Akamai Technologies revela en su informe Estado de la seguridad de API y aplicaciones 2025 un alarmante incremento de ciberataques, con 311 mil millones en 2024, un 33% más que el año anterior. La rápida adopción de IA mediante APIs ha ampliado la superficie de ataque, generando nuevas vulnerabilidades. Latinoamérica registró 3 mil millones de ataques, con un 12% dirigidos a APIs. El informe destaca el aumento de ataques DDoS en la capa 7, especialmente al sector tecnológico. También se advierte sobre fallas en autenticación, APIs zombis y amenazas automatizadas, proponiendo estrategias proactivas para una defensa eficaz en el entorno digital.
Los ataques web aumentan hasta un 33%, debido principalmente al crecimiento de las APIs basadas en IA
Latinoamérica se enfrenta a crecientes amenazas debido a la acelerada digitalización, aunque avanza en regulaciones orientadas a la protección de aplicaciones web y APIs.
(americasistemas.com.pe. Lima, Perú – 23 de abril 2025) Akamai Technologies, Inc., firma de ciberseguridad y cloud computing que impulsa y protege las empresas online, acaba de publicar un nuevo informe sobre el estado de Internet (SOTI) que recoge 311 000 millones de ataques web perpetrados en 2024, lo que supone un aumento anual del 33 %. En el estudio Estado de la seguridad de API y aplicaciones 2025: cómo cambia la IA el panorama digital, se apunta a la rápida adopción de las aplicaciones con inteligencia artificial (IA) como motivo de este pico, pues aumenta la superficie de ataque y se generan nuevos retos de seguridad.
En el informe, se pone de manifiesto que las API se han convertido en objetivos críticos. En Akamai, hemos documentado 150.000 millones de ataques a estas entre enero de 2023 y diciembre de 2024. En Latinoamérica se produjeron 3 mil millones de ataques durante este mismo período, de los cuales el 12% fueron ataques dirigidos a APIs.
El mercado de API con IA crece a gran velocidad, al igual que sucede con la superficie de ataque. Esto se debe a la integración de herramientas con esta tecnología en plataformas clave mediante API. La mayoría de las API basadas en IA son extremadamente accesibles y muchas utilizan mecanismos de autenticación inadecuados, una vulnerabilidad que se agrava con la creciente variedad de ataques con IA que las acechan. Akamai señala que este tipo de API son más vulnerables que el resto, ya que la IA supone una ventaja tecnológica para los ciberdelincuentes.
El informe destaca también que Latinoamérica se ha convertido en un objetivo prioritario para la ciberdelincuencia, debido a la rápida digitalización y la creciente interconectividad de la región. Algunos sectores, como el comercio y los servicios financieros, son especialmente vulnerables, ya que sus aplicaciones web y API suponen puntos críticos de ataque.
En respuesta, varios países como México, Brasil, Chile, Argentina y Colombia están reforzando sus normativas. Sin embargo, los ataques web están disminuyendo en la región, ya que los actores de las amenazas cambian su enfoque del sector del comercio electrónico a otras industrias, como la farmacéutica, los servicios empresariales y otros tipos de ataques, como el ransomware.
De igual manera, dicho informe destaca el aumento significativo de los ataques distribuidos de denegación de servicio (DDoS) en la capa 7 (capa de aplicación) contra las aplicaciones web y las API. Los volúmenes de ataques trimestrales aumentaron un 94% interanual entre el primer trimestre de 2023 y el cuarto trimestre de 2024. A principios de 2023, observamos cifras mensuales de 500 mil millones, que aumentaron a 1,1 billones en un mes en diciembre de 2024. En Latinoamérica, el 18% de los 258 mil millones de ataques DDoS registrados en dicha capa durante este período estuvieron relacionados con las API. Este aumento se debe a una mayor sofisticación de los ataques basados en bots, el uso continuado de inundaciones HTTPS como principal vector de ataque y la prevalencia de ataques DDoS en la capa 7 dirigidos al sector tecnológico.
Además, el informe de Akamai incluye los siguientes datos relevantes:
Se produjeron más de 230.000 millones de ataques web dirigidos al sector del comercio, el más afectado. Supone casi el triple de ataques que experimentó el sector tecnológico (el segundo en esta lista).
Este último sufrió 7 billones de ataques DDoS en la capa 7 entre enero de 2023 y diciembre de 2024, el que más amenazas de este tipo sufrió.
Los incidentes relacionados con las 10 principales vulnerabilidades de seguridad de API de OWASP aumentaron en un 32%, lo que apunta a fallos en la autenticación y autorización que dejan al descubierto datos y funciones sensibles.
Las alertas relacionadas con el marco de seguridad MITRE llegaron a aumentar un 30%, debido a que los atacantes utilizan técnicas avanzadas con automatización e IA contra las API.
Las API zombis y en la sombra presentan vectores de ataque especialmente vulnerables en ecosistemas de API cada vez más complejos.
En el estudio Estado de la seguridad de API y aplicaciones 2025: cómo cambia la IA el panorama digital, también se dan a conocer datos clave sobre un ataque de API contra una empresa de comercio electrónico, se explican las diferencias entre los ataques web y a las API, y se presentan datos por regiones y sectores. También se ofrecen datos únicos sobre la puntuación de riesgo y los métodos técnicos diseñados para ayudar a los defensores de primera línea. Para proteger las aplicaciones web y las APIs es necesario adoptar un enfoque integral y proactivo, por lo que el informe también incluye valiosas recomendaciones como, por ejemplo: seguridad integral de APIs, ciberseguridad robusta, defensa proactiva, reducción de vulnerabilidades, defensa contra ransomware y, finalmente, cómo prepararse para los riesgos de IA.
“La IA está transformando la seguridad de la web y las API, mejorando la detección de amenazas y desvelando nuevos retos“, señala Rupesh Chokshi, vicepresidente sénior y director general de la Cartera de Seguridad de Aplicaciones de Akamai. “Este informe es fundamental para comprender los catalizadores de este cambio y cómo adelantarse a los ataques con las estrategias de mitigación pertinentes“.
