Actualmente, las APIs (Interfaces de Programación de Aplicaciones) son el motor de la economía digital, permitiendo la integración entre sistemas, la habilitación de servicios para clientes y socios, y la innovación en múltiples industrias. Sin embargo, el nuevo estudio de Entel Digital “Amenazas a APIs 2025: Riesgos y vectores clave”, muestra que esta conectividad ha convertido a las APIs en un vector de riesgo prioritario, donde cada endpoint expuesto puede transformarse en una puerta de entrada a datos sensibles y procesos críticos de negocio.

Fuente: Freepik

De acuerdo con el reporte, entre 2024 y 2025, la seguridad de las APIs ha emergido como un área crítica en la protección de servicios digitales. En el ámbito regional, América Latina se destaca por mostrar una acelerada adopción de tecnologías basadas en APIs. Factores como la digitalización empresarial, la expansión del comercio electrónico y la masificación de servicios financieros digitales han impulsado esta tendencia.

En Chile, el reporte establece que se ha observado un crecimiento sostenido en iniciativas de integración API tanto en sectores públicos como privados. Impulsando, por ejemplo, la implementación del Sistema de Finanzas Abiertas (SFA) también conocido como “open banking”, lo cual será regulado bajo la Ley Fintech.

Además, la nueva Ley de Protección de Datos Personales está elevando el nivel de escrutinio sobre el manejo seguro de datos personales a través de APIs, lo que incrementa los riesgos regulatorios y financieros para las empresas que no adopten controles robustos. La falta de validaciones y controles adecuados expone información personal identificable (PII) y credenciales. Un ejemplo de esto es el incidente ocurrido en el sector asegurador donde se filtraron más de 650.000 correos electrónicos.

Luis Elola, subgerente de productos de ciberseguridad de Entel Digital sostiene que “hay cuatro elementos clave para fomentar la seguridad de las APIs: implementar monitoreo y descubrimiento continuo con análisis de comportamiento para detectar datos sensibles expuestos y patrones anómalos; aplicar controles de validación “enforcement” de políticas de seguridad y lógica de negocio a nivel de servidor (llevar a las API a un modelo positivo de seguridad); usar mecanismos de “rate limiting” inteligentes y segmentados; e incluir pruebas específicas de abuso de lógica en procesos de pentesting y auditorías de seguridad.”

Impacto de APIs de terceros

El informe resalta también el riesgo que representa para las empresas las APIs de terceros. Muchas de estas APIs de terceros pueden carecer de estándares de seguridad rigurosos o quedar fuera de las políticas de monitoreo, convirtiéndose en puntos débiles expuestos a ser explotados para acceder a datos sensibles o interrumpir servicios críticos.

Elola sostiene que “para mitigar estos riesgos se recomienda mantener un inventario actualizado de todas las integraciones de terceros; realizar evaluaciones periódicas de riesgo, priorizando las APIs que manejan datos críticos; implementar controles de acceso de mínimo privilegio y monitoreo continuo con alertas ante comportamientos sospechosos; y establecer acuerdos de nivel de servicio (SLA) con proveedores que garanticen el cumplimiento de estándares de seguridad.”

IA Generativa

La adopción de IA Generativa en entornos productivos ha incrementado el uso de APIs para la integración de modelos como OpenAI, Google Gemini e IBM Watson, ampliando la superficie de ataque y generando preocupaciones sobre la protección de datos sensibles y la integridad de los flujos automatizados.

De acuerdo con cifras compartidas por Entel Digital, a 60% de los ejecutivos les preocupa que se filtren datos a través de las APIs por la IA Generativa y el crecimiento de la superficie de ataque por esta tecnología.

El subgerente de productos de ciberseguridad explica que “para abordar estos desafíos, se debe implementar una sólida autenticación en APIs de IA; monitorear en tiempo real el tráfico API-IA, tanto entrante como saliente; clasificar y limitar la exposición de datos sensibles; e integrar estas acciones en un marco de Zero Trust API Security que contemple entornos con IA generativa y arquitecturas multi-cloud.”

Luis Elola concluye que “mirando hacia el año 2026, la acelerada adopción de arquitecturas basadas en microservicios y servicios digitales exige un enfoque de seguridad “by design”, integrando descubrimiento y clasificación de datos sensibles de manera automática, monitoreo en tiempo real, análisis de comportamiento y controles Zero Trust en todas las etapas del ciclo de vida de las APIs. Asimismo, la gestión de la seguridad en APIs debe ser considerada como una prioridad estratégica que combine tecnología avanzada, automatización de controles y capacitación continua, permitiendo así reducir riesgos regulatorios y operativos, proteger datos sensibles y mantener la resiliencia en un entorno digital cada vez más interconectado.”

Luis Elola, subgerente de productos de ciberseguridad de Entel Digital