Las interfaces de programación de aplicaciones (API) son el tejido conectivo detrás de la modernización digital, ayudando a que las aplicaciones y las bases de datos intercambien datos de manera más efectiva. Informe sobre el estado de la seguridad de las API en 2024 de Imperva, una empresa de Thales, descubrió que la mayor parte del tráfico de Internet (71%) en 2023 fueron llamadas API. Es más, un sitio empresarial típico recibió un promedio de 1.500 millones de llamadas API en 2023.
El creciente volumen de tráfico de Internet que pasa a través de las API debería preocupar a todos los profesionales de la seguridad. A pesar de los mejores esfuerzos para adoptar marcos de trabajo de desplazamiento a la izquierda y procesos SDLC, las API a menudo todavía se ponen en producción antes de catalogarse, autenticarse o auditarse. En promedio, las organizaciones tienen 613 puntos finales API en producción, pero ese número se está expandiendo rápidamente a medida que crece la presión para brindar servicios digitales a los clientes de manera más rápida y eficiente. Con el tiempo, estas API pueden convertirse en puntos finales vulnerables y riesgosos.
En su informe, Imperva concluye que las API son ahora un vector de ataque común para los ciberdelincuentes porque son una vía directa para acceder a datos confidenciales. De hecho, un estudiar del Marsh McLennan Cyber Risk Analytics Center encuentra que los incidentes de seguridad relacionados con API cuestan a las empresas globales hasta 75 mil millones de dólares al año.
Más llamadas API, más problemas
La banca y el comercio minorista en línea registraron los mayores volúmenes de llamadas API en comparación con cualquier otra industria en 2023. Ambas industrias dependen de grandes ecosistemas API para brindar servicios digitales a sus clientes. Por lo tanto, no sorprende que los servicios financieros, que incluyen la banca, fueran el principal objetivo de los ataques relacionados con API en 2023.
Los ciberdelincuentes utilizan una variedad de métodos para atacar los puntos finales de API, pero un vector de ataque común es la apropiación de cuentas (ATO). Este ataque ocurre cuando los ciberdelincuentes aprovechan las vulnerabilidades en los procesos de autenticación de una API para obtener acceso no autorizado a las cuentas. En 2023, casi la mitad (45,8%) de todos los ataques ATO tuvieron como objetivo puntos finales API. Estos intentos a menudo los lleva a cabo la automatización en forma de robots maliciosos, agentes de software que ejecutan tareas automatizadas con intenciones maliciosas. Cuando tienen éxito, estos ataques pueden bloquear el acceso de los clientes a sus cuentas, proporcionar a los delincuentes datos confidenciales, contribuir a la pérdida de ingresos y aumentar el riesgo de incumplimiento. Teniendo en cuenta el valor de los datos que los bancos y otras instituciones financieras gestionan para sus clientes, la ATO es un riesgo empresarial preocupante.
Por qué las API mal administradas son una amenaza para la seguridad
Mitigar el riesgo de seguridad de API es un desafío único que frustra incluso a los equipos de seguridad más sofisticados. El problema surge del rápido ritmo de desarrollo de software y la falta de herramientas y procesos maduros para ayudar a los desarrolladores y equipos de seguridad a trabajar de manera más colaborativa. Como resultado, casi una de cada 10 API es vulnerable a ataques porque no quedó obsoleta correctamente, no está monitoreada o carece de suficientes controles de autenticación.
En su informe, Imperva identificó tres tipos comunes de puntos finales API mal administrados que crean riesgos de seguridad para las organizaciones: API ocultas, obsoletas y no autenticadas.
- API en la sombra: También conocidas como API no documentadas o no descubiertas, son API que no están supervisadas, olvidadas y/o fuera de la visibilidad del equipo de seguridad. Imperva estima que las API ocultas representan el 4,7% de la colección de API activas de cada organización. Estos puntos finales se introducen por diversas razones, desde el propósito de probar el software hasta su uso como conector para un servicio de terceros. Surgen problemas cuando estos puntos finales de API no se catalogan o administran adecuadamente. Las empresas deberían preocuparse por las API ocultas porque normalmente tienen acceso a información confidencial, pero nadie sabe dónde existen ni a qué están conectadas. Una única API oculta puede provocar una infracción de cumplimiento y una multa reglamentaria o, peor aún, un ciberdelincuente motivado abusará de ella para acceder a los datos confidenciales de una organización.
- API obsoletas: Dejar obsoleto un punto final API es una progresión natural en el ciclo de vida del software. Como resultado, la presencia de API obsoletas no es infrecuente, ya que el software se actualiza a un ritmo rápido y continuo. De hecho, Imperva estima que las API obsoletas, en promedio, representan el 2,6% de la colección de API activas de una organización. Cuando el punto final está en desuso, los servicios que soportan dichos puntos finales se actualizan y una solicitud al punto final en desuso debería fallar. Sin embargo, si los servicios no se actualizan y la API no se elimina, el punto final se vuelve vulnerable porque carece de los parches y las actualizaciones de software necesarios.
- API no autenticadas: A menudo, las API no autenticadas se introducen como resultado de una mala configuración, la supervisión de un proceso de lanzamiento apresurado o la relajación de un proceso de autenticación rígido para dar cabida a versiones anteriores de software. Estas API representan, en promedio, el 3,4% de la colección de API activas de una organización. La existencia de API no autenticadas plantea un riesgo importante para las organizaciones, ya que pueden exponer datos o funcionalidades confidenciales a usuarios no autorizados y provocar violaciones de datos o manipulación del sistema.
Para mitigar los diversos riesgos de seguridad introducidos por las API mal administradas, se recomienda realizar auditorías periódicas para identificar puntos finales de API no supervisados o no autenticados. El monitoreo continuo puede ayudar a detectar cualquier intento de explotar las vulnerabilidades asociadas con estos puntos finales. Además, los desarrolladores deben actualizar y actualizar las API periódicamente para garantizar que los puntos finales obsoletos se reemplacen con alternativas más seguras.
Cómo proteger sus API
Imperva ofrece varias recomendaciones para ayudar a las organizaciones a mejorar su postura de seguridad API:
- Descubra, clasifique e inventaria todas las API, puntos finales, parámetros y cargas útiles. Utilice el descubrimiento continuo para mantener un inventario de API siempre actualizado y revelar la exposición de datos confidenciales.
- Identifique y proteja API sensibles y de alto riesgo. Realice evaluaciones de riesgos dirigidas específicamente a puntos finales de API vulnerables a autorización y autenticación rotas, así como a exposición excesiva de datos.
- Establezca un sistema de monitoreo sólido para los puntos finales de API para detectar y analizar comportamientos sospechosos y patrones de acceso de manera activa.
- Adopte un enfoque de seguridad de API que integre firewall de aplicaciones web (WAF), protección de API, prevención de denegación de servicio distribuida (DDoS) y protección contra bots. Una amplia gama de opciones de mitigación ofrece flexibilidad y protección avanzada contra amenazas API cada vez más sofisticadas, como lógica de negocios ataques, que son particularmente difíciles de defender ya que son únicos para cada API.