APIs impulsan el crecimiento de las MiPyMEs, pero atraen ciberataques
Las APIs permiten a las MiPyMEs acceder a gran cantidad de servicios sin necesidad de que desarrollen desde cero la arquitectura de sus aplicativos, pero los ciberdelincuentes las usan para encontrar huecos de seguridad.
Las micro, pequeñas y medianas empresas (MiPyMEs) conforman la mayor parte del entramado empresarial a nivel mundial y América Latina no es la excepción, pues allí representan el 99,5 % de las empresas en la región. Además, hoy estas empresas se están convirtiendo en jugadores importantes que están acelerando y optimizando la construcción de servicios digitales.
Dentro del marco del "Día de las Micro, Pequeñas y Medianas Empresas", celebrado cada 27 de junio, Akamai destaca la importancia de las API (siglas en inglés de Interfaces de programación de aplicaciones) como principales impulsadores del crecimiento, colaboración y creación de experiencias digitales fluidas. Las APIs son interfaces que permiten que diferentes aplicaciones de software se comuniquen entre sí e intercambien datos.
“A medida que crece el número de consumidores y empresas que incorporan las aplicaciones móviles y web en su vida diaria, las APIs les brindan nuevas funcionalidades, posibilitando un mejor desempeño de la actividad empresarial. Son cruciales para la funcionalidad del software moderno y los servicios web”, declaró Oswaldo Palacios, ejecutivo de cuentas senior para Akamai.
Una API ofrece diversas ventajas a una MiPyME, explicó el directivo, como integrar de manera sencilla distintos servicios sin tener que desarrollarlos desde cero. “Por ejemplo, en vez de crear toda una arquitectura para un sistema de pago, podemos usar las APIs de Paypal y ofrecer dicho servicio al cliente desde nuestra aplicación”, señaló.
También se puede ayudar a proteger los datos de los clientes utilizando una API de autenticación, que resguardará la información sensible del cliente al realizar una transacción. Por otro lado, las API facilitan la comunicación y la colaboración de las MiPyMEs con los servicios de sus proveedores, y les permitirán monetizar mejor esos datos para generar mayores ingresos y potenciar la innovación digital.
Akamai indicó que existen API públicas o abiertas, que están disponibles para que cualquiera pueda utilizarlas con mínimas restricciones, y API privadas e internas que solo pueden usar los sistemas internos, habilitadas por una determinada compañía. Adicionalmente, hay API creadas para favorecer las alianzas comerciales –ya que una determinada empresa habilita a algunos de sus proveedores y clientes para que las puedan utilizar para poder compartir información– o de carácter compuesto, que utilizan distintos datos u otras API para que los desarrolladores accedan a diferentes terminales.
Blanco atractivo para la ciberdelincuencia
Debido al crecimiento exponencial de las API, se han convertido en objetivo de los ciberdelincuentes porque suelen contener las claves de una gran cantidad de información valiosa. Una vulneración de la seguridad de las API puede dar lugar a un acceso no autorizado, al robo de datos o incluso a la manipulación de la funcionalidad del sistema; esto podría incluir el acceso a información confidencial del cliente, los datos corporativos o el control de partes integrales del sistema.
El último informe SOTI para 2024, “Acechando en la sombra: las tendencias de los ataques arrojan luz sobre las amenazas a las API” reveló que un total del 29 % de los ataques web tuvieron como objetivo las API de enero a diciembre de 2023, lo que indica que las API son un área de interés para los ciberdelincuentes. En 2022, Gartner predijo que el abuso de API y las filtraciones de datos se duplicarían para 2024.
“Para los hackers, las APIs creadas e implementadas sin las medidas de seguridad suficientes son el blanco perfecto ya que ofrecen un punto de entrada sencillo. Las APIs heredadas, si no se actualizan con regularidad, también se convierten en el objetivo de los atacantes, ya que suelen ofrecer varios puntos de entrada que se han ignorado o pasado por alto”, dijo Oswaldo Palacios.
De acuerdo con el experto, las MiPyMEs deben anticiparse a los peligros específicos asociados a las vulneraciones de seguridad de las APIs:
- Exposición y robo de datos: Una vulneración de API puede exponer datos confidenciales a los atacantes, que pueden incluir datos personales de clientes o empleados, registros financieros, propiedad intelectual y secretos comerciales. El robo de estos datos puede tener graves consecuencias financieras y de reputación.
- Manipulación de datos: En una vulneración de API, los atacantes pueden obtener la capacidad no solo de acceder a los datos, sino también de modificarlos. Esto puede provocar daños en los datos, generar informes de datos incorrectos y poner en peligro las decisiones empresariales.
- Interrupción del servicio: las vulneraciones de API pueden interrumpir los servicios de una empresa. Los atacantes pueden hacer un uso indebido de la API vulnerada para sobrecargar el sistema, lo que puede provocar un tiempo de inactividad del servicio. Un evento de este tipo puede tener costos significativos, tanto inmediatos como en términos de confianza del cliente.
- Riesgo para el sistema: en algunos casos, los atacantes podrían utilizar una vulneración de seguridad de API como trampolín para infiltrarse más profundamente en la red, lo cual les permitiría obtener el control de toda la infraestructura o los sistemas.
Palacios resaltó la importancia de que las MiPyMEs cuenten con una estrategia continua para proteger sus API frente a los numerosos riesgos de seguridad. “La protección contra las filtraciones de datos, el cumplimiento de los requisitos normativos, la preservación de la reputación de la marca y la confianza de los clientes y los partners que interactúan con sus APIs será el resultado de una estrategia de seguridad de API eficaz”, finalizó.