Inicio Salud Ciberseguridad Ataques contra las API, al alza

Ataques contra las API, al alza

Por Ricardo Cazares, vicepresidente de Imperva para Latinoamérica

Por

4 abril, 2024

La adopción de interfaces de programación de aplicaciones, más conocidas como API, ha aumentado drásticamente en los últimos años. Igualmente, las amenazas. En 2023, el número de ataques contra las API aumentó significativamente.

En muchos sentidos, las API son ahora la columna vertebral de Internet. ¿Por qué? Las API son un componente esencial de la transformación digital. Permiten a las aplicaciones, contenedores y microservicios intercambiar datos e información rápidamente para que los consumidores experimenten una mayor comodidad en sus dispositivos digitales.

Sin embargo, el creciente volumen de API crea más oportunidades para los hackers. El reporte Estado de la seguridad de las API en 2024, de Imperva, destaca cómo su uso cambia significativamente el panorama de las amenazas.

Automatización y ataques contra las API

Las API desempeñan un papel fundamental en la modernización de las aplicaciones y el tráfico relacionado con ellas está superando al tráfico web normal. Según el informe, el tráfico de API constituyó más del 71% del tráfico web el año pasado. Las API ofrecen muchas ventajas —facilitan la conectividad sin fisuras, mejoran las experiencias en línea e impulsan la innovación—, pero su adopción generalizada plantea a las organizaciones una nueva gama de retos de seguridad que no siempre están preparadas para afrontar.

El reporte revela que el número promedio de llamadas API a sitios empresariales es de 1.5 billones a nivel global. Los elevados volúmenes de tráfico automatizado no humano están innegablemente relacionados con un aumento de los ataques contra las API. Por ende, exigen medidas de seguridad sólidas para defenderse de los ataques de bots maliciosos y otros asaltos automatizados, como los ataques de denegación de servicios distribuidos (DDoS) y la toma de control de cuentas (ATO). El 46% de todos los ataques de apropiación de cuentas se dirigieron a terminales de API. Los atacantes también son cada vez más astutos en sus estrategias. De hecho, las organizaciones sanitarias recibieron el 4.5% de tales ataques (el sector más atacado es el financiero, con el 28%).

Abusos de la lógica empresarial

Conforme organizaciones se vuelven más dependientes de las API, es más importante comprender los riesgos que pueden introducir en la infraestructura de las aplicaciones. El reporte revela los principales retos para las organizaciones:

●Descubrimiento, un primer paso crucial. El reporte subraya la urgente necesidad de que las organizaciones tengan visibilidad de sus ecosistemas para permitir una identificación meticulosa de cada API. El descubrimiento de estas API es un paso inicial crucial para establecer una postura de ciberseguridad sólida.

Aprovechando técnicas avanzadas y aprendizaje automático, nuestro análisis ha descubierto una media de 613 API por organización, destacando riesgos potenciales como terminales obsoletas y Broken Object Level Authorization (BOLA), señalado en 2023 como uno de los 10 principales problemas de seguridad de las API por la organización internacional Open Worldwide Application Security Project (OWASP).

●Ataques automatizados y abuso de la lógica empresarial. Los hackers aprovechan cada vez más los bots maliciosos para automatizar los ataques contra las API, ya sea en su lógica empresarial o su funcionalidad básica. Al imitar el tráfico automatizado habitual de la API, los ataques pasan desapercibidos. Ello permite a los hackers llevar a cabo sus actividades maliciosas sin interrupción. En 2023, un asombroso 27% de todos los ataques contra las API se dirigieron a la lógica empresarial.

Seguridad integral

Las herramientas de seguridad tradicionales, como los firewalls de aplicaciones web (WAF), tienen dificultades para detectar y mitigar esta forma de abuso, pues los ataques contra las API se disfrazan hábilmente de tráfico normal.

El equipo de investigación de amenazas de Imperva descubrió una correlación cada vez mayor entre el abuso de las API y los bots maliciosos. Eso pone en relieve la necesidad urgente de aumentar la visibilidad de las infraestructuras de API. Dicha visibilidad es vital para permitir una evaluación exhaustiva y la implementación de las soluciones de seguridad necesarias. Una de ellas es la Imperva Advanced Bot Protection y las herramientas de evaluación de riesgos de API. El reporte también examina los innumerables desafíos y vulnerabilidades que las organizaciones enfrentan al asegurar su infraestructura API. Eso resalta la importancia de una estrategia integral de seguridad para las API. Ésta debe incluir la evaluación de riesgos, detección de anomalías y su mitigación.