las empresas.

A pesar de que el sector de la energía y los servicios públicos registró el mayor número de incidentes de API (91 %), sus representantes consideraron que protegerlas era su última prioridad en una lista de 13 opciones. Por el contrario, el 21,3 % de los responsables de retail y comercio electrónico, que fueron los que registraron menos ataques (68 %), indicaron que la seguridad de las API era una de sus máximas prioridades. Esta es la cifra más alta de entre todos los sectores.

La encuesta también señaló que solucionar estos incidentes costó US$ 591.404 en EE. UU; en el sector de servicios financieros, esta cifra ascendió hasta los US$ 832.801. Los encuestados señalaron que la seguridad de las API genera algo más de estrés o preocupación a sus equipos de seguridad que los costos por medidas correctivas y las multas por no cumplir con las normativas. Además, los directores de seguridad indicaron que sus dos prioridades para los próximos 12 meses son las amenazas basadas en IA generativa (25,5 %) y proteger sus API (24,8 %).

Las principales causas de estos incidentes fueron las vulnerabilidades señaladas en los 10 principales riesgos de seguridad de API según OWASP, además de, como los propios encuestados admitieron, la falta de efectividad de las herramientas de API convencionales para detectar los ataques.

"Nuestra investigación demuestra que la seguridad de las API aún no se ha convertido en un elemento clave de las estrategias de seguridad integral", indicó Rupesh Chokshi, vicepresidente sénior y director general de Seguridad de las Aplicaciones de Akamai. "Las empresas suelen tratar las amenazas a las API como un problema emergente, a pesar de que los ataques, su impacto financiero y la carga de los equipos de seguridad no paran de aumentar. Creemos que el estudio sobre el impacto en la seguridad de API ayudará a las empresas a evaluar mejor sus medidas para protegerlas y podrán reforzar sus puntos débiles".

Además de información sobre los resultados de la encuesta, el estudio de Akamai ofrece recomendaciones para que los equipos de seguridad mejoren sus estrategias de seguridad de API, como hacer un inventario completo de las API y pruebas periódicas para garantizar que están bien configuradas, así como detectar el tiempo de ejecución para identificar la actividad anómala.