La inteligencia artificial (IA) y las interfaces de programación de aplicaciones (APIs) se han consolidado como piezas clave en la transformación digital de las empresas. Sin embargo, su creciente adopción en Latinoamérica está ampliando también la superficie de exposición a ciberamenazas.
De acuerdo con el estudio Estado de la seguridad de API y aplicaciones 2025: cómo cambia la IA el panorama digital de Akamai, solo en 2024 se registraron más de 311.000 millones de ataques contra APIs y aplicaciones web a nivel global, un incremento interanual del 33%. Este repunte se vincula directamente con la acelerada adopción de servicios en la nube, arquitecturas de microservicios y soluciones basadas en IA.
“Hoy observamos que la inteligencia artificial no solo acelera la innovación, sino que también está siendo utilizada por los ciberdelincuentes. El incremento del uso de la IA ha coincidido con un aumento significativo de los ataques a APIs, ya que los atacantes emplean herramientas de IA para el reconocimiento, la explotación y la automatización de amenazas”, advierte Jairo Parra, experto en Seguridad de Akamai.
Índice de temas
Inteligencia artificial y seguridad de APIs en América Latina
El estudio advierte que América Latina se ha convertido en un objetivo prioritario para la ciberdelincuencia, impulsada por la acelerada digitalización y la creciente interconectividad de la región. “En países como México, Brasil, Colombia y Argentina, el avance de la digitalización ha sido impresionante. Sin embargo, muchas organizaciones aún carecen de visibilidad sobre sus APIs, lo que las convierte en blancos atractivos”, señala el experto.
Entre enero de 2023 y junio de 2024, se contabilizaron más de 108 mil millones de ataques a APIs en Latinoamérica, con un fuerte impacto en sectores como el comercio electrónico, la banca digital y los medios de comunicación. Los procesadores de pagos, bancos, compañías de seguros, fintech e intercambios de criptomonedas aparecen entre los más vulnerables, al depender de una infraestructura digital que incluye aplicaciones web y API.
Según Parra, los atacantes están empleando inteligencia artificial para detectar componentes vulnerables en APIs, desarrollar exploits personalizados y reducir tiempos de ejecución mediante bots de IA que aprovechan fallos a gran escala. Además, utilizan tráfico masivo a través de bots inteligentes para provocar ataques DDoS automatizados y realizan intrusiones de baja intensidad, diseñadas para evadir los umbrales de alerta habituales en los sistemas de seguridad.
¿Cuánto valen los problemas de seguridad de las API?
Akamai estima que los problemas de seguridad de las API generan a las organizaciones pérdidas cercanas a 87.000 millones de dólares al año, una cifra que podría superar los 100.000 millones en 2026 si no se implementan medidas efectivas de protección.
El estudio advierte, además, que las API basadas en IA han mostrado ser especialmente inseguras, ya que muchas son accesibles externamente y dependen de mecanismos de autenticación inadecuados, lo que las convierte en un blanco directo para los ciberataques. A esto se suma la integración de grandes modelos de lenguaje (LLM) en aplicaciones web, lo que ha abierto nuevos vectores de vulnerabilidad.
“Muchas organizaciones priorizan la rapidez en la implementación de soluciones con IA sin evaluar de forma adecuada los riesgos de exposición. Esto deja abiertas puertas que los atacantes saben identificar con precisión”, señala el informe.
El documento revela que las APIs de herramientas de IA generativa concentran la mayor parte de los incidentes de seguridad reportados en sectores como el comercio electrónico y el retail, lo que confirma la urgencia de fortalecer las estrategias de protección frente a esta nueva ola de amenazas digitales.
¿Cuál es la solución para erradicar las amenazas de la IA?
El informe prevé un enorme crecimiento del mercado de API con IA: de 44.410 millones de dólares en 2025 se pasará a 179.140 millones en 2030, lo que supone una tasa de crecimiento anual compuesto del 32,2%.
En un panorama de amenazas en constante evolución, con técnicas de ataque cada vez más sofisticadas, la protección de las aplicaciones web y las API es un desafío esencial para las organizaciones. En este sentido, los cortafuegos de aplicaciones web (WAF) basados en IA emergen como una defensa crucial, ya que mitigan muchos tipos de ciberataques en aplicaciones web y API. Sin embargo, las soluciones WAF deben adaptarse constantemente a medida que evolucionan las amenazas y cambian las aplicaciones.
Al utilizar estrategias de aprendizaje automático multicapa, los nuevos WAF pueden identificar patrones anómalos, aprender y adaptarse de forma continua, mejorar los tiempos de respuesta ante amenazas de día cero y prevenir proactivamente riesgos antes de que afecten a las organizaciones.
Por último, Jairo Parra opina que el volumen y la velocidad de los ataques hacen que las defensas tradicionales ya no sean suficientes. “Necesitamos inteligencia en tiempo real, y ahí es donde los WAF basados en IA marcan la diferencia. Mientras la IA transforma radicalmente la innovación tecnológica, también redefine el escenario de riesgos. Las empresas de todos los sectores deberían adoptar enfoques de seguridad más dinámicos e incorporar defensas basadas en IA que estén a la altura de esta nueva generación de amenazas automatizadas”, concluyó.
Preguntas más frecuentes
¿Qué son las APIs?
Las interfaces de programación de aplicaciones (APIs) son programas de software que permiten que dos aplicaciones se comuniquen entre sí. Facilitan y aceleran el desarrollo de aplicaciones y mejoran la colaboración con clientes, socios, proveedores y usuarios externos.
¿Qué son los ataques a APIs?
Un ataque a API ocurre cuando un actor malicioso intenta obtener acceso no autorizado a una API para infiltrarse en un sistema o red, o para transferir datos. Si tiene éxito, el atacante puede interrumpir operaciones de negocio o robar información, dinero o credenciales. La mayoría de estos ataques aprovecha vulnerabilidades de seguridad dentro de las propias APIs.
¿Cuáles son las mejores defensas contra ataques a APIs?
La mejor defensa es un enfoque de seguridad en múltiples capas. Las organizaciones necesitan soluciones que puedan identificar APIs, probarlas para detectar vulnerabilidades y protegerlas con un conjunto de mecanismos como cortafuegos de aplicaciones web (WAF), autenticación multifactor (MFA), gestión de bots, protección contra DDoS y otras defensas avanzadas de última generación.
¿Qué es la exfiltración de datos a través de APIs?
La exfiltración de datos es una consecuencia frecuente de los ataques exitosos a APIs. Puede referirse al robo de información sensible y no pública por parte de un actor malicioso, pero también a formas menos graves de abuso, como el raspado agresivo de datos públicos, que permite reunir grandes volúmenes de información valiosa en conjunto.
