Soluciones de seguridad de las API

Muchas características de las API las hacen únicas. Por ejemplo, las API intercambian datos entre sistemas, mientras que los usuarios finales acceden a las aplicaciones web a través de un navegador web. Asimismo, las API utilizan un formato distinto para transportar los datos y acceden directamente a los sistemas backend, a menudo como intermediarias entre las aplicaciones web modernas y sus bases de datos y servidores backend. Debido a estas y otras diferencias, la metodología de detección de la seguridad de las API difiere de la de la seguridad de las aplicaciones web, incluso en categorías de vulnerabilidad que se solapan, como los ataques de inyección y los riesgos de acceso.

Varios enfoques permiten a las organizaciones gestionar todo el crecimiento de sus API: gestión completa del ciclo de vida de las API, observabilidad de las API y, de forma más global, aplicación y protección de las API (WAAP). Las herramientas de observabilidad de las API proporcionan observaciones e información (más que seguridad) sobre el rendimiento de una API. La gestión del ciclo de vida completo de las API suele estar centrada en la gestión de las API y carece de una seguridad sofisticada. WAAP (aplicación y protección web), según la definición de Gartner, es una categoría de soluciones de seguridad diseñadas para proteger las aplicaciones web, independientemente de la ubicación donde se alojen. WAAP es el método más adecuado para las API en un entorno de producción y la supervisión en tiempo real, así como para la protección contra los abusos, las amenazas de día cero y los atacantes.

Las API REST permiten a un cliente solicitar recursos a un servidor, que proporciona la información al cliente en su estado actual. La API puede ser objetivo de los atacantes en cualquier momento durante la "llamada y respuesta" de la API REST. Por lo tanto, para evitar el abuso de las API REST es necesario autorizar solo el tráfico de API autenticado "bueno", a fin de bloquear las solicitudes de los clientes ilegítimos. Los métodos de autenticación y autorización de las API incluyen los certificados mTLS, los tokens web JSON, las claves de API válidas y los tokens OAuth 2.0, entre otros.

Las claves de acceso de API, que desvinculan la autenticación de las credenciales de usuario y, en su lugar, envían cadenas de texto secretas junto con las solicitudes de API, permiten un acceso más seguro a las API. Sin embargo, las claves de API aún afrontan los riesgos que suponen los ataques de intermediario, el uso inadecuado por parte de los desarrolladores y el almacenamiento problemático de secretos en el código fuente. Los tokens web JSON (JWT) ofrecen una alternativa más segura y flexible a las claves de API estáticas, siempre y cuando los JWT se firmen utilizando algoritmos criptográficos, eviten la inclusión de datos confidenciales en la carga y apliquen la caducidad de los tokens.

Varias métricas pueden ayudar a las partes interesadas de TI, la seguridad y el desarrollo de aplicaciones a evaluar el nivel de seguridad de sus API. Por ejemplo, una organización con un sólido modelo de seguridad de las API debe tener un inventario actualizado de los activos de API, que muestre que todas las API cumplen las normativas de datos y utilizan métodos de autenticación o autorización sólida. Además, se deberían realizar auditorías para identificar las credenciales expuestas o filtradas utilizadas en las solicitudes de API, y comprobar si hay información de identificación personal, datos de tarjetas de crédito o información sanitaria personal en las solicitudes/respuestas de API. La capacidad de establecer límites de velocidad adaptables e inteligentes en las API, según determinen los patrones de tráfico observables para cada punto final, también indica una seguridad más avanzada de las API.

El abuso de las API se refiere a la explotación maliciosa de las API al exponer los fallos de la lógica empresarial y las vulnerabilidades de las aplicaciones que obstaculizan o perjudican la experiencia de un usuario real. En las API actuales, con frecuencia la exposición de datos, las acciones no autorizadas, la omisión de los controles de seguridad, la interrupción de servicios y la elevación de privilegios se producen debido a la inexistencia de controles de autenticación y autorización, lo que se conoce como violación de autorización a nivel de objeto (BOLA) y violación de autorización a nivel de función (BFLA).