Las interfaces de programación de aplicaciones (Application Programming Interfaces, API) ayudan a los desarrolladores a unir aplicaciones de forma rápida y eficiente. También proporcionan una mejor experiencia de usuario. Por ello están encabezando la transformación digital. Una encuesta de Imperva descubrió que el número medio mínimo de interfaces de programación de aplicaciones que una institución gestiona es de 300.
Sin embargo, a medida que crece su volumen, se amplía la superficie de ataque. Por ende, cabe esperar que, en los próximos años, las Application Programming Interfaces se conviertan en uno de los principales objetivos de los ciberdelincuentes.
Las interfaces de programación de aplicaciones no sólo amplían la superficie de ataque al proporcionar más puntos de entrada a los cibercriminales. También son más susceptibles al abuso de la lógica empresarial y al fraude. Eso las convierte en un objetivo ideal para los ataques automatizados. Éstos están aumentando a un ritmo alarmante.
El informe Bad Bot Report 2023, de Imperva, revela que 17% de los ataques contra las Application Programming Interfaces en 2022 procedían de bots. El 21% eran otros tipos de amenazas automatizadas. No debería sorprendernos que la falta de protección sea uno de los desafíos del 2023. Pero, ¿por qué las interfaces de programación de aplicaciones son un vector cada vez más atacado?
Puntos ciegos
Las organizaciones deben identificar y documentar todas sus API. Muchas existen y están expuestas públicamente, pero las instituciones no han hecho el inventario ni las conocen activamente. Son las denominadas “Application Programming Interfaces en la sombra”. Los ejemplos incluyen: antiguos puntos finales de API que están obsoletos, pero nunca se eliminaron; nuevos puntos finales que no están documentados; cambios de desarrolladores que exponen a la Internet puntos finales no públicos. Esto nos lleva a preguntarnos: ¿Cómo se puede proteger lo que no se sabe que está ahí?
También está el reto de distinguir entre el tráfico humano y de bots, así como diferenciar los bots maliciosos y los buenos. El problema consiste en que para las interfaces de programación de aplicaciones todo parece un bot, pues están diseñadas para clientes automatizados. Esto hace que sea difícil para las organizaciones proteger sus Application Programming Interfaces contra los ataques de bots.
Estas API manejan grandes volúmenes de peticiones, pero carecen de mecanismos de defensa incorporados. Esto dificulta la detección y el bloqueo del tráfico de bots maliciosos, lo que permite a los atacantes utilizar la automatización sin riesgo de que salten las alarmas.
Seguridad y Application Programming Interfaces
Según Postman, el 44% de los desarrolladores de API tienen menos de 2 años de experiencia. Cuando se trata de protegerlas, los desarrolladores suelen aplicar un conjunto estándar de reglas, exponiendo así las API a vulnerabilidades.
Incluso si los desarrolladores intentan mitigar el tráfico de bots, a menudo utilizan herramientas y técnicas de seguridad tradicionales. Entre ellas se encuentran la limitación de velocidad, la detección basada en firmas, los protocolos de bloqueo, etc. Estas técnicas suelen ser ineficaces contra los sofisticados ataques de bots que se dirigen a las interfaces de programación de aplicaciones.
Las Application Programming Interfaces son una vía directa de acceso a datos confidenciales, funcionalidades empresariales, recursos y otra información sensible. Un análisis reciente de Imperva descubrió que el 13% de las API manejan información altamente sensible, como números de tarjetas de crédito, números de la seguridad social, direcciones de particulares, etc. Si un atacante consigue acceder a interfaces de programación de aplicaciones que manejan datos, podría obtener potencialmente dicha información. Eso daría lugar a una violación de datos.
Ataques con bots
Scraping y Account Takeover son dos ejemplos de ataques de bots que pueden explotar la lógica de negocio de una API. Los bots pueden atacar las API de muchas otras formas. Un ejemplo son los ataques distribuidos de denegación de servicio (DDoS). Los bots pueden utilizarse para lanzar ataques DDoS contra las API, saturándolas de tráfico y haciéndolas inaccesibles para los usuarios legítimos.
En conclusión, las organizaciones dependen cada vez más de las interfaces de programación de aplicaciones, lo que lleva a un rápido crecimiento en su adopción y uso. A su vez, la superficie de ataque que las empresas deben ser capaces de proteger hoy en día ha aumentado significativamente.
Los bots, cada día más sofisticados, y la facilidad con la que pueden atacar la logística empresarial de las Application Programming Interfaces, suponen un riesgo significativo que, según nuestras previsiones, no hará más que crecer.