El reinicio basado en IA: replanteamiento de la defensa para aplicaciones web y API

El conocimiento es primordial en tiempos de cambio. Con el fin de compartir estos conocimientos, hemos publicado un nuevo informe sobre el estado de Internet (SOTI), Estado de la seguridad de API y aplicaciones 2025: cómo cambia la IA el panorama digital. El informe presenta el análisis de Akamai de las tendencias que afectan a las aplicaciones web y las API. Exploramos los contornos de este nuevo entorno y explicamos cómo los profesionales de la seguridad pueden proteger sus sistemas y datos críticos mientras tanto.

Aunque los ataques a aplicaciones web y API están interconectados, no son interdependientes. Hay muchos ataques a aplicaciones web fuera de las API y viceversa. La metodología y las tácticas de explotación dependen de la motivación y la capacidad técnica del atacante.

• Los ataques a aplicaciones web se dirigen a los componentes orientados al usuario de las aplicaciones web, como las páginas de inicio de sesión orientadas al público, y a menudo emplean técnicas menos sofisticadas.

• Los ataques de API se centran en aprovechar las vulnerabilidades de los terminales de API de una aplicación, incluidos los vínculos entre sistemas, y requieren un conocimiento más profundo de la estructura y el comportamiento de cada API.

Si los ataques en sí no son mutuamente dependientes, sus defensas contra ellos tampoco pueden serlo. Las aplicaciones modernas dependen cada vez más de las API para su funcionalidad, por lo que es fundamental desarrollar estrategias de ciberseguridad preparadas para el futuro que aborden los ataques web y de API.

Si ignora estos aspectos, puede ser vulnerable a ataques sofisticados y multivectoriales que aprovechan las debilidades tanto en el front-end como en el back-end de una aplicación. Las capacidades de automatización que proporcionan los modelos de lenguaje de gran tamaño (LLM) y la IA generativa facilitan más que nunca a un atacante la ejecución de una campaña de phishing o botnet a gran escala.

En el Grupo de inteligencia de seguridad de Akamai (SIG) sabemos perfectamente que la ciencia y la investigación de datos adecuadas requieren tanto una revisión rigurosa de los resultados de los datos como un examen del origen de los datos sin procesar. También somos muy conscientes de que las API son actualmente el paraíso preferido de los atacantes. Estos dos conocimientos nos llevaron a la última evolución de nuestros conjuntos de datos de informes (análisis e investigación de amenazas de API mejorados) y nos dieron algunos resultados interesantes. En 2024:

• Hubo un aumento del 32 % de los incidentes relacionados con las 10 principales vulnerabilidades de seguridad de API de OWASP, lo que apunta a fallos en la autenticación y autorización que dejan al descubierto datos y funciones sensibles.

• Se produjo un crecimiento del 30 % en las alertas de seguridad relacionadas con el marco de seguridad MITRE , ya que los atacantes utilizan la IA y la automatización para explotar las API.  

• El 37 % de los 116 000 millones de ataques web en la región de Europa, Oriente Medio y África (EMEA) tenía como objetivo las API, eclipsando la concentración entre todas las demás regiones del mundo.

Las API basadas en IA han demostrado ser incluso menos seguras que las impulsadas por personas. La mayoría de estas API son accesibles externamente con mecanismos de autenticación débiles y no se han probado correctamente, lo que las hace más vulnerables a los ataques.

Esto podría provocar consecuencias graves en función de a lo que se conecte esa API. ¿Recuerda cuando los atacantes explotaron la API de un proveedor de firma electrónica para enviar facturas fraudulentas? Consecuencias nefastas, de hecho.😬

Todavía estamos en la fase de aprendizaje de los ataques API, pero el mundo real está empleando un método educativo de "prueba sobre la marcha". Los consumidores exigen innovación y los beneficios requieren una innovación rápida. 

La seguridad debe ser la parte más exigente de un proceso de revisión de código, lo que puede convertirla en el paso más inhibitorio a la hora de comercializar un producto. Lamentablemente, esto suele llevar a menos pruebas y a más y más código creado a partir de código no probado. 

Las comprobaciones de seguridad son inherentemente antitéticas al propósito del desarrollador, pero minimizar las pruebas puede conducir a algunos escenarios poco ideales.  

• Aumento de las alertas de seguridad: nuestro análisis reveló que las alertas de seguridad relacionadas con la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS), el Reglamento general de protección de datos (RGPD) y la Organización internacional de normalización (ISO)–27001 aumentaron un 16 %, un 21 % y un 22 %, respectivamente.

• Desafíos en la detección del abuso de API: estos desafíos hacen hincapié en la necesidad de supervisar las anomalías y el comportamiento en tiempo real para identificar las amenazas de forma preventiva.

• API zombis y en la sombra no gestionadas: estas dos causas principales de incidentes de seguridad de API hacen que los equipos de seguridad tengan dificultades para mantener inventarios de API completos.

Como hemos mencionado anteriormente, los ataques a aplicaciones web y API están interconectados, pero no son interdependientes. Aquí mostramos la parte "interconectada": Nuestra investigación revela un aumento sustancial de los ataques web dirigidos tanto a aplicaciones web como a API en los últimos dos años en todo el mundo.

Distintos lugares tienen problemas diferentes, por lo que analizamos sectores, regiones y tendencias de ataque específicos para ofrecer varias vistas de los impactos del abuso de la capa 7. Algunos de los hallazgos más significativos del informe son:

• Entre el T1 de 2023 y el T4 de 2024, se produjo un crecimiento del 65 % en los ataques web dirigidos a aplicaciones web y API: de 14 000 millones de ataques a más de 29 000 millones.

• Hubo un crecimiento del 94% en los ataques de denegación de servicio distribuido (DDoS) en la capa 7 durante el mismo período, aumentando de poco más de 500 000 millones de ataques mensuales a más de 1,1 billones.

• Se produjo un aumento del 73 % en los ataques web dirigidos a la región de Asia-Pacífico y Japón, que pasó de 29 000 millones en 2023 a 51 000 millones en 2024.

• El comercio sigue siendo un objetivo principal, experimentando más de 230 000 millones de ataques web en 2024, casi el triple del número para el siguiente objetivo más alto, el sector de la alta tecnología. 

Lo que un atacante puede hacer mediante el uso de la IA es un tema de conversación muy popular. Cuando se trata del uso malicioso de los sistemas de IA, básicamente hay un menú a la carta de opciones:

• Análisis automatizado de vulnerabilidades a una velocidad que antes era impensable
• Código malicioso generado por IA
• Ataques automatizados con bots basados en IA
• Ataques DDoS volumétricos automatizados
• Ataques basados en el comportamiento (ataques bajos y lentos que evaden la detección y se dirigen a vulnerabilidades comunes de las API)

El lado positivo aquí es que no solo los delincuentes pueden divertirse con la IA. La IA también ayuda a contrarrestar la amenaza con los sistemas emergentes de firewall de aplicaciones web (WAF) basados en IA, que ayudan a identificar y mitigar ciberamenazas como bots, ataques DDoS, scrapers y análisis.

El cumplimiento normativo tiene un gran impacto en la estrategia general de gestión de riesgos de una organización, por lo que también abordamos la normativa en este informe SOTI. No todas las amenazas a la empresa son cibernéticas. Cumplir las innumerables normativas de seguridad en constante evolución de todo el mundo es un trabajo a tiempo completo en sí mismo.

En este SOTI hemos cubierto los requisitos de ciberseguridad nuevos y actualizados para diferentes regiones, como la Ley de informes de incidentes cibernéticos para infraestructuras críticas (CIRCIA) de Estados Unidos y la Directiva relativa a la seguridad de las redes y sistemas de información (NIS2) de Europa. Las diferentes regiones geográficas tienen diferentes niveles de sofisticación normativa, lo que crea matices que tienen efectos globales.

Por ejemplo, mientras que Norteamérica se centra en la gestión integral de riesgos y la notificación obligatoria de incidentes, Europa está ampliando las normativas para incluir los servicios móviles.

• Los defensores deben automatizar e innovar al nivel y la velocidad de los atacantes, al tiempo que mantienen los estándares gubernamentales, gestionan los incidentes y cualquier otra cosa que el equipo necesite que hagan.  

• Las entidades reguladoras están respondiendo activamente a la creciente amenaza que suponen las aplicaciones y las API, por lo que cuanto más preparado para el futuro esté, mejor. Esta es la razón por la que centrarse en una defensa proactiva puede hacer que cumpla con la normativa y sea seguro (si la normativa se ha creado correctamente, por supuesto).

La clave para mantener la seguridad en la era de la IA es establecer un plan de seguridad integral centrado en asumir una infracción y cubrir los aspectos básicos. Incluso aunque no le impulsen a ello las entidades reguladoras, nunca ha habido un mejor momento para reexaminar las prácticas de revisión actuales y reforzar los aspectos básicos.

¿Cuántas filtraciones y ataques a gran escala se han producido al hacer clic en un correo electrónico de phishing? Los atacantes aprovechan las brechas en las protecciones básicas porque siguen teniendo éxito.

Hacer hincapié en la validación de entradas mejorada, las prácticas de desarrollo seguro y las auditorías de seguridad periódicas no es una práctica sobrevalorada y proporcionará seguridad a largo plazo en lugar de protección reaccionaria y de seguimiento de modas que puede dar lugar a resultados inesperados en el futuro.