API, caballos de Troya para los ciberataques

La ubicuidad de las API pone de manifiesto que se han convertido en una de las puertas de entrada favoritas de los ciberdelincuentes para ataques de apropiación de cuentas. En una reciente encuesta de Fastly, el 84% de los encuestados admitió no tener una seguridad avanzada en sus API.

Así, dicho estudio, realizado a 235 responsables de la toma de decisiones en materia de TI y ciberseguridad, ha revelado que, a pesar del papel fundamental de las API, la gran mayoría de los decisores ignora el creciente riesgo para la seguridad de las empresas. Las interfaces de programación de aplicaciones (API) están reconocidas desde hace tiempo como uno de los pilares de la economía digital, y cifras recientes sugieren que la mayor parte del tráfico de internet se dirige actualmente a través de API.

La falta de acción frente a las brechas de seguridad de las API ocurre a pesar de que la gran mayoría de los tomadores de decisiones son conscientes del problema. El 95% de los encuestados por Fastly dijo haber experimentado problemas de seguridad con las API en los últimos doce meses.

Riesgo de daño operativo y reputacional

Más de tres cuartas partes (79%) había retrasado el lanzamiento o la integración de una nueva aplicación por problemas de seguridad de la API. Además, el 79% afirmó que otorga una "alta o muy alta" importancia a la seguridad de las API. Al preguntar por qué nada de esto se ha traducido en acción, los motivos más comúnmente mencionados fueron "presupuesto insuficiente" y "falta de experiencia".

"Los resultados de nuestra encuesta muestran que quienes toman las decisiones saben que una mayor dependencia de las API genera un riesgo de graves ciberataques -explica Jay Coley, Senior Security Architect en Fastly. Pero, hasta ahora, no están haciendo lo suficiente al respecto. Y es sorprendente dado que el coste operativo y reputacional de una brecha es mucho mayor que el precio de implementar una solución consolidada de seguridad de aplicaciones web y API de un solo proveedor".

Principales áreas de preocupación

Al preguntar qué atributos de una plataforma de seguridad de API serían los más importantes para su empresa, los encuestados señalan en primer lugar identificar qué API exponen datos personales o sensibles (43%). Otras preocupaciones destacadas son identificar todas las API, incluidas las no documentadas (40%) y el registro y monitorización (28%). Sin embargo, las empresas tienen cada vez más dificultades para identificar ataques a API debido al gran volumen de notificaciones que reciben utilizando soluciones de seguridad heredadas.

Según la experiencia de Fastly, el robo de credenciales, el abuso de la lógica empresarial y los ataques DDoS son sólo algunos de los riesgos automatizados de bots maliciosos que se están desplegando para hacerse con el control de cuentas y perpetrar robos de identidad y fraudes. Los scripts y herramientas de fácil acceso facilitan más que nunca la orquestación de ataques a las API, y las técnicas de defensa contra bots heredadas tienen dificultades para detectar estas incursiones potencialmente devastadoras.

Soluciones de seguridad basadas en IA sin explotar, pero en camino

Una solución a la complejidad del panorama de las API podría ser una nueva generación de sistemas de ciberseguridad impulsados por IA, aunque -según la encuesta de Fastly- actualmente hay poco entusiasmo al respecto. Solo el 14% de las empresas encuestadas considera prioritario el uso de tecnologías de IA en la seguridad de las API. Dicho esto, el 58% prevé que la IA generativa tendrá un impacto "grande o muy grande" en la seguridad de las API en un plazo aproximado de 2-3 años.

Sin embargo, un aspecto preocupante de la encuesta de Fastly es que los sectores fuertemente regulados que manejan datos sensibles son algunos de los mayores responsables de la inacción en materia de API. Sólo el 80% de los encuestados de los servicios financieros conceden un nivel de importancia alto o muy alto a la seguridad de las API. Esta cifra contrasta con el 89% en los sectores mayorista, minorista y de comercio electrónico.