Segurança em APIs é o ‘calcanhar de Aquiles’ das empresas no Brasil, alerta diretor da Akamai

Para Fernando Serto, CTO da gigante de cibersegurança, a era de proteger redes com ‘muros’ acabou; os ataques agora miram as ‘conversas’ digitais que sustentam a economia, e o país está despreparado para se defender.

A estratégia de cibersegurança da maioria das empresas brasileiras está obsoleta e focada no inimigo errado. O alerta é de Fernando Serto, CTO para a América Latina da Akamai, uma das maiores companhias de segurança digital do mundo. Segundo ele, a era de construir “muros de 10 metros” em volta das redes corporativas acabou, pois os ataques se moveram para a “borda”, mirando o ponto mais vulnerável e hoje onipresente da economia digital: as APIs.

“O mundo está falando por APIs e o entendimento de segurança em APIs é fraco no Brasil”, afirmou Serto em entrevista ao portal Convergência Digital. Ele argumenta que, enquanto o país é bom em formar profissionais de “ataque”, falta mão de obra qualificada para a “defesa”, um problema agravado por uma legislação que, na prática, incentiva as empresas a não reportarem incidentes de segurança.

Para entender melhor: O que é uma API и por que ela é tão vulnerável?

Para o público geral, o termo “API” é um jargão técnico, mas elas estão por trás de quase tudo o que fazemos online. Vamos a uma analogia. Imagine que você está em um restaurante. Você (o usuário) não pode entrar na cozinha (o sistema do servidor) para fazer seu pedido. Você precisa de um intermediário: o garçom. A API (Interface de Programação de Aplicações) é o garçom digital. Quando você usa o iFood, o aplicativo envia um “garçom” (API) para a “cozinha” do restaurante com seu pedido. O problema é que, se esse garçom não for bem treinado, um criminoso pode se passar por um cliente, enganá-lo e pedir para ele trazer, por exemplo, os ingredientes secretos da receita secreta do restaurante. Proteger a API é como treinar rigorosamente todos os “garçons” para que eles só aceitem pedidos legítimos e nunca revelem dados sigilosos.

A ‘lei do silêncio’ e a falta de defensores: os problemas do ecossistema brasileiro

O despreparo técnico para proteger as APIs é agravado por falhas estruturais no ecossistema de cibersegurança do Brasil. Uma delas é a cultura do silêncio. Serto aponta que a legislação brasileira favorece a não divulgação de ataques, criando uma falsa sensação de segurança. “O número de incidentes reportados na Austrália é 10 vezes maior do que aqui, e somos um mercado muito maior. Não contar é tapar o sol com a peneira”, criticou.

Essa falta de transparência, somada à escassez de profissionais de defesa, cria o ambiente perfeito para os criminosos. Enquanto as ameaças tradicionais como o phishing continuam fortes, o especialista alerta para a ascensão do vishing, as fraudes aplicadas por voz, que exploram a engenharia social de forma ainda mais direta.

O recado de Serto é um chamado à realidade para o mercado brasileiro. A batalha pela segurança digital não se ganha mais reforçando o castelo, mas sim protegendo os mensageiros que carregam as informações valiosas. As empresas que não entenderem essa mudança fundamental e não investirem na proteção de suas APIs estarão deixando seu “calcanhar de Aquiles” perigosamente exposto.

Da redação com informações do ConvergenciaDigital

Redação do Movimento PB [GMN-GOO-31082025-174820-A3B9F2-15P]