ArvalTech ¿Por qué es importante la seguridad de las API hoy en día?
Basado en OWASP API Security Project “las API son una parte fundamental de las aplicaciones móviles, SaaS y web modernas, y se pueden encontrar en aplicaciones internas, de cara al cliente y en la cadena integradas de socios de valor.
Por su naturaleza, las API exponen la lógica de la aplicación y los datos confidenciales, como la información de identificación personal (PII – Personally Identifiable Information), y debido a esto se han convertido cada vez más en un objetivo para los atacantes. Sin API seguras, la innovación acelerada sería imposible.
La seguridad de la interfaz de programación de aplicaciones (API – Application programming interface) es la práctica de proteger el marco de back-end de las aplicaciones web y móviles, que se conoce como la interfaz de programación de aplicaciones. La seguridad API se refiere a las prácticas y herramientas utilizadas para proteger estos datos.
¿Por qué la seguridad de las API es importante para las empresas?
Hoy, las empresas están conectadas en la cadena de valor digital. Las empresas utilizan API para conectar diferentes servicios e intercambiar datos.
Las organizaciones están mejorando su modelo de negocio, transformando su arquitectura basada en aplicaciones web monolíticas a arquitectura API/microservicio. Todos los servicios ahora se reducen a unos pocos microservicios, que se utilizan muchas veces.
Una API pirateada puede provocar una violación de la seguridad y privacidad de sus datos.
Una API insegura es un punto fácil de ser atacado por hackers para obtener acceso a activos digitales del negocio. Los atacantes podrían realizar cualquier tipo de amenaza, como DDoS, cualquier tipo de inyección, vulnerar el control de acceso, etc.
¿Qué es OWASP API Security Top 10?
API Security se centra en estrategias y soluciones para comprender y mitigar las vulnerabilidades y los riesgos de seguridad de las interfaces de programación de aplicaciones (API).
El primer paso es comprender el riesgo de seguridad en el sistema. Para identificar los puntos de vulnerabilidad, OWASP desarrolló el TOP 10, que se muestra a continuación:
API1:2019 Autorización de nivel de objeto vulnerable
Las API tienden a exponer puntos finales (end-points) que manejan identificadores de objetos, creando un problema de control de acceso de nivel de superficie amplio de ataque. Las verificaciones de autorización a nivel de objeto deben considerarse en cada función que accede a una fuente de datos utilizando una entrada del usuario >>> Leer más
API2:2019 Autenticación de usuario vulnerable
Los mecanismos de autenticación a menudo se implementan incorrectamente, lo que permite a los atacantes comprometer los tokens de autenticación o explotar fallas de implementación para asumir las identidades de otros usuarios de forma temporal o permanente. Comprometer la capacidad de un sistema para identificar al cliente/usuario compromete la seguridad de la API en general >>> Leer más
API3:2019 Excessive Data Exposure
Mirando hacia implementaciones genéricas, los desarrolladores tienden a exponer todas las propiedades de los objetos sin considerar su sensibilidad individual, confiando en que los clientes realicen el filtrado de datos antes de mostrárselos al usuario. >>> Leer más
API4:2019 Fallas en la restricción y limitación de recursos
Muy a menudo, las API no imponen ninguna restricción sobre el tamaño o la cantidad de recursos que el cliente/usuario puede solicitar. Esto no solo puede afectar el rendimiento del servidor API, lo que lleva a la denegación de servicio (DoS), sino que también deja la puerta abierta a fallas de autenticación como la fuerza bruta >>> Leer más
API5:2019 Autorización vulnerable a nivel de función
Las políticas de control de acceso complejas con diferentes jerarquías, grupos y roles, y una separación poco clara entre funciones administrativas y regulares, tienden a generar fallas de autorización. Al explotar estos problemas, los atacantes obtienen acceso a los recursos y/o funciones administrativas de otros usuarios >>> Leer más
API6:2019 Asignación masiva
La vinculación de los datos proporcionados por el cliente (por ejemplo, JSON) a los modelos de datos, sin el filtrado de propiedades adecuado basado en una lista de permitidos, generalmente conduce a una asignación masiva. Ya sea adivinando las propiedades de los objetos, explorando otros puntos finales de la API, leyendo la documentación o proporcionando propiedades de objetos adicionales en las cargas útiles de las solicitudes, permite a los atacantes modificar las propiedades de los objetos que se supone que no deben modificar >>> Leer más
API7:2019 Configuración incorrecta de seguridad
La configuración incorrecta de la seguridad suele ser el resultado de configuraciones predeterminadas no seguras, configuraciones incompletas o ad-hoc, almacenamiento abierto en la nube, encabezados HTTP mal configurados, métodos HTTP innecesarios, uso compartido de recursos de origen cruzado (CORS) permisivo y mensajes de error detallados que contienen información confidencial >>> Leer más
API8:2019 Inyección
Las fallas de inyección, como SQL, NoSQL, comandos de injección, etc., ocurren cuando se envían datos no confiables a un intérprete como parte de un comando o consulta. Los datos maliciosos del atacante pueden engañar al intérprete para que ejecute comandos no deseados o acceda a datos sin la autorización adecuada >>> Leer más
API9:2019 Gestión de activos inapropiada
Las API tienden a exponer más puntos finales que las aplicaciones web tradicionales, lo que hace que la documentación adecuada y actualizada sea muy importante. Los hosts adecuados y el inventario de versiones de API implementadas también juegan un papel importante para mitigar problemas como versiones de API en desuso y puntos finales de depuración expuestos >>> Leer más
API10:2019 Registro y monitoreo insuficiente
El registro y la supervisión insuficientes, junto con la integración faltante o ineficaz con la respuesta a incidentes, facilita a los atacantes atacar aún más los sistemas, mantener la persistencia, controlar y manipular más sistemas, para extraer o destruir datos. La mayoría de los estudios de incumplimiento demuestran que el tiempo para detectar una brecha es de más de 200 días, generalmente detectado por partes externas en lugar de procesos internos o basados en monitoreo >>> Leer más
Arval Tech en Linkedin https://www.linkedin.com/company/arval-tech/
Referencias
- OWASP API Security (2019): https://owasp.org/www-project-api-security/
- OWASP API Security Top 10 (2019): https://github.com/OWASP/API-Security/raw/master/2019/en/dist/owasp-api-security-top-10.pdf
- ARVAL Tech (2022): https://arval.tech/
#ArvalTech #cybersecurity #infosec #technology
Te recomendamos también los siguientes artículos
- Para el éxito de la seguridad API, las empresas necesitan herramientas especiales.
- Para el éxito de la seguridad API, las empresas necesitan herramientas especiales.
- Arval Technology: Seguridad API simple y completa.
- APIs: la nueva forma de generar dinero 💵 para las PYMEs.
- Aplicaciones financieras amenazadas por vulnerabilidades de API.
- ¿Por qué es importante la seguridad de las API hoy en día?
- Ejemplo y conceptos básicos de la API web.
No hay comentarios.