Las preocupaciones sobre la seguridad de las API aumentan a medida que aumentan los ataques



Alrededor del 66% de las organizaciones dicen que han ralentizado la implementación de una aplicación en producción debido a problemas de seguridad de la API.

Por segunda vez en los últimos meses, los investigadores están haciendo sonar la alarma sobre las amenazas a la seguridad empresarial provenientes de interfaces de programación de aplicaciones (API) inseguras.

En noviembre pasado, la firma de analistas Forrester Research advirtió sobre las organizaciones que no abordan las vulnerabilidades de las API de la misma manera que lo hicieron con las vulnerabilidades de las aplicaciones y, como resultado, su creciente exposición a las infracciones relacionadas con las API.

Esta semana, Salt Protection publicó un informe sobre seguridad API que combinó las respuestas de una encuesta que el proveedor realizó a 200 profesionales de TI y seguridad con datos empíricos de los clientes de la compañía.

Los resultados muestran que el 91% de las organizaciones en la encuesta sufrieron un problema relacionado con API el año pasado. Más de la mitad (54%) informó haber encontrado vulnerabilidades en sus API, el 46% señaló problemas de autenticación y el 20% describió problemas causados ​​por bots y herramientas de extracción de datos.

«El incidente de seguridad de API más común informado para 2020 fue encontrar una vulnerabilidad en una API de producción», dice Michelle McLean, vicepresidenta de Salt Safety.

Ese hallazgo muestra que a pesar de que las organizaciones están aplicando principios de «cambio a la izquierda» e integrando controles de seguridad antes en el ciclo de vida del desarrollo, el esfuerzo aún no es suficiente.

«Las organizaciones necesitan complementar las tácticas de seguridad que aplican durante la construcción y la implementación con seguridad en tiempo de ejecución», dice McLean.

El segundo incidente más común se centró en los problemas de autenticación en los que los atacantes podían manipular la autenticación de alguna manera para intentar obtener acceso a datos confidenciales. Otros problemas comunes incluyeron el uso indebido de cuentas y los ataques de denegación de servicio, donde los atacantes lanzan suficiente tráfico de API manipulado para intentar interrumpir las aplicaciones detrás de las API.

«Las API presentan un riesgo significativo para las organizaciones», señala McLean. «Los atacantes se están aprovechando de ellos ahora, y las estrategias y tecnologías actuales no brindan protección suficiente».

Las API permiten que las aplicaciones y los componentes de la aplicación se comuniquen entre sí en redes internas y, cada vez más, a través de Online. Inicialmente, las API se usaban normalmente en redes y canales de comunicación privados seguros. En estos días, se han convertido en parte integral de los esfuerzos de la empresa para hacer que las aplicaciones internas y los sistemas y servicios heredados sean accesibles a través de World-wide-web para clientes comerciales, socios, proveedores y otros terceros. Una organización puede tener docenas, cientos e incluso miles de API que conectan aplicaciones internas entre sí y con el mundo exterior. Los analistas han notado cómo las API pueden proporcionar una puerta de enlace directa desde el exterior a los datos y aplicaciones críticos de una organización si no se protegen adecuadamente.

La forma más común en que los atacantes explotan las vulnerabilidades de la API es manipulando los objetos, como un número de identificación de usuario, a los que una API podría tener autoridad para acceder.

«Se autentican en la aplicación, inician las comunicaciones usando su propia ID de usuario y luego, en medio de una llamada API posterior, cambian ese objeto a una ID de usuario diferente», dice McLean como un ejemplo. «Ahora los atacantes pueden acceder a información confidencial asociada con esa otra identificación».

Las preocupaciones de seguridad de API aumentan
Encuesta de Salt Safety descubrió que dos tercios de las organizaciones han ralentizado el lanzamiento de una nueva aplicación en producción debido a preocupaciones relacionadas con la seguridad de la API. Los datos de clientes de la compañía muestran que el número de ataques de API por mes por cliente pasó de 50 en junio pasado a casi 80 en diciembre. Si bien el volumen mensual promedio de llamadas a la API de los clientes de Salt Protection creció un 51%, el porcentaje de tráfico malicioso se disparó un 211% durante el período del estudio.

McLean dice que el tráfico de API malicioso en este contexto se relaciona con las actividades de los atacantes para llegar a los datos a los que se conectan las API o para interrumpir los servicios que habilitan. Como ejemplos, señala los intentos de los atacantes de cambiar los números de cuenta en medio de una llamada a la API o de manipular las llamadas a la API para insertar cientos o miles de credenciales potenciales con la esperanza de que algunas coincidan con las credenciales existentes.

A pesar de estas tendencias, la encuesta de Salt Stability también muestra lo que parece ser un enfoque relativamente indiferente al problema en muchas organizaciones: más de una cuarta parte (27%) admitió no tener ninguna estrategia para lidiar con la seguridad API, y el 54% describió su estrategia como básica en el mejor de los casos. El 83% admitió no estar seguro acerca de su inventario de API y el 82% no confiaba en su conocimiento sobre las API que exponían la PII, los datos de los titulares de tarjetas y otra información confidencial.

Más de uno de cada cinco admitió no tener forma de saber cuál de sus API expuso información de identificación individual, y muchos dijeron que su mayor preocupación period la prevalencia de API obsoletas y zombis en la purple.

Abordar estos problemas requiere una sólida estrategia de seguridad API, dice McLean. Eso significa tener mecanismos para proteger las API durante todo su ciclo de vida, dice. Las organizaciones deben tener controles para validar las API durante la fase de compilación, la fase de implementación y mientras se ejecutan en producción.

Las organizaciones también deben considerar fomentar la colaboración entre los grupos que escriben API y los grupos autorizados para proteger los datos y los servicios a los que se conectan las API, dice.

«Los desarrolladores no están capacitados para pensar como un atacante como lo hacen los equipos de seguridad, y los equipos de seguridad no codifican todos los días, por lo que no comprenden tanto las construcciones de API», dice McLean.

Solo asegurando que los dos grupos trabajen juntos, las organizaciones pueden proteger completamente las API empresariales, agrega.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary