Una encuesta reciente de Imperva descubrió que en promedio las empresas gestionan alrededor de 300 API, situación que va en aumento y esto representa una nueva área de riesgo, en términos de ciberseguridad. Esto se debe a que proporciona más puntos de entrada a los cibercriminales, también son más susceptibles al abuso empresarial y fraude.
“Las organizaciones deben identificar y documentar todas sus API, ya que muchas están expuestas públicamente, de hecho se denominan API en la sombra y pueden ser antiguos puntos finales obsoletos, pero nunca se eliminaron o nuevos puntos finales que no están documentados” afirmó Ricardo Cazares, vicepresidente de Imperva en Latinoamérica.
El informe “Bad Bot Report 2023” de la firma muestra que 17 % de todos los ataques dirigidos a API en 2022 procedían de bots, mientras 21 % eran de otros tipos de amenazas automatizadas. Se debe distinguir entre el tráfico humano y de bots, estos últimos se deben clasificar como maliciosos o buenos, esto es complicado por su función de automatización.
No se trata sólo de la función empresarial
Las API manejan grandes volúmenes de peticiones, pero carecen de mecanismos de defensa incorporados, esto dificulta la detección y el bloqueo del tráfico de bots maliciosos. Así los atacantes utilizan la automatización sin riesgo de activar alarmas, además son una vía directa de acceso a datos confidenciales, funcionalidades empresariales y recursos sensibles.
“En conclusión, las organizaciones dependen cada vez más de las API, esto lleva a un rápido crecimiento en su adopción. A su vez, la superficie de ataque que las empresas deben ser capaces de proteger aumentó significativamente. Los bots, cada día más sofisticados y la facilidad con la que pueden atacar la logística empresarial de las API” finalizó Cazares.
Un análisis reciente de Imperva descubrió que 13 % de las API gestionan información altamente sensible, como números de tarjetas de crédito, de seguridad social y direcciones de particulares. Por ello, si un atacante consigue acceder a una API que maneja datos, podría obtener esta información, esto da pie a una vulneración de la confidencialidad empresarial.