Las organizaciones pierden entre $94 mil millones y $186 mil millones anualmente debido a API (interfaces de programación de aplicaciones) vulnerables o inseguras y al abuso de bots automatizados. es según El impacto económico de los ataques a API y bots Informe de Imperva, una empresa de Thales. El informe destaca que estas amenazas a la seguridad representan hasta el 11,8% de los eventos y pérdidas cibernéticos globales, destacando los crecientes riesgos que representan para las empresas de todo el mundo.
Basándose en una extensa investigación realizada por el Centro de Inteligencia de Riesgos Cibernéticos Marsh McLennan, el informe analiza más de 161.000 incidentes únicos de ciberseguridad. Los hallazgos resaltan una tendencia preocupante: las amenazas planteadas por API vulnerables o inseguras y el abuso automatizado por parte de bots están cada vez más interconectados y extendidos. Imperva advierte que no abordar los riesgos de seguridad asociados con estas amenazas podría provocar daños financieros y de reputación significativos.
Adopción de API y superficie de ataque creciente
Las API se han vuelto indispensables para las operaciones comerciales modernas, permitiendo una comunicación fluida y el intercambio de datos entre aplicaciones y servicios. Impulsan todo, desde aplicaciones móviles hasta plataformas de comercio electrónico y banca abierta. Sin embargo, su adopción generalizada ha creado importantes preocupaciones de seguridad. Según datos de Imperva Threat Research, el año pasado la empresa promedio gestionó 613 puntos finales API en producción, y se espera que ese número aumente a medida que las empresas dependan más de las API para impulsar la innovación y la transformación digital.
Esta mayor dependencia de las API ha ampliado significativamente la superficie de ataque: los incidentes de seguridad relacionados con las API aumentaron un 40 % en 2022 y un 9 % adicional en 2023. Estos ataques son particularmente peligrosos porque las API a menudo sirven como un camino directo hacia la seguridad de una organización. infraestructura subyacente y datos confidenciales. El informe estima que la inseguridad de las API es responsable de pérdidas anuales de hasta 87 mil millones de dólares, un aumento de 12 mil millones de dólares con respecto a 2021. Esto puede atribuirse a una variedad de razones, incluida la rápida adopción de las API, la inexperiencia de muchos desarrolladores de API, la falta de de estándares estandarizados. Prácticas de seguridad y colaboración limitada entre los equipos de desarrollo y seguridad.
Ataques de bots: una amenaza persistente y en evolución
Junto con el aumento de los ataques a las API, los ataques de bots se han convertido en una amenaza generalizada y costosa, que causa hasta 116 mil millones de dólares en pérdidas al año. Los bots (software automatizado diseñado para realizar tareas específicas) se utilizan a menudo para actividades maliciosas como relleno de credenciales, web scraping, fraude en línea y ataques de denegación de servicio distribuido (DDoS).
En 2022, los incidentes de seguridad relacionados con bots aumentaron un 88%, seguidos de un aumento adicional del 28% en 2023. Este alarmante crecimiento ha sido impulsado por una combinación de factores, incluido el aumento de las transacciones digitales, la proliferación de API y tensiones geopolíticas como la guerra entre Rusia y Ucrania. conflicto. La amplia disponibilidad de herramientas de ataque y modelos de IA generativa también ha mejorado significativamente las técnicas de evasión de bots y ha permitido que incluso atacantes poco cualificados lleven a cabo ataques de bots sofisticados.
Según Imperva, los bots representan ahora una de las amenazas más críticas para la seguridad de las API. El año pasado, el 30% de todos los ataques a API fueron impulsados por amenazas automatizadas, y el 17% se relacionó específicamente con bots que explotaban vulnerabilidades de la lógica empresarial. El uso creciente de API (y su acceso directo a datos confidenciales) las ha convertido en objetivos principales para los operadores de bots. El abuso de API automatizado ahora cuesta a las empresas hasta 17,9 mil millones de dólares al año. A medida que los bots se vuelven más sofisticados, los atacantes los utilizan cada vez más para explotar las API. lógica de negocioseludir las medidas de seguridad y filtrar datos confidenciales, lo que dificulta la detección y la mitigación para las organizaciones.
Las empresas más grandes corren mayor riesgo
Las empresas más grandes, especialmente aquellas con ingresos anuales superiores a mil millones de dólares, enfrentan un riesgo desproporcionadamente mayor de sufrir ataques de API y bots. Según el informe, estas organizaciones tienen entre 2 y 3 veces más probabilidades de ser víctimas de abuso automatizado de API por parte de bots que las pequeñas o medianas empresas. Esta mayor exposición se debe principalmente a la complejidad y escala de sus infraestructuras digitales.
Estas empresas suelen gestionar cientos o incluso miles de API en múltiples departamentos y servicios, creando ecosistemas de API en expansión que son difíciles de monitorear y proteger. En dichos entornos, las API ocultas, las API no autenticadas y las API obsoletas presentan vulnerabilidades importantes. Estas API mal administradas a menudo carecen de medidas de seguridad críticas, como actualizaciones periódicas, autenticación y monitoreo continuo, lo que las deja expuestas a la explotación.
De manera similar, las grandes empresas son objetivos principales de los ataques de bots debido a su amplia presencia digital y sus valiosos activos. Cuanto más complejo sea el entorno digital, más puntos de entrada potenciales pueden explotar los robots, desde páginas de inicio de sesión hasta sistemas de pago. Con grandes cantidades de datos confidenciales fluyendo a través de sus aplicaciones y API, estas empresas son un objetivo muy lucrativo para los operadores de bots.
El riesgo es aún más pronunciado para las empresas con ingresos anuales superiores a los 100 mil millones de dólares, donde la inseguridad de las API y los ataques de bots representan hasta el 26% de todos los incidentes de seguridad. Esta sorprendente cifra resalta la necesidad crítica de estrategias integrales de gestión de bots y seguridad de API en las grandes empresas, donde un incidente de seguridad puede provocar una interrupción operativa significativa, pérdidas financieras sustanciales y daños duraderos a la reputación.
Protección contra API y ataques de bots
En conjunto, las API vulnerables o inseguras y el abuso de bots automatizados representan miles de millones de dólares en pérdidas anuales. A medida que las empresas dependen cada vez más de las API para impulsar su transformación digital, se espera que aumente el riesgo de incidentes de seguridad, lo que pone a las organizaciones en mayor riesgo de sufrir daños financieros y de reputación. Al mismo tiempo, la evolución de los robots, a menudo impulsada por IA generativa, ha amplificado los desafíos de defenderse contra estas amenazas.
Para mitigar eficazmente estos riesgos, Imperva recomienda que las organizaciones tomen las siguientes medidas proactivas:
- Fomentar la colaboración multifuncional: La colaboración entre los equipos de seguridad y desarrollo es esencial para integrar la seguridad en cada etapa del ciclo de vida de la API. Esta asociación garantiza que las medidas de seguridad se integren desde el diseño hasta la implementación, lo que permite la identificación proactiva y la mitigación de vulnerabilidades antes de que puedan ser explotadas. Cuando se trata de gestión de robots, esta colaboración debe extenderse aún más. Los robots son un desafío multifuncional que afecta a muchas áreas del negocio. Para combatirlos de forma eficaz, los equipos de marketing, comercio electrónico, experiencia del cliente, TI, línea de negocio y seguridad deben trabajar en estrecha colaboración. Esta colaboración más amplia ayuda a identificar funciones vulnerables, como páginas de inicio de sesión, procesos de pago y formularios, que son particularmente susceptibles a ataques de bots.
- Descubrimiento y monitoreo integral de API: Las organizaciones deben tener visibilidad completa de todas sus API, incluidas las API fantasma, obsoletas y no autenticadas, para garantizar que ninguna se pase por alto. El monitoreo y la auditoría continuos son esenciales para identificar posibles vulnerabilidades antes de que sean explotadas.
- Integre la seguridad de API y la gestión de bots: La gestión de bots y la seguridad de API se deben utilizar en conjunto para mitigar con éxito los ataques automatizados contra las bibliotecas de API. Este enfoque combinado ayuda a identificar API vulnerables, monitorear continuamente ataques automatizados y proporcionar información útil para una detección y respuesta rápidas. Al integrar la gestión de bots y la seguridad de API, las empresas pueden protegerse mejor contra amenazas automatizadas sofisticadas y al mismo tiempo ganar visibilidad para detectar y mitigar riesgos antes de que causen un incidente de seguridad.
A medida que los ecosistemas de API sigan creciendo y los bots se vuelvan más sofisticados, el costo de la inacción no hará más que aumentar. Las organizaciones deben abordar los riesgos de seguridad asociados con las API y los bots para proteger los datos confidenciales, mitigar las pérdidas financieras y preservar la reputación de su marca.
