Las APIs impulsan la mayoría del tráfico en Internet y los ciber delincuentes están aprovechándose

Luis Quiles
Luis Quiles
hacker
Vulnerability, Seguridad de API

Las interfaces de programación de aplicaciones (APIs) son el tejido conectivo detrás de la modernización digital, ayudando a que las aplicaciones y bases de datos intercambien datos de manera más efectiva. El Informe sobre el Estado de la Seguridad de las APIs en 2024 de Imperva, una empresa de Thales, encontró que la mayoría del tráfico en Internet (71%) en 2023 consistía en llamadas a APIs. Además, un sitio empresarial típico vio un promedio de 1.5 mil millones de llamadas a APIs en 2023.

El volumen expansivo de tráfico en Internet que pasa a través de las APIs debería ser preocupante para todos los profesionales de seguridad. A pesar de los mejores esfuerzos para adoptar marcos de trabajo «shift-left» y procesos de ciclo de vida de desarrollo de software (SDLC), las APIs a menudo se implementan en producción antes de que se cataloguen, autentiquen o auditen. En promedio, las organizaciones tienen 613 puntos finales de API en producción, pero ese número está creciendo rápidamente a medida que aumenta la presión para entregar servicios digitales a los clientes de manera más rápida y eficiente. Con el tiempo, estas APIs pueden convertirse en puntos finales riesgosos y vulnerables.

En su informe, Imperva concluye que las APIs son ahora un vector de ataque común para los ciberdelincuentes porque son un camino directo para acceder a datos sensibles. De hecho, un estudio del Centro de Análisis de Riesgos Cibernéticos de Marsh McLennan encuentra que los incidentes de seguridad relacionados con APIs cuestan a las empresas globales hasta $75 mil millones anualmente.

Más Llamadas a APIs, Más Problemas

La banca y el comercio minorista en línea reportaron los volúmenes más altos de llamadas a APIs en comparación con cualquier otra industria en 2023. Ambas industrias dependen de ecosistemas de APIs amplios para ofrecer servicios digitales a sus clientes. Por lo tanto, no es sorprendente que los servicios financieros, que incluyen la banca, fueran el principal objetivo de los ataques relacionados con APIs en 2023.

Los ciberdelincuentes utilizan una variedad de métodos para atacar los puntos finales de las APIs, pero un vector de ataque común es la toma de control de cuentas (ATO, por sus siglas en inglés). Este ataque ocurre cuando los ciberdelincuentes explotan vulnerabilidades en los procesos de autenticación de una API para obtener acceso no autorizado a cuentas. En 2023, casi la mitad (45.8%) de todos los ataques ATO se dirigieron a los puntos finales de API. Estos intentos a menudo son llevados a cabo por automatización en forma de bots maliciosos, agentes de software que realizan tareas automatizadas con intenciones maliciosas. Cuando tienen éxito, estos ataques pueden bloquear a los clientes fuera de sus cuentas, proporcionar a los criminales datos sensibles, contribuir a la pérdida de ingresos y aumentar el riesgo de incumplimiento normativo. Teniendo en cuenta el valor de los datos que los bancos y otras instituciones financieras manejan para sus clientes, la ATO es un riesgo comercial preocupante.

Por qué las APIs mal gestionadas representan una amenaza de seguridad

Mitigar el riesgo de seguridad de las APIs es un desafío único que frustra incluso a los equipos de seguridad más sofisticados. El problema surge del rápido ritmo del desarrollo de software y la falta de herramientas y procesos maduros para ayudar a que los desarrolladores y los equipos de seguridad trabajen de manera más colaborativa. Como resultado, casi una de cada diez APIs es vulnerable a ataques porque no se eliminó correctamente, no se monitorea o carece de controles de autenticación suficientes.

En su informe, Imperva identificó tres tipos comunes de puntos finales de API mal gestionados que crean riesgos de seguridad para las organizaciones:

1. APIs en la sombra: También conocidas como APIs no documentadas o no descubiertas, estas son APIs que no están supervisadas, olvidadas y/o fuera de la visibilidad del equipo de seguridad. Imperva estima que las APIs en la sombra representan el 4.7% del conjunto de APIs activas de cada organización. Estos puntos finales se introducen por diversas razones, desde el propósito de pruebas de software hasta su uso como conector a un servicio de terceros. Los problemas surgen cuando estos puntos finales de API no se catalogan o gestionan adecuadamente. Las empresas deberían preocuparse por las APIs en la sombra porque típicamente tienen acceso a información sensible, pero nadie sabe dónde existen o a qué están conectadas. Una sola API en la sombra puede provocar una violación de cumplimiento y una multa regulatoria, o peor aún, un ciberdelincuente motivado puede abusar de ella para acceder a datos sensibles de una organización.

2. APIs desactualizadas: La desactivación de un punto final de API es una progresión natural en el ciclo de vida del software. Como resultado, la presencia de APIs desactualizadas no es infrecuente, ya que el software se actualiza a un ritmo continuo y rápido. De hecho, Imperva estima que las APIs desactualizadas, en promedio, representan el 2.6% del conjunto de APIs activas de una organización. Cuando el punto final se desactiva, los servicios que lo respaldan se actualizan y una solicitud al punto final desactivado debería fallar. Sin embargo, si los servicios no se actualizan y la API no se elimina, el punto final se vuelve vulnerable porque carece de los parches necesarios y actualizaciones de software.

3. APIs no autenticadas: A menudo, las APIs no autenticadas se introducen como resultado de una configuración incorrecta, descuido de un proceso de lanzamiento apresurado o la flexibilización de un proceso de autenticación rígido para acomodar versiones antiguas de software. Estas APIs representan, en promedio, el 3.4% del conjunto de APIs activas de una organización. La existencia de APIs no autenticadas supone un riesgo significativo para las organizaciones, ya que puede exponer datos o funcionalidades sensibles a usuarios no autorizados y provocar brechas de datos o manipulación del sistema.

Para mitigar los diversos riesgos de seguridad introducidos por APIs mal gestionadas, se recomienda realizar auditorías regulares para identificar puntos finales de API no supervisados o no autenticados. El monitoreo continuo puede ayudar a detectar cualquier intento de aprovechar las vulnerabilidades asociadas con estos puntos finales. Además, los desarrolladores deben actualizar y mejorar regularmente las APIs para garantizar que los puntos finales desactualizados sean reemplazados por alternativas más seguras.

Cómo Proteger tus APIs

Imperva ofrece varias recomendaciones para ayudar a las organizaciones a mejorar su postura de seguridad de las APIs:

  1. Descubrir, clasificar e inventariar todas las APIs, puntos finales, parámetros y cargas útiles. Utilizar el descubrimiento continuo para mantener un inventario de APIs siempre actualizado y revelar la exposición de datos sensibles.
  2. Identificar y proteger las APIs sensibles y de alto riesgo. Realizar evaluaciones de riesgos específicamente dirigidas a puntos finales de API vulnerables a la Autorización y Autenticación Rotos, así como a la Exposición Excesiva de Datos.
  3. Establecer un sistema de monitoreo robusto para los puntos finales de API para detectar y analizar activamente comportamientos sospechosos y patrones de acceso.
  4. Adoptar un enfoque de seguridad de API que integre un Firewall de Aplicaciones Web (WAF), Protección de API, prevención de Denegación de Servicio Distribuido (DDoS) y Protección contra Bots. Una amplia gama de opciones de mitigación ofrece flexibilidad y protección avanzada contra amenazas de API cada vez más sofisticadas, como ataques de lógica de negocios, que son particularmente difíciles de defender ya que son únicos para cada API.

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.