Un aumento del 400 % en el número de atacantes dirigidos a API en los últimos seis meses. Esta es la primera cifra que surge del informe “Estado de la seguridad de las API” para el primer trimestre de 2023, un informe publicado recientemente por la editorial Salt Security. Además, casi el 80% de los ataques se refieren a API que requieren autenticación previa y el 8% incluso se dirige a API internas que no están protegidas. Este estudio también muestra que el 94% de los encuestados encontró problemas de seguridad en las API de producción el año pasado, y el 17% incluso experimentó fugas de datos como resultado de dichas violaciones. Además, casi seis de cada diez encuestados (59%) han tenido que ralentizar el despliegue de nuevas aplicaciones debido a problemas de seguridad relacionados con las API.

Como resultado, casi la mitad (48%) de los 400 profesionales de seguridad encuestados indican que la seguridad de API es ahora una prioridad para los ejecutivos dentro de su empresa, una tasa aún mayor en industrias sensibles o fuertemente reguladas (55% en servicios públicos, 56% en en el sector financiero y el 59% en el sector tecnológico). Más de la mitad de los profesionales encuestados (54%) están particularmente preocupados por las API obsoletas, pero solo el 20% también considera que las API "en la sombra", implementadas fuera del control de TI, son una preocupación importante. En opinión del editor, el riesgo real probablemente sea mayor en este último caso.

Índice
  1. La seguridad aún es insuficiente
    1. Sobre el estudio

La seguridad aún es insuficiente

Por otro lado, las medidas de seguridad luchan visiblemente por adaptarse al aumento de las amenazas. Por lo tanto, menos de una cuarta parte de los encuestados (23%) cree que su estrategia de seguridad actual es muy eficaz para prevenir riesgos relacionados con las API. Peor aún, el 30% actualmente no tiene una estrategia para proteger las API, un punto que afortunadamente podría cambiar pronto, ya que el 25% indica que están trabajando en el tema.

Entre las empresas que cuentan con una estrategia, solo el 54% se refiere a la lista “API Security Top 10” de Owasp para desarrollar sus programas de seguridad. El resto se beneficiaría si hiciera lo mismo, ya que, según el editor, dos tercios (66%) de los intentos de ataque observados explotan al menos uno de los diez métodos de esta lista. Entre las cuestiones prioritarias para los equipos de seguridad se encuentran la capacidad de bloquear ataques y la capacidad de identificar API que exponen información confidencial, dos elementos citados por el 44% de los encuestados, así como la capacidad de verificar el cumplimiento normativo (citado por el 38%). Finalmente, al 22% le gustaría poder introducir la seguridad en las prácticas más avanzadas.