A expansão das APIs em operações críticas — como pagamentos, autenticação e acesso a dados — ampliou a superfície de ataque e tornou a segurança mais complexa. Relatos indicam automação de ataques com IA e bots que simulam usuários reais, além da proliferação de shadow e zombie APIs que escapam ao inventário de segurança.
Ataques modernos combinam DDoS na camada de aplicação (L7) com exploração da lógica de negócio (BOLA/BOPLA), mirando jornadas de alto valor. No primeiro semestre de 2025, mais de 40 mil incidentes em APIs foram registrados pela Imperva, enquanto 44% do tráfego de bots avançados foi direcionado a APIs, mesmo representando 14% da superfície total de ataque.
No Brasil, a expansão de ecossistemas Open Finance e Open Insurance elevou a necessidade de conformidade. Marcos regulatórios como a Resolução nº 15/2024 da ANPD e a Resolução BCB nº 498/2025 impõem requisitos mais rígidos de comunicação de incidentes, governança e seguro cibernético para PSTIs, com reflexos diretos nas APIs de terceiros da cadeia de suprimentos.
Ataques à área de saúde também evidenciam o custo alto das falhas: violação de PHI/PII pode ultrapassar US$ 10 milhões, conforme a IBM. Casos como o ataque à Change Healthcare em 2024 mostraram que credenciais comprometidas e ausência de MFA podem paralisar processamento de sinistros, impactar pagamentos e provocar multas e custos de resposta catastróficos.
Medidas práticas recomendadas incluem descobrir e catalogar APIs para reduzir shadow/zombie APIs, reforçar a camada de execução com verificação automática e defesa anti-bot, reforçar MFA/autorizações, integrar antifraude com SOC e mapear riscos de terceiros por meio de telemetria, planos de continuidade e cláusulas contratuais de notificação de incidentes. É uma jornada desafiadora, mas pode trazer visibilidade do ecossistema de APIs e reduzir ataques que afetam a confiança digital e a sustentabilidade do negócio.
Nota: Conteúdo reflete visão do autor, não de empregadores.
