Innovación

Falta de seguridad en las APIs ponen en peligro las operaciones de empresas en Latam

El 29% de los ataques web tuvo como objetivo las APIs durante 12 meses (de enero a diciembre de 2023), lo que indica que son un área de interés para el cibercrimen. En 2023 el comercio fue el sector más atacado con el 44% de los ataques a APIs, seguida por los servicios empresariales con casi el 32%. Las APIs inseguras exponen datos confidenciales, los sistemas podrían verse comprometidos y los servicios interrumpidos. Akamai hace recomendaciones de seguridad a las organizaciones para proteger las APIs.

Las APIs (Interfaz de Programación de Aplicaciones) están en el centro de la transformación digital de las organizaciones; las APIs son vitales para la mayoría de las organizaciones porque mejoran las experiencias de empleados y clientes. APIs son utilizadas en la evolución de las aplicaciones y permiten una evolución importante en toda la cadena de optimización de los procesos. Desafortunadamente, los ciberdelincuentes han aprovechado esta innovación digital y la rápida expansión de la economía de las APIs para crear nuevas oportunidades de explotación. 29% de los ataques web tuvieron como objetivo las APIs durante 12 meses (de enero a diciembre de 2023), lo que indica que estas son un área de interés para el cibercrimen.

Así lo reveló el nuevo informe sobre el estado de Internet (SOTI, por State of the Internet), «Al acecho en las sombras: las tendencias de ataque ponen de relieve las amenazas a las APIs», realizado por Akamai Technologies, que examina la variedad y gran cantidad de ofensivas dirigidas a las APIs.

“No es de extrañar que las APIs representen un riesgo de seguridad cada vez mayor, ya que las aplicaciones web o servicios web disponibles lo más probable es que estén respaldados, de alguna manera, por una API. Desde aplicaciones móviles y dispositivos del Internet de las cosas (IoT) hasta aplicaciones internas, servicios al cliente basados en la nube y arquitecturas de microservicios, las APIs hacen posible la comunicación y las transacciones en las empresas”, expresó Helder Ferrão, director Estratega de Industria para Latinoamérica de Akamai Technologies.

Este estudio también revela que durante el año pasado el comercio siguió siendo el sector más perjudicado, ya que ha soportado el 44% de los ataques a las APIs. En segundo lugar, se ubicaron los servicios empresariales, con casi el 32%. El comercio minorista se ha convertido en el blanco perfecto de los ciberdelincuentes, debido a que tan solo América Latina es el hogar de aproximadamente 300 millones de compradores digitales, una cifra que se prevé crezca más del 15% de cara al 2027.

Aunque la adopción del e-commerce en esta parte del mundo aún es menor que en otras regiones emergentes, se espera que las ventas minoristas en línea en Latam ronden aproximadamente los 200.000 millones de dólares para 2026. Los ingresos por ventas de e-commerce estimados para dicho año en Brasil será de 78 mil millones de dólares (MMD), 70 MMD para México, en tanto Argentina registrará  41 MMD, Chile espera 27 MMD, Perú unos 21 MMD y Colombia posiblemente 19 MMD.

A decir de Helder Ferrão, la fuerte incidencia en el comercio se debe a una multitud de factores, como la naturaleza compleja de su ecosistema, la alta dependencia de las APIs y la gran cantidad de información confidencial de los clientes. Destacó que los ataques a las APIs adoptan muchas formas, entre las que se incluyen:

  • Explotación de vulnerabilidades técnicas en implementaciones de APIs.
  • Uso de credenciales robadas, así como de otras técnicas de robo de cuentas para hacerse pasar por un usuario legítimo.
  • Abuso de la lógica empresarial que permite el uso de APIs de formas inesperadas.

El informe «Al acecho en las sombras: las tendencias de ataque ponen de relieve las amenazas a las APItambién destaca otros datos clave:

  • Las organizaciones que carecen de soluciones para supervisar las anomalías en la actividad de las APIs corren el riesgo de sufrir ataques en el tiempo de ejecución, como el scraping de datos: un nuevo vector de filtración de datos que utiliza APIs autenticadas para extraer lentamente los datos desde el interior.
  • Los tipos de ataques a las APIs incluyen técnicas de filtración que se ha demostrado que funcionan, como la inclusión de archivos locales (LFI), la inyección SQL (SQLi) y los scripts entre sitios (XSS).
  • Las APIs son la base de la mayoría de las transformaciones digitales actuales, por lo que es fundamental comprender las tendencias del sector y los casos de uso relevantes, como los ataques de fraude en los programas de fidelización, abuso, autorización y carding.
  • Las organizaciones deben pensar en los requisitos de cumplimiento y en la legislación que va surgiendo al comienzo de su estrategia de seguridad para evitar reajustes.

 

Crecimiento de las APIs demanda soluciones de seguridad

“Las APIs son cada vez más fundamentales en las organizaciones, pero observamos que su seguridad no suele estar adaptada a la capacidad o que el equipo de seguridad no puede seguir el ritmo a las implementaciones de nuevas tecnologías”, apunta Steve Winterfeld, Director Asesor de Seguridad de la Información de Akamai.

Agrega que este nuevo informe prevé que estos ataques sigan creciendo de la mano de la demanda de uso de las APIs, e insta a las organizaciones a que las tengan en cuenta y las protejan correctamente. La seguridad de APIs consiste en proteger las interfaces entre las aplicaciones. Sin una seguridad de APIs adecuada, los datos confidenciales podrían quedar expuestos, los sistemas podrían verse comprometidos, y los servicios podrían verse interrumpidos.

De acuerdo con Helder Ferrão, la falta de seguridad de APIs puede tener graves consecuencias; las filtraciones de datos, las interrupciones del servicio o las infracciones de la normativa pueden acarrear multas cuantiosas, por no mencionar el costo potencial de la corrección.  También hay que tener en cuenta el daño a la reputación y a la confianza de los clientes, que puede tener repercusiones económicas a largo plazo.

Las soluciones de seguridad de APIs son fundamentales para garantizar la seguridad y la integridad de las mismas. Mediante la implementación de autenticación y autorización, puertas de enlace de APIs, cifrado, limitación de velocidad, auditoría y registro, pruebas de APIs, supervisión, protección del tiempo de ejecución y gestión de vulnerabilidades, las empresas tienen la certeza de que sus APIs están seguras y protegidas frente a toda una serie de amenazas de seguridad.

“A medida que las APIs se vuelven más integrales para las operaciones, las empresas deben invertir en soluciones de seguridad de APIs sólidas para proteger sus datos confidenciales y su propiedad intelectual”, finalizó Steve Winterfeld.