Un tercio de los ataques web se dirigen a las API
La seguridad de las API a menudo recibe una atención inadecuada, ya sea porque se pasa por alto en las primeras etapas de planificación o porque no logra igualar el ritmo del rápido despliegue tecnológico.
Las API han sido el objetivo del 29% de los ataques web en 2023, y los ciberdelincuentes explotaron su economía en rápido crecimiento en busca de nuevas vías de intromisión, según un reciente informe de Akamai. El sector del comercio experimentó el mayor número de incidentes (44% del total), seguido de los servicios empresariales (32%). Los tipos de ataques han abarcado desde la inclusión de archivos locales (LFI) y la inyección SQL hasta secuencias de comandos entre sitios (XSS).
En 2021, la consultora Gartner ya predijo que el abuso de API y las violaciones de datos se duplicarían para 2024. El año pasado, el Proyecto de Abierto de Seguridad de Aplicaciones Web (OWASP) publicó una lista específica de riesgos para las API, destacando esta creciente preocupación por parte de los profesionales.
“Las API son cada vez más críticas para las organizaciones, pero muchas veces su seguridad no está diseñada para grandes capacidades, o estos departamentos no pueden mantenerse al día con el rápido despliegue de nueva tecnología”, asegura el CISO asesor de Akamai Steve Winterfeld.
Problemas clave a abordar
Las API son fundamentales para desarrollar nuevas capacidades dentro de las empresas. Sin embargo, su seguridad a menudo recibe una atención poco adecuada, ya sea pasando por alto las primeras etapas de planificación o no logrando igualar el ritmo del rápido despliegue tecnológico. Akamai señala dos problemas distintos a este respecto: problemas de postura y tiempo de ejecución.
Los fallos en la implementación de las API pueden generar problemas de postura de seguridad. Los más comunes incluyen endpoints ocultos, acceso a recursos no autentificados, datos confidenciales en una URL, una política permisiva de intercambio de recursos entre orígenes (CORS) y errores excesivos del cliente.
Los problemas de tiempo de ejecución, por otro lado, son amenazas activas que exigen una acción inmediata. Estos incluyen intentos de acceso a recursos no autenticados, actividad de API con cargas útiles JSON inusuales, intentos de confusión de parámetros de ruta, marcas de tiempo de API ilógicas, geolocalización o secuencia y extracción de datos.
Diferencias regionales en los ataques
El informe también mostró algunas tendencias globales interesantes. La región de Europa, Oriente Medio y África (EMEA) experimentó la mayor cantidad de ataques, con un 47,5 %. América del Norte quedó en segundo lugar, con un 27,1%, y la región de Asia-Pacífico y Japón quedó en tercer lugar, con un 15%.
A nivel de países, las principales zonas fueron España con un 94,8%, Portugal con un 84,5%, los Países Bajos con un 71,9% e Israel con un 67,1%. En comparación, sólo el 27,6% de los ataques web en EE. UU. se dirigieron a API.
"Hay una serie de razones para las diferencias en los ataques regionales, como entornos regulatorios, conflictos geopolíticos, tipos de infraestructura, variaciones de acceso y educación, modelos de negocios y factores sociales", dice el informe. "Sin embargo, también es importante tener en cuenta que se puede ver una tendencia de ciberataque que comienza en una región o industria y luego migra a otras".
