¿Cuáles son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API?

El Open Web Application Security Project (OWASP) elabora una lista de los mayores riesgos de seguridad para las interfaces de programación de aplicaciones (API).

Metas de aprendizaje

Después de leer este artículo podrás:

  • Resumir el OWASP API Security Top 10
  • Comparar esta lista con el OWASP Top 10

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Cuáles son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API?

El Open Web Application Security Project (Proyecto de Seguridad de Aplicaciones de la Red en Abierto u OWASP) es una organización sin fin de lucro cuyo objetivo es promover la seguridad de las aplicaciones de la red. La OWASP ofrece muchos recursos gratuitos para construir una aplicación web más segura.

Uno de los recursos más consultados de la organización es OWASP Top 10, que enumera los 10 mayores problemas de seguridad de la aplicación web. OWASP también mantiene una lista separada y similar para las interfaces de programación de aplicaciones (APIs), que son cruciales para impulsar la mayoría de las experiencias web y móviles.

Las API ayudan a las empresas a obtener ventajas competitivas al incorporar funciones de inteligencia empresarial, al facilitar las implementaciones en la nube y al integrar las funciones de la IA. Al mismo tiempo, las API pueden implicar nuevos riesgos al permitir que terceros accedan a la aplicación, compartan datos y ejecuten flujos de trabajo potencialmente confidenciales.

La edición 2023 del OWASP API Security Top 10 resalta los riesgos clave que las organizaciones deben mitigar para proteger mejor la seguridad de sus API, aplicaciones y datos. La lista incluye lo siguiente:

  1. Autorización a nivel de objeto roto: los atacantes pueden intentar explotar puntos finales de API vulnerables a la autorización a nivel de objeto roto. Podrían manipular los identificadores de objetos dentro de una solicitud para obtener acceso no autorizado a datos confidenciales.
  2. Autenticación interrumpida: si la autenticación se implementa de forma incorrecta, los atacantes podrían hacerse pasar por los usuarios de la API y obtener acceso a datos confidenciales.
  3. Fallo en la autorización a nivel de propiedad de objeto: la falta de autorización o una validación de autorización incorrecta a nivel de propiedad de objeto podría dejar la información expuesta o vulnerable a la manipulación por parte de personas no autorizadas.
  4. Consumo de recursos sin restricciones: muchos APIs no limitan las interacciones de los clientes ni el consumo de recursos. Los atacantes podría generar un alto volumen de llamadas API, lo que puede aumentar los costes operativos y provocar una denegación de servicio.
  5. Autorización a nivel de función interrumpida: el atacante podría enviar una llamada API legítima a un punto final al que no debería poder acceder. Pueden obtener acceso a los recursos o funciones administrativas de otros usuarios.
  6. Acceso ilimitado a flujos comerciales confidenciales: las APIs pueden exponer un flujo comercial (como publicar un comentario en un sitio web, comprar un producto o hacer una reserva), lo que permite a los atacantes ejecutar ese flujo en exceso.
  7. Falsificación de solicitud del lado del servidor: una API puede obtener un recurso remoto sin validar la URL proporcionada por el usuario. Por ejemplo, un usuario podría proporcionar una URL para cargar una imagen en una plataforma de redes sociales. Esa URL podría entonces iniciar un escaneo de puertos dentro de una red interna.
  8. Gestión inadecuada del inventario: la API puede exponer más los puntos finales que las aplicaciones web tradicionales. Si las organizaciones no hacen un inventario de los hosts y las versiones de las APIs implementadas, podrían dejar versiones obsoletas de las APIs y puntos finales vulnerables.
  9. Consumo no seguro de APIs: los atacantes podrían atacar servicios de terceros que interactúan con APIs en lugar de atacar directamente una API. Se dan cuenta de que los desarrolladores suelen confiar más en los datos de las APIs de terceros que en las entradas de los usuarios.
  10. Para obtener más información sobre estos 10 riesgos de seguridad, consulta la página oficial de OWASP.

    Hay cierto cruce entre el Top 10 de OWASP (lista completa aquí) y el Top 10 de OWASP API Security. Por ejemplo, la interrupción del control de acceso es el primer problema de la lista de los 10 principales problemas de OWASP, y hay varias formas de interrupción de la autenticación y la autorización entre los cinco primeros problemas de seguridad de la lista de las APIs. Además, la configuración errónea de la seguridad y la falsificación de solicitudes del lado del servidor aparecen en ambas listas.

    Sin embargo, las APIs presentan varios riesgos distintos en comparación con la aplicación web. Los desarrolladores deben tener en cuenta ambas listas.

    ¿Cómo ayuda Cloudflare a abordar los riesgos de seguridad de las APIs?

    Cloudflare API Shield ayuda a mantener la seguridad y el funcionamiento de las API mediante las funciones de detección de API, la gestión y supervisión centralizadas de las API, y las defensas innovadoras en capas. API Shield forma parte de la cartera de soluciones de seguridad de aplicaciones de Cloudflare, que ofrece funciones adicionales para detener ataques de bots, de DDoS y de aplicaciones, y al mismo tiempo supervisa los ataques a la cadena de suministro.

    Descubre cómo las capacidades de Cloudflare abordan los riesgos específicos detallados en el informe OWASP API Security Top 10. Descubre más soluciones de seguridad de las APIs de Cloudflare.

    Preguntas frecuentes

    ¿Qué es OWASP (Proyecto de seguridad de aplicaciones web abiertas)?

    OWASP es una organización sin fines de lucro que fomenta la seguridad de las aplicaciones web al ofrecer recursos gratuitos, como prácticas recomendadas de seguridad y listas de riesgos, para ayudar a las organizaciones a asegurar sus aplicaciones.

    ¿Cuáles son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API?

    El OWASP API Security Top 10 es una lista de los riesgos de seguridad más críticos que enfrentan las API. Ayuda a las organizaciones a comprender y abordar las vulnerabilidades habituales en el diseño e implementación de las API.

    ¿Qué significa el "control de acceso defectuoso" en la seguridad de las API?

    El "control de acceso defectuoso" puede referirse a varios riesgos de OWASP para las API: control de acceso defectuoso a nivel de objeto, control de acceso defectuoso a nivel de propiedad de objeto y control de acceso defectuoso a nivel de función. Las tres vulnerabilidades pueden permitir a los atacantes exponer o manipular datos sensibles.

    ¿Cuáles son algunos ejemplos de riesgos de seguridad de la API?

    Los riesgos clave de las API incluyen el consumo ilimitado de recursos, la falsificación de solicitudes del lado del servidor (SSRF) y la gestión deficiente del inventario de las API, lo que puede llevar a la exposición de datos o la interrupción del servicio.

    ¿Cuáles son las vulnerabilidades de autenticación en las API?

    Las vulnerabilidades de autenticación ocurren cuando las API no verifican adecuadamente a los usuarios, lo que permite a los atacantes hacerse pasar por usuarios legítimos y obtener acceso no autorizado a datos sensibles.

    ¿Cuáles son los riesgos de las API de terceros?

    Los riesgos de las API de terceros pueden surgir cuando una API interactúa con servicios externos. Los atacantes pueden dirigirse a esos servicios externos en lugar de atacar directamente la API, especialmente cuando la API tiende a confiar en los datos de esos servicios de terceros.

    ¿Qué es Cloudflare API Shield?

    Cloudflare API Shield es una solución que ayuda a las organizaciones a asegurar sus API mediante la detección de las API, la gestión centralizada, el monitoreo y las defensas de seguridad en capas.

    ¿Cómo se relaciona el OWASP API Security Top 10 con el OWASP Top 10 for web apps?

    Ambas listas categorizan los riesgos de seguridad habituales. El OWASP API Security Top 10 es específico para las API, mientras que el OWASP Top 10 se aplica a las aplicaciones web en general. Las API son casi siempre componentes cruciales de la infraestructura de una aplicación web, por lo que los desarrolladores de aplicaciones web con conciencia de seguridad deben considerar ambas listas. Existe cierta superposición en los tipos de riesgos de seguridad que enfrentan las API y las aplicaciones web, como problemas con el control de acceso roto y la falsificación de solicitudes del lado del servidor, pero la implementación de soluciones para estos riesgos será ligeramente diferente para las API y las aplicaciones web.

    ¿Qué es la explotación de flujos comerciales en las API?

    La explotación del flujo de negocio ocurre cuando los atacantes abusan de los flujos de trabajo legítimos de las API, como realizar compras o reservas excesivas, para interrumpir las operaciones comerciales.