E-commerce en LATAM amenazados por APIs inseguras
- Una brecha de seguridad en un ecommerce puede resultar en robo de información, fraude y la pérdida de confianza de los clientes.
- El 68% de las compañías de ecommerce y retail declararon haber sufrido incidentes de seguridad de sus API en los últimos 12 meses.
- Un firewall de aplicaciones web (WAF) puede mitigar muchos tipos de ciberataques a las API de ecommerce.
El ecommerce en América Latina es cada vez más popular, impulsado por un mayor número de compradores digitales. Sin embargo, este crecimiento también ha originado un gran aumento de brechas de seguridad realizadas por ciberdelincuentes que pueden robar información personal, como números de tarjetas de crédito, contraseñas y direcciones de correo electrónico o también dañar los sistemas informáticos de las empresas, causando interrupciones en el servicio o incluso la pérdida de datos.
De acuerdo con la firma Statista, Latinoamérica es el hogar de aproximadamente 300 millones de compradores digitales, una cifra que se prevé que crezca más del 15% de cara a 2027. Aunque la adopción del ecommerce en esta parte del mundo aún es menor que en otras regiones emergentes, se espera que las ventas minoristas en línea en América Latina ronden los 200.000 millones en 2026.
Patricio Villacura, especialista de Seguridad Empresarial para Akamai, destacó que las tiendas en línea almacenan una gran cantidad de información confidencial, incluyendo datos de tarjetas de crédito, direcciones y detalles personales de los clientes. Una brecha de seguridad puede resultar en robo de información, fraude y la pérdida de confianza de los clientes, lo que puede tener un impacto duradero en la reputación y el éxito del negocio.
En la actualidad existe una serie de problemas principales de ciberseguridad que hoy están enfrentando las empresas de comercio electrónico, tales como el malware, ataques DoS y DDoS, ingeniería social, fraude financiero, skimming electrónico, bots, y cada vez más ataques API. Dichas amenazas resultan en pérdidas anuales significativas para los ecommerce de América Latina.
El experto de Akamai puntualizó en que hoy en día las API que impulsan las iniciativas digitales de las empresas minoristas y de comercio electrónico están siendo atacadas. Utilizando métodos cada vez más innovadores, los actores de amenazas pueden acceder a los datos de las API desprotegidas para robar datos de tarjetas de crédito, desviar fondos de programas de fidelización, lanzar ataques de credenciales, etcétera.
Un estudio realizado por Akamai, “2024 API Security Impact Study: Retail and Ecommerce Industry”, resalta que el 68% de las compañías de ecommerce y retail declararon haber sufrido incidentes de seguridad de la API en los últimos 12 meses. Por otro lado, citaron un costo de 526.531 dólares para hacer frente a los incidentes de API que habían experimentado. También destaca que los ataques a API contra empresas minoristas y de comercio electrónico están creciendo en alcance, escala y sofisticación. Esto incluye ataques de bots alimentados por GenAI que se adaptan rápidamente para eludir las herramientas tradicionales de seguridad de API y otras defensas perimetrales.
A decir de Patricio Villacura, el sector ecommerce está experimentando estas amenazas de primera mano y sintiendo los impactos, tanto financieros como humanos. Cuando las organizaciones comprenden la importancia de las amenazas a las API, deben emprender medidas para proteger mejor sus API (y los datos que intercambian) lo que permite a la empresa proteger sus ingresos y aliviar la carga de los equipos de seguridad, al tiempo que se preserva la confianza ganada a pulso por los consejos de administración y los clientes. Estos pasos incluyen el desarrollo de los conocimientos de su equipo sobre las amenazas avanzadas a las API y las capacidades que necesita para defenderse de ellas.
“A medida que las API se vuelven más complejas, protegerlas de las ciberamenazas se vuelve muy difícil. Cada vez más organizaciones adoptan arquitecturas basadas en microservicios y dependen de las API para prácticamente todas las interacciones en línea, lo que crea nuevos puntos de entrada potenciales para los piratas informáticos; los cibercriminales perfeccionan constantemente sus métodos, utilizando bots automatizados, botnets y escáneres de vulnerabilidades para lanzar ataques multivectoriales”, informó el experto de Akamai.
Patricio Villacura destacó que un firewall de aplicaciones web (WAF) puede mitigar muchos tipos de ciberataques a las aplicaciones web y las API. Ha sido diseñado para proteger las aplicaciones filtrando, monitoreando y bloqueando cualquier tráfico HTTP entrante malicioso, al mismo tiempo que evita que datos no autorizados salgan de la API. Como resultado, los WAF protegen las aplicaciones críticas para la empresa y los servidores web contra amenazas como ataques de día cero, ataques DDoS, inyección SQL y secuencias de comandos entre sitios (XSS).
Es importante mencionar que las soluciones WAF deben ajustarse constantemente a medida que evolucionan las amenazas y cambian las aplicaciones. Además, se pueden implementar a través de software, dispositivos locales o tecnologías basadas en la nube. Las políticas para un WAF se pueden adaptar a las necesidades exclusivas de la organización y sus aplicaciones web.
Por último, Patricio Villacura recomendó a los negocios e-commerce elegir una solución WAF que les permita identificar incluso los ataques más evasivos, a la vez que mantengan a un nivel ultra bajo los falsos positivos. ¨Elija un WAF que se integre sin problemas con su infraestructura actual, como firewalls, sistemas de gestión de identidades y accesos (IAM) y herramientas de análisis de seguridad. Además, asegúrese de que el WAF pueda adaptarse a su crecimiento futuro en términos de tráfico y complejidad de la aplicación¨, finalizó el experto.