theNet by CLOUDFLARE

El 74 % de las organizaciones prioriza ahora las API

Cómo las soluciones específicas han creado una mayor vulnerabilidad


A finales de 2022, T-Mobile sufrió una fuga de datos de 37 millones de cuentas de clientes debido a la vulnerabilidad de una API. Esta fuga y otras que afectaron a T-Mobile derivaron en un acuerdo de 31,5 millones de dólares con la Comisión Federal de Comunicaciones (FCC). Muchas otras empresas están sufriendo ataques a las API que pueden llevar al fraude mediante la apropiación de cuentas y el robo de información de tarjetas de crédito.

El uso de interfaces de programación de aplicaciones (API) para el desarrollo de software está aumentando rápidamente. Esta tendencia está ayudando a acelerar la innovación, pero también está creando nuevos riesgos para las empresas.

Las API se utilizan cada vez más para agilizar la integración de nuevas características, funciones y fuentes de datos en el software, incluidos los modelos de lenguaje de gran tamaño (LLM) utilizados para la IA generativa. Un informe de Postman, plataforma de colaboración para el desarrollo de API, reveló que el 74 % de los encuestados eran organizaciones que priorizaban las API en 2024, frente al 66 % del año anterior. Gartner informa de que más del 80 % de los encuestados utiliza API a nivel interno, mientras que algo más del 70 % también utiliza API de terceros, como las API proporcionadas por proveedores de SaaS.

Por desgracia, el uso de las API para conectar el software con nuevas capacidades y fuentes de datos también amplía la superficie de ataque de una organización. Las API han sido objeto de una amplia gama de ataques, como vulnerabilidades de zero-day, ataques de denegación de servicio distribuido (DDoS) y abuso de autenticación, entre otros.

¿Cuáles son los riesgos más importantes de las API? ¿Cómo puede tu organización abordar esos riesgos para poder seguir maximizando los beneficios de las API?

¿Qué son los riesgos de seguridad de las API y las limitaciones de las soluciones existentes?

Para los atacantes, las API son un objetivo principal. Muchos atacantes reconocen con razón que las organizaciones suelen adoptar rápidamente nuevas API sin implementar la seguridad adecuada.

Estos atacantes están encontrando numerosas formas de aprovechar las vulnerabilidades de las API. Muchos aprovechan las deficiencias en la autorización y la autenticación, que se encuentran entre los principales riesgos de seguridad de las API. Estos riesgos son aún más críticos para las API que para las aplicaciones web y móviles. Las API pueden contener información confidencial y dinámica que no se puede codificar o dejar en texto plano, como puede ser con una aplicación web o móvil. Cuando las API carecen de autenticación o tienen políticas de autorización demasiado permisivas, son vulnerables a ataques de autorización a nivel de objeto roto (BOLA), que pueden provocar el acceso no autorizado a los datos.

Otros atacantes lanzan ataques DDoS, enviando un número abrumador de solicitudes a las API que carecen de límites de solicitudes. Cuando los atacantes logran su objetivo mediante estos ataques BOLA, DDoS, entre otros, pueden acceder a una serie de datos del usuario que se transmiten a través de las API, tales como información de tarjetas de crédito, información sanitaria u otra información de identificación personal (PII).

Las organizaciones suelen utilizar las reglas tradicionales del firewall de aplicaciones web (WAF) para proteger el tráfico de las API. Sin embargo, el modelo de seguridad "negativo" que utilizan estas soluciones, que bloquea solo las amenazas conocidas, es inadecuado para detectar muchos ataques modernos específicos de las API. Mientras tanto, numerosas organizaciones implementan un conjunto heterogéneo de soluciones específicas para la seguridad de las aplicaciones y las API, lo que deja deficiencias en la cobertura y añade una complejidad de gestión significativa.

Cómo hacer frente a los riesgos con una estrategia multidimensional de seguridad de las API empresariales

Eliminar las vulnerabilidades y detener toda la variedad de ataques específicos a las API requiere una estrategia multidimensional de las API empresariales. Los equipos deben implementar las prácticas recomendadas para comprender mejor qué API utilizan en toda la empresa, identificar las vulnerabilidades, bloquear el tráfico malicioso, proteger los datos y optimizar la gestión.

  1. Aumenta la visibilidad: es difícil proteger algo si no sabes que existe. Sin embargo, muchos equipos informáticos y de seguridad no tienen una relación completa ni visibilidad de las API que se utilizan en toda la organización. Según un análisis reciente de las llamadas API y las solicitudes HTTP, el número de puntos finales de las API públicas que tenían las empresas era un 33 % superior al número del que eran conscientes.La identificación de las API es un primer paso importante para proteger estos componentes esenciales. Realizar un inventario de las API internas y de terceros puede ayudarte a eliminar el uso de las "API paralelas " y a empezar a desarrollar una estrategia de seguridad de las API coherente.

    Al mismo tiempo, la identificación de las API puede ayudar a mejorar la eficiencia del desarrollo al descubrir la funcionalidad preexistente y prediseñada. La creación de un catálogo de API permitirá a los desarrolladores encontrar e incorporar fácilmente la funcionalidad que necesitan, y evitará la necesidad de escribir código para funciones que ya cubren las API.

  2. Usa el aprendizaje automático: la identificación de las API no tiene por qué ser un proceso manual tedioso. Los servicios que utilizan el aprendizaje automático pueden buscar tráfico de API que de otro modo no se tendría en cuenta.

    El aprendizaje automático     también puede mejorar la protección de las API. En concreto, puedes utilizar un servicio basado en el aprendizaje automático para detectar ataques que podrían tardar en ejecutarse. Estos ataques están diseñados para evadir las herramientas que identifican técnicas volumétricas.

  3. Identifica tu postura de riesgo de las API: una vez que comprendas mejor qué API utiliza tu organización, debes identificar sus riesgos potenciales. Por supuesto, detectar posibles problemas, y luego abordarlos, puede parecer abrumador, especialmente si tu organización es nueva en la seguridad de las API. La implementación de la herramienta de seguridad de las API adecuada puede ayudar a los equipos a identificar errores de configuración de autenticación, riesgos de fuga de datos confidenciales, vulnerabilidades de ataques BOLA y mucho más. A su vez, puede recomendar controles y políticas para mejorar tu postura de seguridad.

  4. Crea un modelo de seguridad positivo: para proteger mejor las API, las organizaciones deben superar los modelos de seguridad negativos que bloquean solo las amenazas conocidas. La implementación de un modelo de seguridad "positivo" puede detectar más tráfico malicioso. Puedes aceptar solo el tráfico que se ajuste a tus esquemas OpenAPI y bloquear el resto de solicitudes.

  5. Implementa la prevención de pérdida de datos: una estrategia de API debe detener la fuga de datos confidenciales que se pueden intercambiar a través de las API. Lo mejor es adoptar un enfoque proactivo. El análisis continuo de las cargas malintencionadas de respuesta en busca de datos confidenciales puede ayudarte a identificar y evitar los intentos de exfiltración de datos.

  6. Consolida las herramientas de las API: la adopción de varias API ofrece a los desarrolladores un medio eficaz para aumentar rápidamente las capacidades de las aplicaciones, pero también añade complejidad a los entornos informáticos ya de por sí complicados. La consolidación de herramientas para crear aplicaciones, optimizar el rendimiento y reforzar la seguridad te permitirá mejorar la visibilidad y recuperar el control de tu entorno informático.

Una conectividad cloud puede proporcionar una plataforma unificada que te permita gestionar la identificación de las API, el desarrollo de aplicaciones, la optimización del rendimiento y la seguridad sin tener que utilizar numerosas soluciones específicas. Con una plataforma unificada, puedes integrar mejor la seguridad en el proceso de desarrollo, estableciendo flujos de trabajo DevSecOps más sólidos que aborden posibles problemas de seguridad al principio del proceso de desarrollo y eliminen los obstáculos para la incorporación rápida de nuevas funciones.


Cómo avanzar en el mundo de las API

Tanto si diriges una empresa que prioriza las API como si adoptas las API caso por caso para acelerar el desarrollo innovador, la protección de estas interfaces esenciales debe ser una prioridad. Los atacantes han dejado claro que ven las API como objetivos vulnerables. Desarrollar la estrategia adecuada para mejorar la seguridad de las API puede ayudarte a abordar las vulnerabilidades sin añadir la complejidad de gestión que pueden crear numerosas soluciones específicas.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.


Más información sobre este tema

Más información sobre cómo proteger las API en el libro electrónico: "Guía sobre la seguridad de las API para los CISO".

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Principales vulnerabilidades de las API que son clave para acelerar la innovación

  • Limitaciones de las estrategias de seguridad existentes

  • Cómo eliminar las vulnerabilidades y detectar mejor las amenazas con las prácticas recomendadas de seguridad de las API

Recursos relacionados

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?

Suscríbete a theNET

Primeros pasos

Recursos

Soluciones

Comunidad

Asistencia

Empresa

© 2025 Cloudflare, Inc.Política de privacidadCondiciones de usoInformar sobre problemas de seguridadConfianza y seguridadMarca