Las API inseguras y los ataques de bots representan hasta el 11,8% de los ciberataques
- Endpoint
Las grandes empresas son especialmente vulnerables a los riesgos de seguridad asociados al uso indebido de API automatizadas por parte de bots. Hasta 116.000 millones de dólares en pérdidas anuales se pueden atribuir a los ataques automatizados de bots.
Imperva, una empresa de Thales, ha publicado el informe “Economic Impact of API and Bot Attacks”, que revela los crecientes costes globales de las API vulnerables o inseguras y del abuso automatizado de los bots, dos amenazas de seguridad cada vez más interconectadas y prevalentes. El informe estima que la inseguridad de las API y los ataques de bots generan pérdidas de hasta 186.000 millones de dólares a las empresas de todo el mundo.
El informe se fundamenta en un estudio realizado por el Centro de Inteligencia de Riesgos Cibernéticos Marsh McLennan, el cual reveló que las organizaciones más grandes eran estadísticamente más propensas a tener un mayor porcentaje de incidentes de seguridad relacionados tanto con las API inseguras como con los ataques de bots. Las empresas con ingresos superiores a 1.000 millones de dólares tenían entre 2 y 3 veces más probabilidades de sufrir abusos automatizados de API por parte de bots que las pymes. El estudio sugiere que las grandes empresas son especialmente vulnerables a los riesgos de seguridad asociados al uso indebido de API automatizadas por parte de bots, dada la extensión y la complejidad de los ecosistemas de API, que a menudo contienen API expuestas o inseguras.
Las API como objetivo de los operadores de bots
Las empresas dependen en gran medida de las API para asegurar una comunicación fluida entre las diversas aplicaciones y los servicios. Debido a esta mayor dependencia y a su acceso directo a los datos confidenciales, las API se han convertido en objetivos atractivos para los operadores de bots. En 2023, las amenazas automatizadas generadas por los bots representaron el 30% de todos los ataques a API, según datos de Imperva Threat Research.
En la actualidad, el abuso automatizado de las API por parte de los bots les cuesta a las organizaciones hasta 17.900 millones de dólares en pérdidas anuales. A medida que se multiplique el número de API en producción, los ciberdelincuentes utilizarán cada vez más bots automatizados para encontrar y explotar la lógica de negocio de las API, eludir las medidas de seguridad y exfiltrar los datos confidenciales.
La disponibilidad generalizada de las herramientas de ataque y los modelos generativos de IA ha mejorado las técnicas de evasión de bots y ha permitido que incluso los atacantes poco calificados lancen ataques de bots muy sofisticados. Hasta 116.000 millones de dólares en pérdidas anuales se pueden atribuir a los ataques automatizados de bots.
El uso de API amplía la superficie de ataque
La rápida adopción de las API, la inexperiencia de muchos desarrolladores de API y la falta de colaboración entre los equipos de seguridad y desarrollo ha llevado a que las API inseguras ya generen hasta 87.000 millones de dólares de pérdidas anuales.
En 2022, los incidentes de seguridad relacionados con las API aumentaron un 40% y los incidentes de seguridad relacionados con los bots se dispararon un 88%. Estos aumentos se vieron impulsados por el incremento de las transacciones digitales, el uso cada vez más extendido de las API y las tensiones geopolíticas. En 2023, a medida que el tráfico digital comenzó a estabilizarse y remitió el aumento de la actividad en Internet impulsado por la pandemia, la frecuencia de estos incidentes se moderó. Los incidentes de seguridad relacionados con las API crecieron un 9%, mientras que los relacionados con los bots aumentaron un 28%. La tendencia general al alza de los ataques subraya la creciente persistencia y frecuencia de estas amenazas
Las empresas con ingresos de al menos 100.000 millones de dólares son las más propensas a sufrir incidentes de seguridad relacionados con las API inseguras o los ataques de bots. Estas amenazas constituyen hasta el 26% de todos los incidentes de seguridad experimentados por dichas empresas.