En la actualidad hay muchas empresas que utilizan APIs, diseñadas para ser canales de comunicación sencillos y rápidos entre distintas plataformas. Pero los ciberdelincuentes las han identificado como posible vector de ataque, y las usan con frecuencia para llevar a cabo sus fechorías online. Así está reflejado en el informe API: The Attack Surface That Connects Us All (API: La superficie de ataque que nos conecta a todos), de Akamai, que señala que la prioridad que se está dando por su comodidad en el uso a las APIs, que se han convertido en esenciales para muchas empresas, también las ha convertido en un objetivo para los atacantes, y que es un error asumir que son seguras. De hecho, según la consultora Gartner, las APIs serán el vector de ataque más frecuente para 2022.
Spring Book es un framework dependiente de APIs bastante popular para el desarrollo de aplicaciones web. Akamai probó 5.000 apps web de Spring Book, y descubrió que todas tenían al menos una vulnerabilidad. Alrededor del 86% de las vulnerabilidades detectadas permitían a los atacantes inyectar código malicioso en los datos o falsificar los datos de conexión. Además, un 68% liberaban recursos antes de que estuvieran disponibles para ser reutilizados. Y un 47% tenían contraseñas que no podían cambiarse.
Akamai ha constatado también que las llamadas a APIs representan el 83% del tráfico web, y la mayoría del tráfico de APIs corresponde a aplicaciones personalizadas, que son el resultado de transformaciones digitales y del despliegue de aplicaciones basado en la nube. Por otro lado, la seguridad de API se relega a un puesto secundario a la hora de lanzar aplicaciones al mercado, y muchas organizaciones se apoyan en soluciones de seguridad de red convencionales para protegerlas, sin que estén diseñadas para proteger la superficie de ataque más amplia que las APIs pueden exponer.
Para realizar el informe, Akamai ha revisado 18 meses de tráfico de ataques de enero de 2020 a junio de 2021, lo que ha hecho que descubra más de 11.000 millones de intentos de ataque, con 6.200 millones de intentos registrados, la inyección de SQL sigue siendo el ataque más frecuente, seguido por la Inclusión local de archivos, con 3.300 millones de ataques, y el scripting entre sitios (XSS) en tercer puesto con 1.019 millones de intentos. Esto lleva a que el 88,7% de los ataques web empleen las vulnerabilidades de API comunes SQLi y LFI.
Además, los ataques de stuffing (relleno) de credenciales rastreado entre enero de 2020 y junio de 2021 se mantuvo estable, con picos de un día de 1.000 millones de ataques registrados en enero de 2021 y mayo de 2021. Estados Unidos fue el país objetivo en más ocasiones de los ataques durante el periodo, con seis veces de tráfico más que Reino Unido, que quedó segundo en la clasificación. Estados Unidos encabezó también la lista de fuentes de ataques, con cuatro veces más cantidad de tráfico que Rusia, que ocupa el segundo puesto.
El informe también recoge que el tráfico de ataques DDoS se ha mantenido en 2021 hasta ahora, con picos registrados en el primer trimestre de 2021. Así, en enero pasado, Akamai registró 190 eventos de DDoS en un solo día, seguidos de 183 otro en marzo.
Steve Ragan, Investigador de seguridad de Akamai, señala que «de autenticaciones rotas y fallos de inyección a simples fallos de configuración, hay numerosas preocupaciones por la seguridad de las APIs para cualquiera que desarrolle una aplicación conectada a Internet. Los ataques de APIs, por un lado, pasan desapercibidos en cuanto a detección, y cuando se detectan, no se comunican lo suficiente. Mientras que los ataques DDoS y de ransomware reciben mucha importancia, los que se hacen a APIs no reciben el mismo nivel de atención, en gran parte porque los criminales usan las APIs de manera menos aparatosa que un ataque de ransomware bien ejecutado, pero eso no quiere decir que haya que ignorarlos«.
Parte del problema reside en que las APIs están a menudo escondidas en apps móviles, lo que lleva a la creencia de que están a salvo de manipulaciones, y los desarrolladores asumen que los usuarios solo van a interactuar con las APIs a través de la interfaz de usuario móvil, pero según el informe, ese no es el caso.