Las interfaces de programación de aplicaciones (API), clave en el funcionamiento de servicios digitales y sistemas de inteligencia artificial, se han convertido en el principal flanco de ataque para los ciberdelincuentes. Eso debido a que las organizaciones están implementando API sin la seguridad ni las pruebas necesarias, lo que las deja vulnerables a los ataques una vez publicadas.
Así lo revela una encuesta global realizada por Akamai –empresa de ciberseguridad y cloud computing– sobre el impacto de la seguridad de API realizada a 1.840 profesionales de seguridad de seis sectores y diez países, entre los que se encuentra Latinoamérica.
Según el estudio, los equipos de seguridad (38%) consideran que su principal prioridad en el ámbito de la ciberseguridad es proteger las tecnologías de IA de cara al próximo año. Además, el 42% de los profesionales afirma que las API en las que se basan sus aplicaciones de IA, agentes y modelos de lenguaje de gran tamaño (LLM) fueron objeto de ciberataques a lo largo del último año. Estos hallazgos refuerzan una investigación reciente de Akamai que identificó las API como la principal superficie de ataque de los ciberdelincuentes.
En Latinoamérica, el 89% de las organizaciones reportó al menos un incidente de seguridad relacionado con API en el último año.
El informe evidencia que los ataques a API no solo son frecuentes, sino también costosos. En promedio, las empresas sufrieron 3,5 incidentes en los últimos doce meses, con un impacto económico que supera los 700 mil dólares por cada caso.
La situación es incluso más crítica en sectores estratégicos. En servicios financieros, el 96% de las organizaciones fue víctima de ataques, mientras que industrias como energía, manufactura y salud registran los mayores costos por incidente, llegando hasta los 860 mil dólares.
Uno de los hallazgos más preocupantes es la falta de control sobre estas interfaces. Apenas el 27% de las empresas con inventarios completos de API sabe cuáles exponen datos confidenciales, una caída significativa frente al 40% registrado en 2022. Este déficit de visibilidad se agrava con la adopción acelerada de inteligencia artificial.
De hecho, el 42% de los encuestados afirmó que las API que soportan aplicaciones de IA, agentes y modelos de lenguaje han sido blanco de ciberataques en el último año, lo que refuerza la preocupación sobre la seguridad en entornos tecnológicos cada vez más complejos.
A esto se suma una brecha interna: mientras el 40% de los directivos considera que su organización tiene un alto nivel de madurez en pruebas de seguridad de API, solo el 28% de los equipos técnicos coincide con esa evaluación, evidenciando una desconexión entre la percepción estratégica y la realidad operativa.
“La rápida expansión de las API está generando una superficie de ataque difícil de controlar. Muchas empresas no logran mantener inventarios actualizados, lo que incrementa los riesgos y el impacto económico”, advirtió Sean Lyons, vicepresidente sénior y director general de Seguridad de Aplicaciones e Infraestructuras de Akamai
Ante este panorama, el estudio recomienda integrar la seguridad desde el diseño de las API, reforzar la visibilidad sobre su uso y establecer controles a lo largo de todo su ciclo de vida, especialmente en aplicaciones vinculadas a inteligencia artificial.