Innovación

APIs impulsan crecimiento económico de MiPyMEs pero también atraen a la ciberdelincuencia

Imagen: Akamai.
Las APIs permiten a las MiPyMEs acceder a una gran cantidad de servicios sin necesidad de que estas empresas desarrollen desde cero la arquitectura de sus aplicativos. Ciberdelincuentes buscan APIs creadas e implementadas sin las medidas de seguridad suficientes. Las MiPyMEs deben anticiparse a los peligros asociados a las vulneraciones de seguridad de las APIs.

Las micro, pequeñas y medianas empresas (MiPyMEs) conforman la mayor parte del entramado empresarial a nivel mundial, y en América Latina no es la excepción, representando el 99,5% de las empresas en la región. En la actualidad se convierten en jugadores importantes que están acelerando y optimizando la construcción de servicios digitales.

En el marco del «Día de las Micro, Pequeñas y Medianas Empresas», a celebrarse este 27 de junio, Akamai destacó la importancia de las APIs (interfaces de programación de aplicaciones) como principales impulsadores del crecimiento, colaboración y creación de experiencias digitales fluidas. Las APIs son interfaces que permiten que diferentes aplicaciones de software se comuniquen entre sí e intercambien datos.

Oswaldo Palacios, Senior Account Executive para Akamai, mencionó que a medida que crece el número de consumidores y empresas que incorporan las aplicaciones móviles y web en su vida diaria, las APIs les brindan nuevas funcionalidades, posibilitando un mejor desempeño de la actividad empresarial; son cruciales para la funcionalidad del software moderno y los servicios web.

El directivo agregó que una API ofrece diversas ventajas a una MiPyME, como integrar de manera sencilla distintos servicios sin tener que desarrollarlos desde cero. “Por ejemplo, en vez de crear toda una arquitectura para un sistema de pago, podemos usar las APIs como Paypal y ofrecer dicho servicio al cliente desde nuestra aplicación”, explicó.

También pueden ayudar a proteger los datos de los clientes, utilizando una API de autenticación que resguardará la información sensible del cliente al realizar una transacción. Por otro lado, las APIs facilitan la comunicación y la colaboración de las MiPyMEs con los servicios de sus proveedores, además podrán monetizar mejor sus datos para generar mayores ingresos y de esta forma potenciar la innovación digital.

Es importante mencionar que existen APIs públicas o abiertas que están disponibles para que cualquiera pueda utilizarlas con mínimas restricciones;  APIs privadas e internas que solo pueden usar los sistemas internos habilitados por una determinada compañía. Adicionalmente hay APIs creadas para favorecer las alianzas comerciales (ya que una determinada empresa habilita a algunos de sus proveedores y clientes para que las puedan utilizar y, con ello, compartir información) o de carácter compuesto (que utilizan distintos datos o, a su vez, otras APIs para permitir que los desarrolladores accedan a diferentes terminales).

 

APIs, blanco atractivo de la ciberdelincuencia

Dado el crecimiento exponencial de las APIs, a los ciberdelincuentes les encantan porque suelen contener las claves de una gran cantidad de información valiosa. Una vulneración de la seguridad de las APIs puede dar lugar a un acceso no autorizado, al robo de datos o incluso a la manipulación de la funcionalidad del sistema. Esto podría incluir el acceso a información confidencial del cliente, los datos corporativos o el control de partes integrales del sistema.

El último informe SOTI para 2024, «Acechando en la sombra: las tendencias de los ataques arrojan luz sobre las amenazas a las API», reveló que un total del 29% de los ataques web tuvieron como objetivo las API de enero a diciembre de 2023, lo que indica que las APIs son un área de interés para los ciberdelincuentes. En 2022, Gartner predijo que el abuso de API y las filtraciones  de datos se duplicarían para 2024.

“Para los hackers las APIs creadas e implementadas sin las medidas de seguridad suficientes son el blanco perfecto ya que ofrecen un punto de entrada sencillo. Las APIs heredadas, si no se actualizan con regularidad, también se convierten en el objetivo de los atacantes, ya que suelen ofrecer varios puntos de entrada que se han ignorado o pasado por alto”, dijo Oswaldo Palacios.

De acuerdo con el experto, las MiPyMEs deben anticiparse a los peligros específicos asociados a las vulneraciones de seguridad de las APIs:

  • Exposición y robo de datos: una vulneración de API puede exponer datos confidenciales a los atacantes. Puede incluir datos personales de clientes o empleados, registros financieros, propiedad intelectual y secretos comerciales. El robo de estos datos puede tener graves consecuencias financieras y de reputación.
  • Manipulación de datos: en una vulneración de API, los atacantes pueden obtener la capacidad no solo de acceder a los datos, sino también de modificarlos. Esto puede provocar daños en los datos, generar informes de datos incorrectos y poner en peligro las decisiones empresariales.
  • Interrupción del servicio: las vulneraciones de API pueden interrumpir los servicios de una empresa. Los atacantes pueden hacer un uso indebido de la API vulnerada para sobrecargar el sistema, lo que puede provocar un tiempo de inactividad del servicio. Un evento de este tipo puede tener costos significativos, tanto inmediatos como en términos de confianza del cliente.
  • Riesgo para el sistema: en algunos casos, los atacantes podrían utilizar una vulneración de seguridad de API como trampolín para infiltrarse más profundamente en la red, lo cual les permitiría obtener el control de toda la infraestructura o los sistemas.

Por último, Oswaldo Palacios hizo un llamado a las MiPyMEs para que cuenten con una estrategia continua para proteger sus APIs frente a los numerosos riesgos de seguridad.

“La protección contra las filtraciones de datos, el cumplimiento de los requisitos normativos, la preservación de la reputación de la marca y la confianza de los clientes y los partners que interactúan con sus APIs será el resultado de una estrategia de seguridad de API eficaz”, finalizó.