En 2024, las solicitudes de API representaron el 57 % del tráfico dinámico de Internet en todo el mundo, según el Informe de gestión y seguridad de API de Cloudflare 2024, lo que confirma que las API son un componente crucial del desarrollo de software moderno. Pero con su mayor adopción a lo largo de los años, también ha habido un aumento de los desafíos de seguridad asociados.
En los últimos dos años, el 60 % de las organizaciones ha experimentado al menos una infracción que involucró API. Se trata de una tendencia alarmante que puede y debe abordarse.
Consecuencias de una seguridad API insuficiente
A los piratas informáticos les encanta explotar las API por muchas razones, pero principalmente porque les permiten eludir los controles de seguridad y acceder fácilmente a datos confidenciales de la empresa y de los clientes, así como a determinadas funcionalidades.
Un incidente reciente que involucró una API expuesta públicamente de la plataforma de redes sociales Spoutible podría haber terminado en que los atacantes robaran los secretos 2FA de los usuarios, tokens de restablecimiento de contraseña cifrados y más.
Este tipo de incidente puede resultar en una pérdida de confianza de los clientes y socios comerciales, lo que en consecuencia genera pérdidas financieras y una caída en el valor de la marca.
Las malas prácticas de seguridad de API también pueden tener consecuencias regulatorias y legales, causar interrupciones en las operaciones de la empresa e incluso provocar el robo de propiedad intelectual.
Ataques contra API
Los atacantes pueden realizar una variedad de ataques contra las API:
- DDoS
- Fuerza bruta
- inyección de código
- Hombre en el medio (MitM)
“La naturaleza de las API también hace que los ataques sean más sencillos de ejecutar y con efectos más devastadores. A diferencia de la cadena de muerte cibernética convencional, que constaba de siete etapas por las que los atacantes tenían que pasar para explotar y comprometer un sistema, las API son fáciles de explotar y acortan efectivamente la cadena de muerte de siete a tres etapas simples: reconocimiento, armamento y explotación”, señaló el ex líder del equipo de producto de Wib, Yonathan Michaeli .
“No es necesario instalar malware, tomar el control de sus sistemas ni realizar ninguna actividad para aprovechar sus sistemas; Con las API, los atacantes pueden obtener acceso a una gran cantidad de información confidencial realizando solicitudes simples”.
Planificando una estrategia
Una buena estrategia de seguridad de API es esencial para toda organización que desee mantener seguros sus activos digitales y proteger los datos confidenciales de sus clientes.
OWASP actualiza constantemente su lista de las 10 principales amenazas a la seguridad de API . Si bien los profesionales de la seguridad no deben confiar únicamente en estos datos, la lista sigue siendo una herramienta esencial a la hora de planificar una estrategia de seguridad que se mantenga.
Adherirse al marco de ciberseguridad del NIST también es un paso esencial para planificar una buena estrategia de seguridad de API. Las etapas clave del proceso de ciberseguridad (identificar, proteger, detectar, responder y recuperar) son un enfoque universal para abordar riesgos de alta prioridad.
Teniendo esto en cuenta, las organizaciones deben implementar las mejores prácticas de seguridad de API. Check Point ha destacado lo siguiente:
- Implementación de autenticación y autorización.
- Usando cifrado SSL/TLS
- Implementación de control de acceso de confianza cero
- Realizar pruebas de seguridad periódicas y evaluaciones de riesgos.
- Actualizar periódicamente y corregir rápidamente las vulnerabilidades
- Monitorear y alertar continuamente sobre actividades anómalas
- Usando puertas de enlace API
- Uso de una aplicación web y una solución de protección API (WAAP)
También se recomienda limitar la exposición de los datos (mediante enmascaramiento, filtrado y anonimización), gestionar los puntos finales de la API y habilitar la automatización de las políticas de seguridad.
Por último, y lo más importante, los equipos de desarrollo y TI deben recibir educación y capacitación constante sobre amenazas nuevas y en evolución, así como sobre las mejores prácticas de seguridad de API. Incorporar seguridad en las API es la mejor manera de garantizar que las vulnerabilidades de las API no se conviertan en agujeros de seguridad.
Fuente y redacción: Helga Labus / helpnetsecurity.com
