Ciberataques a APIs pondrán en peligro a empresas en 2024
Los ciberataques dirigidos contra las interfaces de programación de aplicaciones aumentaron en 2023, lo que muestra que los ciberdelicuentes están buscando usar su enorme popularidad como vía de entrada a las aplicaciones y sistemas.
La adopción de interfaces de programación de aplicaciones, más conocidas como API, ha aumentado drásticamente en los últimos años. En muchos sentidos, las API son ahora la columna vertebral de internet. ¿Por qué? Las API son un componente esencial de la transformación digital, ya que permiten a las aplicaciones, contenedores y microservicios intercambiar datos e información rápidamente para que los consumidores experimenten una mayor comodidad en sus dispositivos digitales.
Sin embargo, el creciente volumen de API creará más oportunidades para los hackers. El nuevo reporte de Imperva sobre el “Estado de la Seguridad de las APIs en 2024” destaca cómo las API y su creciente uso están cambiando significativamente el panorama de las amenazas. En 2023, el número de ataques dirigidos a las API aumentó significativamente.
Las API desempeñan un papel tan fundamental en la modernización de las aplicaciones que el tráfico relacionado con ellas está superando al tráfico web normal. Según el informe, el tráfico de API constituyó más del 71 % del tráfico web el año pasado. Las API ofrecen muchas ventajas –facilitan la conectividad sin fisuras, mejoran las experiencias en línea e impulsan la innovación–, pero su adopción generalizada está planteando a las organizaciones toda una nueva gama de retos de seguridad que no siempre están preparadas para afrontar.
Llamadas a API y automatización: una receta para el abuso
El reporte revela que el número promedio de llamadas API a sitios empresariales es de 1,5 billones a nivel global. Los elevados volúmenes de tráfico automatizado no humano están innegablemente relacionados con un aumento de los ataques automatizados a las API, y exigen medidas de seguridad sólidas para defenderse de los ataques de bots maliciosos y otros ataques automatizados, como los ataques de denegación de servicios distribuidos (DDoS) y la toma de control de cuentas (ATO). El 46% de todos los ataques de apropiación de cuentas se dirigieron a terminales de API. Los atacantes también son cada vez más astutos en sus estrategias, y el 28 % de todos los ataques DDoS a API se dirigen a organizaciones de servicios financieros, el principal sector objetivo de este tipo de ataques.
A medida que las organizaciones se vuelven más dependientes de las API, nunca ha sido más importante comprender plenamente los riesgos que estas interfaces pueden introducir en la infraestructura de su aplicación. El reporte revela los principales retos para las organizaciones:
- Descubrimiento, un primer paso crucial: El reporte reconoce la urgente necesidad de que las organizaciones tengan visibilidad de sus ecosistemas API para permitir una identificación meticulosa de cada API. El descubrimiento de estas API es un paso inicial crucial para establecer una postura de ciberseguridad sólida. Aprovechando técnicas avanzadas y aprendizaje automático, nuestro análisis ha descubierto una media de 613 API por organización, destacando riesgos potenciales como terminales obsoletos y Broken Object Level Authorization (BOLA), reconocido como uno de los 10 principales riesgos de seguridad de API de OWASP en 2023.
- Ataques automatizados y abuso de la lógica empresarial: Los atacantes aprovechan cada vez más los ataques automatizados, o bots maliciosos, para atacar la lógica empresarial de las API o su funcionalidad básica. Al imitar el tráfico automatizado habitual de la API, los ataques pasan desapercibidos, lo que permite a los autores de las amenazas llevar a cabo sus actividades maliciosas sin interrupción. En 2023, un asombroso 27 % de todos los ataques a API se dirigieron a la lógica empresarial.
- Las medidas de seguridad tradicionales no pueden detectar el abuso de las API: Las herramientas de seguridad tradicionales, como un firewall de aplicaciones web (WAF), tienen dificultades para detectar y mitigar esta forma de abuso, ya que los ataques a las API se disfrazan hábilmente de tráfico normal.
- Protección contra robots maliciosos, un paso crítico: El equipo de investigación de amenazas de Imperva descubrió una correlación cada vez mayor entre el abuso de API y los bots maliciosos, lo que pone de relieve la necesidad urgente de aumentar la visibilidad de las infraestructuras de API. Esta visibilidad es vital para permitir una evaluación exhaustiva y la implementación de soluciones de seguridad necesarias, como protección contra bots y herramientas de evaluación de riesgos de API.
Un enfoque integral de la seguridad de las API
El reporte también examina los innumerables desafíos y vulnerabilidades que las organizaciones enfrentan al asegurar su infraestructura API, reforzando la importancia primordial de una estrategia integral de seguridad API, que combine Web Application Firewall (WAF) y descubrimiento de API con protección avanzada contra bots y medidas avanzadas de seguridad API, incluyendo evaluación de riesgos, detección de anomalías y mitigación, abogando por un enfoque integrado crucial para asegurar la protección robusta de las API.
Sobre el autor: Ricardo Cazares es vicepresidente para Latinoamérica y el Caribe en Imperva. Tiene más de 20 años de experiencia en el sector de las tecnologías de la información y las telecomunicaciones, en empresas como Citrix. Es ingeniero Electrónico y de Comunicaciones por el Instutito Superior y de Estudios Superiores de Monterrey (ITESM) (México), con un MBA por el Instituto Tecnológico Autónomo de México (ITAM).