Hoy las organizaciones todas las industrias —incluida la salud— gestionan al menos 300 API en su ecosistema TIC. Éstas juegan un papel crucial en el proceso de transformación digital al apoyar el rápido desarrollo y la implementación de nuevos proyectos y aplicaciones. Sin embargo, de acuerdo con un el informe Imperva Bad Bot 2023, las API se han convertido en un objetivo prioritario para las amenazas automatizadas. Esto se debe a la facilidad para orquestar un ataque con bots malos contra ellas.

De todos los ataques dirigidos a las API el año pasado a nivel mundial, el 17% procedían de bots malos. Éstos aprovechan los defectos en el diseño y la implementación de una API o aplicación para manipular la funcionalidad legítima para robar datos confidenciales o acceder ilegalmente a las cuentas.

Tipos de ataques de bots malos contra las API

●Extracción de datos. Los bots malos pueden utilizarse para extraer datos de las API, recopilando información confidencial de usuarios, de productos y mucho más. Esta información puede utilizarse con fines maliciosos, como obtener una ventaja competitiva o realizar robos de identidad o fraudes.

●Adquisición de cuentas. Los bots pueden usarse para apoderarse de las cuentas de los usuarios mediante diversas técnicas. Dos ejemplos son el relleno de credenciales por fuerza bruta y el secuestro de sesiones. Esto puede ser especialmente peligroso si la API proporciona acceso a datos o funcionalidades sensibles y puede conducir al robo de identidad o fraude. El 35% de los ataques de apropiación de cuentas recodificados por Imperva en 2022 tenían como objetivo específico las API.

●Denegación de servicio distribuido (DDoS). Los bots malos pueden utilizarse para saturar las API con peticiones con ataques DDoS y lograr que dejen de responder o incluso se bloqueen. Esto puede interrumpir la capacidad de los usuarios legítimos para acceder a la API e incluso puede usarse como forma de extorsión o sabotaje.

●Sondeo de API. Los bots también pueden utilizarse para sondear las API en busca de vulnerabilidades. No se trata de un ataque directo en sí, sino de una fase de reconocimiento. Esto ayuda a los atacantes a identificar posibles brechas que pueden explotar posteriormente.

●Exfiltración de datos. Muchas vulnerabilidades a nivel de lógica empresarial son específicas de un fallo de implementación de una API. Los bots malos pueden exfiltrar información llamando a que las API devuelven cantidades excesivas de datos, más de lo necesario para la función.

Precauciones a tomar

«Es importante que las empresas tomen en cuenta que el 39.1% del tráfico de bots en México proviene de bots malos. El 72.8% se clasifican como “avanzados”. Con la llegada de la inteligencia artificial generativa, los ataques automatizados con bots evolucionarán a un ritmo aún mayor y más preocupante en los próximos años», afirma Ricardo Cázares, vicepresidente de Imperva en Latinoamérica y el Caribe.

«Los ciberdelincuentes se centrarán cada vez más en atacar las API», continúa. «Como resultado, la interrupción del negocio y el impacto financiero asociado a los bots malos serán más significativos. Por ello, las organizaciones necesitan actuar ahora e invertir en tecnología de ciberseguridad de gestión de bots y prevención online capaces de identificar y detener amenazas sofisticadas».