La interfaz de programación de aplicaciones (API) es un héroe anónimo de la revolución digital. Proporciona el pegamento que une diversos componentes de software para crear nuevas experiencias de usuario. Pero al proporcionar una ruta directa a las bases de datos de back-end, las API también son una objetivo atractivo para los actores de amenazas. No ayuda que se hayan disparado en número en los últimos años, lo que ha provocado que muchas implementaciones queden sin documentación y sin protección.

Según la Un estudio reciente, el 94 % de las organizaciones globales han experimentado problemas de seguridad de API en producción durante el último año y casi una quinta parte (17 %) sufrió una infracción relacionada con API. Es hora de obtener visibilidad y control de estos componentes básicos digitales.

¿Qué tan malas son las amenazas API?

Las API son clave para el empresa componible: un concepto de Gartner en el que se alienta a las organizaciones a dividir sus aplicaciones en capacidades comerciales empaquetadas (PBC). La idea es que ensamblar estos componentes más pequeños de varias maneras permita a las empresas moverse con mayor agilidad a mayor velocidad, creando nuevas funcionalidades y experiencias en respuesta a las necesidades comerciales en rápida evolución. Las API son un componente crítico de los PBC cuyo uso ha aumentado últimamente con la mayor adopción de arquitecturas de microservicios.

Casi todos los líderes mundiales de TI (97 %) por lo tanto ahora de acuerdo que ejecutar con éxito una estrategia de API es vital para los ingresos y el crecimiento futuros. Pero cada vez más, el gran volumen de API y su distribución en múltiples arquitecturas y equipos es una fuente de preocupación. Puede haber decenas o incluso cientos de miles de API orientadas a clientes y socios en una gran empresa. Incluso las organizaciones medianas pueden tener miles.

¿Cuál es el impacto en las empresas?

Las amenazas también están lejos de ser teóricas. Solo este año hemos visto:

• T-Mobile EE. UU. admite que un actor malintencionado accedió a la información personal y de la cuenta de 37 millones de clientes a través de una API
• Autorización abierta mal configurada (OAuth) implementaciones en Booking.com, lo que podría haber permitido ataques graves de apropiación de cuentas de usuarios en el sitio

No es solo la reputación corporativa y el resultado final lo que está en riesgo por las amenazas de API. También pueden retrasar importantes proyectos comerciales. Más de la mitad (59%) de las organizaciones afirman  que han tenido que ralentizar el lanzamiento de nuevas aplicaciones debido a problemas de seguridad de la API. Esa es parte de la razón por la que ahora es un tema de discusión de nivel C para la mitad de las juntas.

Los tres principales riesgos de API

Hay docenas de formas en que los piratas informáticos pueden explotar una API, pero OWASP es el recurso de acceso para aquellos que desean comprender las mayores amenazas para su organización. Es Lista de los 10 principales de seguridad de la API de OWASP en 2023 detalla los siguientes tres principales riesgos de seguridad:

1. Autorización de nivel de objeto roto (BOLA): la API no puede verificar si un solicitante debe tener acceso a un objeto. Esto puede conducir al robo, modificación o eliminación de datos. Los atacantes solo deben ser conscientes de que el problema existe: no se necesitan hacks de código ni contraseñas robadas para explotar BOLA.
2. Autenticación rota: Protecciones de autenticación faltantes o mal implementadas. La autenticación API puede ser "compleja y confusa" para muchos desarrolladores, quienes pueden tener conceptos erróneos sobre cómo implementarla, advierte OWASP. El mecanismo de autenticación en sí también está expuesto a cualquier persona, lo que lo convierte en un objetivo atractivo. Los puntos finales de API responsables de la autenticación deben tratarse de manera diferente a los demás, con una protección mejorada. Y cualquier mecanismo de autenticación utilizado debe ser apropiado para el vector de ataque relevante.
3. Autorización de nivel de propiedad de objetos rotos (BOPLA): Los atacantes pueden leer o cambiar los valores de las propiedades de los objetos a los que se supone que no deben acceder. Los puntos finales de la API son vulnerables si exponen las propiedades de un objeto que se considera confidencial ("exposición excesiva de datos"); o si permiten a un usuario cambiar, agregar/o eliminar el valor de la propiedad de un objeto sensible (“asignación masiva”). El acceso no autorizado podría resultar en la divulgación de datos a partes no autorizadas, pérdida de datos o manipulación de datos.

También es importante recordar que estas vulnerabilidades no son mutuamente excluyentes. Algunas de las peores violaciones de datos basadas en API han sido causadas por una combinación de exploits como BOLA y exposición excesiva de datos.

Cómo mitigar las amenazas de API

Dado lo que está en juego, es vital que incorpore seguridad en cualquier estrategia de API desde el principio. Eso significa comprender dónde están todas sus API y combinar herramientas y técnicas para administrar la autenticación de punto final, asegurar la comunicación de red, mitigar errores comunes y abordar la amenaza de bots maliciosos.

Aquí hay algunos lugares para comenzar:

• Mejore la gobernanza de las API siguiendo un modelo de desarrollo de aplicaciones centrado en API que le permite ganar visibilidad y control. Al hacerlo, cambiará la seguridad a la izquierda para aplicar controles al principio del ciclo de vida del desarrollo de software y automatizarlos en la canalización de CI/CD.
• Usar herramientas de descubrimiento de API para eliminar la cantidad de API ocultas que ya están en la organización y comprender dónde están las API y si contienen vulnerabilidades
• Implementar una puerta de enlace API que acepta las solicitudes de los clientes y las enruta a los servicios de back-end correctos. Esta herramienta de administración lo ayudará a autenticar, controlar, monitorear y asegurar el tráfico de API
• Agregue un firewall de aplicaciones web (WAF) para mejorar la seguridad de su puerta de enlace, bloqueando el tráfico malicioso, incluidos DDoS e intentos de explotación
• Cifrar todos los datos (es decir, a través de TLS) viajar a través de API, por lo que no puede ser interceptado en ataques de intermediarios
• Utilice OAuth para controlar el acceso a la API a recursos como sitios web sin exponer las credenciales del usuario
• Aplique la limitación de velocidad para restringir la frecuencia con la que se puede llamar a su API. Esto mitigará la amenaza de los ataques DDoS y otros picos no deseados.
• Usa una herramienta de monitoreo para registrar todos los eventos de seguridad y marcar actividades sospechosas
• Considere un enfoque de confianza cero que postula que no se puede confiar en ningún usuario, activo o recurso dentro del perímetro. En su lugar, deberá exigir una prueba de autenticación y autorización para cada operación.

La transformación digital es el combustible que impulsa el crecimiento sostenible de la empresa moderna. Eso pone a las API al frente y al centro de cualquier nuevo proyecto de desarrollo. Deben estar rigurosamente documentados, desarrollados con principios de diseño seguro y protegidos en producción con un enfoque de múltiples capas.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
• Fuente: https://www.welivesecurity.com/2023/06/01/top-3-api-security-risks-mitigate/