Las APIs (Application Programming Interfaces o Interfaz de Programación de Aplicaciones) son cada vez más imprescindibles en el mundo del desarrollo. A medida que aumenta su uso por su utilidad a la hora de conectar una o varias aplicaciones, también lo hace la necesidad de protegerlas. La seguridad en las APIs es fundamental para proteger la información confidencial de los usuarios, además de para garantizar su confianza en la compañía. En este artículo, te mostraremos a qué amenazas se pueden enfrentar las APIs y qué consejos podemos seguir para mejorar su protección.
¿Por qué es importante la seguridad en las APIs?
Gracias a su función de unir varias aplicaciones entre sí, las APIs se han convertido en una pieza fundamental del software moderno. Hoy en día, pocos son los negocios y entidades que no utilicen alguna API, y aquellas que todavía no lo hacen, poco a poco van explorando esta nueva tecnología.
Su valía dentro de este proceso de conexión las hace muy vulnerables a posibles ataques de terceros, ya que pueden ser una puerta abierta a datos confidenciales de empresas y usuarios. Por ello, es vital mantenerlas bien protegidas, siguiendo unos buenos protocolos de seguridad en APIs.
Amenazas frecuentes para las APIs
Al ser cada vez más usadas, las APIs son también más vulnerables. A través de ellas, usuarios malintencionados pueden acceder a datos personales y financieros de los clientes de una empresa, y también pueden instalar un software malicioso en esas aplicaciones. Las amenazadas más comunes a las que puede enfrentarse una API están recogidas por la Open Web Application Security Project (OWASP), que enumera el top 10 de estas vulnerabilidades (actualizado por última vez en 2023):
Autorización a nivel de objeto rota
Las APIs tienden a exponer endpoints que manejan los identificadores de objeto, creando una amenaza para el control de acceso a nivel de objeto. La verificación de la autorización a nivel de objeto debe tenerse en cuenta en toda función que permita el acceso a datos a través de un ID.
Autenticación rota
Los mecanismos de autenticación a menudo se implementan erróneamente, permitiendo a los atacantes suplantar la identidad de otros usuarios de manera temporal o permanente. Si la capacidad de identificación de usuario de un sistema está comprometida, también lo estará la seguridad de la API.
Autorización a nivel de propiedad de objeto rota
Esta categoría une las amenazas de OWASP incluidas en su lista en 2019: la exposición excesiva de datos y la asignación masiva. En esta nueva amenaza se centra en la causa central del problema: la falta o indebida validación de la autorización a nivel de propiedad de objeto. Esto lleva a la exposición de datos o a la manipulación de los mismos por usuarios no autorizados.
Uso de recursos sin restricciones
Satisfacer las peticiones de las APIs requiere usar recursos como el ancho de banda, CPU, memoria o almacenamiento de datos. Las integraciones de API también hacen accesibles otros recursos, como emails, SMS o la validación biométrica.
Autorización a nivel de función rota
Políticas de acceso complejas o no dejar clara la separación de distintas funciones suelen llevar a fallos en la autorización. A través de estos fallos, los usuarios maliciosos pueden obtener acceso a los recursos y funciones administrativas de otros usuarios.
Acceso a flujos de negocio sensibles sin restricciones
Las APIs vulnerables a esta amenaza exponen flujos de negocio, como comprar una entrada o publicar un comentario, sin pensar en cómo esta funcionalidad puede afectar al negocio si se usa de manera excesiva y automatizada.
Falsificación de peticiones por el lado del servidor
Estos fallos, conocidos por sus siglas en inglés como SSRF, pueden darse cuando una API obtiene un recurso remoto sin validar el URI proporcionado por el usuario. Esto permite a un atacante coaccionar a la aplicación para que envíe una solicitud manipulada a un destino inesperado, incluso cuando está protegida por un cortafuegos o una VPN.
Configuración de seguridad incorrecta
Las APIs y los sistemas que las soportan suelen contener configuraciones complejas, pensadas para que las API sean más personalizables. Los desarrolladores de software y DevOps pueden pasar por alto estas configuraciones, o no seguir las mejores prácticas de seguridad cuando se trata de la configuración, abriendo la puerta a diferentes tipos de ataques.
Gestión de inventario inadecuada
Las APIs tienden a exponer más puntos finales que las aplicaciones web tradicionales, por lo que es muy importante disponer de documentación adecuada y actualizada. Un inventario adecuado de hosts y versiones de APIs desplegadas también es importante para mitigar problemas como versiones de APIs obsoletas y endpoints de depuración expuestos.
Uso inseguro de las APIs
Los desarrolladores tienden a confiar más en los datos recibidos de APIs de terceros que en los introducidos por el usuario, por lo que tienden a adoptar normas de seguridad más débiles. Para poner en peligro la seguridad de las APIs, los atacantes van tras los servicios integrados de terceros en lugar de intentar comprometer la API objetivo directamente.
Consejos para mejorar la seguridad en APIs
Como ves, son varias las amenazas a las que se encuentran expuestas las APIs, por lo que como desarrollador tendrás que asegurarte de que su protección está garantizada. Para ello, puedes seguir estos consejos:
- Uso de autenticación de dos factores: la autenticación de dos factores (2FA) se utiliza para proveer a los sitios web y aplicaciones de una seguridad reforzada frente a posibles ataques, como el robo de datos o formas de fraude, como el phishing. Consiste en pedir al usuario que verifique su identidad usando dos factores distintos.
- Implementación de certificados de cliente: los certificados de cliente sirven para validar la identidad de un usuario y, de esta manera, controlar su acceso a tu sitio web o aplicación.
- Uso de tokens de seguridad y firmas digitales: al igual que la identificación 2FA, los tokens de seguridad añaden una capa extra a la protección de tus APIs. En cuanto a las firmas digitales, cada vez son más comunes, y suelen ser más seguras que las firmas tradicionales ya que son más complicadas de falsificar.
- Implementación de firewalls de aplicaciones web (WAF): este tipo de firewall puede filtrar el contenido de aplicaciones web específicas, diferenciándose así de los firewalls convencionales.
Bootcamp Online de APIs de Rural Hack: ¡aprende a securizarlas!
¿Quieres convertirte en desarrollador web?
Inscríbete en nuestro bootcamp de programación
Si quieres aprender API Security, el Bootcamp Online de Programación y APIs de Rural Hack puede ser un buen comienzo. Esta formación de cuatro meses cuenta con un módulo específico para APIs, donde no solo aprenderás a cómo mejorar su seguridad, sino que también tendrás conocimientos de API Owner, API Management y API Testing.
