As interfaces de programação e aplicação (APIs), que desempenham um papel fundamental para a maioria das empresas, estão no radar dos cibercriminosos. A Akamai detectou, em seu último relatório SOTI (State of the Internet) de 2024, intitulado Lurking in the Shadows: Attack Trends Shine Light on API Threats (em tradução livre, Escondido nas Sombras: Tendências de Ataques Revelam as Ameaças às APIs), um panorama em constante mudança de ciberataques direcionados às APIs. O relatório mostrou que 29% dos ciberataques do último ano tiveram as APIs como principal alvo. O motivo seria a crescente atenção que os cibercriminosos estão prestando a essas interfaces digitais, se aproveitando das oportunidades criadas pela rápida expansão da economia das APIs. Além disso, o documento ressaltou que o setor de comércio é o número um em ataques, com 44%.   Um dos pontos importantes abordados no relatório é o business logic abuse, levantando a difícil tarefa de detectar atividades anormais sem uma linha de base clara. A falta de soluções para monitorar essas anomalias coloca as organizações em risco de sofrer ataques em tempo de execução, como o “data scraping”.  De acordo com a Akamai, as APIs podem expor dados aos cibercriminosos, uma vez que obtenham acesso não autorizado. Por outro lado, as APIs vêm sendo fundamentais em recentes evoluções dos negócios, elevando a experiência tanto dos usuários quanto dos provedores. A agilidade e eficiência para os negócios proporcionam a rápida expansão da economia das APIs, mas esse progresso deu aos cibercriminosos novas oportunidades de exploração digital.   Claudio Baumann, diretor-geral da Akamai Technologies para a América Latina, destacou que identificar pontos cegos, como APIs ocultas ou não autorizadas, permite que as equipes de segurança abordem vulnerabilidades previamente. Baumann explica que o vazamento de informações de cartão de crédito, por meio de uma API de um aplicativo bancário, por exemplo, pode expor detalhes como números de cartão, informações de transações e saldo da conta, sendo utilizados para outros tipos de golpes Os ataques às APIs não só representam uma ameaça para as empresas, mas também têm um impacto significativo na vida das pessoas. O vazamento de dados confidenciais pode resultar em roubo de identidade, levando a fraudes financeiras e violações de privacidade para os clientes das empresas afetadas. Além disso, a interrupção dos serviços essenciais pode causar frustração e inconveniência para os usuários finais. O relatório identificou três desafios gerais de segurança enfrentados pelas APIs: visibilidade, vulnerabilidade e abuso de lógica empresarial. A falta de controles e processos para garantir a proteção de todas as APIs, bem como a ausência de melhores práticas de desenvolvimento, são reveladas como vulnerabilidades-chave. Os serviços empresariais ocupam o segundo lugar em risco, com quase 32% dos ataques, destacando os perigos potenciais dos ataques à cadeia de suprimentos. A falta de compreensão sobre as implicações de segurança das APIs em diversas verticais, como o setor de saúde com a Internet das Coisas Médicas (IoMT), adiciona uma camada adicional de ameaças. O relatório destacou ainda que erros de programação ou configuração, combinados com a rapidez no lançamento de aplicativos e processos empresariais, aumentam o risco de violações de segurança. As ramificações incluem danos à marca, perda de dados confidenciais e problemas de conformidade, destacando a importância crítica da segurança das APIs atualmente.  Para Baumann, a falta de investimento adequado em segurança de APIs pode ter consequências diretas para clientes e reputação de marca, além de expor empresas a riscos legais, regulatórios e financeiros significativos. Como exemplos, ele citou multas, litígios e danos à reputação que podem resultar em impactos duradouros.   Implementar controles de acesso robustos, monitorar atividades suspeitas, educar e treinar os funcionários sobre práticas seguras de desenvolvimento e uso de APIs, além de medidas de segurança em todas as etapas do ciclo de vida das APIs são algumas das práticas essenciais contra os ataques às APIs.