Publicado: 20 de noviembre de 2023
Colaboradores: Chrystal China, Michael Goodwin
La seguridad de las API hace referencia a las prácticas y procedimientos que protegen las interfaces de programación de aplicaciones (API) de usos indebidos, ataques de bots malintencionados y otras amenazas a la ciberseguridad. Funciona como un subconjunto de la seguridad web, pero con un enfoque específico en las API, que son cada vez más vitales para la gestión de TI empresarial.1
Las API se han convertido en los pilares de la transformación digital, permitiendo a las empresas ofrecer servicios a desarrolladores y socios externos. Dado que las API orquestan la comunicación y el intercambio de datos entre aplicaciones, pueden facilitar experiencias de usuario más conectadas, ampliar el alcance general de la empresa y fomentar una innovación tecnológica sin precedentes. Las API también agilizan la integración de servicios para que las empresas puedan adaptarse rápidamente a los cambios del mercado y a las demandas de los clientes.
Pero a medida que proliferan las API, también lo hacen los problemas de seguridad que suelen acompañarlas.
Las API se sitúan entre los recursos informáticos de una organización y los desarrolladores de software de terceros, o entre los recursos informáticos y los particulares, proporcionando datos e información en los endpoints del proceso. Dado que los endpoints están expuestos al mundo exterior, pueden convertir a las API un objetivo lucrativo para diversos tipos de ataques.
La evolución de la gestión de API y la seguridad de las API está intrínsecamente ligada a la evolución de las propias API. Las primeras API se centraban principalmente en la comunicación entre procesos dentro de un mismo sistema. Por ello, la seguridad (o la falta de ella) era menos preocupante, ya que la comunicación se limitaba a una sola máquina.
Sin embargo, con la llegada de las arquitecturas del Internet de las cosas (IoT) y los microservicios nativos de la nube, las API se expandieron para permitir una comunicación fluida y el enrutamiento de llamadas entre aplicaciones y entornos DevOps. Una API moderna y de alta calidad (por ejemplo, transferencia de estado representacional [REST], protocolo simple de acceso a objetos [SOAP]) orquestará la integración de aplicaciones, especificará formatos de datos y dictará tipos de llamada, procedimientos y convenciones.
Las API web (en particular, GraphQL, REST API y SOAP) cambiaron el panorama al ampliar las funciones para incluir capacidades de integración de gran alcance a través de una infinidad de redes complejas.
Pero como las tecnologías avanzadas dependen en gran medida de los endpoints de las API para su funcionalidad, las empresas y los equipos de seguridad deben aplicar medidas de seguridad sólidas para proteger los datos y los servicios web y, en última instancia, sacar el máximo partido de los recursos informáticos.
Si no se protegen adecuadamente, los endpointes de las API pueden permitir a agentes maliciosos obtener acceso no autorizado a datos confidenciales, interrumpir las operaciones del servicio, o ambas cosas, con consecuencias potencialmente devastadoras.Entre las amenazas comunes se incluyen:
- Ataques basados en la autenticación: los hackers intentan adivinar o robar las contraseñas de los usuarios o se aprovechan de mecanismos de autenticación débiles para acceder a los servidores API.
- Ataques de intermediario (man-in-the-middle): en los que un ciberdelincuente roba o modifica datos (por ejemplo, credenciales de inicio de sesión o información de pago) interceptando solicitudes o respuestas de la API.
- Inyecciones de código/ataques de inyección: el hacker transmite un script dañino (para insertar información falsa, eliminar o revelar datos, o interrumpir la funcionalidad de la aplicación) a través de una solicitud de API, aprovechando los puntos débiles de los intérpretes de API que leen y traducen los datos.
- Configuración incorrecta de la seguridad: cuando la información sensible del usuario o los detalles del sistema quedan expuestos debido a configuraciones por defecto inadecuadas, a un uso compartido de recursos entre orígenes (CORS) demasiado permisivo o a encabezados HTTP incorrectos.
- Ataque de denegación de servicio (DoS): estos ataques envían decenas de peticiones API para colapsar o ralentizar el servidor. Los ataques DoS pueden proceder a menudo de varios atacantes simultáneamente en lo que se denomina un ataque de denegación de servicio distribuido (DDoS).
- Ataques de autorización a nivel de objeto rota (Broken Object Level Authorization, BOLA) rotos: ocurren cuando los ciberdelincuentes manipulan los identificadores de objetos en los endpoints de las API para ampliar la superficie de ataque y obtener acceso no autorizado a los datos de los usuarios. Los ataques BOLA son especialmente comunes, porque implementar comprobaciones de autorización adecuadas a nivel de objeto puede ser difícil y llevar mucho tiempo.
En una economía digital dinámica, las API son fundamentales para la agilidad empresarial, pero su naturaleza abierta puede plantear importantes riesgos para la seguridad de los datos. Las violaciones de seguridad de las API han provocado filtraciones masivas de datos, incluso en grandes empresas de renombre como John Deere, Experian y Peloton.2
Y en un entorno tecnológico tan globalizado, las vulnerabilidades de seguridad amenazan a todos los grandes proveedores de servicios, independientemente de su sector o ubicación geográfica. Por ejemplo, un ataque a la API de la empresa australiana de telecomunicaciones Optus en 2022 dejó al descubierto los nombres, números de teléfono, datos del pasaporte y del carné de conducir de casi 10 millones de clientes.3
Estos incidentes subrayan la importancia de la protección de las API y han acelerado el desarrollo de estrategias y herramientas integrales de seguridad de las API.
La aplicación de protocolos estrictos de seguridad de las API protege los datos, las aplicaciones y los servicios que exponen los endpoints de las API, al tiempo que garantiza su disponibilidad para los usuarios legítimos. Pero la seguridad de las API no consiste solo en proteger los endpoints. También da prioridad a la seguridad de las interacciones de red, como las transmisiones de datos, las solicitudes de usuarios y las comunicaciones entre aplicaciones a lo largo del ciclo de vida de la API.
Algunas de las soluciones de seguridad de API más comunes para apuntalar las infraestructuras informáticas son:
La autenticación es el proceso de verificar la identidad de un usuario, sistema o proceso. En el contexto de las API, se refiere al uso de protocolos de autenticación de usuarios (como OAuth 2.0, claves de API y especificaciones JWT) para garantizar que un solicitante es quien dice ser.
Por otro lado, la autorización es el proceso de verificar a qué tiene acceso un usuario autenticado. Una vez autenticado el usuario, los controles de acceso basados en roles deben limitar el acceso del usuario estrictamente a los recursos que necesita o solicita.
Con el cifrado, el texto plano y otros tipos de datos se convierten de una forma legible a una versión codificada que sólo puede descifrar una entidad con una clave de descifrado. Utilizando tecnologías de cifrado como la seguridad de la capa de transporte (TLS), la conexión SSL y los protocolos de cifrado TLS, los equipos pueden garantizar que el tráfico de la API no será interceptado ni alterado por agentes malintencionados o usuarios no autorizados.
Los protocolos de validación de entradas protegen las API contra datos maliciosos, como ataques de inyección SQL y scripts entre sitios, asegurándose de que las entradas cumplen ciertos criterios (longitud, tipo, formato, rango, etc.) antes de ser procesadas. La utilización de cortafuegos de aplicaciones web (WAF) y la validación de esquemas XML o JSON puede ayudar a los equipos de seguridad a automatizar los procesos de validación, analizando preventivamente las solicitudes entrantes y bloqueando el tráfico malicioso antes de que llegue al servidor.
La limitación de velocidad protege los recursos de la API frente a los ataques de fuerza bruta y de denegación de servicio restringiendo el número de llamadas que un usuario o una dirección IP puede realizar en un periodo de tiempo determinado. Los límites de velocidad garantizan que todas las solicitudes de API se procesen rápidamente y que ningún usuario pueda inundar el sistema con solicitudes perjudiciales.
Al igual que la limitación de velocidad, la regulación restringe el número de llamadas API que recibe un sistema. Sin embargo, en lugar de operar a nivel de usuario/cliente, la regulación funciona a nivel de servidor/red. Los límites y cuotas de regulación aseguran el ancho de banda del sistema backend de la API limitándolo a un cierto número de llamadas, mensajes, o ambos, por segundo.
Las cabeceras de seguridad pueden ser especialmente eficaces para evitar ataques de clickjacking. La cabecera "content-security-policy", por ejemplo, indica al navegador qué recursos puede solicitar al servidor. La cabecera "x-content-type-option" impide que los navegadores intenten rastrear los tipos de contenido, y la cabecera "strict-transport-security" impone conexiones seguras (HTTP sobre SSL/TLS) al servidor.
Instalar pasarelas de API es una de las formas más sencillas de restringir el acceso a las API y añadir una capa adicional de seguridad a la red, especialmente en el caso de las API abiertas. Una pasarela de API actúa como punto único de entrada para todas las solicitudes de API que recibe un sistema, estandariza las interacciones de API y ofrece funciones de seguridad como almacenamiento en caché, análisis, composición de API, limitación de velocidad, cifrado, información de registro y control de acceso.
Mantener registros de auditoría completos y actualizados, y revisarlos a menudo, permite a las organizaciones realizar un seguimiento del acceso y el uso de los datos, y registrar cada solicitud de API. Dada la complejidad de los ecosistemas de API, mantenerse al tanto de la actividad de las API puede requerir mucho trabajo, pero los procedimientos de auditoría y registro pueden ahorrar tiempo cuando los equipos necesiten volver sobre sus pasos tras una vulneración de datos o un fallo en el cumplimiento.
La gestión proactiva de errores en entornos API puede evitar que los ciberdelincuentes revelen información sensible sobre los procesos API. Lo ideal es que cualquier error de API devuelva códigos de estado HTTP que indiquen a grandes rasgos la naturaleza del error, proporcionando contexto suficiente para que los equipos comprendan y aborden el problema sin arriesgarse a una exposición excesiva de los datos.
Como ocurre con cualquier aplicación o sistema informático, la vigilancia y el mantenimiento en tiempo real son esenciales para preservar la seguridad de las API. Esté atento a cualquier actividad inusual en la red y actualice las API con los últimos parches de seguridad, correcciones de errores y nuevas funciones.
Las organizaciones también deberían adoptar oportunamente normas de seguridad como las recomendaciones de seguridad de API del Open Web Application Security Project (OWASP). El Top 10 de seguridad API de OWAS, por ejemplo, ofrece un marco para comprender y mitigar las amenazas más cruciales y comunes a la seguridad de las API, como la autenticación rota, la asignación masiva y la falsificación de peticiones del lado del servidor.
Cada nueva versión del software API viene acompañada de actualizaciones de seguridad y correcciones de errores que subsanan las deficiencias de seguridad de las versiones anteriores. Pero sin unas prácticas de control de versiones adecuadas, los usuarios pueden implementar accidental (o intencionadamente) una versión obsoleta de la API y poner en peligro datos confidenciales. Unas prácticas cuidadosas de documentación y control de versiones permiten a las empresas acelerar el desarrollo de API y eliminar versiones antiguas sin interrumpir los servicios, empujando a los usuarios hacia iteraciones más nuevas y seguras.
Por ejemplo, si un equipo descubre un fallo de seguridad en la versión 1 de una API, puede solucionarlo en la versión 2. Y con el control de versiones, los equipos de seguridad pueden animar a los usuarios a migrar de la v1 a la v2 a su propio ritmo, al tiempo que dejan claro en la documentación de la versión que v1 tiene una vulnerabilidad de seguridad conocida.
Las pruebas de seguridad requieren que los desarrolladores envíen solicitudes estándar mediante un cliente de API para evaluar la calidad y la exactitud de las respuestas del sistema. La realización de pruebas de seguridad periódicas para identificar y abordar las brechas de seguridad ayuda a los equipos a corregir las vulnerabilidades de las API antes de que los atacantes tengan la oportunidad de explotarlas.
IBM® API Connect es una solución de gestión de API completa e intuitiva que le ayuda a crear, gestionar, proteger, socializar y monetizar sus API de manera sistemática, lo cual contribuye a una transformación digital más rápida, tanto en las instalaciones como en la nube.
IBM API Connect ofrece una variedad de funciones para proteger, controlar y mediar en el acceso a sus API. Controle el acceso a las API mediante autenticación y autorización mediante OAuth, OpenID Connect y servicios externos. Implemente en cualquier lugar: desde una DMZ hasta una ubicación conjunta con sus aplicaciones y microservicios nativos del cloud, protegiendo el acceso en tiempo de ejecución, en cualquier lugar.
Aumente la seguridad de las API en toda su empresa con capacidades avanzadas basadas en IA. IBM, líder en gestión de API y pasarelas de aplicaciones, se ha asociado con Noname Security, líder en seguridad de API, para ofrecer funciones avanzadas de seguridad de API. Esta solución conjunta le ayudará a alcanzar nuevos niveles de confianza en la seguridad.
Maximice el valor de las API para impulsar el negocio digital con una solución integral de gestión de API.
Estos tutoriales proporcionan instrucciones prácticas que ayudan a los desarrolladores a aprender a utilizar las tecnologías en sus proyectos.
Venga en busca de respuestas. Quédese para conocer las buenas prácticas. Lo único que nos falta es usted.
Notas a pie de página
1 Research Brief: The Urgency of Addressing API Security in an Application Security Program (enlace externo a ibm.com), Enterprise Strategy Group, 16 de octubre de 2023.
2 On the Radar: Wib secures APIs throughout their full lifecycles (enlace externo a ibm.com), Omdia, 1 de septiembre de 2023.
3 The next big API security breach looms: here’s how to prepare (enlace externo a ibm.com), SC Magazine, 19 de octubre de 2023.