Por Daniela Costa, diretora para a América Latina da Salt Security
A região da América Latina e Caribe tem estado cada vez mais na mira dos ciberataques, com estudos apontando um crescimento superior a 50% no número de atividades criminosas no curto espaço de seis meses*. Neste contexto é claro que o Brasil, pela dimensão de sua economia, se destaca como um alvo prioritário.
Este crescimento expressivo no número de ataques abrange diversas táticas criminosas como ransomware, phishing e engenharia social, mas uma outra área de ataque em expansão exponencial ainda não recebe a devida atenção e ela está presente em nosso dia a dia de uma forma tão maciça que nem notamos. Estou falando das APIs.
As APIs potencializam nossa presença nas redes sociais, permitindo nossa interação com outras pessoas e o compartilhamento de conteúdos. Quando a entrega de uma refeição é feita, o aplicativo utilizado faz uso de API. O mesmo ocorre quando fazemos uma reserva de viagem: hotéis, companhias aéreas e locadoras de veículos empregam APIs. O mesmo ocorre quando usamos aplicativos de entretenimento em busca de uma música ou um filme. Cada contato que fazemos com bancos ou outras instituições financeiras pela Internet também envolve o uso de APIs.
A maioria das pessoas permanece inconsciente das centenas de APIs que estão sendo usadas em seu cotidiano. Mais e mais pessoas fazem uso de APIs em suas rotinas, mesmo sem perceber. Esse não é o caso dos cibercriminosos, que estão atacando cada vez com mais frequência as APIs. A segurança das APIs ainda não é proporcional à atenção que elas despertam nos maus atores.
De acordo com o Relatório Salt sobre o Estado da Segurança de API* , 94% das organizações tiveram problemas de segurança em suas APIs de produção no ano passado. Além disso, um estudo recente descobriu que o custo médio de uma violação de segurança é de US$ 6,1 milhões, incluindo custos de remediação e danos à reputação da marca, valor que deve aumentar para quase US$ 14,5 milhões até 2030.
Esses são números preocupantes, pois APIs inseguras representam um grande risco para a proteção dos dados dos sistemas que as utilizam. Ao fornecer acesso aos dados críticos de uma organização e às funcionalidades de um sistema, uma API pode desencadear inúmeras exposições a possíveis ameaças, desde o acesso a informações confidenciais até a não conformidade e o desrespeito às leis e regulamentos de segurança, como a LGPD, expondo a organização a pesadas multas e comprometendo sua marca no mercado.