En esta entrevista de Help Net Security, Vedran Cindric, director ejecutivo de Treblle , analiza el crecimiento exponencial de las API relacionadas con la IA, citando un aumento del 96 % en 2023. Arroja luz sobre el papel integral que desempeñan las API en el impulso de las interacciones de la IA, revelando los hilos invisibles. que conectan a los usuarios con chatbots y herramientas basados en IA.
A medida que el panorama tecnológico integra cada vez más la IA, Cindric anticipa un profundo impacto en la evolución de las API, enfatizando la creciente importancia de la seguridad y la autenticación de las API y los desafíos que plantean los puntos finales zombis.
Su informe reciente indica un crecimiento del 96 % en las API relacionadas con la IA en 2023. ¿Qué factores cree que están impulsando este aumento significativo?
El crecimiento de las API relacionadas con la IA es sencillo de explicar: ¡casi cualquier interacción con la IA está basada en API! Eso significa que realiza una solicitud de API cada vez que escribe un mensaje en un chatbot basado en IA. Puede que no lo veas o no lo entiendas, pero al final del día, todas esas preguntas, búsquedas de imágenes o chistes son solicitudes de API.
Dada la reciente popularidad de las herramientas basadas y asistidas por IA, también vemos un crecimiento equivalente en la cantidad de API necesarias para impulsarlas. Las API han estado creciendo a una tasa compuesta anual del 25 % durante los últimos años, pero ese crecimiento se duplicó en 2023, todo gracias a la IA. Predecimos que las API basadas en IA seguirán impulsando el crecimiento de las API en 2024, ya que van de la mano.
Dado que la mayoría de los desarrolladores utilizan API, ¿cómo ve la evolución del papel de las API en el panorama tecnológico y cómo afectará eso a la ciberseguridad?
Las API ya son los pilares fundamentales de cualquier organización moderna hoy en día, y eso será aún más evidente en el futuro.
A medida que las organizaciones buscan transformar su negocio digital y entrar en la era de la economía API, esperamos construir y utilizar más y más API. Esto es especialmente cierto si echamos un vistazo a algunas de las tendencias que están sucediendo en la tecnología hoy en día. Cosas como gafas VR/AR, dispositivos portátiles y dispositivos controlados por voz requieren API para funcionar.
Las API desempeñarán un papel más crítico a medida que el mundo haga la transición hacia más dispositivos sin navegador. Todo este crecimiento y expansión significa más API, solicitudes y desafíos de seguridad. Lo más difícil de la seguridad de las API es que, en la mayoría de los casos, las organizaciones no saben que los piratas informáticos explotan sus API porque no tienen acceso a los datos de las API en tiempo real. Es por eso que las herramientas que le permitan hacer eso serán aún más críticas.
Los datos muestran una alta prevalencia de puntos finales zombies en las API. ¿Cuáles son las implicaciones de esto para la eficiencia y seguridad de la API?
Las organizaciones tienen muchos puntos finales zombis simplemente porque no tienen acceso a datos que muestren cómo sus clientes usan sus API. Los puntos finales zombis son particularmente peligrosos porque, en la mayoría de los casos, no reciben mantenimiento y son propensos a filtraciones o ataques de datos.
Las implicaciones para las organizaciones son graves, ya que los piratas informáticos pueden descubrir rápidamente qué puntos finales están actualizados y cuáles no, especialmente si la documentación de la API está disponible públicamente. Además de los problemas de seguridad, los puntos finales muertos o zombis presentan problemas basados en el código debido al código heredado y sin mantenimiento.
Dado que el 51 % de las solicitudes no utilizaron ninguna forma de autenticación, ¿cuáles son sus recomendaciones para mejorar la seguridad de la API?
La autenticación es la forma más básica de seguridad API y la prioridad de toda organización debe ser implementar cualquier forma de autenticación lo antes posible. No tiene por qué ser complicado ni llevar mucho tiempo, pero usar cualquier cosa para la autenticación es mejor que nada. Piénselo de esta manera: estoy seguro de que tiene una casa, un apartamento o un edificio de oficinas.
También estoy seguro de que tienes puertas en ellas, y esas puertas tienen llaves que evitan que personas al azar simplemente entren a tu casa, apartamento o edificio de oficinas. Trate sus API de la misma manera; tener una clave que se puede utilizar para controlar quién entra, cuándo y bajo qué condiciones.
Dado que el informe destaca los errores del lado del cliente como un problema común, ¿qué mejores prácticas sugeriría para los consumidores de API?
Lo primero que les diría a los consumidores es que lean la documentación detenidamente. La mayoría de los problemas del lado del cliente se pueden atribuir a que los desarrolladores se olvidan de autorizar y llaman a recursos o URL que no existen. En ambos casos, estos problemas se pueden resolver fácilmente leyendo adecuadamente la documentación, implementando un desarrollo basado en pruebas y verificando si existen recursos antes de llamarlos.
¿Cómo prevé que evolucionará el papel de las herramientas de gobernanza y observabilidad de API en respuesta a las complejidades de las API modernas?
La observabilidad y la gobernanza de las API se convertirán en herramientas esenciales para cualquier organización que cree API. Si está construyendo un negocio en torno a las API, debe comprender cómo las construyen sus equipos de ingeniería y cómo las usan sus clientes. Al igual que los sitios web utilizan herramientas como Google Analytics, necesitarás lo mismo para tus API, especialmente porque las API se vuelven cada vez más complicadas.
¿Puede comentar sobre los desafíos y oportunidades futuros en la integración y gestión de API a medida que evoluciona la tecnología?
Muchas organizaciones todavía necesitan descubrir su estrategia de API y cómo construir un negocio exitoso en torno a las API. Ése es el mayor desafío al que se enfrentan la mayoría de las empresas en la actualidad.
Después de eso, todo se reduce a la ejecución, donde necesita herramientas de calidad que le ayuden a pasar operativamente de una fase del ciclo de vida de la API a otra. Las API no van a ninguna parte; simplemente se volverán aún más críticos y complicados en el futuro.
Fuente y redacción: Mirko Zorz / helpnetsecurity.com
