¿Qué es la seguridad de API?

Una postura de seguridad de API sólida ayuda a garantizar que solo los usuarios y las aplicaciones autorizados accedan a las API. Funciona como un subconjunto de seguridad web, pero con un enfoque específico en las API, que son cada vez más vitales para la administración de TI empresarial.¹

Las API conectan aplicaciones, servicios, sistemas y bases de datos en todo el mundo digital. Permiten a las empresas integrar bases de datos on-prem y en la nube, conectar sistemas heredados centrales con plataformas modernas y conectar despliegues en diferentes entornos. También permiten a las organizaciones ofrecer servicios a desarrolladores y socios externos, y facilitar experiencias de usuario más conectadas.

Los desarrolladores pueden, por ejemplo, conectar nuevas aplicaciones y servicios con plataformas de gestión de relaciones con los clientes (CRM), planificación de recursos empresariales (ERP) y otros sistemas. Estos sistemas a menudo se despliegan en diferentes entornos y dependen de API para la sincronización de datos.

La proliferación de herramientas de código bajo y sin código ha facilitado, tanto a los equipos de desarrollo experimentados como al personal que no pertenece a TI la creación de aplicaciones, el acceso a las API y la realización de tareas de gestión de API. Pero a medida que proliferan las API, también lo hacen los problemas de seguridad que a menudo las acompañan. Casi todas las organizaciones (99 %) han experimentado problemas de seguridad relacionados con las API en el último año, con más de un tercio (34 %) de los incidentes de seguridad que exponen datos confidenciales o privados.²

Tanto las API internas como las externas y los endpoints de API pueden verse comprometidos, pero la naturaleza pública de las API externas las hace más vulnerables a actores maliciosos y a varios tipos de ataques de API. Las prácticas de seguridad de API vigilantes ayudan a las empresas a proteger los endpoints expuestos y los datos y redes empresariales.

Las API están en todas partes. La empresa promedio de tamaño empresarial recibió aproximadamente 1500 millones de llamadas a la API en 2023, un año en el que las llamadas a la API representaron el 71 % del tráfico total de Internet.³ Y casi todas las aplicaciones utilizan al menos una API. Como tales, las API son elementos fundamentales de las redes informáticas modernas, la computación en la nube y los despliegues de SaaS.

Sin embargo, su naturaleza interconectada crea desafíos de seguridad únicos que las medidas de seguridad tradicionales no pueden manejar. Las API se utilizan a menudo en configuraciones en la nube, on premises e híbridas, y cada entorno tiene sus propias necesidades de seguridad distintas. Es posible que los controles de seguridad que funcionan en un entorno no se traduzcan en otro, lo que hace que la aplicación unificada sea un desafío continuo.

Las API también sirven de tejido conectivo entre microservicios, cada uno con su propio perfil de seguridad. Una sola debilidad en una API puede poner en peligro todo un sistema. Por ejemplo, en el sector energético, las medidas de seguridad de API protegen los intercambios de datos entre medidores, sistemas de supervisión y plataformas de mantenimiento, ayudando a garantizar la integridad de los programas de mantenimiento preventivo.

Además, la mayoría de las aplicaciones emplean numerosos endpoints de API, y cada uno presenta un posible punto de entrada para los atacantes. Los endpoints que procesan información sensible (datos médicos o financieros, por ejemplo) son vectores de ataque especialmente lucrativos. Los endpoints de las API amplían significativamente la superficie de ataque y, sin una supervisión cuidadosa, pueden dejar datos privados vulnerables a actores maliciosos.

Y debido a que las API admiten el desarrollo ágil y los pipelines de CI/CD, a menudo se crean y despliegan rápidamente. Si la seguridad no está perfectamente integrada en los flujos de trabajo de DevOps, las evaluaciones y las pruebas de seguridad pueden quedar rezagados con respecto al desarrollo. Los protocolos integrales de seguridad de API pueden minimizar y mitigar estos problemas.

Las API seguras evitan la manipulación de datos durante la transmisión y el procesamiento, y ayudan a garantizar que solo los usuarios autenticados y autorizados puedan acceder a funciones y datos clave. En los complejos entornos informáticos actuales, la seguridad de API es una herramienta indispensable para crear interacciones de datos confiables, servicios de alta disponibilidad y alta confianza de los consumidores en los ecosistemas digitales.

Los endpoints de API no seguros pueden permitir que los actores maliciosos obtengan acceso no autorizado a datos confidenciales e interrumpan las operaciones de servicio, con consecuencias potencialmente calamitosas. Las amenazas comunes incluyen:

• Ataques basados en autenticación, en los que los hackers intentan adivinar o robar contraseñas de usuario o utilizar mecanismos de autenticación débiles para obtener acceso a los servidores de API. Hoy en día, la mayoría (95 %) de los ciberataques provienen de usuarios autenticados.²

• Ataques de intermediario, en los que un actor malicioso roba o modifica datos (credenciales de inicio de sesión o información de pago, por ejemplo) interceptando solicitudes o respuestas de la API.

• Inyecciones de código y ataques de inyección, donde un hacker transmite un script dañino (para insertar información falsa, eliminar o revelar datos o interrumpir la funcionalidad de la aplicación) a través de una solicitud de API. Estos scripts muestran debilidades en los intérpretes de API que leen y convierten datos.

• Error de configuración de seguridad, donde las configuraciones predeterminadas inadecuadas, el uso compartido de recursos de origen cruzado (CORS) demasiado permisivo o los encabezados HTTP incorrectos exponen información confidencial del usuario o detalles del sistema.

• Ataque de denegación del servicio (DoS): estos ataques envían decenas de solicitudes de API para bloquear o ralentizar un servidor. A menudo, los ataques DoS pueden provenir de varios atacantes simultáneamente, en lo que se denomina ataque de denegación distribuida del servicio (DDoS).

• Los ataques de autorización a nivel de objeto roto (BOLA) ocurren cuando los delincuentes cibernéticos manipulan los identificadores de objetos en los puntos finales de la API para ampliar la superficie de ataque y obtener acceso no autorizado a los datos del usuario. Los ataques BOLA son especialmente comunes porque implementar comprobaciones adecuadas de autorización a nivel de objeto puede ser difícil y requerir mucho tiempo.

Las pruebas de seguridad de API verifican que se implementan medidas de seguridad esenciales (como controles de acceso de usuarios, protocolos de cifrado y mecanismos de autenticación) para evitar que los atacantes exploten las API. Las pruebas de seguridad a menudo implican intentar activamente explotar vulnerabilidades en una aplicación en ejecución o escanear el código fuente para identificar fallas de seguridad conocidas. Los equipos de seguridad envían solicitudes variadas a los endpoints de API y verifican las respuestas para detectar debilidades, comportamiento inesperado y errores de código.

Dependiendo del tipo de vulnerabilidad que estén probando, los equipos pueden optar por realizar pruebas manuales, confiar en herramientas de pruebas automatizadas o utilizar una combinación de ambas.

Por ejemplo, los ingenieros pueden utilizar pruebas de penetración manuales para simular ataques del mundo real e identificar problemas de seguridad. Si aparece una debilidad de seguridad solo cuando se está ejecutando una aplicación, es posible que ejecuten una herramienta de pruebas dinámicas de seguridad de aplicaciones (DAST), que puede realizar pruebas de seguridad en sistemas en vivo. Si quieren buscar fallas o debilidades en el código fuente, pueden usar una herramienta de pruebas de seguridad de aplicaciones estáticas (SAST).

Tradicionalmente, el proceso de pruebas de seguridad se basaba en pruebas de penetración o escaneo manual realizado por equipos de seguridad empresarial. Hoy en día, las organizaciones suelen integrar pruebas de seguridad de API automatizadas directamente en los pipelines de DevOps. Independientemente del enfoque, las pruebas de seguridad de API vigilantes permiten a los desarrolladores identificar de forma proactiva los riesgos de seguridad y abordarlos antes de que expongan los datos empresariales o afecten a los clientes.

Tanto la seguridad de API como la seguridad de aplicaciones están diseñadas para proteger los datos, pero abordan la seguridad de los datos de diferentes maneras.

La seguridad de API es un subconjunto de la seguridad de aplicaciones que prioriza la protección de los endpoints y la gestión del acceso con permisos detallados para que cada intercambio de datos esté protegido. La seguridad de aplicaciones adopta un enfoque más holístico, protegiendo toda la pila de la aplicación, desde la interfaz de usuario hasta el almacenamiento de datos y los sistemas backend, para proteger todo el entorno.

La seguridad de API está diseñada para brindar flexibilidad y velocidad. Utiliza monitoreo en tiempo real y detección de anomalías para identificar y responder rápidamente a las amenazas en cada llamada de API. La seguridad de las aplicaciones, en comparación, utiliza una estrategia más estructural. Emplea técnicas como análisis de código estático y prácticas de programación seguras para dirigirse a las vulnerabilidades en toda la aplicación.

Para la autenticación, las API suelen utilizar mecanismos basados en tokens, como OAuth y JSON Web Token (JWT), que proporcionan acceso preciso y de corta duración a los recursos. Mientras tanto, la seguridad de las aplicaciones implementa controles más amplios, como el control de acceso basado en roles (RBAC) para gestionar los permisos de los usuarios en múltiples capas del sistema.

La seguridad de aplicaciones ofrece protección contra una amplia gama de amenazas, y la seguridad de API proporciona protección granular contra amenazas dirigidas a endpoint expuestos. Por lo tanto, los equipos necesitan ambas herramientas para lograr una seguridad de datos integral. La integración de medidas de seguridad de API en un marco de seguridad de aplicación más grande puede ayudar a las empresas a crear un entorno de software más seguro y resiliente, y a mantener la confianza con usuarios y socios.

En una economía digital dinámica, las API son críticas para la agilidad empresarial, pero su naturaleza abierta plantea importantes riesgos para la seguridad de los datos. Las violaciones de seguridad de API han provocado fugas masivas de datos, incluso para grandes corporaciones de renombre como John Deere, Experian y Peloton.⁴

Y en un entorno tecnológico tan global, las vulnerabilidades de seguridad pueden amenazar a los principales proveedores de servicios, independientemente de la industria o la ubicación geográfica. Por ejemplo, un ataque API de 2022 contra la empresa australiana de telecomunicaciones, Optus, expuso los nombres, números de teléfono, detalles del pasaporte e información de la licencia del controlador de casi 10 millones de clientes.⁵  Estos incidentes subrayan la importancia de la protección de las API.

Un aumento en el abuso de API también ha acelerado el desarrollo de estrategias y herramientas integrales de seguridad de API. La implementación de protocolos estrictos de seguridad de las API protege los datos, las aplicaciones y los servicios que los endpoints de las API ponen a disposición, al tiempo que también protege su disponibilidad para los usuarios legítimos.

Sin embargo, la seguridad de API no se trata solo de proteger los endpoints. También da prioridad a la seguridad de las interacciones de red, como las transmisiones de datos, las solicitudes de los usuarios y las comunicaciones entre aplicaciones a lo largo del ciclo de vida de la API. Algunas de las soluciones de seguridad de API más comunes para proteger las infraestructuras de TI incluyen:

La autenticación es el proceso de verificar la identidad de un usuario, sistema o proceso. En el contexto de las API, se refiere a tokens y protocolos de autenticación de usuarios, como OAuth 2.0, claves API y JSON Web Token (especificaciones JWT), que garantizan que un solicitante sea quien dice.

La autorización es el proceso de verificar a qué tiene acceso un usuario autenticado. Cuando un usuario se autentica, los controles de acceso basados en roles pueden limitar estrictamente el acceso del usuario a los recursos que necesita o solicita.

Con el cifrado, el texto sin formato y otros tipos de datos se convierten de una forma legible a una versión codificada que solo pueden decodificar los usuarios con una clave de descifrado. Las tecnologías de cifrado (seguridad de la capa de transporte [TLS], conexión SSL y protocolos de cifrado TLS, por ejemplo) ayudan a los equipos de seguridad a garantizar que los actores maliciosos y los usuarios no autorizados no puedan interceptar ni alterar el tráfico de API.

Los protocolos de validación de entrada protegen las API contra datos maliciosos, como ataques de inyección SQL y scripts entre sitios, asegurándose de que las entradas cumplan con los criterios de longitud, tipo, formato y rango antes de procesarse. El uso de cortafuegos de aplicaciones web (WAF) o la validación de esquemas XML y JSON puede ayudar a los equipos de seguridad a automatizar los procesos de validación, analizar de manera preventiva las solicitudes entrantes y bloquear el tráfico malicioso antes de que llegue al servidor.

La limitación de velocidad protege los recursos API contra la fuerza bruta y los ataques DoS al restringir la cantidad de llamadas que un usuario o una dirección IP puede realizar dentro de un periodo particular. Los límites de velocidad garantizan que todas las solicitudes de API se procesen con prontitud y que ningún usuario pueda invadir el sistema con solicitudes dañinas.

Al igual que el control de velocidad, la limitación restringe la cantidad de llamadas a la API que recibe un sistema. Sin embargo, en lugar de operar a nivel de usuario-cliente, la regulación funciona a nivel de servidor-red. Los límites y cuotas de limitación ayudan a proteger el ancho de banda del backend de la API al limitar la cantidad de llamadas y mensajes que una API puede recibir por segundo.

Los encabezados de seguridad pueden ser particularmente efectivos para prevenir ataques de clickjacking, donde los actores maliciosos disfrazan hipervínculos maliciosos bajo contenido aplicable en la práctica para engañar a los usuarios para que interactúen con sitios que no tienen la intención de hacerlo.

El encabezado “content-security-policy”, por ejemplo, indica al navegador qué recursos puede solicitar del servidor. El encabezado “x-content-type-option” impide que los navegadores intenten detectar los tipos de contenido MIME y el encabezado “strict-transport-security” aplica conexiones seguras (HTTPS sobre HTTP) al servidor.

API Gateway proporciona una interfaz centralizada para el acceso a las API, que actúa como un único punto de entrada para todas las solicitudes de API que recibe un sistema. Ayuda a las organizaciones a gestionar el acceso a las API y agregan una capa adicional de seguridad de red, especialmente para las API abiertas. Una API gateway puede estandarizar las interacciones de API y proporcionar características como almacenamiento en caché, analytics, composición de API, limitación de velocidad, cifrado, registro y control de acceso.

Sin embargo, una API gateway también presenta un solo punto de falla e introduce complejidad adicional en la arquitectura.

Mantener registros de auditoría completos y actualizados (y revisarlos con frecuencia) ayuda a las organizaciones a rastrear el acceso y el uso de datos, y a mantener registros de cada solicitud de API. Dada la complejidad de los ecosistemas de API, mantenerse al tanto de la actividad de API puede requerir mucho trabajo. Sin embargo, los procedimientos de auditoría y registro pueden ahorrar tiempo cuando los equipos necesitan seguir sus pasos después de una filtración de datos o un lapso de cumplimiento de normas.

La gestión proactiva de errores en entornos de API puede evitar que los ciberdelincuentes revelen información confidencial sobre los procesos de API. Idealmente, cualquier error de API devolverá códigos de estado HTTP que indiquen ampliamente la naturaleza del error, proporcionando un contexto suficiente para que los equipos aborden el problema sin arriesgar la exposición excesiva de datos.

Al igual que con cualquier aplicación o sistema de software, la supervisión y el mantenimiento atentos en tiempo real son esenciales para mantener la seguridad de la API. Es importante estar atento a cualquier actividad inusual en la red y actualizar las API con los últimos parches de seguridad, arreglos y nuevas características.

Las organizaciones también deben adoptar estándares de seguridad oportunos, como las recomendaciones de seguridad de la API del Open Web Application Security Project (OWASP). La lista OWASP API Security Top 10, por ejemplo, ofrece un marco para comprender y mitigar las amenazas más críticas y comunes a la seguridad de API (como la autenticación rota, la asignación masiva y la falsificación de peticiones del lado del servidor).

Cada nueva versión del software de API viene con actualizaciones de seguridad y arreglos de errores que resuelven las brechas de seguridad de versiones anteriores. Pero sin prácticas adecuadas de control de versiones, los usuarios pueden desplegar accidental o intencionalmente una versión desactualizada de la API y poner en peligro los datos confidenciales.

Las prácticas cuidadosas de control de versiones y documentación permiten a las empresas acelerar el desarrollo de API. Les ayuda a eliminar gradualmente las versiones antiguas de API sin interrumpir los servicios, lo que lleva a los usuarios hacia iteraciones más nuevas y seguras.

Por ejemplo, si un equipo descubre un fallo de seguridad en la versión 1 de una API, puede solucionarlo en la versión 2. Y con el control de versiones, los equipos de seguridad pueden alentar a los usuarios a migrar de la versión 1 (v1) a la 2 (v2) a su propio ritmo, a la vez que aclaran la documentación de la versión que v1 tiene una vulnerabilidad de seguridad conocida.

Las pruebas de seguridad requieren que los desarrolladores envíen solicitudes estándar utilizando un cliente API para evaluar la calidad y la corrección de las respuestas del sistema. La realización periódica de pruebas de seguridad para identificar brechas de seguridad ayuda a los equipos a realizar arreglos de las vulnerabilidades de las API antes de que los atacantes tengan la oportunidad de explotarlas.

Las prácticas de seguridad de confianza cero operan según el principio de que no se debe confiar automáticamente en el tráfico de red, ya sea que provenga de dentro o fuera de la organización. Tanto el usuario como el dispositivo se presumen no confiables de forma predeterminada. Por lo tanto, antes de que cualquier tráfico pueda ingresar o moverse a través de la red, las credenciales de usuario deben autenticarse completamente.

Con un enfoque de confianza cero, las empresas pueden proteger sus datos y API para que solo las personas autorizadas obtengan acceso, incluso si un atacante intenta hacerse pasar por un usuario legítimo en un dispositivo previamente aprobado.

Proteger las API es crítico para el estado de la infraestructura de TI y la seguridad de los datos. La seguridad de API está a punto de seguir siendo un área de enfoque clave en los próximos años, especialmente a medida que el uso y la distribución de API desafían las soluciones de gestión de API existentes.

Por ejemplo, la proliferación de API de código abierto y sin código está aumentando los riesgos de seguridad que plantean las API en la sombra, que operan fuera de la supervisión oficial. Para combatir este problema, los equipos de seguridad están adoptando prácticas más exhaustivas de inventario de API, documentación, gobernanza y autenticación multifactor para proteger los datos contra las amenazas emergentes de API.

Las empresas preocupadas por la seguridad también están invirtiendo en:

El fortalecimiento de API Gateway se ha convertido en una prioridad creciente para los desarrolladores de software.⁶ A diferencia de los endpoints de API, que son puntos de interacción específicos dentro de una API, las API Gateway son puntos de acceso centralizados para todas las solicitudes de API. Proporcionan servicios de traducción de protocolos para varios protocolos, lenguajes y estilos de API (incluidos GraphQL, API REST y API SOAP) y enrutan llamadas a servicios de backend.

Las API Gateway modernas ofrecen características dinámicas de limitación de velocidad y detección, creando una capa adicional de seguridad de API para los despliegues actuales de aplicaciones nativas de la nube y los entornos de TI impulsados por microservicios.

Las empresas que desean mantener el ritmo de la innovación también deberán adoptar un enfoque de seguridad de API que incorpore tecnologías como la inteligencia artificial (IA) y el machine learning (ML). Las características de seguridad impulsadas por IA y ML ya pueden identificar amenazas de forma proactiva al detectar patrones de datos anómalos en llamadas a la API. Estas herramientas también pueden adaptar los protocolos de detección y respuesta a amenazas a medida que evolucionan.

Por ejemplo, las medidas de seguridad mejoradas por la IA pueden implementar la autenticación adaptativa, en la que las herramientas de seguridad ajustan automáticamente el escrutinio de los datos en función del contexto y la biometría del comportamiento.

Las empresas adoptan cada vez más arquitecturas de confianza cero, que dan prioridad a prácticas sólidas de autorización y autenticación para cualquier dispositivo o usuario que intente interactuar con las API. Los principios de seguridad de API de confianza cero son especialmente útiles para proteger las API y los endpoints vulnerables y de cara al público.⁷

La IA agéntica lleva las capacidades autónomas de la tecnología de IA al siguiente nivel. Utiliza modelos de lenguaje grandes (LLM), procesamiento de lenguaje natural y ML para realizar tareas autónomas en nombre de usuarios humanos y otros sistemas. Sin embargo, los agentes de IA dependen de las API para acceder a los datos, por lo que la seguridad de API y la seguridad de la IA agéntica están inextricablemente vinculadas.

A medida que los desarrolladores continúen adoptando la innovación de IA agéntica, tendrán que lidiar con los riesgos de seguridad que crean los agentes de IA. En respuesta, muchas empresas están capacitando a los agentes de IA con características avanzadas de monitoreo, análisis y bloqueo para proteger tanto a los agentes de IA como a las API con las que interactúan de los ataques cibernéticos.

Las alianzas estratégicas con proveedores y expertos en seguridad de API serán vitales para lograr una protección integral de API en el futuro. Las colaboraciones estratégicas pueden ayudar a las empresas a cubrir cada etapa del proceso de seguridad de API, desde el descubrimiento de API y la detección de amenazas hasta el análisis del tiempo de ejecución y la respuesta a incidentes.

Las asociaciones de intercambio de datos priorizan el intercambio de datos de seguridad entre plataformas (por ejemplo, compartir detalles de vulnerabilidad e inteligencia de amenazas). Este intercambio ayuda a consolidar la información para que las empresas obtengan una visión clara y unificada de su postura de seguridad de API. Y las asociaciones de alianzas permiten a las entidades de seguridad individuales fusionar fortalezas únicas y tecnologías complementarias para optimizar la gestión de la seguridad y fomentar el desarrollo colaborativo. Estas alianzas estratégicas pueden ayudar a las empresas a obtener beneficio de la experiencia en seguridad compartida y ofrecer servicios digitales más resilientes a los usuarios.

A medida que las API continúan desbloqueando nuevas oportunidades de red, los riesgos asociados a ellas evolucionarán en consecuencia (y quizás incluso más rápido). Adoptar un enfoque proactivo hacia la seguridad de API puede ayudar a las empresas a proteger datos confidenciales y desarrollar estrategias ágiles que fortalezcan su postura de seguridad a medida que cambia el escenario.