¿Qué es una API paralela?

Las API paralelas son API no gestionadas que introducen graves riesgos para las organizaciones que las utilizan.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir "API paralelas"
  • Aprende por qué las API paralelas son peligrosas
  • Contrasta las API paralelas con las API zombie

Copiar enlace del artículo

¿Qué es una API paralela?

Una API "paralela" se refiere a cualquier interfaz de programación de aplicaciones (API) que no haya sido gestionada o asegurada por la organización que la utiliza. A menudo, los desarrolladores y otros usuarios de una organización introducen API paralelas, ya sea durante el proceso de desarrollo de la aplicación o para ejecutar otras funciones empresariales.

Las API paralelas no son necesariamente API que se utilicen con fines maliciosos. Sin embargo, como no están bajo el control de los equipos de TI y de seguridad de una organización, es imposible protegerlos contra nuevas vulnerabilidades y ataques.

¿Por qué son peligrosas las API paralelas?

Aunque las API paralelas no son intrínsecamente maliciosas, pueden introducir bastantes riesgos. Los equipos de TI y de seguridad de una organización son responsables de aplicar y mejorar las normas de seguridad de las API, pero solo pueden proteger las API y los puntos finales que pueden ver. Si existe una dependencia que estos equipos desconocen, no pueden rastrear la posible exposición de datos, garantizar el cumplimiento de la normativa ni bloquear los ataques.

Algunos de los riesgos más comunes introducidos por las API paralelas son los siguientes:

  • Exposición de datos: las API paralelas pueden tener acceso a datos confidenciales. Si esas API están en riesgo o son atacadas, puede producirse una exposición o robo de datos.
  • Movimiento lateral: las API paralelas pueden proporcionar puntos de entrada para que el atacante acceda a sistemas y cuentas sensibles. Una vez que se han infiltrado en el entorno de una organización, pueden robar información confidencial o aprovechar este acceso para lanzar nuevos ataques.
  • Vulnerabilidades sin revisión: las organizaciones no pueden revisar las nuevas vulnerabilidades de API en las API que aún no controlen y gestionen. Aunque las API paralelas ya estén protegidas contra los ataques y riesgos básicos de las API (como los que figuran en los 10 principales riesgos de OWASP para las API), las nuevas explotaciones pueden crear puntos de entrada para los atacantes.
  • Incumplimiento: muchas organizaciones están sujetas a leyes de privacidad de datos (por ejemplo, el RGPD o CCPA). Las API paralelas pueden permitir que los desarrolladores u otros usuarios manejen los datos de forma no cumpla con esta normativa, lo que puede dar lugar a multas u otras sanciones graves.

¿Qué es el descubrimiento de API?

El descubrimiento de API es el proceso de catalogar todas las API internas y de terceros que se utilizan en una organización. Dado que las API cumplen una gama tan amplia de propósitos —desde aumentar el desarrollo de aplicaciones hasta conectar microservicios y otras funciones externas—, no es de extrañar que las organizaciones dependan de docenas, si no cientos (o miles) de ellas.

Con el descubrimiento de las APIs, las organizaciones no solo pueden optimizar el desarrollo de sus aplicaciones, sino también descubrir posibles APIs que no se han inventariado o protegido adecuadamente. Por esta razón, el descubrimiento de las APIs es un primer paso crucial para mejorar e implementar las prácticas de seguridad de las APIs.

API paralelas frente a las API zombie

Una API paralela es una API no gestionada que se utiliza activamente. Por otro lado, una API zombie es una API que ha quedado obsoleta o abandonada. A diferencia de las API paralelas, las API zombie pueden estar ya identificadas y gestionadas por una organización, pero no se están utilizando activamente.

Tanto las API paralelas como las API zombiE suponen un grave riesgo para las organizaciones que interactúan con ellos, ya que normalmente no están protegidos y pueden verse comprometidos o utilizarse para realizar ataques.

¿Cómo protege Cloudflare contra las API paralelas?

API Gateway de Cloudflare incluye una función de descubrimiento de API que descubre, supervisa y protege automáticamente todos los puntos finales de la API. Las solicitudes entrantes se validan con un esquema OpenAPI, que se utiliza para bloquear las solicitudes no conformes y para ayudar a aplicar un modelo de seguridad positivo. Más información sobre cómo funciona el descubrimiento de API de Cloudflare.