Los ataques de denegación de servicio distribuido han dejado de ser, para muchas entidades financieras, una molestia temporal que tumba una web durante unos minutos. El nuevo informe de Akamai sobre amenazas en servicios financieros describe un escenario más incómodo: campañas más largas, más automatizadas y con mayor capacidad para afectar a banca online, pagos digitales, aplicaciones críticas y APIs.
Según la compañía, los servicios financieros son ya el sector más atacado por DDoS de capas 3 y 4, con un aumento del 738 % en la duración media global de este tipo de ataques desde 2024. El dato importa porque la banca ha movido buena parte de su relación con el cliente hacia canales digitales que deben estar disponibles casi siempre. Cuando una app bancaria, una pasarela de pago o una API de consulta se cae, el problema no es solo técnico. También afecta a la confianza, al cumplimiento normativo y a la continuidad del negocio.
El DDoS ya no es solo ruido: también es presión operativa
El informe AI-Empowered Botnets and API Visibility Gaps: Attack Trends in Financial Services, dentro de la serie State of the Internet Security de Akamai, apunta a una combinación especialmente delicada: botnets asistidas por inteligencia artificial, grupos hacktivistas y una superficie de exposición creciente por la digitalización financiera. Akamai menciona de forma específica el papel de campañas hacktivistas proiraníes y de bots impulsados por IA en ataques dirigidos a banca online, sistemas de pago y aplicaciones críticas.
La evolución del DDoS es relevante porque no todos los ataques buscan robar datos desde el primer minuto. Algunos persiguen interrumpir servicios, saturar equipos de seguridad, desgastar a los equipos técnicos o crear ruido mientras se prueban otros vectores. En un banco, una caída prolongada puede afectar a clientes particulares, comercios, proveedores de pago y servicios conectados mediante APIs.
Akamai también señala que el 96 % de los líderes de servicios financieros encuestados para su estudio de impacto de seguridad API de 2026 declaró haber sufrido al menos un incidente de seguridad relacionado con APIs durante los últimos 12 meses. Es el porcentaje más alto entre los sectores analizados. La cifra encaja con una realidad conocida por muchos equipos de seguridad: las APIs son el pegamento de la banca moderna, pero también un punto de entrada difícil de controlar cuando hay aplicaciones móviles, banca abierta, integraciones con terceros, pagos en tiempo real y servicios internos desplegados a gran velocidad.
| Indicador destacado | Dato señalado por Akamai |
|---|---|
| Aumento de la duración media de DDoS de capas 3 y 4 contra servicios financieros | 738 % desde 2024 |
| Líderes financieros que notificaron al menos un incidente API en 12 meses | 96 % |
| Ataques web de 2025 dirigidos a banca | 60 % del total |
| Incursiones contra endpoints API dirigidas a banca en 2025 | 83 % |
| Instituciones financieras afectadas por ransomware en dos años | Casi 80 % |
| Aumento de actividad de bots avanzados a finales de 2025 | 147 % |
APIs, bots y ransomware: tres riesgos que se cruzan
Uno de los puntos más llamativos del informe es que Akamai no presenta los ataques como fenómenos aislados. La compañía dibuja una amenaza más conectada, en la que los atacantes combinan DDoS, abuso de APIs, bots avanzados, scraping malicioso y ransomware. En 2025, según sus datos, el 60 % de los ataques web y el 83 % de las incursiones contra endpoints API se dirigieron a banca.
La automatización cambia el ritmo de estos ataques. Un bot avanzado puede probar credenciales, raspar información, simular comportamiento humano, lanzar peticiones contra APIs o participar en campañas de saturación. Akamai afirma que la actividad de bots avanzados creció un 147 % a finales de 2025 y cita un caso en el que el 96 % de todo el tráfico de un sitio fue identificado como scraping malicioso.
El ransomware añade otra capa de presión. El informe indica que casi el 80 % de las instituciones financieras ha sufrido ataques de ransomware en los dos últimos años, aunque menos de la mitad habría adoptado tecnologías avanzadas de seguridad. Conviene leer este dato con prudencia, porque procede de la investigación y metodología de Akamai, pero apunta a una brecha habitual entre percepción del riesgo, presupuesto disponible y despliegue real de medidas defensivas.
La situación cambia además según la región. Akamai sitúa a EMEA como la principal zona afectada por DDoS de capas 3 y 4 en servicios financieros, con un 62 %. En Asia-Pacífico predominan los ataques DDoS de capa 7, con un 52 %, mientras que en Norteamérica los ataques web aparecen como la modalidad más frecuente, con un 44 %. Para bancos europeos, aseguradoras, fintech y proveedores de pago, esta lectura regional es importante porque la amenaza no se reparte de manera homogénea.
Europa mira el problema desde la resiliencia operativa
En la Unión Europea, este tipo de datos llega en plena aplicación del Reglamento DORA, vigente desde el 17 de enero de 2025 para reforzar la resiliencia operativa digital de entidades financieras. DORA obliga a mirar la ciberseguridad más allá de la prevención: gestión del riesgo TIC, notificación de incidentes, pruebas de resiliencia, control de proveedores tecnológicos y capacidad de recuperación forman parte del mismo marco.
La Directiva NIS2 también influye en este escenario, al establecer un marco común de ciberseguridad para 18 sectores críticos en la UE. Aunque DORA es la referencia más específica para el sector financiero, ambas normas empujan en la misma dirección: demostrar que la organización puede resistir, responder y recuperarse ante incidentes tecnológicos relevantes.
Para una entidad financiera, la defensa contra DDoS ya no puede limitarse a contratar capacidad adicional de ancho de banda o a filtrar tráfico en el perímetro. Hace falta visibilidad sobre APIs, inventario real de servicios expuestos, monitorización de bots, protección DNS, planes de mitigación coordinados con proveedores y pruebas periódicas. También se vuelve más importante revisar dependencias con terceros, especialmente cuando una caída en una plataforma externa puede afectar a servicios bancarios esenciales.
El reto es que muchas organizaciones han digitalizado más rápido de lo que han ordenado su arquitectura. Nuevas APIs, integraciones con terceros, aplicaciones móviles y servicios cloud amplían la superficie de ataque. Si no existe una visión completa de qué está publicado, quién lo consume y qué datos circulan, los atacantes encuentran huecos antes que los equipos internos.
La lectura de Akamai es clara: la inteligencia artificial no elimina los riesgos tradicionales, los acelera. Para el sector financiero, eso significa que los ataques conocidos pueden volverse más baratos, más persistentes y más difíciles de distinguir del tráfico legítimo. La respuesta no pasa por dramatizar cada cifra, sino por asumir que la disponibilidad, la protección de APIs y la defensa frente a bots forman ya parte de la seguridad bancaria básica.
Preguntas frecuentes
¿Qué es un ataque DDoS contra un banco?
Es un ataque que intenta saturar servicios digitales, como una web, una app bancaria, una API o una pasarela de pago, mediante grandes volúmenes de tráfico o peticiones coordinadas.
¿Por qué las APIs son tan importantes en la banca?
Porque conectan aplicaciones móviles, banca online, pagos, servicios internos y terceros. Si una API está mal protegida o no se monitoriza bien, puede convertirse en una vía de abuso o interrupción.
¿Qué relación tiene la inteligencia artificial con estos ataques?
Según Akamai, la IA permite automatizar y escalar tácticas ya conocidas, desde bots más difíciles de detectar hasta campañas DDoS más persistentes.
¿Qué exige DORA a las entidades financieras europeas?
DORA obliga a reforzar la resiliencia operativa digital, gestionar riesgos TIC, notificar incidentes, probar la capacidad de respuesta y controlar mejor los proveedores tecnológicos críticos.
vía: akamai
