Los ataques distribuidos de denegación de servicio (DDoS) dejan de ser incidentes temporales que tumban una web durante unos minutos para muchas instituciones financieras. El nuevo informe de Akamai sobre amenazas en servicios financieros describe un escenario más desafiante: campañas prolongadas, más automatizadas y con mayor capacidad para afectar a banca en línea, pagos digitales, aplicaciones críticas y APIs.
Según la compañía, el sector financiero ya es el más atacado por DDoS en capas 3 y 4, con un aumento del 738 % en la duración media global de estos ataques desde 2024. Este dato es relevante porque la banca ha trasladado gran parte de su relación con el cliente a canales digitales, que deben estar disponibles casi en todo momento. Cuando una aplicación bancaria, una pasarela de pago o una API de consulta se caen, el impacto va más allá de lo técnico: afecta a la confianza, al cumplimiento normativo y a la continuidad del negocio.
El DDoS ya no solo genera ruido: ahora también supone una presión operativa
El informe AI-Empowered Botnets and API Visibility Gaps: Attack Trends in Financial Services, dentro de la serie State of the Internet Security de Akamai, destaca una amenaza particularmente vulnerable: botnets asistidas por inteligencia artificial, grupos hacktivistas y una superficie de exposición en constante crecimiento por la digitalización financiera. Akamai señala específicamente la participación de campañas hacktivistas proiraníes y bots impulsados por IA en ataques dirigidos a banca en línea, sistemas de pago y aplicaciones críticas.
La evolución del DDoS es crucial porque no todos los ataques buscan robar datos de inmediato. Algunos buscan interrumpir servicios, saturar sistemas de seguridad, desgastar a los equipos técnicos o generar ruido para probar otros vectores de ataque. En un banco, una caída prolongada puede afectar a clientes particulares, comercios, proveedores de pago y servicios conectados mediante APIs.
Akamai indica que el 96 % de los líderes del sector financiero encuestados en su estudio de impacto de seguridad API de 2026 reportaron al menos un incidente relacionado con APIs en los últimos 12 meses. Es el porcentaje más alto entre los sectores analizados. Esta cifra refleja la realidad que muchos equipos de seguridad conocen: las APIs son el pegamento de la banca moderna, pero también un punto de entrada difícil de controlar, especialmente con aplicaciones móviles, banca abierta, integraciones con terceros, pagos en tiempo real y servicios internos desplegados rápidamente.
| Indicador destacado | Dato señalado por Akamai |
|---|---|
| Aumento de la duración media de DDoS en capas 3 y 4 contra servicios financieros | 738 % desde 2024 |
| Líderes financieros que notificaron al menos un incidente API en 12 meses | 96 % |
| Porcentaje de ataques web dirigidos a banca en 2025 | 60 % del total |
| Incursiones contra endpoints API dirigidas a banca en 2025 | 83 % |
| Instituciones financieras afectadas por ransomware en dos años | Casi 80 % |
| Incremento de actividad de bots avanzados a finales de 2025 | 147 % |
APIs, bots y ransomware: tres riesgos que se entrelazan
Uno de los aspectos más destacados del informe es que Akamai no presenta estos ataques como fenómenos aislados. La compañía describe una amenaza interconectada, en la que los atacantes combinan DDoS, explotación de APIs, bots avanzados, scraping malicioso y ransomware. En 2025, según sus datos, el 60 % de los ataques web y el 83 % de las incursiones en endpoints API se dirigieron a la banca.
La automatización acelera estos ataques. Un bot avanzado puede probar credenciales, raspar información, simular comportamiento humano, lanzar peticiones a APIs o participar en campañas de saturación. Akamai señala que la actividad de bots sofisticados creció un 147 % a finales de 2025, citando un caso donde el 96 % de todo el tráfico de un sitio fue identificado como scraping malicioso.
El ransomware añade otra capa de presión. El informe revela que casi el 80 % de las instituciones financieras sufrió ataques de ransomware en los últimos dos años, aunque menos de la mitad habrían implementado tecnologías de seguridad avanzadas. Es importante interpretar estos datos con prudencia, ya que provienen de la metodología de Akamai, pero reflejan una brecha habitual entre percepción del riesgo, presupuesto disponible y despliegue efectivo de medidas de protección.
La situación varía según la región. Akamai sitúa a EMEA como la zona más afectada por DDoS en capas 3 y 4 en servicios financieros, con un 62 %. En Asia-Pacífico predominan los ataques DDoS en capa 7, con un 52 %, mientras que en Norteamérica los ataques web son la modalidad más frecuente, con un 44 %. Para bancos, aseguradoras, fintech y proveedores de pagos europeos, esta visión regional es clave, ya que la amenaza no se distribuye de manera homogénea.
Europa mira el problema desde la resiliencia operativa
En la Unión Europea, estos datos coinciden con la entrada en vigor del Reglamento DORA desde el 17 de enero de 2025, que busca fortalecer la resiliencia operativa digital de las entidades financieras. DORA exige una visión integral de la ciberseguridad, incluyendo gestión de riesgos TIC, notificación de incidentes, pruebas de resiliencia, control de proveedores tecnológicos y capacidad de recuperación.
La Directiva NIS2 también impacta en este escenario, estableciendo un marco común de ciberseguridad para 18 sectores críticos en la UE. Aunque DORA es más específico para finanzas, ambas normativas impulsan una misma tendencia: demostrar que la organización puede resistir, responder y recuperarse ante incidentes tecnológicos relevantes.
Para una entidad financiera, defenderse contra DDoS ya no basta con contratar mayor ancho de banda o filtrar tráfico en el perímetro. Es necesario tener visibilidad sobre APIs, inventario real de servicios expuestos, monitorización de bots, protección DNS, planes de mitigación coordinados con proveedores y realizar pruebas periódicas. También resulta crítico revisar las dependencias con terceros, ya que una caída en una plataforma externa puede afectar servicios bancarios esenciales.
La realidad es que muchas organizaciones han digitalizado más rápido que la evolución de su arquitectura. Nuevas APIs, integraciones con terceros, aplicaciones móviles y servicios en la nube expanden la superficie de ataque. Sin una visión completa de qué está publicado, quién lo consume y qué datos circulan, los atacantes detectan vulnerabilidades antes que los equipos internos.
La interpretación de Akamai es concluyente: la inteligencia artificial no elimina los riesgos tradicionales, sino que los acelera. Para el sector financiero, esto significa que los ataques conocidos pueden ser más económicos, persistentes y difíciles de distinguir del tráfico legítimo. La solución no consiste en dramatizar cada cifra, sino en comprender que la disponibilidad, protección de APIs y defensa ante bots ya son parte de la seguridad bancaria básica.
Preguntas frecuentes
¿Qué es un ataque DDoS contra un banco?
Es una estrategia que busca saturar servicios digitales, como una web, una aplicación bancaria, una API o una pasarela de pago, mediante volúmenes elevados de tráfico o peticiones coordinadas.
¿Por qué son tan importantes las APIs en la banca?
Porque conectan aplicaciones móviles, banca en línea, pagos, servicios internos y de terceros. Una API sin protección adecuada o mal monitoreada puede facilitar abusos o interrupciones.
¿Qué papel juega la inteligencia artificial en estos ataques?
Según Akamai, la IA permite automatizar y escalar tácticas conocidas, desde bots más difíciles de detectar hasta campañas DDoS más persistentes.
¿Qué requiere DORA a las entidades financieras europeas?
DORA exige fortalecer la resiliencia operativa digital, gestionar riesgos TIC, notificar incidentes, realizar pruebas de respuesta y controlar mejor a los proveedores tecnológicos críticos.
vía: akamai