Soluciones de seguridad de las API

Las API son únicas por muchas características. Por ejemplo, las API intercambian datos entre sistemas, mientras que las aplicaciones web ofrecen acceso a usuarios finales a través de un navegador web. Asimismo, las API utilizan un formato distinto para transportar los datos y acceden de forma directa a los sistemas backend, a menudo como intermediarias entre las aplicaciones web modernas y sus bases de datos y servidores backend. Debido a estas y otras diferencias, no se aplica la misma metodología de detección en la seguridad de las API que en la de las aplicaciones web, incluso si nos referimos a categorías de vulnerabilidad que se solapan, como ataques de inyección y riesgos de acceso.

Hay varios métodos que permiten a las empresas gestionar el crecimiento de sus API: el control del ciclo de vida, la observabilidad y, de forma más global, la protección de API y aplicaciones web (WAAP). Las herramientas de observabilidad brindan observaciones e información (más que seguridad) sobre el rendimiento de las API. El control del ciclo de vida completo suele estar centrado en la gestión de las API, pero no ofrece una seguridad sofisticada. La WAAP (protección de API y aplicaciones web), según la definición de Gartner, es una categoría de soluciones de seguridad diseñadas para proteger las aplicaciones web, independientemente de la ubicación donde se alojen. La WAAP es el método más adecuado para las API, independientemente de si se trata de producción, supervisión en tiempo real o protección contra abusos (amenazas zero-day y atacantes).

Las API de REST permiten a los clientes solicitar recursos a un servidor, que les devuelve información actualizada. Las API de REST pueden ser objetivo de atacantes en cualquier momento durante el proceso de "llamada y respuesta". Por lo tanto, para evitar el abuso de las API de REST, es necesario autorizar solo el tráfico autenticado como "bueno" y no permitir solicitudes de clientes ilegítimos. Los métodos de autenticación y autorización de las API incluyen certificados mTLS, tokens web JSON, claves API válidas y tokens OAuth 2.0, entre otros.

Las claves de acceso API, que desvinculan la autenticación de las credenciales de usuario y, en su lugar, envían cadenas de texto secretas junto con las llamadas API, garantizan un acceso más seguro. Sin embargo, estas claves afrontan los riesgos que suponen los posibles ataques de intermediarios, el uso inadecuado por parte de los desarrolladores y el almacenamiento problemático de secretos en el código fuente. Los tokens web JSON (JWT) ofrecen una alternativa más segura y flexible a las claves API estáticas, siempre y cuando los JWT se firmen con algoritmos criptográficos, no incluyan datos confidenciales en la carga y respeten la caducidad de los tokens.

Varias métricas pueden ayudar a las partes interesadas de TI, seguridad y desarrollo de aplicaciones a evaluar el nivel de seguridad de sus API. Por ejemplo, una empresa con un sólido modelo de seguridad debe tener un inventario actualizado de sus API que muestre que todas cumplen las normativas de datos y funcionan con métodos de autenticación o autorización eficientes. Además, deberías realizar auditorías para identificar posibles credenciales expuestas o filtradas en llamadas API y revisar si hay información de identificación personal, datos de tarjetas de crédito o información sanitaria personal en las llamadas/respuestas. La capacidad de establecer límites de velocidad adaptables e inteligentes en las API, según lo determinen los patrones de tráfico observables para cada punto final, también es una medida de seguridad avanzada para las API.

Cuando hablamos de abuso nos referimos a la explotación maliciosa: cuando alguien se aprovecha de los fallos de la lógica comercial y las vulnerabilidades de las aplicaciones, y obstaculiza o perjudica la experiencia de los verdaderos usuarios. La falta de controles de autenticación y autorización muchas veces facilita que se expongan datos, se realicen acciones no autorizadas, se omitan controles de seguridad, se interrumpan servicios y se adquieran privilegios, lo que se conoce como autorización de nivel de objeto vulnerable (BOLA) y autorización de nivel de función vulnerable (BFLA).