Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Mantenga protegidas las API de su organización en esta temporada navideña

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 137

En un mundo cada vez más conectado a Internet, las interfaces de programación de aplicaciones (API), software que permite que los programas informáticos se comuniquen entre sí, son cada vez más frecuentes. Las API permiten que los dispositivos y las aplicaciones intercambien información y ayudan a los desarrolladores a crear experiencias de usuario mejores y más efectivas de manera más fácil y eficiente. De hecho, 70% de desarrolladores esperaba que incrementar Uso de API en 2023, por lo que la prevalencia de API seguirá aumentando.

Pero a medida que aumenta el uso de API y los dispositivos se comunican más, mientras que los desarrolladores pueden ofrecer cada vez más software mejor y más fácil de usar, ¿cuáles son las implicaciones de seguridad? ¿Cómo afecta el uso de API a una empresa o negocio? ¿Y hay industrias que corren mayor riesgo, especialmente ahora que nos acercamos a la temporada navideña?

Revelando la necesidad de proteger las API de pago

Las investigaciones muestran que los atacantes se están volviendo más sofisticados y específicos de API en sus tácticas, y las técnicas de protección tradicionales están demostrando ser mecanismos de defensa ineficaces. En la primera mitad de 2022, los estadounidenses perdieron un récord de $ 3.56 mil millones al fraude en línea, y la Comisión Federal de Comercio recibió 800,000 quejas de fraude, y el 27% de los casos sufrieron pérdidas financieras. Los atacantes quieren participar en la acción y las API de pago parecen un blanco fácil.

En el mundo del comercio electrónico, las API conectan a los comerciantes con los proveedores de servicios de pago (PSP) que completan la transacción del cliente. Sin embargo, las API inseguras pueden exponer información confidencial. El dinero que los estafadores pueden robar de los PSP y de los sitios web de comercio electrónico al tomar la información de la tarjeta del cliente no es el único costo asociado con el fraude. Por lo tanto, a medida que los robots malos se vuelven más sofisticados y difíciles de frustrar, es imperativo adelantarse a ellos.

¿Cómo están los estafadores en la lista de traviesos de API en esta temporada navideña?

Según Adobe Analytics, los consumidores probablemente gastarán 221.8 mil millones de dólares a través de compras en línea entre el 1 de noviembre y finales de año. Dicho esto, durante eventos de ventas flash como el Black Friday y el Cyber ​​Monday, las plataformas de comercio electrónico generalmente enfrentan al menos cinco veces (y a veces hasta 30 veces) más ataques de robots que en días promedio. Entonces, a medida que los consumidores comiencen a tachar sus listas de deseos mediante las compras en línea, estos estafadores estarán acechando en las sombras esperando sacar provecho.

En gran parte debido a su falta de protección sofisticada, las API ahora son cada vez más atacadas a gran escala por ciberdelincuentes que utilizan herramientas altamente mercantilizadas (y por lo tanto más accesibles). Una táctica es la mercantilización de herramientas y servicios de fraude con tarjetas que hacen que el fraude con tarjetas de crédito sea más fácil de realizar para cualquiera, particularmente contra API de front-end que quedan desprotegidas contra robots maliciosos avanzados.

Por ejemplo, los atacantes robarán números de tarjetas de crédito válidos (mediante tarjetas, descifrado de tarjetas o compras en la Dark Web) para utilizarlos en sus transacciones fraudulentas. Los bots a menudo se emplean en masa para inferir (“probar” o “descifrar”) números de tarjetas e información asociada del titular de la tarjeta. Los detalles de pago pueden ser más fáciles de encontrar detrás de puntos finales menos protegidos, como una API utilizada por el procesador de pagos o el comerciante.

Incluso el estafador más inexperto puede ahora llevar a cabo ataques a gran escala utilizando técnicas sofisticadas, aumentando así los posibles daños a las empresas.

El fraude en los pagos de API es aterrador, pero estas mejores prácticas son muy agradables

An solución de protección API precisa y escalable puede proteger a las empresas de ataques a API durante todo el recorrido del cliente. Un ataque exitoso puede afectar negativamente a los ingresos y causar un daño irrefutable a la reputación de una empresa. Hay varias estrategias y herramientas disponibles para ayudar a las empresas a proteger sus API de pago contra el fraude y la apropiación de cuentas:

  • Fuertes mecanismos de autenticación: La autenticación de dos factores (2FA) y la autenticación multifactor (MFA) se utilizan comúnmente para confirmar la identidad del usuario.
  • Cifrado de datos y transmisión segura: El cifrado de datos mediante SSL y TLS es fundamental para proteger las conexiones a Internet y los datos en tránsito.
  • Monitorización y detección de anomalías: La prevención del fraude requiere una detección de aprendizaje automático en el borde que identifique y se adapte a las amenazas cambiantes y sea monitoreada constantemente por expertos humanos.
  • Detección y prevención del fraude: En el momento del pago, los servicios de verificación de direcciones (AVS) se pueden utilizar para verificar las direcciones de facturación, pero no detendrán un pago fraudulento si el estafador conoce la dirección correcta.

Comprender estos riesgos de seguridad de API no es sólo una buena idea: es un imperativo empresarial. Una sola violación de API puede resultar en daño reputacional, pérdidas financieras, consecuencias legales y cosas peores. Debido a que las empresas a menudo descuidan la seguridad de las API en favor de la seguridad de las aplicaciones web o móviles, los piratas informáticos apuntan cada vez más a las API para extraer datos, alterar la lógica empresarial o desactivar una aplicación. Lo que está en juego nunca ha sido tan grande.

Sobre la autora

Benjamín Fabre

Benjamin Fabre es el director ejecutivo de DataDome, una empresa que cofundó en 2015. Benjamin, un visionario de la ciberseguridad, previó el aumento del fraude impulsado por bots. Comprendió desde el principio que la carrera para bloquear las amenazas automatizadas en línea requeriría una respuesta instantánea en el borde; Las reglas estáticas, sin importar cuán rápidamente se actualicen, siempre estarían un paso por detrás. Aprovechando su profunda experiencia como tecnólogo, Benjamin se propuso crear una solución antibot transparente y fácil de implementar que fuera un verdadero multiplicador de fuerzas para los equipos de seguridad de TI. Ingrese a DataDome.

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.