La creciente dependencia de las API ha alimentado las preocupaciones sobre
seguridad, y
casi todas las organizaciones (el 99%) informaron problemas de seguridad
relacionados con las API durante el último año.
Según el
informe sobre el estado de la seguridad de las API del primer trimestre de
2025 de Salt Security, la rápida expansión de los ecosistemas de API (impulsada por la migración a
la nube, la integración de plataformas y la monetización de datos) está
superando las medidas de seguridad y exponiendo a las organizaciones a un
mayor riesgo.
Crecimiento de las API y brechas de seguridad
El informe destaca un crecimiento significativo de las API: el 30% de las
organizaciones experimentaron un aumento del 51 al 100% en las API durante el
último año y el 25% informó un crecimiento superior al 100%.
Esta expansión ha creado desafíos para mantener inventarios precisos de API,
ya que el 58% de las organizaciones monitorean sus API menos de diariamente y
no confían en la precisión del inventario. Solo el 20% ha logrado un monitoreo
en tiempo real, lo que deja a la mayoría vulnerable a las amenazas de
seguridad.
Los desafíos clave de seguridad de API incluyen:
-
El 37% de los problemas de seguridad se derivan de vulnerabilidades como
configuraciones incorrectas y autorización a nivel de objeto rota. - El 34 % involucra la exposición de datos confidenciales.
-
El 29 % se relaciona con fallas de autenticación, lo que destaca controles
de acceso débiles.
«Las organizaciones se enfrentan al desafío de catalogar correctamente
todas sus API para que puedan incluirse en el programa de concientización y
pruebas de seguridad adecuado»,
dijo Thomas Richards, consultor principal de Black Duck.
«La tecnología puede mejorar los flujos de trabajo y beneficiar a las
organizaciones, pero no podemos olvidar los conceptos básicos de
ciberseguridad para documentar, probar y verificar las mejores prácticas
para innovar de forma segura y administrar el riesgo del software».
A pesar de las crecientes inversiones, persisten las brechas de seguridad. Más
de la mitad de las organizaciones han aumentado los presupuestos de seguridad
de API, pero el 30% cita los fondos limitados como un desafío clave.
-
Además, el 22% lucha con la escasez de personal y el 10% carece de
herramientas de seguridad adecuadas. -
Muchas organizaciones (55%) han retrasado la implementación de aplicaciones
debido a problemas de seguridad de API, mientras que el 14% considera que
sus programas de API son difíciles de administrar.
Dado que los ataques a API son, con mayor frecuencia, el resultado del uso no
autorizado o inadecuado de credenciales de acceso, la seguridad moderna
requiere un control de acceso que vaya mucho más allá de las estrategias
tradicionales de acceso y autenticación de identidad basadas en perímetros.
Tendencias de ataques y riesgos emergentes
Un análisis de los patrones de ataques de API revela que el 95% de los ataques
se originan en usuarios autenticados, lo que subraya el riesgo de cuentas
comprometidas. Las API externas siguen siendo un vector de ataque principal, y
el 98% de los intentos de ataque se dirigen a estas interfaces. Entre las
vulnerabilidades más explotadas:
- Configuraciones de seguridad incorrectas (54%)
- Autorización a nivel de objeto rota (27%)
- Errores de autenticación de API (1%)
La IA generativa (GenAI) también está reconfigurando el panorama de seguridad,
al presentar nuevas amenazas y preocupaciones. Un tercio de los encuestados
informa una falta de confianza en la detección de ataques impulsados por IA,
mientras que el 31% se preocupa por la seguridad del código generado por IA.
Las organizaciones están respondiendo implementando marcos de gobernanza (26%)
y herramientas de seguridad específicas de IA (37%).
Fortalecimiento de la seguridad de las API
El informe insta a las organizaciones a adoptar una estrategia de seguridad
proactiva, haciendo hincapié en la supervisión en tiempo real, una sólida
gobernanza de la postura y la adhesión a marcos como el
OWASP API Security Top Ten. Una gestión más sólida del inventario de API y la inversión en herramientas
de seguridad impulsadas por IA también son fundamentales para mitigar los
riesgos emergentes.
Dado que el uso de API sigue aumentando, las organizaciones deben priorizar
las estrategias de seguridad que evolucionan junto con sus ecosistemas en
expansión para proteger los datos y la infraestructura confidenciales contra
las amenazas emergentes.
Fuente: InfoSecurity