Seis iniciativas notables de seguridad de las API lanzadas en 2023
La seguridad de las API está escalando puestos en la agenda de las empresas y de la comunidad de ciberseguridad en general. He aquí seis iniciativas lanzadas en 2023 que abordan problemas de seguridad en este campo.
- Menos del 50% de los CISO utilizan herramientas de prueba de seguridad de API
- Cinco buenas prácticas para garantizar la seguridad de las API de terceros
- APIs las grandes olvidadas de la ciberseguridad
- OpenAI lanza una serie de API para ChatGPT y Whisper
- Los ataques basados en API amenazan al sector financiero
Las interfaces de programación de aplicaciones (API) son cada vez más fundamentales para los conceptos clave de la informática empresarial moderna en el desarrollo de software, desde programas sencillos hasta las consideraciones más avanzadas de diseño y arquitectura que se han convertido en el tejido conectivo del mundo digital.
Una API proporciona una interfaz que permite a los desarrolladores de software interactuar mediante programación con componentes o recursos de software fuera de su propio código, aplicable en todas partes, desde herramientas de línea de comandos hasta microservicios y arquitecturas nativas en la nube.
Sin embargo, el creciente uso de las API ofrece a los atacantes más formas de romper los controles de autenticación, filtrar datos o realizar actos disruptivos. Por naturaleza, las API exponen la lógica de la aplicación y datos sensibles como la información de identificación personal (PII). Mientras tanto, las herramientas de seguridad existentes a menudo tienen dificultades para detectar y mitigar las amenazas específicas de las API, dejando a las organizaciones vulnerables al compromiso, el abuso y el fraude.
Un informe reciente de Traceable AI revela que el 60% de las organizaciones se han enfrentado a una infracción relacionada con la API en los últimos dos años, y que el 74% de ellas han sufrido tres o más incidentes. Sólo el 38% de las empresas puede discernir el intrincado contexto entre la actividad de las API, los comportamientos de los usuarios y el flujo de datos, y el 57% afirma que las soluciones de seguridad tradicionales son incapaces de distinguir eficazmente la actividad genuina de la fraudulenta de las API.
Lo más revelador es que el 61% de las organizaciones encuestadas prevén un aumento de los riesgos relacionados con las API en los próximos dos años, ya que manejan una media de 127 conexiones API de terceros, y sólo el 33% confía en la gestión de las amenazas externas a las API.
La seguridad de las API es cada vez más importante
La seguridad de las API es cada vez más importante para muchas organizaciones y para la comunidad de ciberseguridad. "La seguridad de las API es ahora una consideración de enorme importancia, ya que las API no seguras o mal configuradas representan una gran oportunidad para que los actores de amenazas accedan a una red objetivo", explica a CSO Chris Morgan, analista sénior de Inteligencia sobre Ciberamenazas de ReliaQuest.
En 2023 y más allá, la seguridad de las API será cada vez más imperativa a medida que las organizaciones continúen su tendencia hacia los servicios en la nube, permitiendo la digitalización de grandes conjuntos de datos, servicios y productos. "Con este movimiento, aumenta la superficie de ataque de las API susceptibles, por lo que el requisito de reforzar los servicios API -y proteger las operaciones empresariales, los clientes y los datos- será más importante que nunca", afirma Morgan.
Jeremy Snyder, CEO y cofundador de la empresa de seguridad FireTail, confirma a CSO que en la reciente conferencia Black Hat USA habló con varias personas del sector de los viajes que le dijeron que los problemas de seguridad de la API de points.com están haciendo que muchos en el sector empiecen a tomarse en serio las amenazas a las API. "Del mismo modo, la industria del automóvil considera ahora los coches conectados y los vehículos autónomos como dispositivos inteligentes con grandes volúmenes de datos telemétricos. Las revelaciones de seguridad y las pruebas de concepto basadas en API han dado a este sector motivos para examinar también más de cerca la seguridad de las API".
He aquí seis notables iniciativas, programas y recursos lanzados este año para ayudar a mejorar y desarrollar la seguridad de las API.
La GSMA lanza una iniciativa de API de red abierta
En febrero, la asociación mundial de comercio de telefonía móvil GSMA presentó GSMA Open Gateway, un marco diseñado para cambiar la forma en que el sector de las telecomunicaciones diseña y presta servicios en un mundo de economía API, incluida la ciberseguridad.
"Aplicando el concepto de interconexión para operadores a la economía de las API, los desarrolladores pueden utilizar la tecnología una sola vez, para servicios como identidad, ciberseguridad o facturación, pero con el potencial de integrarse con todos los operadores del mundo", afirma Mats Granryd, director general de la GSMA.
El Memorándum de Entendimiento (MoU) del GSMA Open Gateway cuenta con el apoyo de algunos de los mayores y más innovadores operadores de redes móviles del mundo, como el grupo BT, Vodafone, AT&T, Verizon y Orange.
Traceable AI publica una arquitectura de referencia de seguridad de API para confianza cero
En junio, la empresa de seguridad Traceable AI publicó API Security Reference Architecture for Zero Trust, una guía para integrar la seguridad de las API en las iniciativas de seguridad de confianza cero, que tradicionalmente se han centrado en los controles a nivel de red y la gestión del acceso a la identidad. La arquitectura está alineada con la Arquitectura de Confianza Cero del NIST, un marco disponible públicamente y neutro en cuanto a proveedores ampliamente adoptado por entidades gubernamentales, así como por muchos proveedores líderes en ciberseguridad.
Al aprovechar el marco del NIST, la arquitectura garantiza la compatibilidad, la interoperabilidad y la adhesión a las normas del sector, por lo que es un recurso fiable y de confianza para las organizaciones que implementan la confianza cero para sus API, dijo la compañía. La guía describe:
- Los principios y definiciones clave de la confianza cero traducida para las API.
- Qué debe tener en cuenta la confianza cero en las API.
- Cómo pueden las organizaciones hacer operativa la seguridad de las API en sus implantaciones de confianza cero.
F5 publica un libro electrónico gratuito sobre las mejores prácticas de seguridad de las API
En junio, F5 publicó API Security Best Practices: Key Considerations for API Protection, un libro electrónico gratuito en el que se describen los diversos retos y riesgos para la seguridad de las API a los que se enfrentan las organizaciones, junto con estrategias para que los equipos de seguridad y riesgos refuercen la seguridad de las API en sus empresas.
"Las API facilitan una arquitectura descentralizada y distribuida con infinitas oportunidades para la integración de terceros que cambia fundamentalmente el cálculo para los equipos de seguridad y riesgo", se lee en el eBook. La guía de seguridad de F5 incluye la supervisión y protección continuas de los puntos finales de las API, así como la reacción ante un ciclo de vida cambiante de las aplicaciones.
CISA y sus socios publican directrices sobre el abuso del control de acceso a aplicaciones web
En julio, el Centro Australiano de Ciberseguridad (ACSC) de la Dirección de Señales de Australia, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de EE.UU y la Agencia de Seguridad Nacional (NSA) de EE.UU publicaron un aviso conjunto sobre ciberseguridad para advertir a los vendedores, diseñadores y desarrolladores de aplicaciones web y a las organizaciones que utilizan aplicaciones web acerca de las vulnerabilidades de referencia directa a objetos (IDOR) inseguras.
Las vulnerabilidades IDOR son vulnerabilidades de control de acceso que permiten a agentes malintencionados modificar o eliminar datos o acceder a datos sensibles mediante la emisión de solicitudes a un sitio web o una API web, especificando el identificador de usuario de otros usuarios válidos. Los ataques IDOR son una de las formas más comunes y costosas de violación de API, y las solicitudes tienen éxito cuando no se realizan las comprobaciones de autenticación y autorización adecuadas.
OWASP actualiza la lista de los 10 mayores riesgos para la seguridad de las API
En julio, el Open Worldwide Application Security Project (OWASP) publicó la lista API Security Top 10 2023, que detalla los 10 mayores riesgos de seguridad de API planteados a las organizaciones. Era la primera vez que se actualizaba la guía de riesgos específicos de las API desde su lanzamiento en 2019, parte del Proyecto de Seguridad de API de OWASP. "Desde entonces, la industria de seguridad de API ha florecido y se ha vuelto más madura", escribió OWASP.
El objetivo principal de OWASP API Security Top 10 es educar a las personas involucradas en el desarrollo y mantenimiento de API, por ejemplo, desarrolladores, diseñadores, arquitectos, gerentes u organizaciones. La última lista de seguridad de las API es la siguiente
- Autorización a nivel de objeto defectuosa
- Autenticación defectuosa
- Autorización rota a nivel de propiedad de objeto
- Consumo de recursos sin restricciones
- Autorización a nivel de función no autorizada
- Acceso no restringido a flujos de negocio sensibles
- Falsificación de peticiones del lado del servidor
- Mala configuración de la seguridad
- Gestión inadecuada del inventario
- Consumo inseguro de API
Salt Security lanza el programa STEP para fortalecer el ecosistema de seguridad API
En agosto, Salt Security lanzó el programa Salt Technical Ecosystem Partner (STEP), una iniciativa dirigida a integrar soluciones a través del ecosistema API y permitir a las organizaciones fortalecer sus posturas de seguridad API. El programa está diseñado para llevar a las empresas a un enfoque basado en el riesgo para las pruebas de API, ayudar a centrar los esfuerzos de escaneo en las API prioritarias y reducir la fricción para los equipos de DevOps y DevSecOps.
Entre los socios se encuentran las empresas de pruebas dinámicas de seguridad de aplicaciones (DAST) Bright Security, Invicti Security y StackHawk, y la empresa de pruebas interactivas de seguridad de aplicaciones (IAST) Contrast Security.
"Para ofrecer un programa AppSec sólido, los desarrolladores necesitan acceder a las mejores tecnologías que simplifiquen la detección y corrección de vulnerabilidades antes de desplegar el código en producción", ha declarado Joni Klippert, CEO de StackHawk. Dado el crecimiento explosivo del desarrollo de API, añadió que los equipos deben priorizar y automatizar las pruebas de seguridad para sus API y hacerlo de forma que se integren perfectamente con los flujos de trabajo de los desarrolladores.
