Los costos de los incidentes y los ataques a las API aumentan, al igual que la adopción de la IA

En Latinoamérica, casi 9 de cada 10 organizaciones (89%) sufrieron un incidente de seguridad en las API durante el último año

El estudio propone recomendaciones para ayudar a los equipos de seguridad a reforzar sus estrategias de seguridad de API

Akamai (NASDAQ: AKAM) ha publicado hoy un nuevo estudio que muestra que las organizaciones están implementando API sin la seguridad ni las pruebas necesarias, lo que las deja vulnerables a los ataques una vez publicadas. En su cuarto año, la encuesta sobre el impacto de la seguridad deAPI de Akamai ofrece una visión global del estado de protección, basada en las respuestas de 1.840 profesionales de seguridad de seis sectores y diez países, entre los que se encuentra Latinoamérica.

En Latinoamérica, casi 9 de cada 10 organizaciones (89%) sufrieron un incidente de seguridad en API durante el último año, superando la media mundial, que pasó del 76% en 2022 al 87% en 2026. De media, las organizaciones han experimentado 3,5 problemas de seguridad relacionados con las API en los últimos doce meses, con un costo medio superior a 700 000 USD por incidente.

Los equipos de seguridad (38%) consideran que su principal prioridad en el ámbito de la ciberseguridad es proteger las tecnologías de IA de cara al próximo año. Además, el 42% de los profesionales afirma que las API en las que se basan sus aplicaciones de IA, agentes y modelos de lenguaje de gran tamaño (LLM) fueron objeto de ciberataques a lo largo del último año. Estos hallazgos dan validez a una investigación reciente de Akamai que identificó las API como la principal superficie de ataque de los ciberdelincuentes.

Los resultados de la encuesta muestran que las organizaciones carecen cada vez más de visibilidad de las API, un problema que se ha visto agravado por la implementación de la IA. Solo el 27% de las empresas con inventarios completos de API saben cuáles

exponen datos confidenciales, lo que supone una disminución con respecto al 40% de 2022.

Otras conclusiones son las siguientes:

• Casi todos los encuestados del sector de los servicios financieros (96%) fueron víctimas de un ataque a API en los últimos 12 meses.

• Las industrias con el costo más alto por incidente fueron los sectores de energía y servicios públicos (860 000 USD), fabricación (732 000 USD) y salud y ciencias de la vida (725 000 USD).

• Casi el 80% de las empresas contemplan la seguridad de API como una de sus tres principales prioridades de ciberseguridad.

• El 40% de los directivos afirman que disponen de un nivel elevado de madurez en pruebas avanzadas de API, en comparación con el 28% de los equipos de DevSecOps. Esto apunta a una discrepancia entre la percepción de la dirección y la realidad operativa de los equipos de implementación.

• Algo más de la mitad de las organizaciones (53%) cuentan con personal dedicado a la seguridad de API.

«La rápida expansión de la superficie de ataque de API implica que las organizaciones que dependen en gran medida de las API se enfrentan a una visibilidad comprometida y grandes riesgos que pueden llegar a tener un impacto económico», afirma Sean Lyons, vicepresidente sénior y director general de Seguridad de Aplicaciones e Infraestructuras de Akamai. «La cantidad de API está aumentando rápidamente y la mayoría de las empresas no son capaces de mantener los inventarios actualizados. Si está adoptando la IA, la seguridad de las API debe formar parte del diseño desde el principio. Para confiar plenamente en los sistemas de IA que está creando, necesita una base sólida».

Además de la información obtenida en la encuesta, el estudio también contiene recomendaciones para ayudar a los equipos de seguridad a reforzar sus estrategias de seguridad de API. Entre ellas se incluyen el llenado de las brechas de visibilidad mediante la detección y la creación de un inventario de todas las API que están vinculadas a aplicaciones de LLM e IA, la integración de pruebas y controles de seguridad a lo largo del ciclo de vida de las API y el tratamiento de la seguridad de las API como un requisito previo para disfrutar de una IA fiable.