APIs Sob Ataque: Estratégias para proteger a confiança digital em tempos de fraudes e regulação
Aumento de incidentes em APIs: mais de 40 mil casos reportados no primeiro semestre de 2025 desafiam estratégias de segurança digital.
Aumento da Vulnerabilidade das APIs em Operações Críticas
A crescente importância das APIs em operações essenciais, como pagamentos e autenticação, tem ampliado significativamente a superfície de ataque digital. Esse cenário gerou três principais desafios para as estratégias de segurança das organizações.
Desafios de Segurança das APIs
Primeiramente, a automação dos ataques se tornou mais sofisticada, com o uso de inteligência artificial e bots que imitam usuários legítimos, consumindo endpoints de forma eficiente. Em segundo lugar, a proliferação de shadow e zombie APIs, que são componentes não documentados ou desatualizados, dificulta a visibilidade e a resposta a incidentes de segurança. Por fim, os ataques estão se tornando mais complexos, combinando táticas como DDoS na camada de aplicação e abusos de lógica de negócio, visando processos críticos como autenticações e pagamentos.
Somente no primeiro semestre de 2025, mais de 40 mil incidentes envolvendo APIs foram registrados, conforme um relatório da Imperva. Embora as APIs representem apenas 14% da superfície de ataque, 44% do tráfego de bots avançados foi direcionado a elas. Os endpoints que permitem acesso a dados e pagamentos são os mais visados, resultando em fraudes, indisponibilidade de serviços e exposição de dados, evidenciando que a expansão do uso de APIs superou a maturidade dos controles de segurança.
Setores Críticos Sob Pressão
No Brasil, a expansão dos ecossistemas Open Finance e Open Insurance visa fortalecer a identidade digital do consumidor e aumentar a segurança nas transações financeiras. Essa evolução deveria proporcionar maior segurança e eficiência, mas também trouxe desafios regulatórios significativos.
Recentes marcos regulatórios, como a Resolução nº 15/2024 da ANPD e a Resolução BCB nº 498/2025, impuseram exigências mais rigorosas às instituições, incluindo a comunicação rápida de incidentes de segurança e requisitos de governança para Provedores de Serviços de Tecnologia da Informação. Isso impacta diretamente a segurança das APIs de terceiros, que devem atender aos mesmos padrões de segurança e notificação.
O setor de saúde, em particular, tem sido alvo frequente de ataques a APIs devido ao alto valor dos dados que circulam entre seus sistemas. O custo médio de uma violação de dados nesse setor é de aproximadamente US$ 10 milhões, o mais alto entre todas as indústrias. Um exemplo notável foi o ataque à Change Healthcare em 2024, que resultou em atrasos em autorizações e um impacto financeiro significativo.
Estratégias Essenciais para Segurança das APIs
As APIs não apenas comprometem serviços, mas também afetam margens de lucro e expõem as empresas a penalidades legais e danos à reputação. Portanto, é crucial que as organizações adotem uma abordagem estruturada e imediata para gerenciar os riscos associados às APIs.
As organizações devem priorizar ações práticas para se adequar ao cenário atual, que inclui:
- Descobrir e catalogar as APIs, reduzindo a presença de shadow e zombie APIs e categorizando-as por risco;
- Reforçar a camada de execução das APIs, garantindo que todas as interações passem por verificações automáticas;
- Aumentar os mecanismos de autenticação e autorização das APIs;
- Integrar antifraude e SOC para melhorar a análise transacional, utilizando sinais comportamentais;
- Mapear riscos de terceiros, assegurando que cumpram os controles de segurança da organização.
Embora a jornada para garantir a segurança das APIs seja desafiadora, ela é essencial para aumentar a visibilidade sobre o ecossistema de APIs e reduzir os riscos aos negócios, promovendo a confiança digital e a sustentabilidade organizacional.
Fonte por: Its Show
