'Muchas organizaciones tienen todavía programas de seguridad de APIs inmaduros, o carecen de ellos' (Salt Security)

Las API han revolucionado la forma en que las aplicaciones de software se comunican y su interacción mediante un conjunto de definiciones y protocolos. Lo que se concibió originalmente como un método de comunicación de sistema a sistema relativamente simple, allá por los comienzos del año 2000 de la mano de Salesforce, según indica apievangelist.com, ha evolucionado hasta convertirse en uno de los mayores impulsores del tráfico de Internet. ¿Qué ocurre con la seguridad de las API y qué riesgos entrañan para las empresas? ¿Cómo asegurarlas para mantener los datos e infraestructura protegidos? Desvelar estas y otras incertidumbres es lo que busca esta entrevista realizada a Nico Wagemans, Vice Presidente de Ventas, EMEA de Salt Security.

Hace tiempo que se habla de la "economía de las API" debido a su importancia, ¿por qué?

En los últimos años las organizaciones han emprendido el proceso de la transformación digital, adoptando de forma generalizada tecnologías basadas en microservicios y servidas desde la nube. La necesidad de integración de procesos digitales ha motivado el uso creciente de APIs, facilitando las transacciones entre aplicaciones cada vez más interconectadas. Las API’s son ya la base que sustenta la innovación digital y las iniciativas estratégicas de las organizaciones, aunque por otro lado aumentan la superficie de exposición ante las ciberamenazas, multiplicando el riesgo a niveles de impacto potencial sin precedentes.

¿Cuáles son los errores comunes que cometen las organizaciones con las API para convertirlas en un vector de ataque?

Las organizaciones pueden guiarse erróneamente por ideas comunes sobre las API, como que una arquitectura de “zero trust” (confianza cero) puede protegerlas, o que los servicios de seguridad ofrecidos por los proveedores de servicios cloud, los WAF (Web Application Firewall) y API gateways, o las medidas de seguridad de cargas de trabajo son suficientes para salvaguardarlas. Realmente no es así, y tampoco que en la programación de APIs se aplica criterios de código seguro.

Todas estas aproximaciones caen en el error de subestimar la importancia del contexto. De hecho, las herramientas y prácticas de seguridad tradicionales carecen de la información de contexto necesaria para identificar adecuadamente las amenazas y prevenir los ataques a las APIs en todo su ciclo de vida. Tampoco tienen en cuenta la naturaleza cada vez más sofisticada de la acción del atacante contra las API’s, de baja intensidad y a largo plazo, que pueden suceder a lo largo de meses y que requieren un análisis continuo y automatizado para su prevención.

¿Qué métodos son los más utilizados para atacar las API y cuáles son las posibles consecuencias de los ataques exitosos?

Las amenazas más comunes contra la seguridad de las APIs están catalogadas en el Top 10 de seguridad de las APIs del OWASP, siendo la amenaza número uno la Intercepción de Autorización a Nivel de Objeto (BOLA, Broken Object Level Authorization), técnica usada en más del 40% de incidentes relacionados con APIs.

La autorización a nivel de objeto es un mecanismo de control de acceso que suele implementarse a nivel de código para validar el permiso de un usuario para acceder a un objeto determinado. Los mecanismos de autorización y control de acceso en las aplicaciones modernas con complejos, y aunque se diseñe un mecanismo adecuado de verificación de autorización para las aplicaciones, en fase de programación queda pendiente con frecuencia implementar los controles de seguridad.

Los atacantes pueden comprometer fácilmente los endpoints de API que sean vulnerables a BOLA manipulando el Object ID que se envía en la petición de la API, y esta vulnerabilidad es extremadamente común en las aplicaciones basadas en API.

Un ataque BOLA exitoso podría resultar en una exfiltración continua de datos sensibles durante mucho tiempo e incluso en modificación o destrucción de datos sin conocimiento de la empresa comprometida. También puede resultar en una suplantación comprometiendo una cuenta de usuario, donde el atacante puede pasar a controlar de forma no autorizada esa cuenta ejecutando un proceso de cambio de contraseña.

¿Qué nivel de madurez hay en las empresas españolas a la hora de proteger adecuadamente las APIs?

El crecimiento exponencial del uso de las APIs en España ha sido impulsado en gran medida por el desarrollo de empresas FinTech y entidades de banca abierta, cuyas plataformas se basan en gran medida en APIs. Aunque el uso creciente de APIs conlleva nuevos riesgos de seguridad, así como la necesidad de cumplir con regulaciones y la ley de protección de datos, muchas organizaciones tienen todavía programas de seguridad de APIs inmaduros, o carecen de ellos. Existe en la actualidad una gran oportunidad para que las empresas en España innoven de forma segura invirtiendo en la protección de APIs. La consultora Gartner ha publicado por primera vez un análisis de la categoría seguridad de las APIs por primera vez, confirmando que las empresas necesitan herramientas dedicadas de protección de APIs.

¿Qué prácticas deben seguirse para proteger las API y qué tecnologías pueden utilizarse?

La seguridad eficaz de las APIs se basa en la información de contexto, y debe ofrecer tres capacidades fundamentales:

Descubrimiento, para detectar todas las APIs de forma automática y continua eliminando los puntos ciegos, determinando el perímetro de exposición de datos sensibles (incluyendo los datos de identificación personal, PII) y proporcionando protección incluso cuando las APIs evolucionan y cambian.

Protección en producción, deteniendo los ataques a las APIs en tiempo real, utilizando Big Data y algoritmos de inteligencia artificial y machine learning para la detección temprana de ataques y mitigarlos antes de que se ejecuten.

Y por último, capacidades de análisis retroactivo, con el objetivo de corregir vulnerabilidades y mejorar el nivel de seguridad con propuestas de acciones activables para los equipos de seguridad y de desarrollo.

La plataforma de protección de APIs de Salt Security aplica Big Data a escala de cloud, con los algoritmos de inteligenica artificial y machine learning más fiables de la industria para proporcionar el contexto necesario para la seguridad de APIs.

Salt Security proporciona tanto protección en producción como orientación a los programadores, y las organizaciones pueden confiar en que sus datos y servicios críticos están protegidos contra ataques, incluso mientras programan correcciones para mejorar la seguridad de sus APIs.

¿Cómo asegurar la cadena de suministro de APIs y obtener visibilidad de un inventario completo de las APIs que se ejecutan en sus entornos?

Hay algunas prácticas recomendadas para asegurar las APIs y disponer de un inventario completo de las mismas, como: promover el diseño y el desarrollo seguros de APIs implantando prácticas de programación y configuración seguras para contruirlas e integrarlas; reducir la exposición de datos sensibles limitando el envío de datos innecesarios a las apps de los usuarios; o revisar el diseño incluyendo criterios de lógica de negocio.

Adicionalmente es recomendable documentar las APIs para facilitar a los equipos de trabajo a entender cómo se construye o integra una API. Utilizar formatos como OpenAPI Specification (OAS) para la documentación; y ofrecer a los equipos de seguridad una visión realista de la superficie de ataque con un inventario actualizado capturando esta información con la detección automática de APIs que soporta REST, GraphQL y otros formatos de API.

Por último, conviene usar herramientas de test de seguridad para identificar problemas de configuración o vulnerabilidades en sus APIs, incluyendo pruebas fuzzy en tiempo real para identificar código vulnerable.

¿Qué cree que nos deparará el futuro en este ámbito?

La seguridad de las API está experimentando una evolución similar a la que hemos visto con la seguridad de los endpoints en los últimos 15 o 20 años. A medida que el uso de las APIs siga aumentando exponencialmente, también lo hará la sofisticación y el volumen de los ataques.

Dado que la transformación digital no muestra signos de desaceleración, y que las empresas dependen cada vez más de las APIs, surgirán nuevos riesgos de seguridad. Sólo se puede hacer frente a esos riesgos convirtiendo la seguridad de las APIs en una prioridad, y reconociendo que sólo las herramientas basadas en la información de contexto que protegen las APIs en todo su ciclo de vida pueden permitir y acelerar la innovación empresarial.

Rosalía Arroyo