El uso de APIs y de herramientas para su gestión son una tendencia cada vez más demandada y extendida dentro de las organizaciones. Son muchos los beneficios que las API aportan al sector de desarrollo de software y aplicaciones que están bien documentadas, disponibles públicamente, mantienen estándar, son eficientes y fáciles de usar. Actualmente, están siendo aprovechadas por los ciberdelincuentes para realizar ataques de alto perfil contra diferentes tipos de aplicaciones.
Es un dato que podemos ver en el estudio de Akamal de 2019, del cual se desprende que el 83% de todo el tráfico web va a través de APIs. Este volumen de información hace que los ataques también aumenten. Gartner estima que en el año 2022 los abusos derivados de las APIs serán el vector de ataque más frecuente, pero actualmente ya es una preocupación.
La encrucijada de la seguridad para las APIs es que, mientras la mayoría de los profesionales recomendarían decisiones de diseño que hagan que los recursos estén más ocultos y menos disponibles, la implementación exitosa de las APIs exige la disposición a centrarse en hacer que los recursos estén abiertos y disponibles. Esto ayuda a explicar la atención sobre este aspecto de la informática moderna y por qué es tan importante para los equipos de seguridad identificar las buenas estrategias de mitigación de riesgos para el uso de las API.
La seguridad de las APIs suele quedar relegada a un segundo plano con las prisas por su comercialización, por lo que muchas organizaciones confían en soluciones de seguridad de red tradicionales que no están diseñadas para proteger la amplia superficie de ataque que pueden introducir las APIs. No siempre está claro dónde se encuentran las vulnerabilidades de las APIs. Por ejemplo, las APIs suelen ocultarse dentro de las aplicaciones móviles, lo que lleva a creer que son inmunes a la manipulación.
La Open Web Application Security Project (OWASP) Foundation fue creada para mejorar la seguridad del software a través de iniciativas de la comunidad. Su producto más famoso es el llamado “OWASP top ten risks”, que se publica para ayudar a los desarrolladores de software a evitar los riesgos más comunes en la creación y el uso de aplicaciones web.
Estos son los riesgos principales del OWASP:
1. Inyección. Los errores de inyección, como la inyección de SQL, NoSQL, el sistema operativo y LDAP, se producen cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no deseados o acceda a los datos sin la autorización adecuada.
2. Autenticación rota. Las funciones de aplicación relacionadas con la autenticación y la administración de sesiones a menudo se implementan incorrectamente, lo que permite a los atacantes comprometer las contraseñas, claves o tokens de sesión, o aprovechar otros defectos de implementación para asumir las identidades de otros usuarios de forma temporal o permanente.
3. Exposición de datos sensibles. Muchas aplicaciones web y las APIs no protegen adecuadamente los datos confidenciales, tales como los financieros, los datos de salud, entre otros. Los atacantes pueden robar o modificar los datos débilmente protegidos para llevar a cabo fraudes con tarjetas de crédito, robo de identidad u otros delitos.
4. Entidades externas XML (XXE). Muchos procesadores XML viejos o mal configurados evalúan las referencias de entidades externas en documentos XML. Las entidades externas se pueden usar para revelar archivos internos mediante el controlador de archivo URI, recursos compartidos de archivos internos, análisis de puertos internos, ejecución remota de código y ataques de denegación de servicio.
5. Control de acceso roto. Las restricciones sobre lo que los usuarios autenticados pueden hacer a menudo no se aplican correctamente. Los atacantes pueden explotar estos defectos para acceder a funciones y/ o datos no autorizados, tales como acceder a cuentas de otros usuarios, ver archivos confidenciales, modificar los datos de otros usuarios, cambiar los derechos de acceso, etc.
Commentaires