Las APIs son el motor invisible de las aplicaciones y servicios digitales, pero también representan una de las superficies de ataque más vulnerables para las organizaciones.
“Las empresas no dimensionan la cantidad de APIs que utilizan ni los riesgos que enfrentan al no gestionarlas adecuadamente”, alerta Jairo Parra, especialista en ciberseguridad de Akamai para Latinoamérica.
Las API (Interfaces de Programación de Aplicaciones) son piezas de código que permiten que las aplicaciones y sistemas se comuniquen entre sí para intercambiar información en tiempo real.
“Por ejemplo, cuando accedemos a la aplicación de nuestro banco para pagar impuestos, esa transacción cruza información con APIs del servicio tributario, registro civil, bancos y otros sistemas. Todo ocurre en segundos y de manera invisible para el usuario, pero cada una de esas APIs puede ser vulnerable si no está protegida”, explica Parra.
El panorama de riesgo en cifras de acuerdo al último informe de Akamai Estado de la seguridad de API y aplicaciones 2025: cómo cambia la IA el panorama digital:
- En Latinoamérica, los comercios online, procesadores de pagos, bancos, aseguradoras, fintechs y exchanges de criptomonedas son especialmente vulnerables a amenazas que afectan sus aplicaciones web y API.
- Akamai registró en 2024 más de 311 mil millones de ataques contra APIs y aplicaciones web, un aumento del 33% respecto al año anterior.
- Las pérdidas económicas son significativas: los problemas de seguridad en APIs cuestan a las organizaciones alrededor de 87 mil millones de dólares anuales, cifra que podría superar los 100 mil millones en 2026 si no se toman medidas.
- Los incidentes relacionados con los 10 principales riesgos de seguridad en APIs (según OWASP) crecieron un 32%.
- El Estudio de Seguridad en APIs 2024 reveló una brecha crítica: aunque 47% de los equipos de seguridad cuentan con inventarios completos de sus APIs, no identifican cuáles manejan datos confidenciales.
Un ejemplo alarmante de esta vulnerabilidad ocurrió cuando el equipo de investigación de Akamai logró modificar el precio de un producto en un e-commerce a cero pesos mediante una falla en su API, sin que el sistema o el personal lo detectaran.
Limitaciones de las soluciones tradicionales
Muchas organizaciones no cuentan con visibilidad total de su ecosistema de APIs, lo que limita su capacidad de:
- Saber cuántas APIs están activas y funcionando.
- Detectar abusos o comportamientos anómalos.
- Descubrir y solucionar problemas de seguridad durante el desarrollo.
- Identificar APIs que exponen datos sensibles sin regulación o control.
Además, las soluciones tradicionales no están diseñadas para cumplir con estándares como OWASP Top 10, que destacan las principales vulnerabilidades en APIs, incluyendo exposición de datos, autenticaciones deficientes y malas implementaciones de seguridad.
La gran pregunta para las organizaciones
“¿Sabe su empresa cuántas APIs utiliza, cuáles se comunican con aplicaciones de terceros, si esas instituciones están reguladas y si la información que trafican cumple con estándares de seguridad?”, cuestiona Parra.
Hacia una protección de vanguardia
Para proteger sus activos digitales, las empresas deben adoptar soluciones modernas que ofrezcan visibilidad completa de sus APIs, detección de anomalías en tiempo real, control de accesos y cumplimiento con los marcos regulatorios vigentes, además de implementar prácticas alineadas a OWASP para reducir la exposición al riesgo.
“Las APIs son la columna vertebral de los negocios digitales, pero también su talón de Aquiles si no se gestionan con la debida seguridad”, concluyó Parra.
