APIs inseguras ponen en riesgo a los e-commerce de América Latina

• Se estima que en América Latina hay 300 millones de compradores digitales, una cifra que se prevé crezca más del 15% de cara a 2027.
• El sector del comercio es un objetivo prioritario de los ciberataques debido a la enorme cantidad de datos personales y financieros que se intercambian en línea.
• Las API pueden proporcionar acceso no autorizado a información confidencial, lo que puede tener una serie de repercusiones.
• Akamai brinda ocho mejores prácticas para el uso seguro de las API que ayudarán a construir un futuro digital próspero para el e-commerce de América Latina.

7 de octubre del 2024,

Octubre es el mes dedicado a la educación en ciberseguridad, y a todos nos recuerda la importancia de protegernos en el mundo digital. En este contexto, Akamai resalta la importancia de crear un ecosistema seguro entorno a las API (Application Programming Interfaces) en verticales de gran crecimiento, como lo es el e-commerce, debido a que se han convertido en un elemento clave para su correcta operación comercial, agilidad y competitividad.

Las ventas de comercio electrónico en América Latina registraron un valor de aproximadamente 108.300 millones de dólares en 2023 y se espera ronden los 200.000 millones en 2029. Dicha región es el hogar de aproximadamente 300 millones de compradores digitales, una cifra que se prevé crezca más del 15% de cara a 2027. A nivel regional, Brasil y México compiten por ser el centro de atención, representando el 28.51% y el 26.37% del mercado de comercio electrónico, respectivamente. Sin embargo, otras economías como Argentina, Perú y Colombia han comenzado a destacar debido a su rápido crecimiento.

Oswaldo Palacios, Latam Senior Account Executive de Akamai, resaltó que tanto las tiendas en línea como los mercados son los principales usuarios de las API; su principal esencia es que el e-commerce pueda comunicarse de manera óptima con los sistemas y aplicaciones de usuarios y proveedores. Por ejemplo, son vitales en la inclusión de una pasarela de pagos que opere internacionalmente sin la necesidad de utilizar proveedores externos o las API de envío que son indispensables para una gestión eficiente de los envíos, asegurando que los productos se entregan en los plazos y calidad prometidos.

Dado su importancia y crecimiento, la seguridad de las API debe ser una preocupación primordial para las organizaciones que buscan proteger los componentes vulnerables de su infraestructura. Las API están cada vez más en el punto de mira, como demuestra el aumento constante del número de ataques. En el informe Fortalezas digitales bajo asedio: amenazas a las arquitecturas de aplicaciones modernas, Akamai señala que observó más de 26 mil millones de ataques web contra aplicaciones y API solo en el mes de junio de 2024, y que estos ataques aumentaron un 49% durante el último año.

“El sector del comercio es un objetivo prioritario de los ciberataques debido a la enorme cantidad de datos personales y financieros que se intercambian en línea; depende en gran medida de la tecnología para realizar transacciones y almacenar información de los clientes, lo que lo hace vulnerable a las ciberamenazas. Los cibercriminales suelen apuntar a los minoristas y procesadores de pagos en línea para robar datos confidenciales o interrumpir las operaciones comerciales”, opinó el experto.

De manera concreta, el sector del comercio fue víctima del mayor número de ataques a aplicaciones API y Web (164.000 millones), con más del doble del número de ataques observados en el sector de la alta tecnología (59.000 millones), desde enero de 2023 hasta junio de 2024, de acuerdo con el informe de SOTI de Akamai 2023, Cómo sortear las brechas de seguridad: el auge de los ataques a aplicaciones y API.

A decir de Oswaldo Palacios, cuando se ven comprometidas, las API pueden proporcionar acceso no autorizado a información confidencial, lo que puede tener una serie de repercusiones, entre las que destacan el robo de datos y el fraude. Sin embargo, las ramificaciones de los ataques a API no se limitan a la pérdida de datos, sino que se extienden a la erosión de la confianza de los clientes, el daño a la marca y la reputación, y posibles problemas de cumplimiento.

Los ataques API más comunes incluyen varios vectores de ataque conocidos, tales como: ataques de máquina en el medio  (MITM), ataques DDoS, ataques de inyección SQL,  generación insegura de claves API, además de controles de acceso rotos que permiten a los atacantes obtener acceso a funciones privilegiadas, modificar o eliminar contenidos del sitio web o robar datos confidenciales.

Mejores prácticas para que el e-commerce proteja las API

El experto advirtió que medida que se siguen creando y utilizando API para conectar funciones empresariales, aparecen más API defectuosas en el sistema, convirtiendo al sector del comercio en un objetivo lucrativo para los actores maliciosos. Al reconocer el impacto de los ataques a las API, los e-commerce en Latinoamérica pueden abordar las vulnerabilidades y mejorar su postura general en materia de ciberseguridad.

A medida que la tecnología siga avanzando, la ciberseguridad desempeñará un papel aún más crucial en la protección de las empresas y los consumidores por igual. Akamai aconsejó a los e-commerce de LATAM seguir estas mejores prácticas para el uso seguro de las API, las cuales ayudarán a construir un futuro digital próspero.

• Documente todas las API en sus controles de seguridad de APIpara una mejor visibilidad.
• Aborde los problemas de configuración incorrecta en sus API e implemente procesos para evitar que surjan vulnerabilidades futuras.
• Establezca una disciplina de monitoreo de API y búsqueda de amenazas para cerrar las brechas de seguridad antes de que los atacantes puedan usarlas en su contra.
• Elija una solución de seguridadque pueda mitigar una amplia gama de amenazas, desde los 10 principales riesgos de seguridad de API de OWASP hasta los ataques web tradicionales.
• Utilice soluciones de seguridad que ofrezcan análisis de comportamiento para detectar abusos de la lógica empresarial y otras anomalías.
• Aproveche la guía de OWASPsobre prácticas de codificación para prevenir los ataques más comunes
• Realice evaluaciones de vulnerabilidad periódicas y seleccione un proveedor de soluciones de seguridad de clase mundial para que lo respalde.
• Manténgase al tanto de las amenazas emergentes.

Por último, Oswaldo Palacios hizo un llamado a los e-commerce para que conozcan cómo se comportan sus API incluso dentro de su firewall. También, se alíen con un proveedor de seguridad que tenga visibilidad de un gran ecosistema de API más allá del suyo, lo que ayudará a proteger su postura de seguridad general.