Llamadas a API y automatización: una receta para el abuso
Un 46% de los ataques de apropiación van a terminales API
El paisaje digital ha experimentado una transformación radical en los últimos años, con un crecimiento exponencial en la adopción de Interfaces de Programación de Aplicaciones (API). Estas interfaces, que se convirtieron en la columna vertebral de Internet, están revolucionando la forma en que las aplicaciones y los servicios digitales intercambian datos e información. Sin embargo, este crecimiento no está exento de desafíos, según revela el último reporte de Imperva sobre el Estado de la Seguridad de las APIs en 2024.
Tal informe destaca un fenómeno: el tráfico relacionado con las API está superando al tráfico web tradicional. Con más del 71% del tráfico web en el último año compuesto por API, surge una nueva era de oportunidades y riesgos para la seguridad digital, destacó Imperva a NotiPress.
Una de las principales preocupaciones es el abuso de las llamadas API, con un promedio global de 1.5 billones de llamadas a sitios empresariales. Este elevado volumen de tráfico automatizado no humano está directamente vinculado a un aumento en los ataques automatizados, incluyendo ataques de denegación de servicio distribuido (DDoS) y toma de control de cuentas (ATO). Alarmantemente, el 46% de los ataques de apropiación de cuentas se dirigen a terminales de API, mientras que el 28% de los ataques DDoS a API apuntan a organizaciones financieras.
Las organizaciones se enfrentan a una serie de desafíos para proteger sus infraestructuras de API. Uno de los primeros pasos es el descubrimiento meticuloso de cada API dentro de su ecosistema. El informe destaca la necesidad urgente de técnicas avanzadas para identificar riesgos potenciales, como terminales obsoletos y vulnerabilidades en la autorización a nivel de objeto.
Igualmente, se destaca la creciente amenaza de ataques automatizados que abusan de la lógica empresarial de las API. Estos ataques, que representaron el 27% de todos los ataques a API en 2023, pasan desapercibidos para las medidas de seguridad tradicionales, como los firewalls de aplicaciones web (WAF).
Ante estos desafíos, se subraya la necesidad de un enfoque integral de seguridad de API que combine medidas de prevención, detección y mitigación. La combinación de Web Application Firewall (WAF), descubrimiento de API, protección avanzada contra bots y evaluación de riesgos se presenta como una estrategia crucial para garantizar la protección robusta de las APIs en un entorno digital cada vez más complejo.
Mientras las API continúan impulsando la innovación y la conectividad digital, también plantean desafíos significativos para la seguridad cibernética. Solo mediante un enfoque integrado y proactivo de la seguridad de las API, las organizaciones pueden proteger efectivamente su infraestructura digital en esta nueva era de interconexión digital, subrayó Imperva.
TecnologíaCiberseguridadNegocios