Durante 2024, se registró un aumento anual del 33% en los ataques web, con un total de 311,000 millones de incidentes, de acuerdo con un informe de Akamai.
Esta tendencia está directamente relacionada con la rápida adopción de aplicaciones basadas en inteligencia artificial, que han ampliado significativamente las superficies de ataque.
El informe ‘Estado de la seguridad de API y aplicaciones 2025’ indica que las API se han consolidado como los objetivos principales de estos ataques.
Entre enero de 2023 y diciembre de 2024, Akamai detectó 150,000 millones de ataques dirigidos específicamente a interfaces de programación de aplicaciones, impulsados en parte por el crecimiento acelerado del mercado de API de IA.
La integración de herramientas con IA en plataformas esenciales ha incrementado la exposición, especialmente cuando estas API son accesibles desde el exterior y carecen de mecanismos sólidos de autenticación.
Según el reporte, las API basadas en IA presentan una vulnerabilidad aún mayor frente a ciberataques, ya que los mismos avances tecnológicos que alimentan su desarrollo son aprovechados por actores maliciosos.
En paralelo, los ataques de denegación de servicio distribuidos (DDoS) de Capa 7 también mostraron un crecimiento significativo. El volumen de estos ataques aumentó un 94% entre el primer trimestre de 2023 y el cuarto trimestre de 2024.
A inicios de 2023 se registraban cifras mensuales cercanas a los 500 mil millones de ataques, que escalaron hasta 1.1 billones en diciembre de 2024. Este repunte está impulsado por la sofisticación creciente de los bots, el uso continuado de la técnica de inundación HTTPS y una actividad concentrada en contra de la industria de alta tecnología.
Durante el periodo analizado, más de 230 mil millones de ataques web se dirigieron al sector comercial, convirtiéndolo en el más afectado, con casi el triple de incidentes que los reportados en el sector de alta tecnología, que ocupó el segundo lugar.
En contraste, el sector de alta tecnología recibió 7 billones de ataques DDoS de Capa 7, cifra que lo posiciona como el más golpeado en esta categoría específica.
Los incidentes vinculados al listado OWASP API Security Top 10 aumentaron un 32%, revelando deficiencias críticas en autenticación y autorización que dejan expuestos tanto datos como funcionalidades sensibles.
A su vez, las alertas de seguridad asociadas con el marco MITRE experimentaron un crecimiento del 30%, impulsadas por la adopción de técnicas avanzadas de explotación como la automatización y el uso de IA. Finalmente, el informe destaca que las API en la sombra y zombis se mantienen como vectores especialmente vulnerables dentro de ecosistemas cada vez más complejos.