Solo un 17 % de los responsables de seguridad cuenta con una estrategia integral de protección de APIs, pese a ser una prioridad crítica para el 73 %.

Un nuevo informe de Salt Security ha puesto de manifiesto una preocupante brecha entre la conciencia sobre los riesgos de las APIs y las medidas efectivas adoptadas para su protección. Según el 2025 Salt Security CISO Report – API Blindspots and Breakthroughs, apenas un 17 % de los directores de seguridad de la información (CISOs, por sus siglas en inglés) afirma contar con una estrategia de seguridad de APIs plenamente desarrollada e implementada, a pesar de que el 73 % considera esta área como una prioridad alta o crítica en los próximos 12 meses.

El estudio, realizado por Global Surveyz Research, se basa en entrevistas a 300 CISOs de Francia, Alemania, Italia, Reino Unido y Estados Unidos, todos ellos al frente de organizaciones con más de 1.000 empleados y pertenecientes a sectores como servicios financieros, salud, transporte, retail y software.

Crecimiento acelerado y falta de control

Con un aumento imparable en el número de APIs —el 30 % de las organizaciones reportó un crecimiento del 51 % al 100 % en el último año, y un 25 % incluso superior al 100 %—, las empresas están expandiendo sus entornos de APIs para responder a la presión de innovar, mejorar la eficiencia y satisfacer las demandas de los clientes. No obstante, este ritmo de adopción supera en muchos casos la capacidad de los equipos de seguridad para supervisar y proteger adecuadamente estos entornos.

De hecho, solo un 19 % de los CISOs asegura tener plena visibilidad y confianza sobre el inventario de APIs en sus organizaciones. En grandes empresas el porcentaje sube al 27 %, mientras que en organizaciones más pequeñas cae al 12 %. Un alarmante 74 % de los encuestados reconoce descubrir regularmente nuevas APIs que desconocía, y el 90 % admite no poder garantizar que su entorno esté libre de APIs no gestionadas o “shadow APIs”.

Un desfase entre desarrollo y seguridad

La velocidad en los ciclos de desarrollo tampoco facilita la labor de los equipos de seguridad. El 75 % de las APIs se actualiza de forma semanal o incluso diaria, mientras que el 66 % de las organizaciones solo realiza auditorías de APIs ocultas o no gestionadas una vez al mes o por trimestre, lo que crea ventanas de exposición de hasta 12 semanas. Solo el 34 % ha adoptado auditorías automatizadas y continuas para cerrar esta brecha.

Herramientas heredadas y falsa sensación de protección

A pesar del complejo panorama actual, la mayoría de las organizaciones sigue confiando en herramientas tradicionales para defender sus APIs. El 76 % de los CISOs se apoya en WAFs (firewalls de aplicaciones web) y el 72 % en pasarelas de APIs. Herramientas que, aunque útiles, no fueron diseñadas para detener ataques de lógica empresarial, uno de los vectores más explotados hoy en día.

“Existe una evidente sobreconfianza en tecnologías heredadas para protegerse de amenazas modernas y complejas”, alertó Michael Callahan, director de marketing de Salt Security. “Estas herramientas no se diseñaron teniendo en cuenta los desafíos actuales, y cuando se combinan con una falta de visibilidad completa del ecosistema de APIs, el riesgo se multiplica. Los problemas actuales exigen soluciones modernas que sean escalables, eficientes y efectivas”.

Un futuro que exige un nuevo enfoque

El informe concluye que las organizaciones deben dar un giro estratégico urgente si quieren asegurar sus entornos API de forma efectiva. El 84 % de los líderes de seguridad considera que no tiene recursos suficientes para gestionar en tiempo real las alertas relacionadas con APIs. Aumentar personal no es una solución escalable; en su lugar, se requiere una aproximación moderna basada en la automatización, la visibilidad en tiempo real y la inteligencia artificial.

En este sentido, Salt Security ha lanzado recientemente la plataforma Illuminate, que ofrece visibilidad total e instantánea del paisaje de APIs de una organización. La herramienta permite ver el entorno como lo haría un atacante, automatiza la gobernanza y el cumplimiento, y utiliza IA para detectar ataques por comportamiento en tiempo real.

Más información y descarga del informe completo:
https://content.salt.security/GWEB-2675-CISO-Report-2025_LP-CISO-Report-2025.html

Metodología
El estudio ha sido elaborado por Global Surveyz Research a partir de encuestas a 300 CISOs de empresas con más de 1.000 empleados en cinco países: Francia, Alemania, Italia, Reino Unido y Estados Unidos. Los sectores representados incluyen finanzas, salud, transporte, comercio minorista y software.

vía. salt.security