El 17 de mayo se celebra el Día Internacional de Internet o Día Mundial de la Sociedad de la Información, una fecha importante tanto para reflexionar sobre el papel fundamental que desempeñan las Tecnologías de la Información y las Comunicaciones como para impulsar la adopción de estrategias de digitalización por parte de las empresas para adaptarse a las nuevas realidades del mercado. Asimismo, es indispensable ahora más que nunca velar por la seguridad de las interfaces de programación de aplicaciones (APIs), que dieron un giro impresionante con la llegada de la World Wide Web.
APIs
Las API’s se convirtieron en componentes esenciales en el desarrollo de software moderno, lo que permite que diferentes aplicaciones se comuniquen e interactúen entre sí, explicó Helder Ferrão, director estratega de Industria para Akamai Latinoamérica, quien destacó que, a medida que la innovación digital y la economía de las APIs mejoran las experiencias de productos/servicios, también representan nuevas oportunidades de explotación para los ciberdelincuentes.
Los países de América Latina experimentaron un rápido aumento de la evolución digital en la última década, a lo largo de la cual las organizaciones fueron adoptando nuevas tecnologías e integrando sus sistemas mediante las APIs. Este cambio digital hace que estas organizaciones sean más susceptibles a los ciberataques a las APIs. Comprender el problema es crucial para garantizar una evolución digital segura y proteger datos y servicios valiosos.
Al acecho en las sombras
De acuerdo con el estudio Al Acecho en las Sombras: las tendencias de ataque ponen de relieve las amenazas a las API, realizado por Akamai, de todos los ataques dirigidos a las APIs a nivel mundial en 2023, Latinoamérica registró un 8,6 %, mientras que Norteamérica obtuvo un 27,1 %. A principios del año pasado, Latinoamérica había experimentado cerca de 500.000 ataques contra aplicaciones WEB y APIs. A finales de año, ese número se había disparado a 1.500 millones de ataques. Esta tendencia indica la importancia de implementar medidas de seguridad sólidas para proteger las APIs de ataques maliciosos.
Jairo Parra
“Servicios financieros, comercio, atención sanitaria y gubernamentales son algunos de los sectores más comunes en Latinoamérica que sufren ataques a las APIs. Estas organizaciones suelen gestionar grandes cantidades de datos confidenciales y transacciones financieras, lo que las convierte en el objetivo principal de los ciberdelincuentes”, dijo Jairo Parra, experto en ciberseguridad para Akamai Latinoamérica.
Helder Ferrão resaltó que las organizaciones de Latinoamérica gestionan enormes cantidades de datos de clientes, incluida la información de identificación personal. Los ciberataques a las APIs pueden poner en peligro estos datos confidenciales, lo que da lugar a filtraciones de datos, interrupción del servicio, pérdidas financieras y daños a la reputación.
Más adelante, el directivo explicó que el cumplimiento de las normativas de protección de datos, como el Reglamento General de Protección de Datos (GDPR), la Lei Geral de Proteção de Dados Pessoais (LGPD) en Brasil y otras normativas en distintos países de América Latina, impulsaron a las organizaciones a mejorar las medidas de seguridad de API para proteger los datos personales y confidenciales frente al acceso o la divulgación no autorizados.
Por su parte, Jairo Parra insistió en que las empresas deben salvaguardar los datos de los consumidores, proteger a las personas y mantener su confianza. “El incumplimiento de las medidas de seguridad adecuadas puede tener consecuencias devastadoras. En el caso de que las API’s transporten cualquier información relacionada con las tarjetas de pago, entonces es muy importante que cumplan con los requisitos y tengan una certificación PCI”.
Por lo tanto, contar con una certificación PCI y con socios que cumplan con las normas PCI puede aportar beneficios como: mayor nivel de seguridad de los datos, cualidades diferenciadas con respecto a los competidores, reducción de riesgos, aumento de la confianza de los consumidores, facilidad para convertirse en proveedor de grandes empresas que gestionan pagos con tarjeta y adelantarse a los demás y acortar la preparación para las normativas de privacidad como GDPR, LGPD e incluso Open Banking.
Helder Ferrão
Ocho consejos para ayudar a proteger las API
Los ciberataques a las APIs pueden interrumpir las operaciones empresariales, lo que puede provocar pérdidas financieras y un impacto negativo en la economía en general. Teniendo en cuenta esta realidad, las organizaciones en Latinoamérica deben adoptar medidas proactivas para protegerse y evitar contratiempos económicos.
Helder Ferrão recomendó ocho prácticas para un uso seguro de las APIs que ayuden a las empresas a crear un futuro digital próspero para los sectores de toda la región.
- Documente todas las APIs en sus controles de seguridad de API para mejorar la visibilidad.
- Resuelva los problemas de configuración incorrecta en sus APIs e implemente procesos para evitar que surjan vulnerabilidades futuras.
- Establezca una disciplina de supervisión de APIs y búsqueda de amenazas para cerrar las brechas de seguridad antes de que los atacantes puedan utilizarlas en su contra.
- Elija una solución de seguridadque pueda mitigar una amplia gama de amenazas, desde los 10 principales riesgos de seguridad de las APIs según OWASP hasta los ataques web tradicionales.
- Utilice soluciones de seguridad que ofrezcan análisis de comportamiento para detectar el uso indebido de la lógica empresarial y otras anomalías.
- Utilice la guía de OWASP sobre las prácticas de codificación para evitar los ataques más comunes.
- Lleve a cabo evaluaciones periódicas de vulnerabilidades y seleccione un proveedor de soluciones de seguridad de primera clase que le respalde.
- Manténgase al corriente de las amenazas emergentes.
Por último, Helder Ferrão destacó que comprender la importancia de los ciberataques a las APIs en Latinoamérica es esencial para proteger las economías, cumplir la normativa, proteger los datos de los consumidores y preservar la reputación del sector. Mediante el reconocimiento del impacto de los ataques a las APIs, las organizaciones pueden abordar las vulnerabilidades y mejorar su situación de ciberseguridad general.
Columna escrita por Akamai.
Seguinos en las redes:
LinkedIn: https://bit.ly/TodoRiesgoLinkedIn
Twitter: https://bit.ly/TodoRiesgoTwitter
Facebook: https://bit.ly/TodoRiesgoFacebook
YouTube: https://bit.ly/TodoRiesgoYouTube