Las API, abreviatura de "interfaz de programación de aplicaciones", son los componentes básicos de muchas aplicaciones web modernas. Para ser más exactos, conectan servidores, puntos finales y software de forma que es posible ejecutar cualquier número de funciones en cuestión de milisegundos, desde sincronizar datos móviles con la nube hasta permitir el desarrollo de aplicaciones sin código.
Como ocurre con cualquier recurso conectado a Internet, cuanto más se extiende el uso de las API, más interesantes se vuelven para los atacantes. Además, parece que los ataques a las API han alcanzado niveles sin precedentes. Una encuesta reciente señalaba que el 53 % de los encuestados había sido víctima de una fuga de datos debido a tokens de API en riesgo.
Esta proliferación pone de manifiesto la existencia de lagunas críticas en las prácticas y soluciones de seguridad tradicionales. Conforme las organizaciones apuestan por implementaciones de seguridad más modernas, deben abordar tres retos clave a la hora de proteger sus API:
Los servicios API son difíciles de proteger en numerosos entornos en la nube.
El desarrollo y la seguridad de las API no van de la mano.
Los servicios de seguridad heredados no se diseñaron teniendo en cuenta la protección de las API.
Para resolver estas deficiencias, las soluciones modernas de seguridad de las API deben proporcionar una protección escalable y automatizada contra las amenazas a las API que permita a los departamentos de seguridad e ingeniería anticipar las vulnerabilidades de día cero y los ataques a medida. Ahí es donde entra en juego la protección de aplicaciones web y API (WAAP), una plataforma dedicada de servicios de seguridad diseñada específicamente para gestionar y proteger las API de una serie de amenazas complejas y emergentes.
Al igual que las propias API, los ataques a las API están aumentando rápidamente en tamaño y sofisticación, y el coste para solucionarlos es cada vez mayor.
En un informe de la Comisión del Mercado de Valores de Estados Unidos, T-Mobile reveló una importante fuga de datos causada por una API en riesgo. Durante dos meses, el atacante accedió a los datos personales de 37 millones de cuentas de clientes, incluidos datos de facturación, direcciones de correo electrónico y números de teléfono.
A una escala aún mayor, Twitter se convirtió en objetivo debido a la vulnerabilidad de una API sin parchear que permitía a los usuarios acceder a direcciones de correo electrónico y números de teléfono asociados. El error no se detectó hasta pasados siete meses. Para entonces, los atacantes ya habían hecho pública la información de las cuentas de 235 millones de usuarios.
Incluso para las organizaciones que dan servicio a una base de usuarios menor que la de estas grandes empresas, las vulnerabilidades de las API pueden abrir la puerta a ataques devastadores. La exfiltración de datos confidenciales de los usuarios puede dañar irrevocablemente la reputación de la marca y la confianza de los clientes, permitir movimientos laterales en el interior, o provocar fuertes pérdidas económicas e implicaciones legales a largo plazo.
¿Cuál es el coste exacto para las organizaciones? Una estimación cifra el coste de la falta de seguridad de las API (fugas debidas a errores o vulnerabilidades de las API) en 41 000-75 000 millones de USD en pérdidas anuales.
En la carrera por proteger las API antes de que se produzcan estos ataques, las organizaciones se enfrentan a tres desafíos principales:
La protección de servicios API es difícil en entornos híbridos y multinube. Una organización importante tiene de media cientos de API conocidas, a menudo en varios entornos de nube o híbridos. Este tipo de implementación fragmentaria complica el proceso de proteger y supervisar las API exponencialmente, al tiempo que consume recursos internos útiles necesarios para escalar. Un informe reveló que el 78 % de los encuestados afirmaron que gestionan más de 250 tokens, claves y certificados de API diferentes en sus redes, y a medida que crece el uso de sus API, la carga de trabajo de mantener procesos de seguridad manuales en varios entornos puede provocar errores involuntarios.
El desarrollo y la seguridad de las API no van de la mano. Los ingenieros y desarrolladores están continuamente creando y publicando API, pero a menudo no informan al departamento de seguridad para que se encarguen de su protección. Con el rápido aumento del desarrollo de API, resulta casi imposible detectar y parchear todas las vulnerabilidades antes de publicarlas, lo que obliga al departamento de seguridad a estar al corriente.
Los servicios de seguridad tradicionales no se crearon pensando en la protección de las API. Los ataques a las API, desde la exfiltración de datos a las vulnerabilidades de autorización y autenticación, dependen a menudo de un conocimiento minucioso y contextual de las funciones y posibles vulnerabilidades de una API concreta. Aunque los conjuntos de herramientas existentes (incluidos los firewalls de aplicaciones web, la gestión de bots, la mitigación de DDoS, etc.) han seguido ampliando sus funciones para proteger las API de los ataques comunes, no se diseñaron para la naturaleza especializada de las amenazas a las API, ni ofrecen el tipo de controles granulares necesarios para documentar, analizar y defender las API a escala.
La adaptación de las tácticas de los atacantes a vulnerabilidades específicas de las API exige que las organizaciones personalicen la protección frente a las amenazas, lo que incluye un conocimiento minucioso de los comportamientos y los riesgos de las API, al tiempo que permite a los departamentos de ingeniería y seguridad agilizar las operaciones.
Cada vez más, las soluciones modernas de seguridad de las API pertenecen a una pila de seguridad basada en la nube que Gartner denomina "Protección de aplicaciones web y API (WAAP)". Las soluciones WAAP más comunes incluyen las siguientes funciones básicas:
Un firewall de aplicaciones web de nueva generación (NGFW) para filtrar el tráfico no deseado, evitar las vulnerabilidades de día cero y aplicar las políticas de seguridad de la red.
Protección contra la denegación de servicio distribuido (DDoS) para mitigar los ataques volumétricos y de larga duración.
Gestión de bots para bloquear el comportamiento de bots maliciosos mediante una combinación de huellas digitales, heurística y aprendizaje automático.
Protección de las API para analizar, categorizar y personalizar los controles sobre el tráfico de las API, proporcionando al mismo tiempo una sólida protección del lado cliente frente a las vulnerabilidades de JavaScript.
Una de las principales ventajas de una solución WAAP es que ofrece a las organizaciones una mayor visibilidad y control sobre sus API. Las funciones de identificación de las API permiten al departamento de seguridad identificar, catalogar y supervisar los puntos finales de la API, mientras que la detección de abusos de las API utiliza la detección avanzada de anomalías para rastrear y analizar los patrones de tráfico malicioso y detener los ataques volumétricos.
Además de reforzar la protección de las API contra ataques complejos y persistentes, las soluciones WAAP también ayudan a proteger las API en varios entornos de nube. Un catálogo central de las API ayuda a establecer una línea de referencia de las API de la organización, a partir de la cual el departamento de seguridad puede aplicar una política uniforme sin perder visibilidad.
Durante la reciente evaluación de proveedores de soluciones WAAP realizada por Gartner, Cloudflare fue reconocida como empresa "líder" en soluciones de seguridad de aplicaciones web y API.
Con una red global que abarca más de 330 ubicaciones, y procesa más de 45 millones de solicitudes HTTP por segundo de media, Cloudflare tiene una visión única de los patrones de red, los vectores de ataque y el tráfico de API. Esa visibilidad ayuda a ampliar y reforzar un conjunto de servicios de seguridad integrados, que incluyen funciones de detección de API, gestión y análisis de API y protección de API por capas que supervisan el tráfico en busca de comportamientos anómalos y mitigan los ataques DDoS volumétricos, la actividad de bots maliciosos y mucho más.
La cartera de soluciones WAAP de Cloudflare reduce la carga de trabajo de la configuración manual y el mantenimiento de la seguridad. El Centro de seguridad de Cloudflare permite a las organizaciones rastrear, investigar y mitigar las amenazas en todo su entorno de API, sin implementaciones adicionales ni problemas de escalabilidad, todo desde un solo lugar.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Consigue el informe Gartner® Magic Quadrant™ for Web Application and API Protection (WAAP) para saber por qué Cloudflare ha sido reconocida como empresa "líder".
Después de leer este artículo podrás entender:
Por qué las API siguen siendo uno de los principales objetivos de los atacantes
Cómo el 53 % de las organizaciones sufrieron una fuga de datos debido a tokens de API en riesgo
Los 3 desafíos de la seguridad de las API
Cómo las soluciones WAAP abordan los problemas de las API