API tornam-se a principal superfície de ataque

Os ataques a interfaces de programação de aplicações API aumentaram de forma significativa em 2025, consolidando estas interfaces como a principal superfície de ataque nas organizações. A conclusão é do relatório State of the Internet SOTI da Akamai.

Segundo a análise, 87% das organizações registaram pelo menos um incidente de segurança relacionado com API no último ano. Em média, cada organização sofreu 258 ataques diários a API em 2025, um aumento de 113% face aos 121 registados em 2024.

Mudança no perfil dos ataques

O relatório indica uma mudança no tipo de ataques, com 61% a envolver fluxos não autorizados e atividade anómala, comparando com 30% no ano anterior. Esta evolução reflete uma transição de ataques tradicionais a aplicações web para abordagens baseadas em comportamento.

Entre as vulnerabilidades mais exploradas destacam-se configurações incorretas (40%), falhas ao nível da autorização de objetos (35%) e problemas de autenticação (19%), de acordo com o Top API Security Risks da OWASP.

IA amplia exposição e risco

A Akamai alerta ainda para o impacto da Inteligência Artificial na amplificação destes riscos. Em média, cada organização tinha cerca de três mil API com dados sensíveis em 2025, sendo que 12%apresentavam vulnerabilidades e 24% dessas falhas estavam diretamente relacionadas com exposição de dados sensíveis.

A dependência crescente de API para integração e troca de dados em ambientes de IA está a aumentar o volume de informação crítica em circulação, tornando estas interfaces um alvo prioritário para os atacantes.

Patrick Sullivan, CTO of Security Strategy da Akamai, refere que os atacantes estão a privilegiar estratégias que degradam desempenho, aumentam custos de infraestrutura e exploram automação em larga escala, em vez de campanhas mais visíveis.

Crescimento de ataques combinados

O relatório destaca também para um crescimento no número de ataques coordenados que combinam abuso de API, ataques a aplicações web e atividade DDoS na Layer 7. Os ataques a aplicações web aumentaram 73% entre 2023 e 2025, enquanto os ataques DDoS cresceram 104% no mesmo período.

Segundo a Akamai, esta evolução é facilitada pelo acesso a serviços de DDoS-as-a-service e pela utilização de scripts automatizados com recurso a IA, que permitem escalar ataques com menor custo e complexidade.

Resposta exige abordagem integrada

Face a este cenário, a empresa recomenda uma abordagem integrada à segurança, com maior visibilidade sobre os ambientes digitais, coordenação entre diferentes controlos de proteção incluindo API security, WAF e mitigação de DDoS e investimento contínuo em processos e formação.

O relatório conclui que, num contexto de transformação digital impulsionada pela IA, a proteção das API assume um papel central na estratégia de cibersegurança das organizações.