- Las organizaciones dedicadas al comercio se enfrentan a frecuentes incidentes de API, con los controles de acceso y los ataques vinculados a la IA a la cabeza. Los directivos de empresas dedicadas al comercio afirman que la explotación de controles de acceso insuficientes o inexistentes fue el tipo de incidente más común al que se enfrentaron el año pasado, seguido muy de cerca por ataques relacionados con API vinculadas a las tecnologías de IA.
- La falta de visibilidad de los flujos de datos confidenciales de pagos y clientes sigue siendo una brecha crítica. Aunque muchas organizaciones dedicadas al comercio aseguran tener un inventario completo de API, muy pocas saben cuáles de esas API devuelven datos confidenciales.
- Los directivos de las empresas dedicadas al comercio están priorizando la seguridad de la IA, pero las pruebas de madurez y la protección del tiempo de ejecución se quedan atrás. Proteger las tecnologías de IA contra los ataques es la principal prioridad de ciberseguridad para el 41 % de las organizaciones dedicadas al comercio.
Conclusiones clave
Preguntas frecuentes
Preguntas frecuentes
Según el estudio de 2026, el 85 % de las empresas dedicadas al comercio afirmó haber experimentado al menos un incidente de seguridad relacionado con API en los últimos 12 meses.
El tipo de incidente más común es la explotación de controles de acceso insuficientes o inexistentes, seguido de cerca por los ataques relacionados con API vinculadas a las tecnologías de IA.
Los atacantes pueden utilizar indicaciones manipuladas para engañar a los asistentes de compras de IA para que envíen solicitudes a las API subyacentes que carecen de protección, lo que les hace exponer datos confidenciales de los clientes o detalles de pago sin cuestionárselo.
La visibilidad es peligrosamente baja, ya que únicamente alrededor del 22 % de las organizaciones dedicadas al comercio son capaces de rastrear qué API de su inventario devuelven realmente datos confidenciales de clientes o pagos.
El estudio reveló que los altos ejecutivos a menudo sobrestiman la preparación de su organización, ya que indican un nivel de madurez e integración entre un 2 % y un 12 % superior al de los profesionales de DevSecOps y AppSec que trabajan con las API a diario.
Si bien el 92 % de las empresas afirma incluir las API en el cumplimiento, solo el 36 % las incluye en los informes de cumplimiento formales, lo que crea una brecha entre las intenciones de la alta jerarquía y la acción normativa práctica.
Los equipos deben centrarse en implementar la detección automatizada continua de todas las API, pasando de las pruebas funcionales a las pruebas de seguridad rigurosas a lo largo del ciclo de vida del desarrollo y añadiendo una protección específica de tiempo de ejecución basada en el comportamiento.