Las interfaces de programación de aplicaciones (APIs) desempeñan un papel crucial en el funcionamiento de las plataformas digitales, sin embargo, también se han transformado en uno de los focos de ataque más aprovechados por los ciberdelincuentes, de acuerdo con el informe Estado de la seguridad de API y aplicaciones 2025: cómo la Inteligencia Artificial transforma el escenario digital, difundido por Akamai.
El documento señala que las APIs permiten la comunicación entre sistemas para el intercambio de datos en tiempo real. “Por ejemplo, cuando accedemos a la aplicación de nuestro banco para pagar impuestos, esa transacción cruza información con APIs del servicio tributario, registro civil, bancos y otros sistemas. Todo ocurre en segundos y de manera invisible para el usuario, pero cada una de esas APIs puede ser vulnerable si no está protegida”, explicó Jairo Parra, especialista en ciberseguridad de Akamai para Latinoamérica.
De acuerdo con el informe, las organizaciones en Latinoamérica enfrentan amenazas crecientes. Las industrias más vulnerables abarcan el comercio digital, procesadores de pagos, bancos, aseguradoras, fintechs y plataformas de criptodivisas. Akamai registró más de 311 mil millones de ataques contra APIs y aplicaciones web a escala mundial para 2024, lo que implica un incremento del 33% respecto al año previo.
Las consecuencias económicas también se evidencian en el estudio. Se estima que los problemas de seguridad en APIs generan pérdidas anuales por cerca de 87 mil millones de dólares, cifra que podría superar los 100 mil millones en 2026 si no se adoptan medidas adecuadas. Igualmente, los incidentes asociados a los 10 riesgos principales detectados por OWASP aumentaron en un 32%.
Otro fallo crucial detectado por Akamai es la ausencia de visibilidad. A pesar de que el 47 % de los equipos de seguridad sostiene contar con un inventario total de sus APIs, muchos desconocen cuáles gestionan información privada. En un escenario de prueba, el equipo de investigación de Akamai consiguió cambiar el precio de un producto a cero pesos en una plataforma de comercio electrónico a través de una falla en su API, sin que ni el sistema ni el equipo identificaran la irregularidad.
Parra indicó que “las empresas no dimensionan la cantidad de APIs que utilizan ni los riesgos que enfrentan al no gestionarlas adecuadamente”.
El informe también expone las limitaciones de las soluciones tradicionales de seguridad, que dificultan a las organizaciones:
- Conocer cuántas APIs están activas.
- Identificar abusos o conductas inusuales.
- Detectar errores de seguridad durante el proceso de desarrollo.
- Identificar APIs que gestionan datos delicados sin un control apropiado.
El informe añade que estas soluciones no están concebidas para satisfacer normas como el OWASP Top 10, que registra vulnerabilidades habituales como la exposición de datos, fallos en la autenticación y errores en la configuración.
“¿Sabe su empresa cuántas APIs utiliza, cuáles se comunican con aplicaciones de terceros, si esas instituciones están reguladas y si la información que trafican cumple con estándares de seguridad?”, cuestionó Parra.
Para enfrentar estos riesgos, Akamai recomienda adoptar tecnologías que ofrezcan visibilidad integral de las APIs, monitoreo de anomalías en tiempo real, control de accesos y cumplimiento normativo, además de implementar prácticas alineadas a las directrices de OWASP.
“Las APIs son la columna vertebral de los negocios digitales, pero también su talón de Aquiles si no se gestionan con la debida seguridad”, concluyó Parra.
Fuente: Ventas de Seguridad
