Seguridad en API’s: ¿Tener la Puerta Abierta o Cerrada?

Por Daniel Gálvez López

En la actualidad pensar que una empresa no tenga e interactúe con al menos una API, es pensar que ésta se encuentra en la prehistoria. Esto se debe a que cada vez más tenemos la necesidad de interactuar entre diferentes organizaciones y a su vez, esto conlleva a los retos tecnológicos para que el intercambio de datos entre dos organizaciones se pueda realizar de manera exitosa.

Hace unos años el reto era poder comunicarse entre empresas, para lo cual tecnológicamente empezamos a conocer por los términos de interfaces de programación de aplicaciones (API, por sus siglas en inglés), para luego ir evolucionar a las arquitecturas de software orientadas en servicios (Service Oriented Architecture – SOA), en donde el reto para las empresas evolucionó de tener aplicaciones monolíticas a estas nuevas formas para el desarrollo de las aplicaciones. Teniendo en cuenta esto los equipos de desarrollo tenían como principal meta lograr la comunicación e intercambio de datos, dejando de lado o postergando los temas relacionados con el aseguramiento de este intercambio de datos teniendo los siguientes temas por considerar:

· Autenticación y autorización: Muchas APIs se encuentran mal desplegadas pudiendo otorgar accesos no autorizados a datos sensibles y/o muchas veces sin requerir una autenticación.

· Exposición de datos: Muchas veces no somos conscientes de la cantidad de datos que exponemos por lo que se han encontrado APIs que entregan más datos de los necesarios, facilitando el robo de información.

· Ataques del Top 7 OWASP: Muchas veces las APIs no pasan por pruebas de aseguramiento del código, así como pruebas dinámicas permitiendo diferentes tipos de accesos no autorizados exponiendo finalmente los datos.

· Tokens poco seguros: Si bien el uso de tokens se ha vuelto un mecanismo para la protección de las APIs, un mal diseño del ciclo de vida de éstos genera las brechas para que se tengan accesos no autorizados.

· Ataques de Denegación de Servicio (DDoS): APIs vulnerables pueden ser explotadas para saturar sistemas.

Con base a los diferentes retos que se ha identificado para el aseguramiento de las APIs, en la actualidad se cuentan con prácticas orientadas para el manejo del Ciclo de Vida de las APIs, teniendo propuestas como las que nos comparte Broadcom en esta oportunidad:

Este ciclo de vida propuesto, inculye las buenas prácticas para asegurar las APIs, en donde tendremos las siguientes características más relevantes:

· Autenticación robusta: Uso de OAuth 2.0, JWT (JSON Web Tokens) y control estricto de sesiones.

· Rate limiting y throttling: Para mitigar ataques de fuerza bruta y denegación de servicio.

· Validación de entrada y salida: Para evitar inyecciones de código y garantizar la integridad de los datos.

· Cifrado de datos en tránsito y en reposo: Uso obligatorio de HTTPS y cifrado de respuestas sensibles.

· Pruebas continuas de seguridad: Utilizar pruebas automatizadas y escaneos de vulnerabilidades específicas para API.

Por otro lado, debemos aprender de casos que sufrieron empresas como Facebook, T-Mobile y Experian en donde enfrentaron filtraciones millonarias debido a fallas en la seguridad de sus API. Estos incidentes no solo tuvieron implicaciones económicas, sino que también afectaron la reputación y la confianza del cliente con las empresas.

Finalmente, en un entorno donde los datos son el activo más valioso, asegurar las APIs no es una opción; es una necesidad crítica. Las empresas deben tratar sus APIs como puertas digitales a su infraestructura, en donde la protección de éstas se debe hacer con el mismo rigor que aplicarían a un perímetro físico. La seguridad de las APIs no solo previene incidentes, sino que también promueve la confianza, la innovación segura y la continuidad del negocio.