Crecen las aplicaciones web y las API (y con ellas los riesgos de seguridad)

En medio de un entorno empresarial que sufre constantes ataques, la protección de las aplicaciones web y las API (interfaces de programación de aplicaciones) se complica.

Así lo constata el informe “Balancing Requirements for Application Protection” de Fastly en colaboración con Informa TechTarget’s Enterprise Strategy Group, que recoge las impresiones de profesionales de las industrias de la ciberseguridad y la Tecnología de la Información en Norteamérica.

Estos encuestados prevén que las aplicaciones y los sitios web crezcan un 39 % a lo largo del próximo par de años. Esto supone subir la media de 145 a 201 aplicaciones y páginas por organización.

Al mismo tiempo, se incrementará el uso de las API. Un 80 % encuestados espera que la mayoría de sus aplicaciones utilicen este recurso, lo que traerá ciclos de desarrollo ágiles y generalizará la adopción de la infraestructura cloud.

Los riesgos aumentan también. Un 57 % de las empresas de tamaño grande y mediano ha sufrido durante los últimos veinticuatro meses ataques a aplicaciones web o API que han aprovechado vulnerabilidades que no eran muy conocidas.

“El rápido crecimiento de las API ha cambiado radicalmente los entornos de aplicaciones y ha introducido importantes retos de seguridad y gobernanza”, identifica John Grady, analista principal en TechTarget’s Enterprise Strategy Group, “desde errores de configuración hasta inyección de API y ataques DDoS volumétricos”.

“Sin embargo”, apunta, “a medida que las organizaciones han ido superponiendo múltiples WAF” o cortafuegos de aplicaciones web “y herramientas de gestión de bots para hacer frente a estos riesgos, la complejidad ha ido en aumento”.

“Hemos llegado a un punto de inflexión en el que añadir diferentes herramientas de seguridad proporciona rendimientos decrecientes“, advierte.

Según el informe, al menos 9 de cada 10 organizaciones, un 92 % exactamente, cuentan con algún WAF. El 67 % llega a implementar varios cortafuegos de distintos proveedores.

Antes esta situación, Grady considera que “los equipos de ciberseguridad y TI deberían buscar formas de simplificar las operaciones y mejorar la seguridad mediante la consolidación de soluciones que ofrezcan tanto automatización como protección especializada frente a una amplia gama de amenazas”.

Actualmente, un 45 % de las organizaciones que ha recibido ataques DDoS asegura que formaban parte de una técnica de distracción en medio de una agresión mayor hacia su negocio, con interrupciones operativas y pérdidas de datos entre sus consecuencias.

Otro dato que deja el informe es la opinión compartida por un 59 % de los profesionales del ámbito TI, que creen que los ciberdelincuentes dominan el aprovechamiento de la inteligencia artificial para sus campañas.

Fernando Medrano, Deputy Chief Information Security Officer de Fastly, explica que “la rapidez es esencial en la seguridad de las aplicaciones. Los ataques automatizados requieren defensas automatizadas igualmente rápidas para mantener el cumplimiento de las normativas de privacidad y seguridad y proteger la información de los usuarios”.

“A medida que las aplicaciones web y las API se vuelven cada vez más críticas, las organizaciones deben dar prioridad a la integración de la seguridad en el proceso de desarrollo del producto desde el principio, en lugar de tratarla como una idea a posteriori”, concluye.