La interfaz de programación de aplicaciones (API) es un héroe olvidado de la revolución digital. Es el pegamento que une diversos componentes de software para crear nuevas experiencias de usuario. Pero al proporcionar una vía directa a las bases de datos back-end, las APIs también son un objetivo atractivo para los ciberdelincuentes. No ayuda el hecho de que su número se haya disparado en los últimos años, lo que ha provocado que muchos despliegues no estén documentados ni protegidos.
“Según un estudio reciente, el 94% de las organizaciones mundiales han experimentado problemas de seguridad de las APIs en producción durante el último año, y casi una quinta parte (17%) ha sufrido una brecha relacionada con alguna API”, comenta Josep Albors, Director de Investigación y Concienciación de ESET España.
¿Cuál es la gravedad de las amenazas contra las APIs?
Las APIs son la clave de la empresa modular, un concepto de Gartner en el que se anima a las organizaciones a descomponer sus aplicaciones en capacidades empresariales empaquetadas (PBC). La idea es que ensamblar estos componentes más pequeños de diversas maneras permite a las empresas moverse con mayor agilidad y velocidad, creando nuevas funcionalidades y experiencias en respuesta a las necesidades empresariales en rápida evolución. Las APIs son un componente fundamental de las PBC, cuyo uso se ha disparado últimamente con la creciente adopción de arquitecturas de microservicios.
Por tanto, casi todos (97%) los líderes mundiales de TI coinciden ahora en que ejecutar con éxito una estrategia de APIs es vital para los ingresos y el crecimiento futuros. Pero cada vez es más preocupante el enorme volumen de APIs y su distribución entre múltiples arquitecturas y equipos, según ESET. “En una gran empresa puede haber decenas o incluso cientos de miles de APIs orientadas a clientes y socios. Incluso las empresas medianas pueden llegar a tener miles”, refuerza Albors.
¿Cuál es el impacto en las empresas?
Las amenazas a las APIs no sólo ponen en peligro la reputación de la empresa y su cuenta de resultados, también pueden retrasar importantes proyectos empresariales. Más de la mitad (59%) de las organizaciones afirman que han tenido que ralentizar el despliegue de nuevas aplicaciones por problemas de seguridad de las APIs.
Según ESET, hay docenas de formas en las que los ciberdelincuentes pueden explotar una API, pero OWASP es el recurso de referencia para aquellos que quieren entender las mayores amenazas para su organización. Su lista OWASP API Security Top 10 2023 detalla los tres principales riesgos de seguridad:
Broken Object Level Authorization (BOLA): La API no verifica si un solicitante debe tener acceso a un objeto. Esto puede dar lugar al robo, modificación o borrado de datos. Los ciberdelincuentes sólo tienen que ser conscientes de que el problema existe ya que no es necesario hackear el código ni robar contraseñas para explotar BOLA.
Broken Authentication: Protecciones de autenticación ausentes y/o mal implementadas. La autenticación de las API puede ser “compleja y confusa” para muchos desarrolladores, que pueden tener ideas equivocadas sobre cómo implementarla, advierte OWASP. El propio mecanismo de autenticación también está expuesto a cualquiera, lo que lo convierte en un objetivo atractivo. Los endpoints de las API responsables de la autenticación deben ser tratados de forma diferente a los demás, con una protección reforzada. Además, cualquier mecanismo de autenticación utilizado debe ser apropiado para el vector de ataque pertinente.
Broken Object Property Level Authorization (BOPLA): Los atacantes son capaces de leer o cambiar los valores de las propiedades de los objetos a los que se supone que no pueden acceder. Los endpoints de la APIs son vulnerables si exponen las propiedades de un objeto que se consideran sensibles (“exposición excesiva de datos”) o si permiten que un usuario cambie, añada o elimine el valor de la propiedad de un objeto sensible (“asignación masiva”). El acceso no autorizado podría dar lugar a la divulgación de datos a partes no autorizadas, a la pérdida de datos o a su manipulación.
