Por Ivan Novikov Las interfaces de programación de aplicaciones (API) se han convertido en la columna vertebral de las empresas modernas, facilitando una comunicación fluida entre los sistemas internos y los socios externos. Relacionado: La administración Biden-Harris abre el Centro de Resiliencia de la Cadena de Suministro A medida que las organizaciones dependen cada vez más de las API, la cantidad de API en uso ha aumentado dramáticamente. Dado que los atacantes siguen la superficie de ataque, este crecimiento en el uso de API no ha pasado desapercibido. La concentración de lógica empresarial crítica y datos confidenciales que fluyen a través de las API las convierte en un objetivo atractivo para actores maliciosos que buscan explotar vulnerabilidades para obtener ganancias financieras, robo de datos o interrupción del servicio. Centrado en la seguridad de API, el informe API ThreatStats de Wallarm recopila todos los datos disponibles sobre incidentes de ciberseguridad relacionados con API y vulnerabilidades para su análisis. Además, el informe identifica y rastrea las tendencias que impactan a las organizaciones. Incidentes de seguridad de API en el tercer trimestre No es sorprendente que en el tercer trimestre de 2024 se produjera un mayor número de incidentes de ciberseguridad relacionados con API. Las API siguen estando en el centro de algunas de las infracciones más grandes e impactantes que estamos viendo. En el último trimestre, Deutsche Telekom encabezó la lista al exponer a 252 millones de usuarios debido a accesos API no autenticados. Otros incidentes clave incluyeron: •Hotjar y Business Insider expusieron a 80 millones de usuarios debido a problemas de API del lado del cliente (secuencias de comandos entre sitios y mala gestión de OAuth). •Fractal expuso la información personal confidencial de 6.300 clientes debido a un script API inseguro. •Los problemas de autorización de ExploreTalent en una API mal configurada revelaron 11,4 millones de registros de usuarios. •Metro Pacific Tollways Corporation (MPTC) sufrió una fuga de API que afectó a casi 1 millón de registros, incluidos registros API confidenciales. Estos incidentes son reveladores porque abarcan múltiples industrias. Los problemas de seguridad de las API no se limitan a las empresas de tecnología ni a ningún sector específico. Las API se utilizan en diversas industrias y, por lo tanto, los incidentes de seguridad de las API afectan a todas las industrias, desde las telecomunicaciones hasta las autopistas de peaje. En términos de causas fundamentales, estos incidentes muestran que la autenticación y la autorización siguen siendo problemáticas para las API. Los sistemas diseñados para proteger los datos detrás de estas API son atacados de manera constante y exitosa. Finalmente, es notable que muchos de estos incidentes fueron provocados por vulnerabilidades de API del lado del cliente. OWASP API Top 10 es una lista estándar de la industria de problemas relacionados con API, que se centra en la seguridad del lado del servidor. Los atacantes parecen estar aprovechando el punto ciego representado por problemas del lado del cliente, como los scripts entre sitios. Tendencias de seguridad de API del tercer trimestre El análisis de Wallarm de las vulnerabilidades relacionadas con API proporciona información valiosa sobre las tendencias más importantes para la seguridad de API. El tercer trimestre registró la mayor cantidad de vulnerabilidades relacionadas con API desde que comenzamos este análisis a principios de 2022. Se analizaron 469 vulnerabilidades para el tercer trimestre de 2024, en comparación con 388 en el trimestre anterior, un aumento del 21 %. En la primera edición de este informe correspondiente al primer trimestre de 2022, eran 48. La magnitud del problema sigue creciendo. En particular, el 45 % de estos problemas obtuvieron una puntuación de 7,5 en el Sistema de puntuación de vulnerabilidad común (CVSS), lo que indica que las vulnerabilidades de API se inclinan hacia un mayor riesgo en general. No sólo está aumentando el número de vulnerabilidades, sino que también están generando un mayor riesgo para las organizaciones. Además, el análisis desglosa las vulnerabilidades según el tipo de software afectado, con el software empresarial de proveedores como Oracle, VMWare y Cisco encabezando la lista con un 39,6%. Las herramientas DevOps ocuparon el segundo lugar con un 36,2%. Las vulnerabilidades relacionadas con las API afectan más a las organizaciones empresariales que realizan su propio desarrollo. Conclusiones clave Las conclusiones clave del informe API ThreatStats difieren según su función. Los CISO deberían centrarse más en la estrategia que en la ejecución. Según el análisis del tercer trimestre, el descubrimiento integral de API y los controles de autenticación sólidos deberían ocupar un lugar destacado en sus objetivos estratégicos. Estas iniciativas son cruciales, ya que las API desconocidas y mal protegidas pueden presentar vulnerabilidades importantes. Los CISO de Novikov no deberían pasar por alto las vulnerabilidades de la API del lado del cliente, que a menudo se ignoran pero que se ha demostrado que los atacantes explotan. Si bien parece que la IA está en todas partes, los CISO no deberían ignorar la conexión entre las API y la IA en sus planes estratégicos. Estas dos tecnologías crecerán juntas. Los arquitectos API no tienen prioridades dramáticamente diferentes, pero deben centrarse en soluciones prácticas e implementables como parte de la arquitectura API. Garantizar una autenticación sólida en todas las API, por ejemplo, es primordial, ya que la autenticación es fundamental para la seguridad de las API. Captar las conexiones Los arquitectos también necesitan traducir algunas de esas direcciones estratégicas al nivel técnico. La implementación de una validación de entrada detallada y una codificación de salida para evitar ataques de inyección y fugas de datos ayudará a eliminar el riesgo de seguridad de la API. Finalmente, los arquitectos de API que están implementando IA están en la mejor posición para ver las conexiones estrechas y desarrollar la seguridad desde cero. Los profesionales de la seguridad no deben quedar fuera, ya que generalmente son los ejecutores de los planes estratégicos de los CISO. La alineación aquí es clave. Se deben realizar evaluaciones de seguridad periódicas e integrales para identificar y abordar las vulnerabilidades de manera proactiva. Monitorear y proteger las aplicaciones del lado del cliente debe estar alineado con los objetivos del CISO. Estos profesionales también deben mantenerse informados sobre las amenazas emergentes y los CVE, manteniendo al CISO y a la organización actualizados a medida que el panorama de amenazas de API evoluciona continuamente. La seguridad de API es una responsabilidad multifuncional. Estas recomendaciones están alineadas, pero deben aplicarse en múltiples niveles dentro de la organización. Como se señaló, el panorama de amenazas a las API continúa creciendo y las organizaciones (desde el CISO hacia abajo) deben estar preparadas. Acerca del ensayista: Ivan Novikov es el director ejecutivo de Wallarm, que proporciona una solución de seguridad API unificada y automatizada que funciona con cualquier plataforma, cualquier entorno de nube, multinube, nativo de la nube, híbrido y local. 29 de octubre de 2024 | Publicación de blog invitada | URL de la publicación original de las historias destacadas: https://www.lastwatchdog.com/guest-essay-api-security- related-exposures-rose-steeply-across-all-industries-in-q3-2024/