Quando um recente relatório desenvolvido pela ACI Wordlwide em parceria com a GlobalData projetou que as perdas geradas por golpes aplicados através de operações via PIX no Brasil devem totalizar cerca de R$ 3,2 bilhões até 2027, a informação ganhou um merecido destaque nos meios de comunicação. Sem dúvida, trata-se de um montante mais do que relevante.
Esta realidade, no entanto, mascara um problema ainda maior, que não está restrito apenas aos bancos, embora eles, por lidarem diretamente com transações financeiras, acabem sendo um grande alvo natural para os cibercriminosos. Afinal, não é somente este segmento que necessita dedicar uma maior atenção à questão da segurança da APIs.
O trabalho de conscientização sobre as principais ameaças e a disseminação de informações sobre como o consumidor deve se proteger sem dúvida são fundamentais para enfrentar golpes como o envio de mensagens via celular relatando despesas falsas no cartão de crédito da vítima; liberação quase que imediata de valores expressivos a um custo quase zero ou convites para acesso a sites ou QR codes fraudulentos.
Mas esta saudável postura de informar o cliente sobre os muitos perigos gerados pelos cibercriminosos precisa vir acompanhada pelo reconhecimento de que a explosão do uso das APIs pelas organizações dos mais diversos portes e segmentos de atuação ampliou em muito a área de atuação dos maus atores.
Estudo divulgado no ano passado pela Juniper Research , um dos maiores especialistas em mercados de pagamento, apontou que no período entre 2023 e 2028 as perdas de comerciantes com fraudes de pagamento online superarão globalmente a casa dos US$ 362 bilhões, destacando entre os fatores acelerados a popularização do comércio eletrônico nos países emergentes e o crescente emprego de IA para o desenvolvimento de ataques.
Não faltam, como se pode constatar, recursos para o cibercrime investir em pesquisa e desenvolvimento. Neste cenário, é imperativo a implantação de mecanismos de proteção capazes de enfrentar toda a tecnologia que esta indústria criminosa está empregando para sofisticar cada vez mais os seus golpes.
As antigas ferramentas de proteção não foram capazes de acompanhar esta evolução, que exige o emprego de IA aliado ao machine learning para atuarem juntos ao longo do tempo, uma vez que os atuais ataques podem durar dias, semanas ou meses. Uma estratégia eficiente para a segurança das APIs deve cobrir todo o seu ciclo de vida, desde seu conceito inicial até sua entrada em operação, entregando segurança e agilidade. Ela também deve contemplar o levantamento completo de todas as APIs existentes, a proteção em tempo real contra as mais variadas ameaças, fazendo a identificação e o bloqueio antes que os criminosos sejam bem-sucedidos.
O Relatório 2024 sobre o Estado da Segurança de API do Salt Labs detectou uma preocupante falta de maturidade na segurança das APIs, com somente 7,5% das organizações ouvidas tendo definido como "avançados" os seus programas de segurança de APIs. Pior: mais de um terço (37%) dos entrevistados que têm APIs em produção não contam com uma estratégia de segurança de API ativa em vigor.
Assim como o cibercrime está se especializando na construção de ataques cada mais vez bem elaborados, a indústria da cibersegurança também precisa desenvolver e implementar mecanismos de defesa robustos. Ir ao mercado e escolher a ferramenta de proteção mais adequada não é o maior desafio das empresas. Ele reside na falta de conscientização de que não há mais tempo para se perder adiando esta decisão.
Daniela Costa, diretora para a América Latina e Canadá da Salt Security.
