Na era da inteligência artificial, proteger APIs exige mentalidade ofensiva, testes contínuos e uma arquitetura de segurança em múltiplas camadas
Ao analisar o cenário brasileiro de APIs sob a ótica de um Red Team, Fabio Bloise, Executivo de Vendas da F5 Brasil, argumenta que o CISO de 2026 precisa pensar como um atacante para proteger ativos críticos cada vez mais expostos à IA. Em um ambiente multinuvem, com milhões de transações por segundo e expansão acelerada da superfície de ataque, apenas abordagens tradicionais já não são suficientes para garantir a integridade, a autorização e a governança dessas interfaces que sustentam a economia digital.
Red Team em ação: pensando como um ofensor, o CISO defende APIs de ataques baseados em IA
Por Fabio Bloise
Descobrir a API. Proteger o acesso à API por meio de uma autenticação segura. Checar a documentação e a versão da API. Verificar se se trata de uma API lícita, ou se é uma Shadow API – uma linguagem sem dono e que não foi desenvolvida de acordo com as melhores práticas de segurança.
Controlar o billing sobre o consumo das APIs. Fazer essa gestão em ambiente multinuvem, distribuído, na proporção de milhões de transações por segundo. Realizar tudo isso na era da AI, modelo fortemente baseado em APIs que aumenta a complexidade deste contexto.
Essas são algumas das frentes de batalha que os CISOs brasileiros enfrentam em 2026 em relação ao controle e a segurança desses ativos críticos da nossa economia digital. Os Apps modernos não processam somente dados internos, circunscritos à empresa usuária desta aplicação. Hoje, APIs trocam 24×7 dados entre sistemas de empresas diferentes.
É algo crítico para os negócios. No Brasil, a explosão de uso de APIs começou em 2023 e avança sem cessar. Segundo o estudo State of the API Report, o Brasil era o terceiro maior consumidor de APIs do mundo, atrás apenas da Índia e dos EUA nesse quesito. Somente em 2024, foram 52,4 milhões de chamadas APIs. Profissionais de TI e de Cybersecurity lutam sem cessar para dominar esse complexo universo. De acordo com o relatório F5 State of Application Strategy 2025, 58% das organizações estão enfrentando atualmente a expansão descontrolada de APIs. E, até 2030, espera-se que 2 bilhões de APIs estejam em uso.
Diante desta realidade, mais e mais CISOs têm pedido a ajuda de seus Red Teams para se colocarem no lugar dos ofensores. Há equipes Red Team que contam com plataformas de IA que geram até 10 mil novas ameaças por mês. A meta é atacar de forma impiedosa as APIs, identificando brechas e promovendo ajustes contínuos nas políticas de segurança.
Ao final do processo, algumas estratégias se mostraram especialmente recomendáveis.
1 – Reconhecer as limitações das ferramentas clássicas de defesa de APIs
Experimentos realizados a partir do ponto de vista dos ofensores deixam claro que as ferramentas clássicas de cybersecurity não funcionam para APIs. Essas linguagens são vulneráveis a tipos de ataques diferentes daqueles que visam aplicações web tradicionais. WAFs e gateways de API são essenciais para a segurança de aplicações e autenticação de usuários, mas não são suficientes para proteger APIs.
O maior desafio da segurança de APIs é a autorização, que garante que os usuários só possam acessar, ver, modificar ou excluir seus próprios dados. A solicitação de um invasor pelos recursos de outra pessoa pode ser muito semelhante a uma solicitação válida. Regras de autorização detalhadas podem identificar essa tentativa de violação.
Acima de tudo, os controles de autorização precisam fazer parte de uma abordagem em várias camadas para a segurança da API. É fundamental combinar vários controles complementares para que, se uma camada falhar, as outras forneçam proteção.
2 – Imprimir um novo olhar sobre o teste de segurança de APIs
Os ataques baseados em IA contra as APIs comprovam que ficou no passado o tempo em que bastava apontar um scanner automatizado para uma API, obter um relatório e presumir que tudo está seguro. Na era da IA, testes e análises ativos das solicitações de API têm de descobrir problemas reais e resolver quaisquer questões de segurança que existam.
Uma maneira prática de validar as habilidades das ferramentas de teste é praticar em aplicações intencionalmente vulneráveis. São alvos seguros criados para permitir que os testadores experimentem, reproduzam e compreendam os tipos mais comuns de problemas de segurança de API. Vale a pena empregar o OWASP API Security Project, que oferece o crAPI, uma ferramenta de treinamento que é preenchida com vulnerabilidades de API. Isso ajuda o time do CISO a praticar o ataque e a defesa da API.
3 – A IA é baseada em APIs e demanda soluções de segurança também de IA
O uso intenso de plataformas de IA generativa no Brasil significa o aumento do consumo de APIs e, por conseguinte, a expansão da superfície de ataque da empresa usuária. As aplicações de IA generativa são APIs “em toda a sua extensão”. O mundo de IA é um mundo de APIs: a estrutura subjacente das aplicações de IA generativa depende das APIs e quase todas as partes do sistema de IA são expostas por meio dessas interfaces.
Red Teams em ação empregaram ataques de injeção de prompt e hacking de linguagem natural. Trata-se de um grande risco para a organização que usa agentes de IA e chatbots para interagir com o cliente e os parceiros. Os invasores tentaram manipular agentes de IA para dizer algo desagradável que não represente os valores da empresa ou persuadir os chatbots a oferecer descontos não autorizados. Para evitar esse quadro, é fundamental tomar as devidas precauções para garantir que as aplicações de IA e os chatbots sejam treinados com dados precisos, protegidos contra injeções instantâneas.
Neste ponto, entram em cena soluções que ajudam o CISO a descobrir, proteger e gerenciar suas APIs por meio de soluções integradas que combinam a infraestrutura otimizada para IA e os recursos de segurança das grandes nuvens públicas. Essa estratégia pode ser utilizada para identificar APIs já no início do ciclo de vida do desenvolvimento.
Em 2026, cada dia será um dia de batalha em que a IA “do bem” se reinventa sem cessar para vencer a IA “do mal”. Uma das maiores conquistas para os criminosos é o acesso às APIs que fazem a IA e o negócio – em muitos casos, ecossistemas inteiros – girarem. Para evitar esse mal, é recomendável explorar ao máximo o mind set Red Team. Quem seguir esse caminho ganhará um olhar preciso sobre as vulnerabilidades de suas APIs e adotará estratégias vencedoras de defesa desse ativo crítico para o Brasil.
*Fabio Bloise é Executivo de Vendas da F5 Brasil.
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Siga o Crypto ID no LinkedIn agora mesmo!
