O volume de ataques à Web atingiu 311 bilhões em 2024, representando um aumento de 33% em comparação ao ano anterior, segundo o novo relatório State of Internet - Como a IA está mudando o panorama digital, da Akamai Technologies. O relatório aponta que a rápida adoção de aplicações com inteligência artificial (IA) tem ampliado as superfícies de ataque digitais, sendo as APIs os principais alvos, com 150 bilhões de ataques registrados pela empresa no período de janeiro de 2023 a dezembro de 2024.

A expansão do mercado de APIs baseadas em inteligência artificial, muitas vezes com autenticação inadequada e acessos externos abertos, aumentou a exposição a técnicas avançadas de exploração. O relatório mostra que essas APIs são ainda mais vulneráveis que as tradicionais, já que os cibercriminosos também têm se beneficiado de tecnologias baseadas em IA para automatizar ataques e contornar barreiras de segurança.

Além disso, a Akamai também aponta um aumento significativo nos ataques de DDoS (negação de serviço distribuída) da camada 7 (camada de aplicação) contra aplicações Web e APIs. O volume mensal de ataques passou de pouco mais de 500 bilhões no início de 2023 para mais de 1,1 trilhão em dezembro de 2024 – um aumento de 94%. Esse crescimento se deve à crescente sofisticação dos ataques conduzidos por bots, à persistência da inundação de HTTPS como principal vetor de ataque e à prevalência de ataques de DDoS de camada 7 direcionados ao setor de alta tecnologia.

Segundo Rupesh Chokshi, vice-presidente sênior e gerente geral do portfólio de segurança de aplicações da Akamai, a evolução do cenário exige atenção redobrada. “A IA está transformando a segurança da Web e das APIs, aprimorando a detecção de ameaças, mas também criando novos desafios. Esse relatório é uma ótima leitura para entender o que está impulsionando a mudança e como os defensores podem se manter à frente com as estratégias de mitigação corretas”, afirma o executivo.

Outras descobertas do relatório incluem:

Houve mais de 230 bilhões de ataques direcionados a organizações comerciais na Web, o que torna esse o setor mais afetado. Isso é quase o triplo do número de ataques registrados pelo setor de alta tecnologia (o segundo setor mais afetado).
Houve 7 trilhões de ataques de DDoS de camada 7 direcionados ao setor de tecnologia de janeiro de 2023 a dezembro de 2024, tornando-a a indústria mais afetada.
Os 10 principais incidentes relacionados à segurança de APIs da OWASP aumentaram 32%, revelando falhas de autenticação e autorização que expõem dados e funcionalidades confidenciais.
O crescimento dos alertas de segurança relacionados à estrutura de segurança MITRE aumentou 30%, pois os invasores estão usando técnicas avançadas, como automação e IA, para explorar APIs. 
As APIs sombra e zumbis apresentam vetores de ataque particularmente vulneráveis em ecossistemas de API cada vez mais complexos.
O relatório ainda apresenta um estudo de caso envolvendo ataque à API de uma empresa de comércio eletrônico, explica as diferenças entre ataques Web e ataques direcionados a APIs, e traz recomendações técnicas para mitigação. Também inclui dados regionais e setoriais, além de insights sobre pontuação de risco para ajudar profissionais de segurança a se prepararem para as novas ameaças.