Noticias

Desafíos y amenazas continuos de seguridad de las API

Según el informe State of API Security Report Q1 2025 de Salt Labs

[05/03/2025] Salt Security ha publicado el Informe sobre su informe State of API Security Report Q1 2025, basado en una combinación de respuestas a encuestas de más de 200 profesionales de TI y seguridad, y datos empíricos anónimos de los clientes de Salt Security. Según lo señalado en el comunicado de prensa, la investigación destaca los desafíos y amenazas continuos de seguridad de las API que afectan a las organizaciones, e ilustra la necesidad de una gobernanza de API más sólida para mitigar tales complejidades.

"La última edición del informe encontró que casi todos los encuestados (99%) encontraron problemas de seguridad de API en los últimos 12 meses, y más de la mitad (55%) ralentizaron el lanzamiento de una nueva aplicación debido a preocupaciones de seguridad de API. El análisis de los desafíos de seguridad reportados con más frecuencia en las API de producción reveló que las vulnerabilidades, que exponen a las API a exploits como ataques de inyección y autorización a nivel de objeto roto (BOLA), representaron más de un tercio de los problemas (37%), seguidas de cerca por la exposición de datos confidenciales (34%) y las debilidades de autenticación de API (29%), sostuvo Roey Eliyahu, cofundador y CEO de Salt Security.

El ejecutivo comentó que la IA generativa (GenAI) también ha avanzado en los desafíos de seguridad de las API, ya que el 47% de los encuestados expresó su preocupación por la seguridad del código generado por la IA, y el 40% citó las posibles vulnerabilidades introducidas por el código generado por la IA como uno de los principales riesgos. Solo el 11% de los encuestados no percibe el uso de las aplicaciones de GenAI como una preocupación de seguridad creciente dentro de su organización.

"Nuestro análisis del tráfico de API de los clientes también reveló que el 95% de los ataques a la API en los últimos 12 meses se originaron en fuentes autenticadas. Esto indica que los métodos tradicionales de seguridad de API que dependen en gran medida de la autenticación como defensa principal ya no son suficientes. Además, el 98% de los intentos de ataque se dirigieron a las API externas, lo que refuerza que las API públicas son el principal vector de ataque para los actores maliciosos, anotó Eliyahu.

Otras conclusiones clave del Informe sobre el estado de la seguridad de las API de 2025 son las siguientes:

  • La madurez de la seguridad de las API sigue siendo baja a pesar del aumento de los presupuestos
  • Según los encuestados, el 69% de las organizaciones aumentaron sus presupuestos de seguridad de API en más del 5%.
  • Sin embargo, la madurez general de las estrategias de seguridad de las API sigue siendo baja. El 59% de los encuestados todavía se encuentra en las etapas de planificación o básicas, y solo el 6% informó de programas de seguridad de seguridad de API avanzados.
  • Las restricciones presupuestarias (30 %), las limitaciones de recursos (22 %) y las herramientas inadecuadas (10 %) siguen obstaculizando el progreso.

La mayoría de los ataques se correlacionan con el Top 10 de seguridad de la API de OWASP

"Al examinar las técnicas de ataque dentro de los entornos de los clientes, los investigadores de Salt Labs descubrieron que el 80% de los intentos de ataque se alinean con las amenazas descritas en la lista de las 10 principales seguridades de la API de OWASP, comentó el ejecutivo.

  • Los investigadores de Salt Labs observaron que el 54% de los ataques observados estaban relacionados con errores de configuración de seguridad (API8).
  • La autorización a nivel de objeto roto (API1) representó el 27% de los ataques.
  • Por el contrario, las vulnerabilidades como la autenticación de usuario interrumpida (API2) y los errores de registro y supervisión de seguridad (API7) solo se relacionan con el 1% de los ataques.

Las organizaciones gestionan más API que nunca

Eliyahu anotó que el aumento de la adopción de API, impulsado por la necesidad de las organizaciones de modernizar las infraestructuras y desbloquear nuevas fuentes de ingresos, está contribuyendo al aumento del riesgo de seguridad de las API.

  • Casi un tercio (30%) de las organizaciones informaron de un crecimiento del 51-100% en el número de API que gestionan durante el último año, mientras que una cuarta parte de las organizaciones experimentaron un crecimiento superior al 100%.
  • Según los datos, el 43% de las organizaciones ahora administran hasta 100 API, mientras que el 34% supervisa entre 101 y 500 API diarias.

Las estrategias de mitigación de riesgos de GenAI abarcan la formación de desarrolladores y soluciones de seguridad de IA especialmente diseñadas

Para hacer frente a los riesgos de la GenAI, el ejecutivo indicó que las organizaciones están implementando una variedad de estrategias de mitigación.

  • El 56% de los encuestados está priorizando la capacitación de los desarrolladores para los desafíos de seguridad únicos del código generado por IA.
  • También se han implementado herramientas de seguridad especializadas en IA en un 37% para abordar las vulnerabilidades únicas introducidas por los procesos impulsados por IA.
  • El 40% está implementando revisiones de código y pruebas de seguridad para garantizar que el código y las API generados por IA cumplan con los estándares de calidad y seguridad.

Las organizaciones miden el éxito de la seguridad de las API mediante el análisis de la postura de cumplimiento y el ahorro de costos

Medir el retorno de la inversión (ROI) para la seguridad de las API es esencial para alinear las iniciativas de seguridad con los objetivos de la organización y demostrar valor a las partes interesadas, sostuvo Eliyahu.

  • Más de un tercio de las organizaciones (37%) evalúan las mejoras en la postura de cumplimiento para evaluar la eficacia de la seguridad de las API.
  • El 25% de las organizaciones miden el retorno de la inversión a través del ahorro de costes conseguido mediante la prevención de brechas de seguridad.
  • El 16% de los encuestados mide las reducciones en los incidentes de seguridad relacionados con las API para medir el éxito del programa.

Mantener inventarios de API precisos sigue siendo un desafío

El ejecutivo señaló que los hallazgos revelan brechas críticas en el monitoreo de API y la gestión de inventario.

  • De manera alarmante, solo el 15% expresó una gran confianza en la precisión de sus inventarios de API, mientras que el 34% admitió que carece de visibilidad sobre la exposición de datos confidenciales a través de las API.
  • Además, solo el 20% de los encuestados cuenta con medidas para monitorear continuamente las API.

Llegamos a ustedes gracias a:

CTOPeru toGo

BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »