Publicado: 20 de noviembre de 2023
Colaboradores: Chrystal China, Michael Goodwin
La seguridad de API se refiere a las prácticas y los procedimientos que protegen las interfaces de programación de aplicaciones (API) del uso indebido, los ataques maliciosos de bots y otras amenazas de ciberseguridad. Funciona como un subconjunto de seguridad web, pero con un enfoque específico en las API, que son cada vez más vitales para la administración de TI empresarial.1
Las API se han convertido en los componentes básicos de la transformación digital, lo que permite a las empresas ofrecer servicios a desarrolladores y socios externos. Dado que las API orquestan la comunicación y el intercambio de datos entre aplicaciones, pueden facilitar experiencias de usuario más conectadas, ampliar el alcance general de la empresa y fomentar la innovación tecnológica más allá de los límites. Las API también optimizan la integración de servicios para que las empresas puedan adaptarse rápidamente a los cambios del mercado y a las demandas de los clientes.
Pero a medida que las API proliferan, también lo hacen los problemas de seguridad que a menudo las acompañan.
Las API se encuentran entre los recursos de TI de una organización y los desarrolladores de software de terceros o entre los recursos de TI y las personas, brindando datos e información en los endpoints de procesos. Dado que los endpoints están expuestos al mundo exterior, pueden convertir a las API en un objetivo lucrativo para diversos tipos de ataques.
La evolución de API management y la seguridad de API está vinculada intrínsecamente a la evolución de las propias API. Las primeras API se enfocaron principalmente en la comunicación entre procesos dentro de un único sistema. Por lo tanto, la seguridad (o la falta de ella) era menos preocupante, porque la comunicación fue confinada a una sola máquina.
Sin embargo, con la llegada del Internet de las cosas (IoT) y las arquitecturas basadas en microservicios nativos de la nube, las API se expandieron para permitir una comunicación y enrutamiento de llamadas fluidas entre aplicaciones y entornos DevOps.Una API moderna y de alta calidad, por ejemplo, transferencia de estado representacional (REST), protocolo simple de acceso a objetos (SOAP), orquestará la integración de aplicaciones, especificará formatos de datos y dictará tipos de llamada, procedimientos y convenciones.
Las API web (GraphQL, REST API y SOAP API, en particular) cambiaron el panorama al expandir las características para incluir capacidades de integración de gran alcance en innumerables redes complejas.
Pero debido a que las tecnologías avanzadas dependen en gran medida de los puntos finales de API para su funcionalidad, las empresas y los equipos de seguridad deben implementar medidas de seguridad sólidas para proteger los datos y los servicios web y, en última instancia, aprovechar al máximo los recursos de TI.
Si no están debidamente protegidos, los puntos finales de API pueden permitir a los actores maliciosos obtener acceso no autorizado a datos confidenciales, interrumpir las operaciones de servicio o ambas, con consecuencias potencialmente devastadoras. Las amenazas comunes incluyen:
- Ataques basados en la autenticacióndonde los hackers intentan adivinar o robar contraseñas de usuarios o explotar mecanismos de autenticación débiles para obtener acceso a los servidores de API.
- Ataques de intermediario : en los que un mal actor roba o modifica datos (por ejemplo, credenciales de inicio de sesión o información de pago) interceptando solicitudes o respuestas de API.
- Inyecciones de código/ataques de inyeccióndonde el hacker transmite un script dañino (para insertar información falsa, eliminar o revelar datos, o interrumpir la funcionalidad de la aplicación) a través de una solicitud de API, explotando debilidades en los intérpretes de API que leen y traducen datos.
- Configuración incorrecta de seguridad: donde la información confidencial del usuario o los detalles del sistema están expuestos debido a configuraciones predeterminadas inadecuadas, uso compartido de recursos de origen cruzado (CORS) excesivamente permisivo o encabezados HTTP incorrectos.
- Ataque de denegación de servicio (DoS): estos ataques envían decenas de solicitudes de API para bloquearlo o ralentizar el servidor. A menudo, los ataques DDoS pueden provenir de varios atacantes simultáneamente en lo que se denomina ataque de denegación de servicio distribuido (DDoS).
- Los ataques de autorización a nivel de objeto roto (BOLA) ocurren cuando losciberdelincuentes manipulan identificadores de objetos en los puntos finales de la API para ampliar la superficie de ataque y obtener acceso no autorizado a los datos del usuario. Los ataques BOLA son especialmente comunes, ya que implementar comprobaciones adecuadas de autorización a nivel de objeto puede ser difícil y llevar mucho tiempo.
En una economía digital dinámica, las API son fundamentales para la agilidad del negocio, pero su naturaleza abierta puede plantear riesgos significativos para la seguridad de los datos. Las brechas de seguridad de API han provocado fugas masivas de datos, incluso para grandes corporaciones de renombre como John Deere, Experian y Peloton.2
Y en un entorno tecnológico tan globalizado, las vulnerabilidades de seguridad amenazan a todos los principales proveedores de servicios, independientemente de la industria o la ubicación geográfica. Por ejemplo, un ataque API de 2022 en la empresa de telecomunicaciones australiana, Optus, expuso los nombres, números de teléfono, detalles del pasaporte e información de la licencia de conducir de casi 10 millones de clientes.3
Estos incidentes subrayan la importancia de la protección de las API y han acelerado el desarrollo de estrategias y herramientas integrales de seguridad de las API.
La aplicación de protocolos estrictos de seguridad de las API protege los datos, las aplicaciones y los servicios que exponen los puntos finales de las API, al tiempo que garantiza su disponibilidad para los usuarios legítimos. Sin embargo, la seguridad de las API no se trata solo de proteger los endpoints. También da prioridad a la seguridad de las interacciones de red, como transmisiones de datos, solicitudes de usuarios y comunicaciones entre aplicaciones a lo largo del ciclo de vida de la API.
Algunas de las soluciones de seguridad de API más comunes para la creación de infraestructuras de TI incluyen:
La autenticación es el proceso de verificar la identidad de un usuario, sistema o proceso. En el contexto de las API, se refiere al uso de protocolos de autenticación de usuarios, como OAuth 2.0, claves API y especificaciones JWT, para garantizar que un solicitante sea quien dice ser.
Por otro lado, la autorización es el proceso de verificar a qué tiene acceso un usuario autenticado. Una vez autenticado un usuario, los controles de acceso basados en roles deben limitar estrictamente el acceso del usuario a los recursos que necesita o solicita.
Con el cifrado, el texto sin formato y otros tipos de datos se convierten de un formulario legible a una versión codificada que solo puede decodificar una entidad con una clave de descifrado. Mediante tecnologías de cifrado como la seguridad de la capa de transporte (TLS), la conexión SSL y los protocolos de cifrado TLS, los equipos pueden garantizar que el tráfico de la API no será interceptado ni alterado por agentes malintencionados o usuarios no autorizados.
Los protocolos de validación de entrada protegen las API contra datos maliciosos, como ataques de inyección SQL y scripting entre sitios, al asegurarse de que las entradas cumplan ciertos criterios (longitud, tipo, formato, rango, etc.) antes de procesarse. El uso de firewalls de aplicaciones web (WAFs) y la validación de esquemas XML o JSON puede ayudar a los equipos de seguridad a automatizar los procesos de validación, analizar de manera preventiva las solicitudes entrantes y bloquear el tráfico malicioso antes de que llegue al servidor.
La limitación de velocidad protege los recursos API contra la fuerza bruta y los ataques DoS al restringir la cantidad de llamadas que un usuario o una dirección IP puede realizar dentro de un periodo de tiempo particular. Los límites de velocidad garantizan que todas las solicitudes de API se procesen con prontitud y que ningún usuario pueda invadir el sistema con solicitudes dañinas.
Al igual que la limitación de velocidad, la limitación restringe la cantidad de llamadas a la API que recibe un sistema. Sin embargo, en lugar de operar a nivel usuario/cliente, la regulación funciona a nivel de servidor/red. Limitación de límites y cuotas de ancho de banda seguro del sistema backend de API limitando la API a un cierto número de llamadas, mensajes o ambos, por segundo.
Los encabezados de seguridad pueden ser particularmente efectivos para prevenir ataques de secuestro de clics. El encabezado "política de seguridad de contenido", por ejemplo, indica al navegador qué recursos puede solicitar del servidor. El encabezado "x-content-type-options" impide que los navegadores intenten acceder a los tipos de contenido de MIME-fragff, y el encabezado "estrict-transport-security" aplica conexiones seguras (HTTP sobre SSL/TLS) al servidor.
Instalar API Gateways es una de las formas más sencillas de restringir el acceso a las API y añadir una capa adicional de seguridad a la red, especialmente en el caso de las API abiertas. Un Gateway de API actúa como un único punto de entrada para todas las solicitudes de API que recibe un sistema, estandarizando las interacciones de API y ofreciendo funciones de seguridad como almacenamiento en caché, análisis, composición de API, limitación de velocidad, cifrado, registro y control de acceso.
Mantener registros de auditoría completos y actualizados y revisarlos a menudo permite a las organizaciones rastrear el acceso y el uso de los datos, y registrar cada solicitud de API. Dada la complejidad de los ecosistemas de API, mantenerse al tanto de la actividad de las API puede requerir mucho trabajo, pero los procedimientos de auditoría y registro pueden ahorrar tiempo cuando los equipos necesitan volver sobre sus pasos tras una violación de datos o un fallo en el cumplimiento.
La gestión proactiva de errores en entornos de API puede evitar que los ciberdelincuentes revelen información confidencial sobre los procesos de API. Idealmente, cualquier error de API devolverá códigos de estado HTTP que indiquen ampliamente la naturaleza del error, proporcionando un contexto suficiente para que los equipos comprendan y aborden el problema sin arriesgar la exposición excesiva de datos.
Al igual que con cualquier aplicación o sistema de software, la supervisión y el mantenimiento atentos en tiempo real son esenciales para mantener la seguridad de la API. Mantente atento a cualquier actividad inusual de la red y actualiza las API con los últimos parches de seguridad, correcciones de errores y nuevas funciones.
Las organizaciones también deben adoptar estándares de seguridad oportunos, como las recomendaciones de seguridad de la API del Open Web Application Security Project (OWASP). El Top 10 de seguridad de API de OWASP, por ejemplo, ofrece un marco para comprender y mitigar las amenazas más críticas y comunes a la seguridad de API, como la autenticación rota, la asignación masiva y la falsificación de peticiones del lado del servidor.
Cada nueva versión del software de API viene con actualizaciones de seguridad y correcciones de errores que marcan brechas de seguridad en versiones anteriores. Pero sin prácticas adecuadas de control de versiones, los usuarios pueden implementar accidentalmente (o intencionalmente) una versión desactualizada de la API y poner en peligro los datos confidenciales. Unas prácticas de documentación y versionado cuidadosas permiten a las empresas acelerar el desarrollo de API y eliminar versiones antiguas sin interrumpir los servicios, empujando a los usuarios hacia iteraciones más nuevas y seguras.
Por ejemplo, si un equipo descubre un fallo de seguridad en la versión 1 de una API, puede solucionarlo en la versión 2. Y con el control de versiones, los equipos de seguridad pueden alentar a los usuarios a migrar de la versión 1 (v1) a la 2 (v2) a su propio ritmo, a la vez que aclaran la documentación de la versión que v1 tiene una vulnerabilidad de seguridad conocida.
Las pruebas de seguridad requieren que los desarrolladores envíen solicitudes estándar utilizando un cliente API para evaluar la calidad y corrección de las respuestas del sistema. Realizar pruebas de seguridad regulares para identificar y abordar las brechas de seguridad ayuda a los equipos a corregir las vulnerabilidades de la API antes de que los atacantes tengan la oportunidad de aprovecharlas.
IBM® API Connect es una solución para gestionar todo el ciclo de vida de las API e intuitiva que le ayuda a crear, gestionar, proteger, socializar y monetizar sus API de manera sistemática, ayudando a impulsar la transformación digital de forma local y en las distintas nubes.
IBM® API Connect ofrece una variedad de capacidades para proteger, controlar y mediar el acceso a sus API. Controle el acceso a las API mediante autenticación y autorización a través de OAuth, OpenID Connect y servicios de terceros. Impleméntelas en cualquier lugar, desde una red perimetral (DMZ) hasta una ubicación conjunta con sus aplicaciones y microservicios nativos de la nube, protegiendo el acceso en tiempo de ejecución, en cualquier lugar.
Aumente la seguridad de API en toda su empresa con capacidades avanzadas impulsadas por IA. IBM, líder en gestión de API y puertas de enlace de aplicaciones, se ha asociado con Noname Security, líder en seguridad de API, para ofrecer capacidades avanzadas de seguridad de API. Esta solución conjunta le ayudará a alcanzar nuevos niveles de confianza en materia de seguridad.
Maximice el valor de API para impulsar el negocio digital con una solución integral de administración de API.
Estos tutoriales proporcionan instrucciones prácticas que ayudan a los desarrolladores a aprender a usar las tecnologías en sus proyectos.
Venga por respuestas. Quédese para conocer las mejores prácticas. Lo único que nos falta es usted.
Notas de pie de página
1 Resumen de investigación: La urgencia de abordar la seguridad de las API en un programa de seguridad de aplicaciones (enlace externo a ibm.com), Enterprise Strategy Group, 16 de octubre de 2023.
2 En el radar: Wib protege las API a lo largo de sus ciclos de vida completos (enlace externo a ibm.com), Omdia, 1 de septiembre de 2023.
3 Se acerca la próxima gran brecha de seguridad de API: aquí se explica cómo prepararse (enlace externo a ibm.com), SC Magazine, 19 de octubre de 2023.