Internacional. Así lo afirma Akamai Technologies, que ha publicado un nuevo estudio que señala la cada vez menor visibilidad de los riesgos de las API, a pesar de que estos ataques están en aumento.
Para esta tercera edición del estudio sobre el impacto que tienen las API en la seguridad (conocido anteriormente como informe "API Security Disconnect") se encuestaron 1207 expertos y responsables de seguridad de EE. UU., Reino Unido y Alemania. Los datos apuntan a que el 84 % de los encuestados sufrió algún incidente de seguridad relacionado con API en los últimos 12 meses. Con ello, las incursiones ya registran tres años consecutivos de aumento y un crecimiento que marca un nuevo récord histórico, por encima del 78 % de 2023. La cifra está en consonancia con otro estudio reciente de Akamai, que también apunta a un incremento de los ataques a API.
“Este alarmante incremento de ataques a APIs también sucede en Latinoamérica en donde las organizaciones gestionan enormes cantidades de datos de clientes, incluida la información de identificación personal. De esta manera las empresas deben salvaguardar los datos de los consumidores y mantener su confianza, ya que el incumplimiento de las medidas de seguridad adecuadas puede tener consecuencias devastadoras. Imaginemos escenarios en los que en un entorno financiero las APIs con las que se intercambia información sensible de tarjetas de crédito sean expuestas o en las instituciones de salud expongan por medio de las APIs información sensible como datos personales o secretos de los pacientes, violando las regulaciones locales. En este contexto, el estudio realizado a estas 3 potencias mundiales resulta muy relevante para que las organizaciones en esta región se pongan en alerta”, afirmó Patricio Villacura, especialista de Seguridad Empresarial para Akamai.
A pesar de que las incursiones han aumentado, son menos los encuestados que tienen un inventario completo de sus API y saben cuáles transfieren datos confidenciales. Esta cifra, ya de por sí baja en 2023, ha pasado del 40% a tan solo el 27 % en 2024. Así lo expone el informe Gartner Market Guide for API Protection de mayo de 2024: "Según datos actuales, se estima que cada vez que se ataca una API, se filtran de media 10 veces más datos confidenciales que con cualquier otro tipo de vulneración".
En vista de estas tendencias, se espera que la seguridad de las API se convierta pronto en uno de los principales problemas de las empresas. Para realizar el estudio sobre el impacto de la seguridad de API, se encuestó a responsables de seguridad de los siguientes sectores: servicios financieros, retail y comercio electrónico, atención sanitaria, sector público, fabricación, energía y servicios públicos, automoción, y seguros. A pesar de que el sector de la energía y los servicios públicos registró el mayor número de incidentes de API (91 %), sus representantes consideraron que protegerlas era su última prioridad en una lista de 13 opciones. Por el contrario, el 21,3 % de los responsables de retail y comercio electrónico, que fueron los que registraron menos ataques (68 %), indicaron que la seguridad de las API era una de sus máximas prioridades. Supone la cifra más alta de entre todos los sectores.
La encuesta incluye los siguientes datos:
- De media, solucionar estos incidentes costó 591 404 USD en EE. UU. En sectores como el de los servicios financieros, esta cifra ascendió hasta los 832 801 USD.
- En general, todos los cargos de todas las regiones creen que los incidentes de seguridad de API afectan especialmente al personal de seguridad. Los encuestados señalaron que la seguridad de las API genera algo más de estrés o preocupación a sus equipos que los costes por medidas correctivas y las multas por no cumplir con las normativas.
- Los directores de seguridad indicaron que sus dos prioridades para los próximos 12 meses son las amenazas basadas en IA generativa (25,5 %) y proteger sus API (24,8 %).
- En 2023, el 18 % de los encuestados en EE. UU. y Reino Unido afirmaron haber realizado pruebas de API en tiempo real. Esta cifra ha descendido hasta el 13 % en 2024. Muchos de los tipos de incidentes de API que nombraron pueden solventarse con pruebas en tiempo real.
- Las principales causas de estos incidentes fueron las vulnerabilidades señaladas en los 10 principales riesgos de seguridad de API según OWASP, además de, como los propios encuestados admiten, la falta de efectividad de las herramientas de API convencionales para detectar los ataques.
"Nuestra investigación demuestra que la seguridad de las API aún no se ha convertido en un elemento clave de las estrategias de seguridad integral", afirma Rupesh Chokshi, vicepresidente sénior y director general de Seguridad de las Aplicaciones de Akamai. "Las empresas suelen tratar las amenazas a las API como un problema emergente, a pesar de que los ataques, su impacto financiero y la carga de los equipos de seguridad no paran de aumentar. Creemos que el estudio sobre el impacto en la seguridad de API ayudará a las empresas a evaluar mejor sus medidas para protegerlas y podrán reforzar sus puntos débiles".
En este estudio, no solo se ofrece información sobre los resultados de la encuesta, sino que también se dan recomendaciones para que los equipos de seguridad mejoren sus estrategias de seguridad de API. Entre ellas, se sugiere hacer un inventario completo de las API y pruebas periódicas para garantizar que están bien configuradas, así como detectar el tiempo de ejecución para identificar la actividad anómala.
