El 84% de los expertos en seguridad sufrió algún incidente de seguridad relacionado con API en los últimos 12 meses, así lo dio a conocer un nuevo esrtudio de Akamai Technologies que señala la cada vez menor visibilidad de los riesgos de las API, a pesar de que estos ataques están en aumento. Con ello, las incursiones ya registran tres años consecutivos de aumento y un crecimiento que marca un nuevo récord histórico, por encima del 78% de 2023. La cifra está en consonancia con otro estudio reciente de Akamai, que también apunta a un incremento de los ataques a API.

Para esta tercera edición del estudio sobre el impacto que tienen las API en la seguridad (conocido anteriormente como informe “API Security Disconnect”) se encuestaron 1207 expertos y responsables de seguridad de EE. UU., Reino Unido y Alemania.

A pesar de que los ataques han aumentado, son menos los encuestados que tienen un inventario completo de sus API y saben cuáles transfieren datos confidenciales. Esta cifra, ya de por sí baja en 2023, ha pasado del 40 % a tan solo el 27 % en 2024. Así lo expone el informe Gartner Market Guide for API Protection de mayo de 2024: “según datos actuales, se estima que cada vez que se ataca una API, se filtran de media 10 veces más datos confidenciales que con cualquier otro tipo de vulneración”. En vista de estas tendencias, se espera que la seguridad de las API se convierta pronto en uno de los principales problemas de las empresas.

A pesar de que el sector de la energía y los servicios públicos registró el mayor número de incidentes de API (91%), sus representantes consideraron que protegerlas era su última prioridad en una lista de 13 opciones. Por el contrario, el 21,3% de los responsables de retail y comercio electrónico, que fueron los que registraron menos ataques (68%), indicaron que la seguridad de las API era una de sus máximas prioridades. Supone la cifra más alta de entre todos los sectores.

La encuesta incluye los siguientes datos:

• De media, solucionar estos incidentes costó 591,404 dólares en EE. UU. En sectores como el de los servicios financieros, esta cifra ascendió hasta los 832,801 dólares.

• En general, todos los cargos de todas las regiones creen que los incidentes de seguridad de API afectan especialmente al personal de seguridad. Los encuestados señalaron que la seguridad de las API genera algo más de estrés o preocupación a sus equipos que los costes por medidas correctivas y las multas por no cumplir con las normativas.

• Los directores de seguridad indicaron que sus dos prioridades para los próximos 12 meses son las amenazas basadas en IA generativa (25,5 %) y proteger sus API (24,8 %).

• En 2023, el 18% de los encuestados en EE. UU. y Reino Unido afirmaron haber realizado pruebas de API en tiempo real. Esta cifra ha descendido hasta el 13% en 2024. Muchos de los tipos de incidentes de API que nombraron pueden solventarse con pruebas en tiempo real.

• Las principales causas de estos incidentes fueron las vulnerabilidades señaladas en los 10 principales riesgos de seguridad de API según OWASP, además de, como los propios encuestados admiten, la falta de efectividad de las herramientas de API convencionales para detectar los ataques.

En este estudio, no solo se ofrece información sobre los resultados de la encuesta, sino que también se dan recomendaciones para que los equipos de seguridad mejoren sus estrategias de seguridad de API. Entre ellas, se sugiere hacer un inventario completo de las API y pruebas periódicas para garantizar que están bien configuradas, así como detectar el tiempo de ejecución para identificar la actividad anómala.