theNet by CLOUDFLARE

El estado de la seguridad de las API

Reflexiones acerca de 2023, resoluciones para 2024

Este artículo se basa en una charla que di en Black Hat MEA en noviembre de 2023, y analiza el estado de la seguridad de las API conforme se acerca el final de año. Hay dos razones para ello. La primera: al igual que en los últimos años, el uso de las API ha ido al alza. Dominan la mayor parte del tráfico HTTP. En segundo lugar, y quizás más importante, este crecimiento también se ha desarrollado en paralelo al incremento de los ataques a dichas API. A pesar de la publicación de una lista actualizada de los principales 10 riesgos OWASP para la seguridad de las API, el aumento continuado de los ataques a las API debería ser quizás un motivo mayor de preocupación. Analicemos el tema y las causas y consideremos las soluciones cruciales para fortalecer los ecosistemas de las API.


El panorama actual de las API

En los últimos años, las API se han convertido en herramientas cada vez más potentes de desarrollo sobre la tecnología existente para crear aplicaciones más integradas y dinámicas. Son lo que impulsa las aplicaciones de software dinámicas y las actividades empresariales. También pueden utilizarse para mejorar vidas. Por ejemplo, un ayuntamiento del Reino Unido podría querer utilizar los datos proporcionados por la API de Precipitaciones de la Agencia de Medio Ambiente para ver las tendencias en su zona y prepararse en consecuencia. Un grupo de participación cívica podría querer crear una aplicación que pudiera integrarse con las API cívicas a fin de ofrecer a los residentes información sobre las próximas elecciones, los colegios electorales y los candidatos. También hay razones normativas, como la banca abierta, en la que, en un número cada vez mayor de países, los bancos deben permitir a otros bancos y a las API de proveedores externos el acceso a los datos financieros de sus clientes. Esto mejora la competencia, lo que en última instancia es bueno para el consumidor.

A medida que las API han crecido en número, también lo han hecho los ataques contra ellas. En 2021, Gartner pronosticó que, para 2022, el abuso de las API pasaría de ser poco frecuente a ser el vector de ataque más habitual, lo que generaría fugas de datos para las aplicaciones web empresariales. A pesar de las numerosas advertencias, los ataques a la API siguen teniendo mucho éxito. En años anteriores, varias organizaciones muy conocidas fueron sus víctimas. OWASP, una organización dedicada a mejorar la seguridad de las aplicaciones web, publicó inicialmente una versión específica para las API de sus diez principales riesgos en 2019. La lista se ha actualizado este año. Lamentablemente, también se ha actualizado la lista de grandes empresas que han sufrido abusos. Algunas de ellas dos veces este año. Si las grandes organizaciones son presa fácil, imagínate lo que les pasa a las empresas que no salen en las noticias. Es muy posible que este año acabe convirtiéndose en un año récord de abusos a las API. (He evitado señalar a organizaciones concretas, ya que no se trata de acusar a nadie).

De hecho, esto nos afecta a todos. Ignorando el hecho de que el coste medio mundial de una fuga de datos es de 4,45 millones de dólares, cada vez es mayor el volumen de nuestros datos personales en manos de organismos que potencialmente podrían no aplicar medidas de protección suficientes, aunque ellos crean lo contrario. La exposición de datos o la apropiación de cuentas que llevan al robo de identidad son problemas con los que se encuentran los usuarios más a menudo de lo que deberían. El aumento de los ataques a las API destaca la necesidad de un conocimiento más detallado y de una postura de defensa más sofisticada.


Desafíos de la seguridad

Los principales desafíos en materia de seguridad del último año se engloban en estas 5 categorías:

  1. La problemática de la autenticación/autorización: el panorama de las fugas de datos a menudo tiene su origen en deficiencias de los mecanismos de autenticación/autorización. Ya sea debido a credenciales comprometidas, a métodos de autenticación deficientes o a procesos/protocolos relacionados insuficientes, la importancia fundamental de la identidad es un aspecto que no está evolucionando a la par que el panorama de las amenazas. La autorización a nivel de objeto vulnerable (BOLA) es el principal riesgo de seguridad de las API en ambas listas OWASP, con años de diferencia.

  2. La proliferación de las API: el crecimiento de las API, tanto internas como públicas, ha sido asombroso. La diversidad de las API, así como el contexto en el que se utilizan, hacen que esto suponga un desafío cada vez mayor.

  3. Tu WAF: normalmente no significa nada para el tráfico específico de las API y no puede resolver el punto 1 anterior. La mayoría de los ataques parecen tráfico legítimo y muchos WAF (incluidos los que tienen elementos de aprendizaje automático) los dejan pasar. Desconfiar de tu WAF es un primer paso que falta. Una diapositiva pertinente de mi charla:

  4. Atascado en el medio: la incapacidad de anticipar la seguridad, a pesar del reconocimiento generalizado de su importancia, debilita gravemente la implementación de medidas de protección eficaces de un extremo a otro. Diseñar y desarrollar pensando en la seguridad aún es una idea desconocida para muchos equipos, al igual que el hecho de que debe ser un proceso continuo y adaptable a los demás.

  5. Configuración de las API: los errores de configuración, talón de Aquiles de la seguridad de las API, siguen siendo un problema de la gestión de la seguridad de las API. Esto incluye diversos aspectos que pueden salir mal al implementar una API, como dejar activados métodos que no se utilizan, dejar puntos finales por defecto que no se utilizan y un registro excesivo. Se confía más en configuraciones estáticas que en ajustes continuos y adaptables que vayan en línea con la evolución de la información sobre amenazas.


Obstáculos

Son tres las causas que obstaculizan los avances en este sector:

  1. Conocimiento/experiencia: ignorancia. Personas/equipos que no conocen adecuadamente, no comprenden o no son conscientes de la seguridad específica de las API. Puede deberse a una exposición, una formación o una curiosidad insuficientes.

  2. Fondos: presupuesto. Se pide a los equipos que hagan más con recursos limitados. Los ingenieros expertos pueden tener sueldos más altos. Las puertas de enlace o las herramientas de seguridad específicas de las API no suelen ser gratuitas. La formación también se considera costosa. Las organizaciones no tienen en cuenta el coste de un ataque a la hora de asignar fondos.

  3. Prioridades: los plazos. A menudo, el lanzamiento de un nuevo producto o API es más importante que el largo procedimiento de seguridad necesario para su aprobación. Si la seguridad y el desarrollo no funcionan como una orquesta, es probable que la organización sea noticia en el futuro.

Es importante señalar que no son mutuamente excluyentes.


Soluciones clave para el futurista

  • Visibilidad: si no puedes verlo, no puedes protegerlo. Ya se llame descubrimiento o inventario, lo que importa es que tu equipo sepa siempre qué y dónde. Las API paralelas, zombies, beta e invisibles ofrecen un vía rápida a los ciberdelincuentes para introducirse en tu infraestructura.

  • Arquitectura Zero Trust: cada solicitud de acceso se trata como potencialmente maliciosa hasta que se demuestra lo contrario, cambiando el paradigma de la confianza. Prepárate para un potencial hackeo de tu proveedor de identidad/SSO.

  • Detección de anomalías basada en IA: la integración de la inteligencia artificial para la detección de anomalías en tiempo real. Las organizaciones deben utilizar algoritmos de aprendizaje automático para analizar los patrones, los comportamientos y las desviaciones, permitiendo la identificación proactiva y la mitigación de las amenazas potenciales.

  • Integración más estrecha de DevSecOps: una perfecta integración de la seguridad en el proceso de desarrollo ya no es una sugerencia, sino una necesidad. DevSecOps, centrado en la integración continua y la seguridad, surge como una estrategia esencial para lograr ecosistemas de API resilientes.

  • Protección integral: tu estrategia de seguridad debe ser por capas. ¿Evita tu sistema los ataques volumétricos? Si es así, ¿cuenta con comprobaciones eficaces de la autorización/autenticación? Si es así, ¿dispone de un flujo de encriptación sólido? En caso afirmativo...

Estas y otras populares soluciones sugeridas, como el modelado de amenazas, el IAM descentralizado, las fuentes de información en tiempo real, las respuestas automatizadas, la seguridad mejorada de la red, la validación en tiempo de ejecución, etc., corresponden a tres categorías principales que debes tener en cuenta:

  1. Gobernanza: considera tus procesos, tus políticas y tus prácticas.

  2. Herramientas: invierte en tus tecnologías.

  3. Personas: formación, pruebas, cultura.

Las personas, los equipos y las organizaciones deben recordar que no existe una solución única para todo esto. Debes tener en cuenta tus niveles de aceptación del riesgo, tus necesidades empresariales, tus requisitos normativos, etc. También debes aprender de todos los ataques que te han precedido. Si eres víctima de un ataque, también ayuda la transparencia (no solo por razones normativas), sino para permitir que otros se beneficien de tu experiencia.


Superar los desafíos de la seguridad de las API

A finales de 2023, está claro que resolver el complejo desafío de la seguridad de las API requiere una estrategia multidisciplinar que aborde las causas con precisión y adopte soluciones modernas. Las organizaciones dispuestas a invertir en una defensa proactiva y dinámica se encontrarán mejor posicionadas para sortear el intimidatorio panorama de amenazas. Las organizaciones deben asegurarse de que existen definiciones de reglas que se aplican desde el concepto hasta la eliminación.

¡Mantente alerta! ¡Te deseamos un Feliz Año Nuevo!

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.


Más información sobre este tema

Obtén más información sobre cómo proteger las API que impulsan el negocio en el documento técnico Guía de seguridad de las API.

Autor

Damiete King-Harry - @damiete
Arquitecto de soluciones, Cloudflare



CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Por qué los ataques a las API son quizás más peligrosos que nunca

  • El valor de los 10 principales riesgos de OWASP para la seguridad de las API

  • Cómo proteger tu organización con soluciones modernas y sofisticadas


Recursos relacionados:


¿Quieres recibir un resumen mensual de la información más solicitada de Internet?