APIs inseguras y el crecimiento del e-commerce en Latinoamérica
En 2023, las ventas de e-commerce en América Latina alcanzaron aproximadamente los 108.300 millones de dólares, con una proyección que podría llegar a los 200.000 millones para 2029. Esta región alberga cerca de 300 millones de compradores digitales, cifra que se espera crezca más del 15% hacia 2027.
Brasil y México lideran en la región: representan el 28,51% y 26,37% del mercado respectivamente. No obstante, economías como Argentina, Perú y Colombia empiezan a destacarse por su rápido crecimiento.
Oswaldo Palacios, ejecutivo senior de cuentas de Akamai para Latam, señaló que las tiendas en línea y marketplaces son los mayores usuarios de las API, fundamentales para que el e-commerce se comunique eficazmente con sistemas y aplicaciones de usuarios y proveedores. Por ejemplo, las API son esenciales para implementar pasarelas de pago internacionales sin intermediarios externos o para gestionar envíos. Esto asegura la entrega de productos en tiempo y forma.
La amenaza de APIs inseguras en el sector comercial
Dada su relevancia, la seguridad de las API es una prioridad para las organizaciones que buscan proteger componentes vulnerables de su infraestructura. Las API están cada vez más en la mira de los ataques, como refleja el informe Fortalezas digitales bajo asedio: amenazas a las arquitecturas de aplicaciones modernas de Akamai, que documentó más de 26 mil millones de ataques web contra aplicaciones y API solo en junio de 2024, con un aumento del 49% en el último año.
“El sector comercial es un objetivo prioritario debido a la gran cantidad de datos personales y financieros que se manejan en línea. Al depender en gran medida de la tecnología para transacciones y almacenamiento de información de clientes, se vuelve vulnerable a las ciberamenazas. Los cibercriminales suelen atacar a minoristas y procesadores de pagos en línea para robar datos sensibles o interrumpir operaciones comerciales,” expresó el experto.
El sector comercial fue el más afectado en términos de ataques a aplicaciones API y Web, acumulando 164.000 millones de ataques, más del doble que el sector de alta tecnología, que registró 59.000 millones entre enero de 2023 y junio de 2024, según el informe SOTI de Akamai de 2023, Slipping Through the Security Gaps: The Rise of Application and API Attacks.
Palacios destacó que las API comprometidas pueden permitir accesos no autorizados a información sensible, y generar robos de datos y fraudes. Las consecuencias de estos ataques van más allá de la pérdida de información. También afectan la confianza de los clientes, la reputación de la marca y el cumplimiento normativo.
Mejores prácticas para evitar APIs inseguras en e-commerce
Los ataques más frecuentes a las API incluyen métodos como ataques MITM (Machine in the Middle), DDoS, inyección SQL, generación insegura de claves API y fallos en controles de acceso, que facilitan el acceso a funciones privilegiadas y la modificación o eliminación de contenido en sitios web.
El especialista advirtió que, a medida que se desarrollan y utilizan más API para conectar funciones empresariales, surgen API defectuosas que convierten al sector comercial en un blanco lucrativo para los cibercriminales. Reconocer el impacto de estos ataques permite a las empresas de e-commerce en Latinoamérica mejorar su seguridad cibernética.
En un futuro donde la tecnología avanza, la ciberseguridad jugará un rol aún más importante en la protección de empresas y consumidores. Akamai recomienda las siguientes prácticas para un uso seguro de las API:
- Documentar todas las API en los controles de seguridad para mayor visibilidad.
- Solucionar configuraciones incorrectas y evitar vulnerabilidades futuras.
- Monitorear las API y buscar amenazas para cerrar brechas de seguridad antes de ser explotadas.
- Elegir soluciones que mitiguen diversas amenazas, desde los riesgos principales de API de OWASP hasta ataques web tradicionales.
- Implementar análisis de comportamiento para detectar abusos de la lógica empresarial y anomalías.
- Seguir la guía de OWASP sobre codificación segura para prevenir ataques comunes.
- Realizar evaluaciones periódicas de vulnerabilidad y contar con un proveedor de seguridad de clase mundial.
- Mantenerse informado sobre amenazas emergentes.
Finalmente, Palacios instó a los e-commerce a conocer el comportamiento de sus API incluso detrás de su firewall y a asociarse con proveedores de seguridad que tengan visibilidad sobre un amplio ecosistema de API, lo que fortalecerá la postura de seguridad general.