Según un informe reciente de Imperva, el número medio mínimo de APIs que una organización gestiona hoy en día no es inferior a 300. Éstas juegan un papel crucial en el proceso de transformación digital al apoyar el rápido desarrollo y la implementación de nuevos proyectos y aplicaciones. Sin embargo, debido a la facilidad para orquestar un ataque con bots contra ellas, las API se han convertido en un objetivo prioritario para las amenazas automatizadas:
De todos los ataques dirigidos a las API el año pasado a nivel mundial, el 17% procedían de bots maliciosos. Éstos aprovechan los defectos en el diseño y la implementación de una API o aplicación con la intención de manipular la funcionalidad legítima para robar datos confidenciales o acceder ilegalmente a las cuentas.
Entonces, ¿cómo atacan estos bots maliciosos a las API?
- Extracción de datos: Los bots maliciosos pueden utilizarse para extraer datos de las API, recopilando información confidencial como datos de usuarios, de productos, detalles de precios y mucho más. Esta información puede utilizarse con fines maliciosos, como obtener una ventaja competitiva o realizar robos de identidad o fraudes.
- Adquisición de cuentas: Los bots maliciosos pueden usarse para apoderarse de las cuentas de los usuarios mediante diversas técnicas, como el relleno de credenciales por fuerza bruta, el secuestro de sesiones y otras técnicas. Esto puede ser especialmente peligroso si la API proporciona acceso a datos o funcionalidades sensibles, y puede conducir al robo de identidad o fraude. El 35% de los ataques de apropiación de cuentas recodificados por Imperva en 2022 tenían como objetivo específico las API.
- Denegación de servicio distribuido (DDoS): Los bots maliciosos pueden utilizarse para saturar las API con peticiones y hacer que dejen de responder o incluso se bloqueen. Esto puede interrumpir la capacidad de los usuarios legítimos para acceder a la API e incluso puede usarse como forma de extorsión o sabotaje.
- Sondeo de API: Los bots también pueden utilizarse para sondear las API en busca de vulnerabilidades. No se trata de un ataque directo en sí, sino más bien de una fase de reconocimiento que ayuda a los atacantes a identificar posibles brechas que pueden explotar posteriormente.
- Exfiltración de datos: Muchas vulnerabilidades a nivel de lógica empresarial son específicas de un fallo de implementación de una API. Los bots maliciosos pueden ser utilizados para exfiltrar información llamando a APIs que devuelven cantidades excesivas de datos, más de lo necesario para la función.
“Es importante que las empresas tomen en cuenta que el 39,1% del tráfico de bots en México proviene de bots maliciosos y el 72,8% se clasifican como “avanzados”. Con la llegada de la inteligencia artificial generativa, los ataques automatizados con bots evolucionarán a un ritmo aún mayor y más preocupante en los próximos años”, afirma Ricardo Cázares, Vicepresidente de Imperva en Latinoamérica y el Caribe.
“Los ciberdelincuentes se centrarán cada vez más en atacar las API’s. Como resultado, la interrupción del negocio y el impacto financiero asociado a los bots maliciosos serán más significativos. Por ello, las organizaciones necesitan actuar ahora e invertir en tecnología de ciberseguridad de gestión de bots y prevención online que puedan identificar y detener cualquier amenaza sofisticada”.