En Latinoamérica, casi 9 de cada 10 organizaciones ya sufrió al menos un incidente de seguridad en API durante el último año. El dato, del 89%, surge de un estudio de Akamai y ubica a la región por encima del promedio global, que alcanzó el 87% en 2026.
La cifra marca un escenario concreto: los incidentes ya forman parte de la operación cotidiana de las empresas. Según el informe, las organizaciones registraron en promedio 3,5 problemas de seguridad relacionados con API en los últimos doce meses, con un costo medio superior a USD 700.000 por incidente.
El estudio, basado en las respuestas de 1840 profesionales de seguridad de seis sectores y diez países, también advierte que muchas compañías implementan API sin las pruebas ni los controles necesarios, lo que las deja expuestas una vez que están en producción.
La IA acelera la exposición y amplía la superficie de ataque
El avance de la inteligencia artificial aparece como un factor que profundiza el problema. Las API son la base sobre la que operan aplicaciones de IA, agentes automatizados y modelos de lenguaje de gran tamaño, lo que incrementa su valor estratégico y su atractivo para los atacantes.
El 42% de los profesionales consultados afirmó que las API que sostienen sus aplicaciones de IA, agentes y LLM fueron atacadas durante el último año. En paralelo, el 38% de los equipos de seguridad señaló que proteger tecnologías de IA será su principal prioridad de ciberseguridad en los próximos doce meses.
A este escenario se suma una pérdida de visibilidad. Solo el 27% de las empresas que cuentan con inventarios completos de API sabe cuáles de esas interfaces exponen datos confidenciales, una caída frente al 40% registrado en 2022.
“La rápida expansión de la superficie de ataque de API implica que las organizaciones que dependen en gran medida de las API se enfrentan a una visibilidad comprometida y grandes riesgos que pueden llegar a tener un impacto económico”, afirmó Sean Lyons, vicepresidente sénior y director general de Seguridad de Aplicaciones e Infraestructuras de Akamai.
El ejecutivo agregó que la cantidad de API crece a un ritmo que muchas empresas no logran seguir, y advirtió que, en entornos con inteligencia artificial, la seguridad de estas interfaces debe incorporarse desde el diseño.
Sectores más afectados y brechas internas
El impacto no es uniforme entre industrias. En servicios financieros, el 96% de los encuestados reportó haber sufrido ataques a API en los últimos doce meses.
Los costos más altos por incidente se registraron en energía y servicios públicos, con USD 860.000; fabricación, con USD 732.000; y salud y ciencias de la vida, con USD 725.000.
A nivel organizacional, el estudio también detecta diferencias entre la percepción de los directivos y la realidad de los equipos técnicos. El 40% de los ejecutivos considera que sus empresas tienen un nivel elevado de madurez en pruebas avanzadas de API, mientras que entre los equipos de DevSecOps esa percepción baja al 28%.
Además, solo el 53% de las organizaciones cuenta con personal dedicado específicamente a la seguridad de API, un dato que refleja limitaciones en la capacidad operativa para enfrentar este tipo de amenazas.
Qué recomiendan para reducir el riesgo
El informe plantea que el primer paso es cerrar las brechas de visibilidad. Para eso, recomienda detectar y construir un inventario completo de todas las API, en especial las vinculadas con aplicaciones de inteligencia artificial, modelos de lenguaje y agentes.
También propone integrar pruebas y controles de seguridad a lo largo de todo el ciclo de vida de las API, en lugar de concentrarlos en etapas finales del desarrollo.
El planteo central es que la seguridad de las API deje de ser un componente adicional y pase a ser una condición previa para desplegar sistemas digitales. En un entorno donde la IA depende de estas conexiones para operar, cada API sin control se convierte en un punto de entrada potencial para incidentes con impacto económico directo.