18. septiembre 2024 | Imprimir artículo |

API-Security: La superficie de ataque infravalorada de las empresas modernas

Las API son la columna vertebral de las arquitecturas de software modernas – y al mismo tiempo el vector de ataque que más rápido crece. En 2024, ya el 40 % de todos los ataques web se producen a través de API. La mayoría de las empresas no protegen sus API ni de lejos con el rigor con el que protegen sus aplicaciones web.

En resumen

  • Superficie de ataque: Las API representan el 83 % de todo el tráfico web y son atacadas 3 veces más a menudo que las aplicaciones web tradicionales.
  • Riesgo principal: La autorización rota a nivel de objeto (BOLA) es la vulnerabilidad más común en las API y permite el acceso a conjuntos de datos ajenos.
  • Cifra negra: La empresa media tiene un 30 % más de API expuestas de las que tiene documentadas – las API ocultas (Shadow APIs) suponen un riesgo de seguridad masivo.
  • Protección: Puerta de enlace de API + protección en tiempo de ejecución + pruebas Shift-Left conforman las tres líneas de defensa.
  • Estándar: La OWASP API Security Top 10 (2023) es el marco de referencia obligatorio para la protección de API.

Por qué las API son la nueva puerta de entrada

Toda aplicación moderna se comunica mediante API – con otras aplicaciones, con servicios en la nube, con socios y con aplicaciones móviles. Akamai informa de que las API representan el 83 % de todo el tráfico web. Al mismo tiempo, las API suelen estar menos protegidas que las aplicaciones a las que sirven.

La razón: durante los últimos 20 años, las aplicaciones web han estado protegidas mediante WAF, políticas de seguridad de contenido y funciones de seguridad del navegador. Las API a menudo carecen de una protección comparable. Son interfaces directas a la lógica de negocio y a las bases de datos – y por tanto el objetivo más atractivo para los atacantes.

Varios incidentes destacados demuestran este riesgo: Optus (el segundo operador de telecomunicaciones más grande de Australia) perdió en 2022 los datos de 10 millones de clientes a través de una API sin protección. T-Mobile US fue comprometida en 2023 mediante una vulnerabilidad en una API – afectando a 37 millones de datos de clientes.

OWASP API Security Top 10

La OWASP API Security Top 10 (actualizada en 2023) define los riesgos más críticos:

1. Autorización rota a nivel de objeto (BOLA): La API no verifica si el usuario que realiza la llamada tiene permiso para acceder al objeto solicitado. Un atacante modifica el ID en la solicitud y obtiene acceso a datos ajenos. Es la vulnerabilidad más común y trivial de explotar.

2. Autenticación rota: Mecanismos de autenticación débiles o ausentes. Claves API sin rotación, límites de tasa (rate limits) inexistentes, validación de tokens no implementada.

3. Autorización rota a nivel de propiedad del objeto: La API devuelve más campos de datos de los que el usuario debería poder ver. Asignación masiva (Mass Assignment): el usuario puede modificar campos que no están destinados a él.

4. Consumo ilimitado de recursos: Ausencia de límites en las llamadas a la API, cantidades de datos o recursos de cómputo. Permite ataques DoS y genera facturas de nube muy costosas.

Tres líneas de defensa

Línea 1: Puerta de enlace de API. Punto de entrada central para todas las llamadas a la API. Autenticación, limitación de tasa, validación de solicitudes y terminación TLS. Herramientas: Kong, Apigee, AWS API Gateway, Azure API Management.

Línea 2: Protección en tiempo de ejecución. Supervisión en tiempo real del tráfico de API para detectar anomalías, intentos de BOLA y patrones de acceso a datos inusuales. Herramientas especializadas como Salt Security, Noname Security o 42Crunch analizan el comportamiento de la API y detectan ataques que los sistemas basados en reglas pasan por alto.

Línea 3: Pruebas Shift-Left. Integración de pruebas de seguridad de API en la canalización de desarrollo. Validación de especificaciones OpenAPI, SAST para código de API, escaneos DAST automatizados contra entornos de preproducción. Cuanto antes se detecten las vulnerabilidades, más económico será corregirlas.

API ocultas (Shadow APIs): El riesgo invisible

Salt Security informa de que la empresa media expone un 30 % más de API de las que tiene documentadas. Estas API ocultas surgen de entornos de prueba olvidados, puntos finales obsoletos que nunca se han desactivado y API internas que por error son accesibles públicamente.

Las API ocultas son especialmente peligrosas porque no están sujetas a ninguna gobernanza: sin autenticación, sin supervisión, sin parches. Por eso, el primer paso de cualquier iniciativa de seguridad de API es un inventario completo de API – automatizado mediante análisis de tráfico, no manual mediante encuestas a desarrolladores.

Key Facts auf einen Blick

Porcentaje de ataques a API: 40 % de todos los ataques web (Akamai, 2024)

Porcentaje de tráfico API: 83 % de todo el tráfico web (Akamai)

Vulnerabilidad más común: BOLA – detectada en el 68 % de todas las pruebas de penetración de API (Salt Security)

API ocultas: 30 % más de API expuestas que las documentadas (promedio)

Fuente: OWASP, Akamai, Salt Security, Gartner, 2023/24

Preguntas frecuentes

¿Cuál es la diferencia entre seguridad de API y seguridad web?

La seguridad web protege la interfaz de usuario, mientras que la seguridad de API protege las interfaces de programación detrás de ella. Las API exponen la lógica de negocio y los datos de forma más directa que las aplicaciones web y requieren medidas de protección específicas, como la detección de BOLA y la validación de esquemas.

¿Es suficiente una puerta de enlace de API para la seguridad de API?

No. Una puerta de enlace de API ofrece protección básica mediante autenticación y limitación de tasa. Para ataques a nivel de lógica de negocio (BOLA, Mass Assignment) se necesita una protección especializada en tiempo de ejecución.

¿Cómo puedo encontrar API ocultas?

Mediante análisis de tráfico en el perímetro de red. Herramientas como Salt Security o Noname Security identifican automáticamente las API mediante el análisis del tráfico HTTP. Complementariamente: análisis de registros en la nube y escaneos externos periódicos.

¿Cuánto cuesta la seguridad de API?

Puerta de enlace de API: a partir de 500 euros mensuales. Protección en tiempo de ejecución: entre 2.000 y 10.000 euros mensuales, según el volumen de API. Herramientas Shift-Left: a menudo de código abierto o a partir de 200 euros mensuales. El retorno de la inversión se hace evidente con la primera filtración de datos evitada.

¿Son las API GraphQL más seguras que las REST?

No necesariamente. GraphQL tiene sus propios riesgos: fugas por introspección, ataques por profundidad de consulta y abuso de agrupación (batching). Los principios de seguridad son los mismos, pero la implementación difiere.

Lecturas recomendadas en la red

Seguridad de API y vectores de ataque: www.securitytoday.de

Protección de arquitecturas cloud-native: www.cloudmagazin.com

Arquitectura IT para directivos: www.digital-chiefs.de

Fuente de imagen: Pexels / Markus Spiske

Imprimir artículo
Tobias Massow

Sobre el autor: Tobias Massow

Más artículos de

Una revista de Evernine Media GmbH