APIs inseguras colocam o comércio eletrônico latino-americano em risco

A Akamai se refere à importância de criar um ecossistema seguro em torno de APIs em verticais de alto crescimento, como o comércio eletrônico, porque elas se tornaram um elemento-chave para sua operação.

As vendas de e-commerce na América Latina valeram aproximadamente US$ 108,3 bilhões em 2023 e devem ficar em torno de US$ 200 bilhões até 2029. A região abriga aproximadamente 300 milhões de compradores digitais, um número que deve crescer mais de 15% até 2027. Regionalmente, Brasil e México competem pelos holofotes, respondendo por 28,51% e 26,37% do mercado de e-commerce, respectivamente. No entanto, outras economias como Argentina, Peru e Colômbia começaram a se destacar devido ao seu rápido crescimento.

Oswaldo Palacios, Latam Senior Account Executive da Akamai, destacou que tanto as lojas virtuais quanto os marketplaces são os principais usuários das APIs; sua essência principal é que o e-commerce possa se comunicar de forma otimizada com os sistemas e aplicações dos usuários e fornecedores. Por exemplo, elas são vitais na inclusão de um gateway de pagamento que opere internacionalmente sem a necessidade de utilizar fornecedores externos ou APIs de envio que são indispensáveis ​​para uma gestão eficiente de envios, garantindo que os produtos sejam entregues no prazo e na qualidade prometida.

Dada sua importância e crescimento, a segurança de API deve ser uma preocupação primária para organizações que buscam proteger componentes vulneráveis ​​de sua infraestrutura. As APIs estão cada vez mais em evidência, como evidenciado pelo aumento constante no número de ataques. No relatório Digital Fortresses Under Siege: Threats to Modern Application Architectures, a Akamai observa que observou mais de 26 bilhões de ataques da web contra aplicativos e APIs somente no mês de junho de 2024, e que esses ataques aumentaram em 49% no último ano.

“O setor de comércio é um alvo prioritário para ataques cibernéticos devido à enorme quantidade de dados pessoais e financeiros que são trocados online; ele depende muito da tecnologia para transacionar e armazenar informações de clientes, o que o torna vulnerável a ameaças cibernéticas. Os criminosos cibernéticos geralmente têm como alvo varejistas e processadores de pagamento online para roubar dados confidenciais ou interromper operações comerciais”, opinou o especialista.

Especificamente, o setor de comércio foi vítima do maior número de ataques a APIs e aplicativos da Web (164 bilhões), com mais que o dobro do número de ataques observados no setor de alta tecnologia (59 bilhões), de janeiro de 2023 a junho de 2024, de acordo com o relatório SOTI 2023 da Akamai, Slipping Through the Security Gaps: The Rise of Application and API Attacks.

De acordo com Oswaldo Palacios, quando comprometidas, as APIs podem fornecer acesso não autorizado a informações confidenciais, o que pode ter uma série de repercussões, incluindo roubo de dados e fraude. No entanto, as ramificações dos ataques de API não se limitam à perda de dados, mas se estendem à erosão da confiança do cliente, danos à marca e à reputação e potenciais problemas de conformidade.

Os ataques de API mais comuns incluem vários vetores de ataque conhecidos, como: ataques de máquina no meio (MITM), ataques DDoS, ataques de injeção de SQL, geração insegura de chaves de API, bem como controles de acesso quebrados que permitem que invasores obtenham acesso a recursos privilegiados, modifiquem ou excluam conteúdo de sites ou roubem dados confidenciais.

Melhores práticas para e-commerce para proteger APIs
O especialista alertou que, à medida que APIs continuam a ser criadas e usadas para conectar funções de negócios, mais APIs defeituosas aparecem no sistema, tornando o setor de comércio um alvo lucrativo para agentes maliciosos. Ao reconhecer o impacto dos ataques de API, os negócios de e-commerce na América Latina podem abordar vulnerabilidades e melhorar sua postura geral de segurança cibernética.

À medida que a tecnologia continua a avançar, a segurança cibernética desempenhará um papel ainda mais crucial na proteção de empresas e consumidores. A Akamai aconselhou as empresas de e-commerce da América Latina a seguirem essas práticas recomendadas para o uso seguro de APIs, o que ajudará a construir um futuro digital próspero.

• Documente todas as APIs em seus controles de segurança de API para melhor visibilidade.
• Resolva problemas de configuração incorreta em suas APIs e implemente processos para evitar o surgimento de vulnerabilidades futuras.
• Estabeleça uma disciplina de monitoramento de API e caça a ameaças para fechar lacunas de segurança antes que invasores possam usá-las contra você.
• Escolha uma solução de segurança que possa mitigar uma ampla gama de ameaças, desde os 10 principais riscos de segurança de API da OWASP até ataques tradicionais da web.
• Use soluções de segurança que ofereçam análises comportamentais para detectar abusos de lógica de negócios e outras anomalias.
• Aproveite as orientações da OWASP sobre práticas de codificação para evitar os ataques mais comuns.
• Realize avaliações regulares de vulnerabilidade e selecione um fornecedor de soluções de segurança de nível internacional para dar suporte a você.
• Fique por dentro das ameaças emergentes.

Por fim, Oswaldo Palacios pediu que as empresas de e-commerce saibam como suas APIs se comportam mesmo dentro de seu firewall. Além disso, faça parceria com um fornecedor de segurança que tenha visibilidade em um grande ecossistema de API além do seu, o que ajudará a proteger sua postura geral de segurança.