Temas técnicos

¿Qué es la seguridad de las API?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general

Las API (interfaces de programación de aplicaciones) son una parte fundamental de las estrategias de transformación digital, y protegerlas es uno de los principales retos. Las API son una superficie de ataque en rápido crecimiento que no se conoce bien y que los desarrolladores y los responsables de seguridad de las aplicaciones pueden pasar por alto.

Seguridad de la API

Tómelo del Proyecto de Seguridad de API de OWASP: "Las API son una parte crítica de las aplicaciones móviles, SaaS y web modernas y pueden encontrarse en aplicaciones orientadas al cliente, a los socios e internas. Por naturaleza, las API exponen la lógica de la aplicación y datos sensibles como la información de identificación personal (PII) y, por ello, se han convertido cada vez más en un objetivo para los atacantes. Sin API seguras, la innovación rápida sería imposible".


¿En qué se diferencian las aplicaciones basadas en API?

De nuevo, de OWASP:

  • El servidor se utiliza más como proxy de datos.
  • El componente de renderizado es el cliente, no el servidor.
  • Los clientes consumen datos en bruto.
  • Las API exponen la implementación subyacente de la aplicación.
  • El estado del usuario suele ser mantenido y supervisado por el cliente.
  • En cada petición HTTP se envían más parámetros (identificadores de objetos, filtros).

¿En qué se diferencia la seguridad de las API de la seguridad general de las aplicaciones?

API Security se centra en estrategias para mitigar los riesgos de seguridad específicos de las API. Las vulnerabilidades tradicionales son menos comunes en las aplicaciones basadas en API:

  • SQLi - Uso creciente de ORM.
  • CSRF - Cabeceras de autorización en lugar de cookies.
  • Manipulaciones de rutas - Almacenamiento en la nube.
  • Problemas clásicos de seguridad informática - SaaS.

¿Por qué es importante la seguridad de las API?

La seguridad de las API es importante porque las empresas las utilizan para conectar servicios y transferir datos, por lo que una API pirateada puede provocar una filtración de datos.


El uso de API sigue aumentando

En diciembre de 2021, Cloudflare informó de que las llamadas a API representaban el 54% del total de solicitudes y aumentaron un 21% de febrero a diciembre de 2021. Los atacantes se han dado cuenta y se han centrado más en las API.

Las pruebas de seguridad de las API forman parte de las capacidades básicas del MQ de Gartner para las pruebas de seguridad de las aplicaciones.

Las API se han convertido en una parte esencial de las aplicaciones modernas (por ejemplo, aplicaciones de una sola página o móviles), pero los conjuntos de herramientas AST tradicionales pueden no probarlas completamente, lo que lleva a la necesidad de herramientas y capacidades especializadas. La capacidad de descubrir API tanto en entornos de desarrollo como de producción y de probar el código fuente de las API, así como la capacidad de ingerir tráfico registrado o definiciones de API para apoyar las pruebas de una API en ejecución, son funciones típicas.


¿Cuál es el top 10 de OWASP en seguridad de APIs?

OWASP ha anunciado recientemente la versión candidata de la API Security Top 10. Más información sobre el proyecto OWASP API Security. Aquí está el top 10:

  • API1 - Autorización a nivel de objeto rota
  • API2- Autenticación de usuario rota
  • API3 - Exposición excesiva de datos
  • API4 - Falta de recursos y limitación de tarifas
  • API5 - Autorización a nivel de función rota
  • API6 - Asignación de masa
  • API7 - Error de configuración de seguridad
  • API8 - Inyección
  • API9 - Gestión inadecuada de activos
  • API10 - Registro y supervisión insuficientes

Fortify ayuda a la seguridad de la API

Seguridad de la API con Fortify:

  • Cobertura de la superficie de ataque: descubra automáticamente puntos finales de API nuevos y ocultos durante las pruebas e identifique la amplitud de los puntos finales con esquemas OpenAPI, Swagger, Odata o WSDL.
  • Autenticación de API: la autenticación de API es variada y compleja. Fortify admite prácticamente todos los tipos de tokens portadores e implementaciones.
  • Detección de vulnerabilidades - Cobertura cada vez mayor de vulnerabilidades específicas de las API que afectan a áreas como los tokens portadores o la introspección GraphQL.
  • Automatización de la exploración: amplíe las pruebas de API con una orquestación de nivel empresarial suministrada a través de SaaS, alojada o in situ.

Seguridad de la API

Empiece hoy mismo

Más información

Notas a pie de página