El próximo 17 de mayo se celebra el “Día Internacional de Internet” o “Día Mundial de la Sociedad de la Información”, una fecha importante para reflexionar sobre el papel fundamental que desempeñan las Tecnologías de la Información y las Comunicaciones, así como para impulsar la adopción de estrategias de digitalización por parte de las empresas para adaptarse a las nuevas realidades del mercado. Asimismo es indispensable ahora más que nunca velar por la seguridad de las interfaces de programación de aplicaciones (API’s), que dieron un giro impresionante con la llegada de la World Wide Web.
Las API’s se han convertido en componentes esenciales en el desarrollo de software moderno, lo que permite que diferentes aplicaciones se comuniquen e interactúen entre sí, explicó Helder Ferrão, Director Estratega de Industria para Akamai Latinoamérica, quien destacó que a medida que la innovación digital y la economía de las API’s mejoran las experiencias de productos/servicios, también representan nuevas oportunidades de explotación para los ciberdelincuentes.
Los países de América Latina han experimentado un rápido aumento de la evolución digital en la última década a lo largo de la cual las organizaciones han ido adoptado nuevas tecnologías e integrando sus sistemas mediante las API’s. Este cambio digital hace que estas organizaciones sean más susceptibles a los ciberataques a las API’s. Comprender el problema es crucial para garantizar una evolución digital segura y proteger datos y servicios valiosos.
De acuerdo con el estudio «Al Acecho en las Sombras: las tendencias de ataque ponen de relieve las amenazas a las API» realizado por Akamai, de todos los ataques dirigidos a las API’s a nivel mundial en 2023, Latinoamérica registró un 8,6 %, en comparación con Norteamérica que obtuvo un 27,1 %. A principios del año pasado, Latinoamérica había experimentado cerca de 500.000 ataques contra aplicaciones WEB y API’s. A finales de año, ese número se había disparado a 1.500 millones de ataques. Esta tendencia indica la importancia de implementar medidas de seguridad sólidas para proteger las API’s de ataques maliciosos.
“Servicios financieros, comercio, atención sanitaria y gubernamentales son algunos de los sectores más comunes en Latinoamérica que sufren ataques a las API’s. Estas organizaciones suelen gestionar grandes cantidades de datos confidenciales y transacciones financieras, lo que las convierte en el objetivo principal de los ciberdelincuentes”, dijo Jairo Parra, experto en ciberseguridad para Akamai Latinoamérica.
Helder Ferrão resaltó que las organizaciones de Latinoamérica gestionan enormes cantidades de datos de clientes, incluida la información de identificación personal. Los ciberataques a las API’s pueden poner en peligro estos datos confidenciales, lo que da lugar a filtraciones de datos, interrupción del servicio, pérdidas financieras y daños a la reputación.
Más adelante, el directivo explicó que el cumplimiento de las normativas de protección de datos, como el Reglamento General de Protección de Datos (GDPR), la Lei Geral de Proteção de Dados Pessoais (LGPD) en Brasil y otras normativas en distintos países de América Latina, han impulsado a las organizaciones a mejorar las medidas de seguridad de API para proteger los datos personales y confidenciales frente al acceso o la divulgación no autorizados.
Por su parte, Jairo Parra insistió en que las empresas deben salvaguardar los datos de los consumidores, proteger a las personas y mantener su confianza. “El incumplimiento de las medidas de seguridad adecuadas puede tener consecuencias devastadoras. En el caso de que las API’s transporten cualquier información relacionada con las tarjetas de pago, entonces es muy importante que éstas cumplan con los requisitos y tengan una certificación PCI”.
Por lo tanto, contar con una certificación PCI y con socios que cumplan con las normas PCI puede aportar beneficios como: mayor nivel de seguridad de los datos, cualidades diferenciadas con respecto a los competidores, reducción de riesgos, aumento de la confianza de los consumidores, facilidad para convertirse en proveedor de grandes empresas que gestionan pagos con tarjeta y adelantarse a los demás y acortar la preparación para las normativas de privacidad como GDPR, LGPD e incluso Open Banking.
Ocho consejos para ayudar a proteger las API
Los ciberataques a las API’s pueden interrumpir las operaciones empresariales, lo que puede provocar pérdidas financieras y un impacto negativo en la economía en general. Teniendo en cuenta esta realidad, las organizaciones en Latinoamérica deben adoptar medidas proactivas para protegerse y evitar contratiempos económicos.
Helder Ferrão recomendó ocho prácticas para un uso seguro de las API’s que ayuden a las empresas a crear un futuro digital próspero para los sectores de toda la región.
- Documente todas las API’s en sus controles de seguridad de API para mejorar la visibilidad.
- Resuelva los problemas de configuración incorrecta en sus API’s e implemente procesos para evitar que surjan vulnerabilidades futuras.
- Establezca una disciplina de supervisión de API’s y búsqueda de amenazas para cerrar las brechas de seguridad antes de que los atacantes puedan utilizarlas en su contra.
- Elija una solución de seguridad que pueda mitigar una amplia gama de amenazas, desde los 10 principales riesgos de seguridad de las API’s según OWASP hasta los ataques web tradicionales.
- Utilice soluciones de seguridad que ofrezcan análisis de comportamiento para detectar el uso indebido de la lógica empresarial y otras anomalías.
- Utilice la guía de OWASP sobre las prácticas de codificación para evitar los ataques más comunes.
- Lleve a cabo evaluaciones periódicas de vulnerabilidades y seleccione un proveedor de soluciones de seguridad de primera clase que le respalde.
- Manténgase al corriente de las amenazas emergentes.
Por último, Helder Ferrão destacó que comprender la importancia de los ciberataques a las API’s en Latinoamérica es esencial para proteger las economías, cumplir la normativa, proteger los datos de los consumidores y preservar la reputación del sector. Mediante el reconocimiento del impacto de los ataques a las API’s, las organizaciones pueden abordar las vulnerabilidades y mejorar su situación de ciberseguridad general.