Akamai Technologies ha publicado un nuevo informe sobre el estado de Internet (SOTI) que arroja 311.000 millones de ataques web perpetrados en 2024, lo que supone un aumento anual del 33%. El estudio Estado de la seguridad de API y aplicaciones 2025: cómo cambia la IA el panorama digital, señala que el aumento de estos ataques está relacionado con la rápida adopción de aplicaciones de inteligencia artificial (IA), que amplían las superficies de ataque e introducen nuevos retos para la seguridad.
El informe también concluye que las API han surgido como objetivos principales, con Akamai detectando 150 mil millones de ataques a API desde enero de 2023 hasta diciembre de 2024. El mercado de API de IA está creciendo rápidamente y la integración de herramientas impulsadas por IA con plataformas básicas a través de API ha ampliado sustancialmente esta superficie de ataque. La mayoría de las API impulsadas por IA son accesibles externamente y muchas dependen de mecanismos de autenticación inadecuados, una vulnerabilidad agravada por la creciente variedad de ataques impulsados por IA dirigidos a ellas. Akamai señala que las API impulsadas por IA son aún más vulnerables que sus homólogas, ya que la IA alimenta los avances técnicos para los ciberdelincuentes.
Además, Akamai documenta un aumento espectacular de los ataques de denegación de servicio distribuidos (DDoS) de Capa 7 (capa de aplicación) contra aplicaciones web y API. Los volúmenes de ataques trimestrales aumentaron un 94% interanual entre el primer trimestre de 2023 y el cuarto trimestre de 2024. A principios de 2023, se observaron cifras mensuales de 500.000 millones, que aumentaron a 1.1 billones en un mes en diciembre de 2024. Este crecimiento se debe a la creciente sofisticación de los ataques impulsados por bots, la persistencia de la inundación HTTPS como vector de ataque principal y la prevalencia de los ataques DDoS de Capa 7 dirigidos a la industria de alta tecnología.
El informe incluye también los siguientes datos clave:
-
Se produjeron más de 230.000 millones de ataques web dirigidos al sector comercial, lo que la convierte en la industria más afectada. Esta cifra supone casi el triple de ataques experimentados por la alta tecnología (el segundo sector más atacado).
-
Se produjeron 7 billones de ataques DDoS de Capa 7 dirigidos al sector de la alta tecnología desde enero de 2023 hasta diciembre de 2024, lo que lo convierte en el sector más afectado.
-
Los incidentes relacionados con OWASP API Security Top 10 aumentaron un 32%, revelando fallos de autenticación y autorización que exponen datos y funcionalidades sensibles.
-
El crecimiento de las alertas de seguridad relacionadas con el marco de seguridad MITRE ha aumentado un 30%, ya que los atacantes están utilizando técnicas avanzadas como la automatización y la IA para explotar las API.
-
Las API en la sombra y zombis presentan vectores de ataque particularmente vulnerables dentro de ecosistemas de API cada vez más complejos.
En el estudio El Estado de la seguridad de API y aplicaciones 2025: cómo cambia la IA el panorama digital, también contiene un enfoque especial de seguridad sobre un ataque a una API dirigido a una empresa de comercio electrónico, una explicación de las diferencias entre los ataques web y los ataques a API, datos de ataques por región e industria, y estrategias de mitigación recomendadas. El informe ofrece perspectivas únicas sobre la evaluación de riesgos y métodos técnicos diseñados para ayudar a los defensores en primera línea.
“La inteligencia artificial está transformando la seguridad web y de las API, mejorando la detección de amenazas, pero también creando nuevos desafíos”, señala Rupesh Chokshi, Vicepresidente Senior y Gerente General del Portafolio de Seguridad de Aplicaciones de Akamai. “Este informe es fundamental para entender qué está impulsando este cambio y cómo los defensores pueden mantenerse un paso adelante con las estrategias de mitigación adecuadas”.
Este es el onceavo año de los informes SOTI de Akamai. La serie SOTI ofrece conocimientos expertos sobre ciberseguridad y rendimiento web, y está basada en datos recopilados de nuestra infraestructura de red, que procesa más de un tercio del tráfico web global.
Autor
