Saltar al contenido

Ataques maliciosos a las API en aumento

Un informe reciente de Imperva, Inc., un destacado fabricante en ciberseguridad, ha revelado que en la actualidad, las organizaciones gestionan un promedio mínimo de 300 APIs. Estas desempeñan un papel esencial en el proceso de transformación digital al facilitar el desarrollo rápido e implementación de nuevos proyectos y aplicaciones. No obstante, debido a su susceptibilidad a ataques de bots, las APIs se han convertido en un objetivo prioritario para amenazas automatizadas.

17% de todos los ataques dirigidos a API en 2022 procedían de bots, y el 21% eran otros tipos de amenazas automatizadas.

El informe destaca que el 17% de todos los ataques dirigidos a las APIs en el último año fueron perpetrados por bots maliciosos. Estos bots se valen de defectos en el diseño y la implementación de una API o aplicación para manipular su funcionalidad legítima, con la intención de robar datos confidenciales o acceder de manera ilícita a cuentas.

Los bots maliciosos emplean diversas estrategias para llevar a cabo estos ataques:

  1. Extracción de Datos: Estos bots recopilan información confidencial, como datos de usuarios, detalles de productos y precios, con el propósito de su uso malicioso, como obtener ventajas competitivas o cometer robos de identidad o fraudes.
  2. Adquisición de Cuentas: Utilizan técnicas como el relleno de credenciales por fuerza bruta y el secuestro de sesiones para apoderarse de las cuentas de usuarios, lo que puede resultar en la apropiación indebida de datos o funcionalidades sensibles.
  3. Ataques de Denegación de Servicio Distribuido (DDoS): Saturan las APIs con solicitudes para bloquearlas o interrumpirlas, lo que puede afectar la capacidad de los usuarios legítimos para acceder a ellas, a veces con fines de extorsión.
  4. Sondeo de API: Realizan sondajes en busca de vulnerabilidades, identificando brechas que puedan explotar en futuros ataques.
  5. Exfiltración de Datos: Aprovechan vulnerabilidades específicas de la lógica empresarial de una API para extraer información, utilizando llamadas a APIs que devuelven más datos de los necesarios.

Ricardo Cázares, Vicepresidente de Imperva en Latinoamérica y el Caribe, advierte: ‘El 17% de los ataques a APIs en 2022 fueron realizados por bots, y el 21% fueron otros tipos de amenazas automatizadas. La falta de protección es un desafío crítico en 2023. Con la inteligencia artificial generativa en aumento, los ataques de bots evolucionarán aún más rápidamente, convirtiéndose en una amenaza aún mayor y más preocupante en los próximos años. Las organizaciones deben actuar de inmediato e invertir en tecnología de ciberseguridad para gestionar y prevenir ataques sofisticados’.