Un estudio revela que los equipos de seguridad sienten el impacto de las crecientes amenazas de API
Según el estudio sobre el impacto de la seguridad de API de 2024de Akamai, el abuso de API aumenta a un ritmo alarmante. La encuesta, realizada entre más de 1200 profesionales de TI y seguridad, reveló que el 84 % afirmó haber sufrido un incidente de seguridad de API en los últimos 12 meses, lo que supone un aumento respecto al 78 % del año pasado. Mientras tanto, los efectos en las organizaciones son cada vez más evidentes, como el aumento de los costes de corrección y los mayores niveles de estrés.
Conforme aumentan los incidentes de API, las organizaciones tienen dificultades para ver los riesgos
El aumento de los incidentes de seguridad de API no resulta sorprendente. Pensemos en lo siguiente: como sucede con los empleados de cualquier empresa, las API cumplen una labor concreta, que consiste en intercambiar rápidamente datos entre tecnologías digitales. Este trabajo es importante: las API permiten a los clientes y partners obtener los servicios que necesitan. Asimismo, se trata de un cometido de alto riesgo porque, a diferencia de esos empleados, las API gestionan los datos confidenciales con poca o ninguna supervisión.
Muchas API pasan desapercibidas porque se crearon sin conocimiento del departamento de TI central de una organización, con lo que no es raro que los medios de seguridad tradicionales no las detecten. A menudo, los equipos de seguridad carecen de visibilidad sobre los riesgos, incluso de las API que pueden tener en cuenta.
No se puede proteger lo que no se puede ver
El estudio sobre el impacto de la seguridad de API de 2024 revela que solo el 27 % de los encuestados que creen que tienen un inventario completo de API sabe cuáles de sus API devuelven datos confidenciales, lo que supone una reducción respecto al 40 % del año pasado. Además, existe una desconexión entre las funciones: aunque el 43 % de los directores de TI encuestados cree que sabe qué API devuelven datos confidenciales, solo el 17 % de los directores de seguridad de la información comparte esa opinión.
No se puede proteger lo que no se puede ver. Esta falta de visibilidad es preocupante si se tiene en cuenta que:
De enero de 2023 a junio de 2024 se registraron 108 000 millones de ataques a API, según un reciente informe sobre el estado de Internet (SOTI) de Akamai.
Una sola API en peligro puede provocar un robo de datos significativo, lo que se traduce en daños a los ingresos y multas normativas.
A medida que las empresas experimentan amenazas de API, el impacto se materializa
Los encuestados de nuestro estudio, desde los directores de seguridad de la información hasta el personal de seguridad de las aplicaciones, estimaron el impacto financiero general de los incidentes de API, desde los costes de corrección hasta los honorarios legales. En promedio, las organizaciones que sufrieron incidentes de seguridad de API en los últimos 12 meses indicaron un coste medio de 591 404 USD.
Los encuestados también compartieron cuáles creen que son los principales efectos de los incidentes de seguridad de API.
¿Qué nos revelan estos hallazgos? Cualquier forma de ataque está destinada a causar preocupación. Ahora bien, al tratar con un vector de ataque que no resulta familiar, surge un tipo particular de estrés. Muchas organizaciones se están poniendo al día con las complejidades de los riesgos de las API. Adicionalmente, la presión que se siente tras un ataque de API aumenta cuando la alta dirección formula la siguiente pregunta: ¿Cómo ha sucedido esto?
Las empresas sopesan las causas a la vez que aumenta la concienciación sobre los ataques de API
Afortunadamente, la mayoría de los equipos de seguridad están comprometidos y aumentan sus conocimientos sobre cómo se producen los ataques de API. La mayoría también son conscientes de que las herramientas más utilizadas para proteger las API ya no son suficientes. Los encuestados mencionaron las principales causas de los incidentes de API que han experimentado; sus respuestas reflejaron una mezcla de:
Herramientas que no están diseñadas para ver o proteger la gran parte de los activos de API que no están gestionados y, por lo tanto, no captan incidentes fuera de su vista limitada.
- Vulnerabilidades citadas en 10 principales riesgos de seguridad de las API según OWASP, como los errores de la codificación apresurada y la ausencia de controles de autenticación.
4 áreas de interés para las organizaciones que buscan proteger las API
Las amenazas actuales a las API requieren estrategias y soluciones basadas en cuatro áreas clave:
Detección de las API
Gestión de la situación
Protección en tiempo de ejecución
Pruebas de seguridad
Detección de las API
Mayor visibilidad: arroje luz sobre las sombras, concretamente sobre las API que a menudo no se gestionan con acceso no controlado a los datos. Busque herramientas con un enfoque automatizado para detectar API. Analice los riesgos de las API y documéntelos en un inventario exhaustivo.
Gestión de la situación
Refuerzo de la situación: distinga con precisión el comportamiento de API normal frente al atípico, al tiempo que obtiene visibilidad de los tipos de alertas comunes, lo que permite a las organizaciones detectar de forma proactiva las señales de un ataque. Utilice la información para reducir el riesgo, establecer prioridades y reforzar la estrategia de seguridad de API.
Protección en tiempo de ejecución
Visibilidad y protección en tiempo de ejecución: integre una solución de seguridad de API completa con una pila de seguridad existente (por ejemplo, con firewalls de aplicaciones web o herramientas de seguridad de API y aplicaciones web ) que permita a los usuarios detectar comportamientos de alto riesgo y bloquear el tráfico sospechoso antes de que pueda acceder a los recursos críticos.
Pruebas de seguridad
Pruebas tempranas y continuas: adopte un enfoque "shift-left" que incorpore las pruebas de seguridad a las etapas de desarrollo de una API. Compruebe si las API están codificadas correctamente para realizar su función prevista, si están expuestas a riesgos y si son vulnerables a métodos de ataque comunes y emergentes.
Conclusiones: sentir el impacto y prepararse para actuar
Piense en los datos de este estudio, no como momentos reveladores o discrepancias, sino como puntos de partida para una conversación importante. A medida que aumentan los incidentes de seguridad de API, la angustia que sienten los directores de seguridad de la información y sus equipos es palpable. El escrutinio de los líderes empresariales mientras buscan equipos de seguridad que los protejan contra ataques de API puede ser estresante para todos.
Asegúrese de que sus equipos reciben formación continua sobre la seguridad de las API. Obtenga la información que necesita leyendo este nuevo e importante informe.