Estrategias recomendadas para API

Las interfaces de programación de aplicaciones (API) son invaluables para las organizaciones modernas. Se utilizan para conectar e integrar aplicaciones, sistemas y bases de datos, orquestar flujos de trabajo, acelerar el desarrollo y la distribución de nuevas aplicaciones y servicios, crear interfaces modernizadas para sistemas heredados y mucho más. La empresa promedio tiene más de 613 endpoints de API en producción.

Sin embargo, si las API se crean, implementan o incorporan de manera ad hoc, las organizaciones corren el riesgo de dejar valor sobre la mesa o, lo que es peor, dejar a la organización vulnerable a los riesgos de ciberseguridad. Una estrategia integral de API ayuda a garantizar que una organización aproveche al máximo sus API y que las API funcionen al servicio de iniciativas empresariales compartidas.

Una estrategia de API es un plan de alto nivel que describe cómo una organización utilizará las API para alcanzar los objetivos empresariales. Establece directrices y políticas para el diseño, desarrollo e implementación de API, gestión de API, seguridad y más. La estrategia de API ayuda a garantizar que las API de una organización no existan de forma aislada, sino que trabajen juntas al servicio de necesidades y objetivos empresariales más amplios.

Una estrategia de API tiene en cuenta las necesidades técnicas, de seguridad y de cumplimiento de una organización, al tiempo que ayuda a promover un sistema sostenible, predecible y centralizado para implementar nuevas API en el futuro.

En resumen, la estrategia de API ayuda a las organizaciones a diseñar y gestionar API más eficientes, valiosas y seguras. La funcionalidad de las API es tan amplia, variada y en rápida evolución que las partes interesadas necesitan contar con una estrategia de API concreta para mantener la cohesión, la eficiencia y la eficacia en los proyectos de API.

Dado que hay muchos tipos de API (e incluso más formas de utilizarlas) y que desempeñan un papel tan integral en las empresas modernas, las organizaciones deben contar con una estrategia de API clara y completa para mantener el orden en su ecosistema digital, evitar el despilfarro de recursos y riesgos de seguridad y garantizar que sus API ofrezcan el mayor valor empresarial posible.

Una estrategia de API sólida puede proporcionar una mejor experiencia para los desarrolladores, mejorar la compatibilidad y la escalabilidad, ayudar a las organizaciones a monetizar sus API y mucho más. La estrategia de API también es una parte importante para lograr objetivos holísticos como la transformación digital.

La transformación digital es una estrategia que tiene como objetivo incorporar la tecnología digital en toda una organización. Se trata de una revisión completa de los procesos, los productos, las operaciones y la pila tecnológica para permitir una innovación continua, rápida y orientada al cliente. No se trata solo de reemplazar ciertos procesos o actualizar servicios; es una transformación empresarial completa que sitúa la tecnología en el corazón de una organización.

Las API, y una estrategia de API bien formada, desempeñan un papel descomunal en el impulso de esta transformación. Con la tecnología en el centro, son las API las que se utilizan con tanta frecuencia para conectar tecnologías en toda una empresa y para conectar a los usuarios con aplicaciones, sistemas y servicios empresariales.

Las API permiten a las organizaciones ofrecer más servicios a más usuarios (abriendo nuevas fuentes de ingresos), agilizar estos servicios y mejorar la experiencia general del usuario, facilitar el intercambio de datos entre sistemas internos, bases de datos y aplicaciones y conectar recursos alojados en diferentes proveedores de servicios en la nube para modernizar la infraestructura de TI heredada y mucho más. 

Una estrategia sólida de API empresarial incluye una documentación exhaustiva de las API (lea más sobre cómo las organizaciones pueden descubrir las API aquí) que explique claramente cómo se crean y utilizan las API de una organización. Un developer portal puede ser una herramienta valiosa para que las API de front-end y back-end estén disponibles, organizadas y reconocibles para los desarrolladores. Sin una buena estrategia de API, los desarrolladores pueden tener dificultades para encontrar las herramientas que necesitan, lo que puede ralentizar la producción e implementación y dar lugar a redundancia de API y desperdicio de recursos.

Las API deben supervisarse y actualizarse para mantenerse al día con el nuevo software y las actualizaciones de software. Una estrategia de API bien desarrollada generalmente incluye planes para el ciclo de vida completo de la API: ideación, diseño de API, pruebas, implementación, mantenimiento y, si es necesario, interrupción. Un proceso de este tipo impulsa la coherencia en la compatibilidad de la API con las últimas versiones de software y reduce el riesgo de fallos relacionados con la compatibilidad o comportamientos impredecibles.

La vertiginosa evolución de la tecnología significa que casi todas las organizaciones dependen de algún tipo de servicio, software o base de datos heredada. La actualización de estos recursos suele ser costosa y llevar mucho tiempo.

Mientras avanzan los esfuerzos de modernización, las organizaciones pueden utilizar las API para modernizar la interfaz con estos sistemas y bases de datos. Esto permite a las organizaciones integrar los recursos heredados y aprovechar los valiosos datos que contienen sin tener que esperar a que se actualice todo el sistema.

Por ejemplo, una gran cantidad de registros de cuentas de clientes podría estar almacenada en una base de datos que ya no es utilizada por el resto de la empresa. En lugar de migrar minuciosamente todos esos datos a un nuevo sistema (o mientras esa migración está en curso), se puede utilizar una API para permitir que otras partes del sistema se comuniquen con la base de datos y soliciten información.

Una estrategia de API garantiza que las API se diseñen, implementen y documenten de una manera que oriente a la empresa hacia los objetivos establecidos y se ajuste a una estrategia empresarial más amplia. La estrategia de API ayuda a crear una hoja de ruta para el desarrollo de API y la distribución y un plan que produce modelos de negocio más cohesivos y un mayor valor de API.

Las API se utilizan a menudo como vector de ataque e introducen un riesgo de seguridad que debe abordarse. Una estrategia de API que detalle los estándares de seguridad de la organización y cómo una organización evitará el uso indebido de sus API puede reducir este riesgo. Para ello se utilizan a menudo herramientas como las pasarelas de API y técnicas como la autenticación o la limitación de velocidad.

La limitación de velocidad se utiliza para reducir el riesgo de ataques de fuerza bruta o ataques DDoS (denegación de servicio distribuido). La limitación de velocidad bloquea o descarta las solicitudes que representan un riesgo de volumen e impide que los sistemas se inunden de solicitudes. También hay funciones automatizadas que pueden ser aún más precisas. Por ejemplo, las organizaciones pueden fijar límites de velocidad para determinadas direcciones con una actividad de alta solicitud que se haya marcado como sospechosa. 

Las técnicas de autenticación también se incorporan a la estrategia de seguridad de la API para garantizar que solo se cumplan las solicitudes seguras y aprobadas. OAuth, o autorización abierta, es un protocolo que utiliza un token de acceso que concede a los usuarios acceso a datos o servicios previamente aprobados sin necesidad de iniciar sesión. Las claves API, que son una cadena única de caracteres que solo conocen el cliente y el servidor, son otra herramienta popular que las organizaciones utilizan para mantener seguras las API.

Las organizaciones pueden utilizar plataformas de pruebas automatizadas que comprueben continuamente la seguridad del sistema para complementar y mejorar las comprobaciones y pruebas manuales.

En una arquitectura de microservicios, las aplicaciones se componen de muchos componentes o servicios más pequeños, poco acoplados y que se pueden implementar de forma independiente. Estos componentes a menudo se comunican a través de API.

Los microservicios permiten una mayor flexibilidad y versatilidad, pero también pueden añadir complicaciones, como problemas de compatibilidad, problemas de latencia debido a una mayor cantidad de conexiones de red y un mayor registro de datos. En efecto, una arquitectura de microservicios aporta más libertad, pero también un aumento de la complejidad.

Una estrategia empresarial de API ayuda a establecer la coherencia y la capacidad de descubrimiento de la API que se necesita para aplicaciones de microservicio rápidas y eficientes.

Una estrategia API-first concede una alta prioridad a las API como activos empresariales. En esta concepción, las API son la piedra angular en torno a la que los desarrolladores escriben código, en lugar de las características que se añaden después de desarrollar el software. Es un enfoque popular en las estrategias que priorizan lo digital porque hace hincapié en la integración y la comunicación entre los sistemas, las bases de datos y las aplicaciones empresariales.

Una estrategia que dé prioridad a las API ofrece varias ventajas:

• Reduce el riesgo de redundancia de API
  
  
• Promueve la reutilización de las API
  
  
• Hace que las API se puedan descubrir en un lugar centralizado para facilitar su búsqueda y adopción
  
  
• Hace que el ecosistema de API sea más eficiente
  
  
• Reduce la cantidad de tiempo que los desarrolladores dedican a depurar el código
  
  
• Permite una mayor escalabilidad
  
  
• Facilita el mantenimiento y las actualizaciones de la API
  
  
• Proporciona una ventaja empresarial competitiva en un mundo cada vez más saturado de API
  
  
• Permite a los equipos de desarrollo trabajar en paralelo en múltiples API a la vez, colaborando en tiempo real

Las estrategias de API son bastante diferentes en función de los objetivos empresariales y las necesidades de cada organización individual. Pero hay algunos conceptos y componentes más amplios que crean estrategias de API sólidas y muchas estrategias de API se crean siguiendo los siguientes pasos:

El desarrollo de la estrategia comienza con una pregunta sencilla: ¿qué pretende conseguir la organización con sus API?

Estos objetivos deben encajar con otros objetivos establecidos por la organización, ya sea implementar una transformación digital, optimizar los flujos de trabajo para los desarrolladores, aumentar las métricas como la base de usuarios, la experiencia del cliente o la monetización, aumentar la eficiencia operativa o, por supuesto, todo lo anterior.

Una catalogación minuciosa de los posibles casos de uso puede orientar una estrategia de API eficaz.

¿Quiere la organización compartir fácilmente datos entre equipos internos? ¿Facilitar a los desarrolladores la creación y mejora rápida de software? ¿Conectar clientes o usuarios con datos y servicios? Las estrategias de API cambian en función de las necesidades precisas de una organización, por lo que tiene sentido empezar con una pregunta sencilla: ¿cómo se utilizarán las API?

El gobierno de las API se refiere al amplio conjunto de normas, políticas y prácticas que dirigen la forma en que una organización desarrolla, implementa y utiliza sus API.

Idealmente, una organización define primero su gobierno y luego diseña las API de acuerdo con esas reglas, en lugar de al revés. Al redactar este gobierno, los equipos consideran factores como los objetivos de la organización, las tecnologías existentes y las tecnologías que la organización podría incorporar en el futuro.

Un marco de gobierno también podría describir qué tipo de API se utilizan para diferentes casos de uso. Existen varios protocolos de API, estilos arquitectónicos y lenguajes diferentes, cada uno con sus puntos fuertes y débiles. Estos incluyen¹:

La llamada a procedimiento remoto (RPC) es un protocolo que permite a un programa solicitar un servicio a otro programa en un ordenador diferente utilizando esencialmente el mismo código que si estuviera solicitando un servicio localmente.

La RPC proporciona el paradigma de comunicaciones de alto nivel que se utiliza en el sistema operativo. Supone la existencia de un protocolo de transporte de bajo nivel, como el protocolo de control de transmisión/protocolo de Internet (TCP/IP) o el protocolo de datagramas de usuario (UDP), para transportar los datos del mensaje entre programas que se comunican.

La RPC implementa un sistema lógico de comunicaciones de cliente a servidor diseñado específicamente para el soporte de aplicaciones de red. ²

Los tipos de protocolos RPC incluyen XML-RPC, JSON-RPC y gRPC.

La transferencia de estado representacional (REST) es un conjunto de principios de arquitectura de API web. Las API de REST, también conocidas como API RESTful, son API que cumplen con ciertas restricciones de la arquitectura de REST. Las API de REST utilizan solicitudes HTTP como GET, PUT, HEAD y DELETE para interactuar con los recursos. REST hace que los datos estén disponibles como recursos, y cada recurso está representado por un URI único. Los clientes solicitan un recurso proporcionando su URI.

Las API de REST no tienen estado, es decir, no guardan los datos del cliente entre solicitudes. Es posible crear API de RESTful con protocolos SOAP, pero los profesionales suelen considerar ambas normas como especificaciones contrapuestas.

GraphQL es un lenguaje de consulta de código abierto y un tiempo de ejecución del lado del servidor que permite a los clientes orientar exactamente los recursos que necesitan. A diferencia de REST, que suele utilizar varios endpoints para obtener datos y realizar operaciones de red, las API de GraphQL utilizan un único endpoint de GraphQL para ofrecer a los clientes una respuesta de datos precisa y completa en un solo viaje de ida y vuelta a partir de una única solicitud, eliminando los problemas de sobreobtención y subobtención.³

Sin embargo, GraphQL puede introducir más complejidad de la necesaria para aplicaciones simples.

El protocolo simple de acceso a objetos (SOAP) es una especificación ligera basada en XML que permite a los endpoints enviar y recibir datos a través de una variedad de protocolos de comunicación, incluyendo SMTP (simple mail transfer protocol) y HTTP (hypertext transfer protocol). SOAP es independiente, lo que permite a las API de SOAP compartir información entre aplicaciones o componentes de software que se ejecutan en entornos distintos o están escritos en lenguajes diferentes.

Las plataformas de gestión de API son herramientas diseñadas específicamente para acceder, controlar, distribuir y analizar API, todo en uno. Las plataformas de gestión de API permiten a las empresas compartir documentación y herramientas entre equipos, pueden reforzar la seguridad de datos, cumplir con los estándares de cumplimiento y gobierno y apoyar iniciativas de transformación digital.

Las plataformas de gestión de API suelen incluir un portal para desarrolladores, que actúa como un recurso integral para que los desarrolladores naveguen, accedan y compartan documentación de la API. Esta solución puede evitar el problema de los múltiples repositorios, las bibliotecas desaparecidas y las credenciales misteriosas en el desarrollo de API y software: todo está en un solo lugar.

Las plataformas de API también incluyen valiosas herramientas analíticas. Esta plataforma centralizada se utiliza para monitorizar el uso de la API, el tiempo de respuesta y el rendimiento general y ayudar a detectar vulnerabilidades de la API.

Por último, el uso de plataformas de gestión de API permite una gestión completa del ciclo de vida de las API. El ciclo de vida de la API implica muchas etapas diferentes: creación, desarrollo, pruebas, publicación, mantenimiento, retirada. Una plataforma de API puede recopilar todas esas etapas en un solo lugar, lo que ayuda a proporcionar a las organizaciones visibilidad de entornos de API grandes y complejos.

Dado que las API proporcionan acceso a datos y servicios, ya sea a clientes internos o a terceros, la seguridad debe ser una consideración importante en todas las fases del desarrollo de la estrategia de API. Una seguridad de API defectuosa puede provocar ciberataques, vulneración de datos y otros accesos no autorizados. Una estrategia de API debe abordar cómo una organización se asegurará de que las API sean seguras y compatibles, detallando enfoques de autenticación, cifrado, validación, monitoreo, actualizaciones periódicas y más.

Una estrategia de API completa incluye planes sobre lo que ocurre después de la creación de las API: cómo se supervisarán, mantendrán, analizarán, probarán y actualizarán.

Es vital monitorizar el uso de la API por varias razones, entre ellas:

• Asegúrese de que las API funcionen correctamente y no tengan errores
  
  
• Analice los patrones de tráfico para comprobar si hay comportamientos inusuales y potencialmente peligrosos
  
  
• Confirme que todas las API están actualizadas
  
  
• Manténgase alerta ante posibles duplicaciones
  
  
• Eliminar las API que están en desuso o que han sido sustituidas

Una estrategia de API debe detallar cómo una organización promoverá la visibilidad en todo su entorno de API, cómo se incorporarán los conocimientos de los análisis y los comentarios de los usuarios para mejorar el rendimiento de las API, cómo se implementarán y documentarán las actualizaciones y cómo, si es necesario, se retirarán las API.