X-twitter

Akamai alerta: las APIs ya son la principal superficie de ataque en la era de la IA

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

La adopción acelerada de la inteligencia artificial está abriendo una nueva grieta de seguridad en las empresas: las APIs. Esa es la principal conclusión del nuevo informe 2026 Apps, APIs, and DDoS State of the Internet de Akamai, que sostiene que las organizaciones están concentrando cada vez más inversión en automatización e IA justo sobre la capa que hoy está recibiendo más presión ofensiva. Según la compañía, asegurar la IA pasa ya, de forma directa, por asegurar las APIs.

El aviso no se apoya en una intuición vaga. Akamai afirma que los atacantes están industrializando sus métodos y mezclando abuso de APIs, ataques a aplicaciones web y DDoS de capa 7 en campañas coordinadas, repetibles y relativamente baratas. El objetivo ya no sería solo lograr una gran intrusión mediática, sino degradar el rendimiento, elevar costes de infraestructura y explotar la automatización impulsada por IA a escala.

En ese contexto, el informe recoge cuatro cifras que explican bien el cambio de escenario: los ataques DDoS de capa 7 crecieron un 104 % en los dos últimos años, el 87 % de las organizaciones encuestadas sufrió al menos un incidente de seguridad relacionado con APIs en 2025, los ataques contra aplicaciones web subieron un 73 % entre 2023 y 2025, y el número medio diario de ataques a APIs aumentó un 113 % interanual.

Akamai interpreta estas cifras como una señal clara de que las aplicaciones y las APIs ya no pueden gestionarse como problemas separados. Cuando una empresa trata la seguridad web por un lado y la seguridad de APIs por otro, se crean vacíos de visibilidad justo donde el atacante necesita encontrar continuidad entre autenticación, lógica de negocio, abuso de workflows y disponibilidad.

El problema ya no es solo el código, sino el comportamiento

Uno de los elementos más relevantes del informe es que sugiere un desplazamiento desde ataques más clásicos hacia amenazas más ligadas al comportamiento. No se trata solo de explotar una vulnerabilidad técnica aislada, sino de abusar flujos legítimos, automatizar peticiones y tensar la infraestructura hasta convertir la propia lógica de negocio en un vector de ataque. Esa idea encaja con la tesis central del estudio: donde se concentra la inversión en transformación digital e IA, el riesgo la sigue de cerca.

Además, Akamai introduce un factor que conecta muy bien con lo que ya se está viendo en muchos equipos de desarrollo: el auge del llamado vibe coding. La compañía advierte de que el uso intensivo de IA para generar código está introduciendo vulnerabilidades y malas configuraciones que en demasiados casos llegan a producción sin pruebas suficientes. El mensaje no es que la IA cree una categoría completamente nueva de fallos, sino que amplifica debilidades ya existentes y acelera su llegada a entornos reales.

A eso se suma la evolución del mercado DDoS. Akamai atribuye buena parte del salto del 104 % en ataques de capa 7 al acceso sencillo a botnets de alquiler y a scripts asistidos por IA que reducen la barrera técnica para lanzar ataques contra aplicaciones web y APIs. También menciona la presencia de “superbotnets” como Aisuru y Kimwolf, derivadas de la arquitectura de Mirai, como parte de ecosistemas de DDoS como servicio usados por grupos criminales y actores hacktivistas.

APIs, agentes y nuevas amenazas autónomas

El informe también conecta esta presión sobre las APIs con un fenómeno más amplio: la expansión de la IA agéntica. Akamai señala que las vulnerabilidades de los sistemas agentic están ampliando la superficie de ataque moderna y cita el nuevo marco de OWASP Top 10 for Agentic Applications 2026, que identifica riesgos específicos para agentes capaces de actuar de forma autónoma.

OWASP describe entre esos riesgos amenazas como goal hijacking, tool misuse, identity and privilege abuse, unexpected code execution y memory & context poisoning. En otras palabras, el problema ya no es solo que una API quede expuesta, sino que un agente con acceso a herramientas, memoria y credenciales pueda ser manipulado para usar correctamente una herramienta legítima con un objetivo completamente malicioso.

Eso tiene una implicación práctica para cualquier organización que esté desplegando copilots, agentes internos o automatización conectada a sistemas reales: proteger la API ya no basta solo con poner un WAF delante. Hace falta revisar autenticación, límites de uso, abuso de workflows, exposición de datos sensibles y control fino sobre qué herramientas o acciones puede invocar un agente. La presión ofensiva se está moviendo hacia donde viven la identidad, la lógica y la automatización.

La conclusión incómoda para 2026

Lo que deja el informe de Akamai es una conclusión incómoda pero bastante clara: muchas empresas siguen pensando la seguridad de la IA como si fuera un problema nuevo y separado, cuando en realidad una parte esencial del riesgo está asentada sobre componentes viejos y conocidos: APIs, aplicaciones web y disponibilidad. La diferencia es que ahora todo eso está siendo explotado con más automatización, más escala y más impacto económico.

Por eso, perseguir solo soluciones “específicas para IA” puede quedarse corto. La propia lógica del informe apunta a otra dirección: reforzar primero los fundamentos —inventario, visibilidad, autenticación, protección de APIs, limitación de abuso y resiliencia frente a DDoS— antes de asumir que el problema se resuelve solo con una nueva capa de IA security. Si las APIs son ya la base técnica de la transformación con IA, también son el punto donde esa transformación puede romperse primero.

Preguntas frecuentes

¿Qué dice Akamai sobre las APIs en 2026?
Que se han convertido en la principal superficie de ataque para las empresas que están acelerando su adopción de IA y automatización.

¿Qué cifras destacan del informe?
Akamai subraya un aumento del 104 % en los ataques DDoS de capa 7 en dos años, un 87 % de organizaciones con incidentes de seguridad relacionados con APIs en 2025, un crecimiento del 73 % en ataques a aplicaciones web entre 2023 y 2025 y un aumento del 113 % en ataques diarios a APIs.

¿Qué relación tiene esto con la IA agéntica?
El informe vincula el problema con la expansión de agentes autónomos y remite al marco OWASP 2026 para aplicaciones agentic, que identifica riesgos como goal hijacking, tool misuse y memory poisoning.

¿Qué es el “vibe coding” según este contexto?
Akamai usa el término para advertir de que el código generado con ayuda de IA puede introducir vulnerabilidades y configuraciones inseguras que alcanzan producción sin el nivel de pruebas adecuado.

vía: akamai

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Nota de Prensa

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Akamai alerta: las APIs ya son la principal superficie de ataque en la era de la IA

Meta acelera MTIA y se suma a la carrera por chips propios para inferencia

Templus acelera su expansión y apunta a 26 centros de datos en 2026

SK hynix avisa: la escasez de obleas para memoria puede durar hasta 2030

Las últimas novedades de tecnología y cloud

Suscríbete gratis al boletín de Revista Cloud. Cada semana la actualidad en tu buzón.

Suscripción boletín
×