Imperva, una compañía de Thales, presentó el informe “Economic Impact of API and Bot Attacks” (Impacto económico de los ataques a API y bots). Se trata de un análisis de más de 161,000 incidentes únicos de ciberseguridad y donde se descubre los crecientes costos globales de las API vulnerables o inseguras y el abuso automatizado por bots, dos amenazas a la seguridad cada vez más interconectadas y prevalentes. El informe estima que la inseguridad de las API y los ataques de bots provocan anualmente pérdidas de hasta 186.000 millones de dólares a empresas de todo el mundo.

El informe se basa en un estudio realizado por el Centro de Inteligencia de Riesgos Cibernéticos Marsh McLennan, que descubrió que las organizaciones más grandes eran estadísticamente más propensas a tener un mayor porcentaje de incidentes de seguridad que implican tanto API inseguras como ataques de bots. Las empresas con ingresos superiores a 1,000 millones de dólares tenían entre 2 y 3 veces más probabilidades de sufrir abusos automatizados de API por parte de bots que las pequeñas o medianas empresas. El estudio sugiere que las grandes empresas son especialmente vulnerables a los riesgos de ciberseguridad asociados al uso indebido de API automatizadas por parte de bots debido a sus complejos y extendidos ecosistemas de API, que a menudo contienen API expuestas o inseguras.

Las empresas dependen en gran medida de las API para permitir una comunicación fluida entre diversas aplicaciones y servicios. Según datos del equipo Imperva Threat Research, el año pasado, de media, una empresa gestiona 613 puntos finales de API. Este número está creciendo rápidamente a medida que las organizaciones se enfrentan a una creciente presión para ofrecer servicios digitales con mayor agilidad y eficiencia.

Debido a esta mayor dependencia y a su acceso directo a datos sensibles, las API se han convertido en objetivos atractivos para los atacantes.

En 2023, las amenazas automatizadas representaron el 30% de todos los ataques a API, según datos de Imperva Threat Research. Hoy en día, el abuso automatizado de API por parte de bots cuesta a las organizaciones hasta 17.900 millones de dólares de pérdidas anuales. A medida que se multiplique el número de API en desarrollo, los ciberdelincuentes utilizarán cada vez más bots automatizados para encontrar y explotar la lógica de negocio de las API, eludir las medidas de seguridad y exfiltrar datos confidenciales.

Es imperativo que las empresas de todo el mundo aborden los riesgos de seguridad que plantean las API inseguras y los ataques de bots, o se enfrentarán a una carga económica sustancial, afirma Ricardo Cázares, Vicepresidente Regional de América Latina y el Caribe en Imperva, una empresa de Thales. La naturaleza interconectada de estas amenazas hace necesario que las empresas adopten un enfoque holístico, integrando estrategias de seguridad completas tanto para los ataques de bots como para los de APIs.

Algunas de las tendencias clave identificadas en el informe incluyen:

El aumento de la adopción y el uso de API está haciendo crecer la superficie de ataque: La rápida adopción de APIs, la inexperiencia de muchos desarrolladores de APIs y la falta de colaboración entre los equipos de seguridad y desarrollo ha llevado a que las APIs inseguras provoquen ahora hasta 87.000 millones de dólares de pérdidas anuales, un aumento de 12.000 millones de dólares desde 2021.

Los bots impactan negativamente en la cuenta de resultados de las organizaciones: La disponibilidad generalizada de herramientas de ataque y modelos generativos de IA ha mejorado las técnicas de evasión de bots. Hasta 116.000 millones de dólares de pérdidas anuales pueden atribuirse a los ataques automatizados de bots.

Los incidentes de seguridad relacionados con API y bots son cada vez más frecuentes: En 2022, los incidentes de seguridad relacionados con API aumentaron un 40%, y los incidentes de seguridad relacionados con bots se dispararon un 88%. Estos aumentos se vieron impulsados por el crecimiento de las transacciones digitales, más uso de API y las tensiones geopolíticas como el conflicto entre Rusia y Ucrania. En 2023, a medida que el tráfico digital comenzó a estabilizarse, la frecuencia de estos incidentes se moderó pero los incidentes de seguridad relacionados con API crecieron un 9%, mientras que los relacionados con bots aumentaron un 28%.

Las API inseguras y los ataques de bots suponen una amenaza significativa para las grandes empresas: Las empresas con ingresos de al menos 100.000 millones de dólares son las más propensas a sufrir incidentes de seguridad relacionados con API inseguras o ataques de bots. Estas amenazas constituyen hasta el 26% de todos los incidentes de seguridad experimentados por dichas empresas.