APIs se consolidam como principal alvo enquanto campanhas coordenadas disparam na América Latina
Relatórios recentes apontam uma mudança clara na dinâmica dos ataques digitais na América Latina: as APIs, antes vistas apenas como componentes técnicos de integração, passaram a ocupar o centro do palco como principal superfície de ataque. O avanço acelerado da transformação digital na região, aliado ao uso massivo de automação e inteligência artificial por criminosos, criou um ambiente perfeito para a industrialização das campanhas maliciosas.
De acordo com o mais recente relatório State of the Internet (SOTI), da Akamai Technologies, os números são expressivos. O volume médio de ataques diários direcionados a APIs por organização cresceu 113% em comparação ao ano anterior. Paralelamente, os ataques DDoS na camada de aplicação (Camada 7) – justamente onde o usuário final interage com sites, aplicativos e serviços digitais – aumentaram 104% entre 2023 e 2025.
Na América Latina, a tendência é ainda mais preocupante. As ameaças combinadas contra WAF (Web Application Firewall) e APIs tiveram alta de 70% ano a ano em 2025. Esse salto revela que, à medida que empresas digitalizam processos críticos, expõem também uma superfície maior e mais sensível para exploração, especialmente em setores que dependem intensamente de serviços online.
Um dos pontos centrais destacados pelo relatório é a mudança no modelo de operação dos atacantes. Em vez de ações isoladas e pontuais, os grupos criminosos vêm estruturando verdadeiras “linhas de produção” de ciberataques, em campanhas coordenadas que combinam exploração de APIs, ataques a aplicações web tradicionais e ofensivas DDoS. Tudo isso apoiado por automação em larga escala e, cada vez mais, por inteligência artificial.
Segundo Patrick Sullivan, CTO de Estratégia de Segurança da Akamai Technologies, os criminosos digitais estão menos preocupados em obter notoriedade e mais focados em desgastar operações. A meta passa a ser sobrecarregar sistemas, elevar custos de infraestrutura, forçar o aumento de capacidade e explorar brechas de automação alimentadas por IA. Isso torna possível lançar campanhas sofisticadas com baixo custo, alta repetibilidade e rapidez de execução – um cenário extremamente desafiador para as equipes de segurança.
As APIs, que carregam a lógica de negócios, dados sensíveis e integrações críticas entre sistemas, emergem como o elo mais visado dessa cadeia. Globalmente, 87% das organizações relataram ter sofrido ao menos um incidente de segurança envolvendo APIs no último ano. Além do aumento no volume de ataques, chama a atenção a natureza dessas ameaças, que estão se afastando do modelo clássico de exploração de falhas técnicas isoladas.
Hoje, cerca de 61% dos ataques mapeados envolvem fluxos de trabalho não autorizados e atividades anômalas dentro das aplicações. Em vez de simplesmente explorar uma vulnerabilidade conhecida, os criminosos tentam manipular o próprio comportamento do sistema – aproveitando falhas de lógica de negócios, brechas em controles de autorização, abuso de funcionalidades legítimas e uso de credenciais comprometidas. Esse tipo de ataque é intimamente associado a fraudes, desvio de recursos, criação de contas falsas em massa e exploração silenciosa de dados.
O estudo da Akamai mostra ainda que, em média, as organizações analisadas mantinham cerca de 3.000 APIs contendo dados sensíveis. Entre essas interfaces, 12% apresentavam fragilidades de segurança mapeáveis, e quase um quarto dessas falhas (24%) estava diretamente ligado à exposição de informações confidenciais. Em outras palavras: muitas empresas sequer têm total visibilidade do inventário de APIs em uso, e uma parte relevante dessas integrações acaba publicada sem os controles de segurança adequados.
A expansão da inteligência artificial generativa intensifica essa dependência. Na prática, toda interface usada para consumir modelos de IA – sejam assistentes virtuais, motores de recomendação, sistemas de análise ou chatbots avançados – é exposta por meio de APIs. Isso significa que cada novo projeto de IA, se não nascer com uma arquitetura de segurança bem planejada, adiciona novas portas de entrada para possíveis ataques, multiplicando o risco de vazamento de dados, uso indevido de modelos ou manipulação de respostas.
DDoS: automação, escala e desgaste operacional
O relatório também ressalta o salto nos ataques de negação de serviço distribuída (DDoS), especialmente na camada de aplicação. Entre 2023 e 2025, a quantidade de ofensivas DDoS de Camada 7 aumentou 104%. Essa modalidade mira diretamente a experiência do usuário: sites fora do ar, aplicativos lentos, falhas ao concluir transações e interrupções em serviços críticos.
Esse crescimento é impulsionado por dois fatores principais. Primeiro, a oferta de serviços de DDoS sob demanda, conhecidos como DDoS-for-hire, que permitem a qualquer interessado contratar ataques por valores relativamente baixos, sem conhecimento técnico avançado. Segundo, o uso intensivo de scripts automatizados e IA, que simplificam a orquestração de grandes volumes de tráfego malicioso, adaptando-se às defesas em tempo quase real.
Por trás desse ecossistema operam botnets cada vez mais sofisticadas, como Aisuru e Kimwolf, que são evoluções da arquitetura do malware Mirai. Essas redes zumbis alimentam o modelo DDoS-as-a-Service, disponibilizando infraestrutura pronta para grupos criminosos organizados e até para hacktivistas motivados por causas políticas ou ideológicas. O resultado são campanhas em larga escala, que podem durar horas ou dias, afetando múltiplos alvos em sequência.
Os impactos desses ataques vão muito além da simples indisponibilidade momentânea. Empresas que sofrem ofensivas DDoS frequentemente enfrentam aumento de custos de infraestrutura (como escalonamento emergencial em nuvem), perda de receita por interrupção de vendas, degradação da experiência do usuário, danos à reputação e, em alguns casos, compensações contratuais a clientes afetados. A pressão sobre equipes de TI e segurança também cresce, criando desgaste operacional contínuo.
Setores com alta dependência de disponibilidade constante são os principais alvos. Na Camada 7, os ataques mais frequentes foram registrados contra empresas de mídia, e-commerce, jogos online, desenvolvedores de software e provedores de SaaS, além de operadoras de telecomunicações. Já nas Camadas 3 e 4 (redes e transporte), os ofensivos se concentraram em serviços financeiros, manufatura, jogos, software e comércio – ambientes onde quedas de serviço podem gerar prejuízos significativos em poucos minutos.
Por que as APIs atraem tanto interesse dos atacantes?
As APIs se tornaram o “sistema circulatório” do mundo digital moderno. Elas conectam aplicativos móveis a servidores, integram plataformas de pagamento, unem sistemas legados a novas aplicações em nuvem, alimentam painéis de dados, viabilizam open finance, logística, saúde digital e muito mais. Justamente por concentrar tanta lógica de negócios e dados sensíveis, qualquer falha de segurança em uma API tende a ter alcance amplo.
Além disso, APIs são projetadas para serem consumidas de forma automatizada por softwares. Isso facilita o trabalho de atacantes, que também podem automatizar testes de credenciais, exploração de endpoints, varredura de parâmetros e detecção de brechas. Em muitos casos, a documentação de APIs é pública, o que acelera a compreensão do funcionamento interno das integrações.
Outro ponto crítico é que, ao contrário de aplicações web tradicionais, muitas APIs não foram construídas pensando, desde o início, em mecanismos robustos de autenticação, autorização granular, rate limiting e monitoramento em tempo real. Em ambientes de desenvolvimento ágil, é comum que novas APIs sejam publicadas rapidamente para atender demandas do negócio, enquanto controles de segurança acabam sendo postergados.
Como as empresas podem reagir a esse cenário
Diante desse contexto, a visão de segurança precisa ser ampliada. Não basta proteger apenas o perímetro tradicional com um WAF ou um firewall de rede. É necessário enxergar APIs, aplicações web e serviços de IA como parte de um mesmo ecossistema de risco, que exige defesas integradas, visibilidade unificada e políticas consistentes.
Entre as recomendações apontadas pelo relatório e por especialistas do setor, destacam-se:
– Inventário completo de APIs: mapear todas as APIs ativas, incluindo serviços internos, externos, legados e endpoints de IA. Sem saber o que está exposto, é impossível proteger.
– Gestão de ciclo de vida de APIs: incorporar segurança desde o desenho e desenvolvimento (shift-left), com testes sistemáticos de vulnerabilidades, análise de lógica de negócios e revisão de controles de acesso antes da publicação.
– Autenticação e autorização robustas: uso de padrões modernos (como tokens, escopos e princípios de mínimo privilégio), com segmentação de permissões por função, contexto e sensibilidade dos dados.
– Rate limiting e proteção contra abuso: limitar o número de requisições por usuário, IP, token ou chave de API, reduzindo o impacto de ataques de brute force, credential stuffing e uso automatizado indevido.
– Monitoramento comportamental: ir além de assinaturas estáticas e analisar padrões de uso, detecção de anomalias, sequências suspeitas de chamadas e comportamentos incompatíveis com o perfil usual dos clientes.
– Defesa DDoS em múltiplas camadas: combinar proteção nas Camadas 3/4 e 7, com capacidade de mitigar tanto grandes volumes de tráfego quanto ataques mais seletivos que miram endpoints específicos de APIs ou fluxos críticos de negócios.
Particularidades da América Latina
Na América Latina, a adoção acelerada de serviços digitais convive com disparidades de maturidade em cibersegurança. Muitas empresas deram saltos rápidos para a nuvem, para o e-commerce e para integrações abertas sem, necessariamente, fortalecer controles básicos como gestão de identidade, segmentação de redes e governança de dados.
Setores como varejo digital, fintechs, telecom e serviços de saúde têm apostado intensamente em APIs para inovar e competir. Isso torna a região um alvo atrativo para atacantes que buscam monetizar rapidamente dados roubados, explorar fraudes financeiras ou derrubar serviços críticos em troca de resgate. A combinação de grande volume de novos serviços com lacunas de segurança cria um terreno fértil para campanhas coordenadas.
Outro fator é o crescimento de modelos de negócios baseados em plataformas e ecossistemas – marketplaces, super apps, bancos digitais, hubs logísticos. Todos eles dependem de integrações extensas com parceiros, fornecedores e desenvolvedores externos. Cada nova integração adiciona uma camada a mais de complexidade na gestão de riscos, sobretudo quando não há uma política clara de segurança para terceiros.
Caminho para a resiliência digital
Para reduzir a exposição e construir resiliência frente a esse novo cenário, organizações na América Latina precisam tratar segurança de APIs e proteção contra DDoS como temas estratégicos, e não apenas responsabilidades técnicas das equipes de infraestrutura. Isso implica envolver liderança executiva, áreas de negócios e times de desenvolvimento na definição de prioridades e investimentos.
Treinamento contínuo de desenvolvedores em práticas seguras, testes de segurança recorrentes (incluindo testes de penetração focados em APIs), adoção de plataformas de gestão de APIs com recursos de segurança integrados e integração entre ferramentas de observabilidade e soluções de segurança são passos fundamentais.
A tendência é que o volume e a sofisticação dos ataques continuem crescendo, impulsionados por IA e por mercados ilícitos cada vez mais organizados. A resposta das empresas precisa evoluir no mesmo ritmo – combinando tecnologia, processos e cultura de segurança – para que a inovação digital, alavancada por APIs e inteligência artificial, possa avançar sem se transformar em um passivo de risco incontrolável.