Las organizaciones están perdiendo entre $ 94 mil millones y $ 186 mil millones anualmente debido a API (interfaces de programación de aplicaciones) vulnerables o inseguras y al abuso automatizado por parte de bots. Esto es según el informe El impacto económico de los ataques a API y bots de Imperva, una empresa de Thales. El informe destaca que estas amenazas a la seguridad representan hasta el 11,8% de los eventos y pérdidas cibernéticos globales, enfatizando los crecientes riesgos que representan para las empresas en todo el mundo.
Basándose en un estudio exhaustivo realizado por el Centro de Inteligencia de Riesgos Cibernéticos Marsh McLennan, el informe analiza más de 161.000 incidentes únicos de ciberseguridad. Los hallazgos demuestran una tendencia preocupante: las amenazas que plantean las API vulnerables o inseguras y el abuso automatizado por parte de bots están cada vez más interconectadas y son cada vez más frecuentes. Imperva advierte que no abordar los riesgos de seguridad asociados con estas amenazas podría provocar daños financieros y de reputación sustanciales.
Adopción de API y superficie de ataque en expansión
Las API se han vuelto indispensables para las operaciones comerciales modernas, permitiendo una comunicación e intercambio de datos fluidos entre aplicaciones y servicios. Impulsan todo, desde aplicaciones móviles hasta plataformas de comercio electrónico y banca abierta. Sin embargo, su adopción generalizada ha creado importantes desafíos de seguridad. Según datos de Imperva Threat Research, la empresa promedio gestionó 613 puntos finales API en producción el año pasado, y se prevé que ese número crezca a medida que las empresas dependan más de las API para impulsar la innovación y la transformación digital.
Esta mayor dependencia de las API ha ampliado drásticamente la superficie de ataque: los incidentes de seguridad relacionados con las API aumentaron un 40 % en 2022 y un 9 % adicional en 2023. Estos ataques son particularmente peligrosos porque las API a menudo sirven como vías directas a la infraestructura subyacente de una organización y datos sensibles. El informe estima que la inseguridad de las API es responsable de hasta 87 mil millones de dólares en pérdidas anuales, un aumento de 12 mil millones de dólares con respecto a 2021. Esto puede atribuirse a una variedad de razones, incluida la rápida adopción de las API, la inexperiencia de muchos desarrolladores de API, la falta de estándares estandarizados. prácticas de seguridad y colaboración limitada entre los equipos de desarrollo y seguridad.
Ataques de bots: una amenaza persistente y en evolución
Junto con el aumento de los ataques a las API, los ataques de bots se han convertido en una amenaza generalizada y costosa, que genera hasta 116 mil millones de dólares en pérdidas al año. Los bots (programas de software automatizados diseñados para realizar tareas específicas) se utilizan con frecuencia como armas para actividades maliciosas como el relleno de credenciales, el web scraping, el fraude en línea y los ataques distribuidos de denegación de servicio (DDoS).
En 2022, los incidentes de seguridad relacionados con bots aumentaron un 88 %, seguido de un aumento adicional del 28 % en 2023. Este alarmante crecimiento fue impulsado por una combinación de factores, incluido el aumento de las transacciones digitales, la proliferación de API y tensiones geopolíticas como El conflicto Rusia-Ucrania. La amplia disponibilidad de herramientas de ataque y modelos de IA generativa también ha mejorado significativamente las técnicas de evasión de bots y ha permitido que incluso atacantes poco cualificados lleven a cabo ataques de bots sofisticados.
Según Imperva, los bots representan ahora una de las amenazas más críticas para la seguridad de las API. El año pasado, el 30% de todos los ataques a API fueron impulsados por amenazas automatizadas, y el 17% se vinculó específicamente a bots que explotaban vulnerabilidades de la lógica empresarial. La creciente dependencia de las API (y su acceso directo a datos confidenciales) las ha convertido en objetivos principales para los operadores de bots. El abuso de API automatizado por sí solo le cuesta a las empresas hasta 17.900 millones de dólares al año. A medida que los bots se vuelven más sofisticados, los atacantes los utilizan cada vez más para explotar la lógica empresarial de las API, eludir las medidas de seguridad y filtrar datos confidenciales, lo que hace que la detección y la mitigación sean más difíciles para las organizaciones.
Las grandes empresas corren mayor riesgo
Las grandes empresas, especialmente aquellas con ingresos anuales superiores a mil millones de dólares, enfrentan un riesgo desproporcionadamente mayor de sufrir ataques de API y bots. Según el informe, estas organizaciones tienen entre 2 y 3 veces más probabilidades de sufrir un abuso automatizado de API por parte de bots en comparación con las pequeñas o medianas empresas. Esta mayor exposición se debe principalmente a la complejidad y escala de sus infraestructuras digitales.
Estas empresas suelen gestionar cientos o incluso miles de API en múltiples departamentos y servicios, creando ecosistemas de API en expansión que son difíciles de monitorear y proteger. Dentro de dichos entornos, las API ocultas, las API no autenticadas y las API obsoletas presentan vulnerabilidades importantes. Estas API mal administradas a menudo carecen de medidas de seguridad críticas, como actualizaciones periódicas, autenticación y monitoreo continuo, lo que las deja expuestas a la explotación.
De manera similar, las grandes empresas son los principales objetivos de los ataques de bots debido a su amplia presencia digital y sus valiosos activos. Cuanto más complejo es el entorno digital, más puntos de entrada potenciales existen para que los bots los exploten, desde páginas de inicio de sesión hasta sistemas de pago. Con grandes cantidades de datos confidenciales fluyendo a través de sus aplicaciones y API, estas empresas son un objetivo muy lucrativo para los operadores de bots.
El riesgo es aún más pronunciado para las empresas con ingresos anuales superiores a los 100 mil millones de dólares, donde la inseguridad de las API y los ataques de bots representan hasta el 26% de todos los incidentes de seguridad. Esta cruda cifra resalta la necesidad crítica de estrategias integrales de gestión de bots y seguridad de API en las grandes empresas, donde un incidente de seguridad puede provocar interrupciones operativas significativas, pérdidas financieras sustanciales y daños reputacionales duraderos.
Protección contra API y ataques de bots
En conjunto, las API vulnerables o inseguras y el abuso automatizado por parte de bots representan miles de millones de dólares en pérdidas anuales. A medida que las empresas dependen cada vez más de las API para impulsar la transformación digital, se espera que aumente el riesgo de incidentes de seguridad, lo que pone a las organizaciones en mayor riesgo de sufrir daños financieros y de reputación. Al mismo tiempo, la evolución de los bots, a menudo impulsada por IA generativa, ha amplificado los desafíos de defenderse contra estas amenazas.
Para mitigar eficazmente estos riesgos, Imperva recomienda que las organizaciones tomen las siguientes medidas proactivas:
- Fomentar la colaboración multifuncional: La colaboración entre los equipos de seguridad y desarrollo es esencial para integrar la seguridad en cada etapa del ciclo de vida de la API. Esta asociación garantiza que las medidas de seguridad se integren desde el diseño hasta la implementación, lo que permite la identificación proactiva y la mitigación de vulnerabilidades antes de que puedan ser explotadas. Cuando se trata de gestión de bots, esta colaboración debe extenderse aún más. Los bots son un desafío multifuncional que afecta a muchas áreas del negocio. Para combatirlos de manera efectiva, los equipos de marketing, comercio electrónico, experiencia del cliente, TI, línea de negocio y seguridad deben trabajar en estrecha colaboración. Esta colaboración más amplia ayuda a identificar funciones vulnerables, como páginas de inicio de sesión, procesos de pago y formularios, que son particularmente susceptibles a ataques de bots.
- Descubrimiento y monitoreo integral de API: Las organizaciones deben tener visibilidad completa de todas sus API, incluidas las API ocultas, obsoletas y no autenticadas, para garantizar que ninguna se pase por alto. El monitoreo y la auditoría continuos son esenciales para identificar posibles vulnerabilidades antes de que sean explotadas.
- Integre la seguridad de API y la gestión de bots: La gestión de bots y la seguridad de API se deben utilizar en conjunto para mitigar con éxito los ataques automatizados a las bibliotecas de API. Este enfoque combinado ayuda a identificar API vulnerables, monitorea continuamente ataques automatizados y proporciona información útil para una detección y respuesta rápidas. Al integrar la gestión de bots y la seguridad de API, las empresas pueden protegerse mejor contra amenazas automatizadas sofisticadas y al mismo tiempo ganar visibilidad para detectar y mitigar riesgos antes de que causen un incidente de seguridad.
A medida que los ecosistemas de API sigan expandiéndose y los bots se vuelvan más sofisticados, el costo de la inacción no hará más que aumentar. Las organizaciones deben abordar los riesgos de seguridad asociados con las API y los bots para proteger los datos confidenciales, mitigar las pérdidas financieras y salvaguardar la reputación de su marca.