Geekflare
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad  |  Última actualización: 24 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

¿Por qué y cómo proteger el punto final de la API?

Por
secure-api-endpoint

¿Cómo está protegiendo su API?

Es la era de la explosión de la economía digital, y las cargas masivas de datos se canalizan a través de las API. Los negocios, los juegos, la educación, el tiempo, la ciencia, las artes... lo que sea; todo funciona con API. Para un mundo tan fundamentalmente dependiente de las API, hay sorprendentemente poca atención a la seguridad.

Para los desarrolladores, los valores predeterminados de sus marcos de trabajo son suficientes; o peor aún, cuando no se utilizan marcos de trabajo, piensan que están siguiendo prácticas de seguridad. Para los administradores de sistemas, la seguridad por defecto ofrecida por su infraestructura o proveedor de servicios es en lo que confían.

No es una visión nada agradable, en mi opinión.

api-everywhere
Fuente: developer.ibm.com

No hace falta decir que hay mucho en juego, de lo que sólo nos damos cuenta cuando ocurre algo realmente terrible.

Pero lo primero es lo primero 🙂 .

¿Por qué asegurar los puntos finales de la API?

Esto tiene que ser una obviedad, ¿verdad?

Necesitamos asegurar los puntos finales porque, bueno, de eso depende el negocio.

Aunque ese es un argumento suficientemente fuerte en sí mismo, quiero ampliar un poco el punto de vista y destacar otras consecuencias relacionadas, pero igualmente mortales.

pirateado

Pérdida de negocio 📉

Esta es la obvia. Si alguien consigue meterse con los puntos finales de su API, todo se irá al traste. Las brechas de seguridad también pueden llevar mucho tiempo para recuperarse, lo que se traduce en un suicidio en términos de negocio. Si bien es cierto que la mayoría de las empresas probablemente no se verán afectadas por una o dos horas de inactividad, para algunas no es permisible.

Imagínese que un cambio de divisas deja de funcionar durante unos minutos

Problemas de cumplimiento

No asegurar sus API adecuadamente puede meterle en serios problemas, dependiendo de las geografías o industrias con las que esté tratando. Por ejemplo, si presta servicios al sector bancario (en la UE, especialmente), el coste de que le descubran prestando servicios con API inseguras le acarreará enormes problemas legales y de cumplimiento. Tanto que incluso podría suponer el fin de su negocio.

Pérdida de reputación

Ser hackeado ya es doloroso de por sí, pero si la noticia se hace pública, se producirá una pérdida irrecuperable en la imagen de su marca. Por ejemplo, Sony ya ha sido hackeada varias veces de forma muy grave y, en los círculos de seguridad, la empresa es una especie de hazmerreír.

Incluso si no se produce ninguna pérdida real de datos o dinero, buena suerte intentando convencer a sus clientes de que se escabullan 🙂 .

Facturas de infraestructura infladas 💰

Cuando su API se ejecuta en una infraestructura, consume recursos (ancho de banda, CPU y memoria, principalmente). Por ejemplo, si la API no está bien protegida y personas ajenas malintencionadas pueden interactuar con ella, es posible que obliguen a la API a seguir haciendo un montón de trabajo inútil (ejecutando pesadas consultas a bases de datos, por ejemplo), lo que puede disparar sus facturas por on motivos.

En las plataformas en las que está habilitado el escalado automático de los recursos (como AWS), los resultados pueden ser escandalosos (fuera de tema, pero si alguna vez le pillan en una sopa como esta en AWS, son bastante comprensivos con la situación y renuncian rápidamente a la factura inflada... ¡al menos hasta ahora!).

Moral de equipo

Puede que esté pensando que el equipo que permite que se produzcan estos compromisos perderá la moral por ellos. Bueno, no del todo. Es posible que los compromisos se debieran a una débil seguridad de la infraestructura, lo que desanimará a los desarrolladores o viceversa.

Si esto ocurre el tiempo suficiente, tendrá entre manos una cultura que lamentará haber dejado que se desarrolle.

Ganancias de la competencia

Supongamos que se ha producido una brecha, pero no ha habido pérdidas reales. Sin embargo, sus competidores utilizarán el incidente para promocionar su propia API y afirmar lo mucho más segura que es la suya (¡aunque no lo sea!). Una vez más, buena suerte intentando convencer al mercado 🙂 .

En definitiva, las violaciones de la seguridad tienen consecuencias que van más allá de la pérdida de dinero.

Mejores prácticas para proteger los puntos finales de las API

Afortunadamente, existen ciertas prácticas fáciles de implementar y bien comprendidas que puede aplicar a sus puntos finales de API para protegerlos. Esto es lo que recomiendan la mayoría de los expertos en seguridad.

HTTPS siempre 🔒

Si sus puntos finales de API permiten a los consumidores de API hablar a través de http u otros protocolos no seguros, los está poniendo en un gran riesgo. Las contraseñas, las claves secretas y la información de las tarjetas de crédito pueden ser robadas fácilmente ya que cualquier ataque man-in-the-middle, o la herramienta de sniffer de paquetes puede leerlas como texto plano.

Por lo tanto, haga siempre que https mar la único opción disponible. No importa lo trivial que pueda parecer un punto final, conectarse a través de http ni siquiera debería ser una opción. El certificado TLS no cuesta mucho; puede comprarlo por tan sólo 20 dólares en la tienda SSL.

https

Hashing unidireccional de contraseñas

Las contraseñas nunca deben almacenarse como texto sin formato, ya que en caso de que se produzca una brecha de seguridad, todas las cuentas de usuario se verán comprometidas. Al mismo tiempo, la encriptación simétrica debe evitarse estrictamente, ya que cualquier atacante lo suficientemente ingenioso y persistente será capaz de romperlas.

La única opción sugerida son los algoritmos de cifrado asimétricos (o "unidireccionales") para almacenar las contraseñas. De ese modo, ni un atacante ni ningún desarrollador o administrador de sistemas de la empresa podrá leer las contraseñas de los clientes.

Autenticación fuerte 💪

Ahora bien, casi todas las API tienen una forma de autenticación, pero en mi opinión, el sistema OAuth2 es el que mejor funciona. A diferencia de otros métodos de autenticación, divide su cuenta en recursos y sólo permite un acceso limitado al portador del auth token.

Al mismo tiempo, otra muy buena práctica es configurar los tokens para que caduquen cada, digamos, 24 horas, de modo que haya que actualizarlos. De esta forma, incluso si su token se filtra, existe la posibilidad de que el plazo de 24 horas reduzca el impacto de la brecha.

Aplique la limitación de tasas

A menos que tenga una API que utilicen millones de personas cada minuto, es una muy buena idea aplicar un límite de cuántas llamadas puede hacer un cliente a la API en una ventana de tiempo determinada.

Esto es sobre todo para disuadir a los bots, que pueden seguir enviando cientos de peticiones simultáneas cada segundo y hacer que su API se coma los recursos del sistema sin ninguna buena razón. Todos los marcos de desarrollo web vienen con un middleware limitador de velocidad (y si no, es bastante fácil añadirlo a través de una biblioteca) que sólo se tarda un minuto más o menos en configurar.

Validar la entrada

Esto parece una obviedad, pero se sorprenderá de cuántas API caen en este error. Validar la entrada no sólo significa comprobar que los datos entrantes están en un formato correcto, sino también que no hay sorpresas posibles. Un ejemplo sencillo es la inyección SQL, que puede acabar con sus bases de datos si deja pasar las cadenas de consulta sin apenas comprobarlas.

Otro ejemplo es validar el tamaño de la solicitud POST y devolver un código de error y un mensaje adecuados al cliente. Intentar aceptar y analizar entradas ridículamente grandes sólo servirá para reventar la API.

Aplique el filtrado de direcciones IP, si procede

Si se dedica a los servicios B2B y sus API son utilizadas por empresas de ubicaciones establecidas, considere la posibilidad de añadir una capa adicional de seguridad que restrinja las direcciones IP que pueden acceder a su API. Para cada nueva ubicación y cada nuevo cliente, será necesario comprobar la dirección IP con la solicitud entrante.

Sí, añade molestias a la incorporación, pero el resultado final es una seguridad mucho más estricta que la que se puede conseguir de otro modo.

Herramientas para aumentar la protección de las API

¿Existen herramientas que puedan ayudarnos a escanear la vulnerabilidad, o incluso mejor, ofrecer la primera línea de defensa cuando se trata de proteger las API?

Afortunadamente, sí. Existen varias herramientas que puede utilizar, pero tenga en cuenta que, al fin y al cabo, ninguna estrategia de seguridad es perfecta. Dicho esto, estas herramientas pueden multiplicar por mucho la seguridad de su API, por lo que son recomendables.

cierre seguro

AppTrana

Las funcionesdedicadas a la protección de API de AppTrana ofrecen una solución integral basada en el riesgo para proteger contra una amplia gama de amenazas de API, incluidos los 10 principales de API de OWASP, ataques DDoS y bot basados en API, amenazas incrustadas, fuga de datos, etc. Con un escaneo automatizado ilimitado de la API respaldado con pruebas de penetración manuales, supervisa continuamente su puntuación de riesgo para reforzar la postura de seguridad.

La protección de APIde AppTrana garantiza la solución más completa con la combinación de detección de riesgos, detección de amenazas de API, políticas de seguridad positivas de API, políticas DDoS específicas de API, módulos bot específicos de API y funciones de descubrimiento de API.

apptrana-api-waf

Su descubrimiento de API garantiza una visibilidad completa de las llamadas a API, incluidas las API no documentadas y las API en la sombra, para comprender su superficie de ataque de API. Esta protección dedicada a las API recopila información sobre los detalles de los usuarios, el comportamiento de uso de las API, la actividad de las amenazas, los mapas de llamadas a las API y mucho más para mostrar el estado de la protección con análisis en tiempo real.

Con AppTrana de Indusface, puede generar políticas específicas de API a medida para bloquear en tiempo real los abusos centrados en las API.

Cloudflare

El avanzado cortafuegos de aplicaciones web (WAF)de Cloudflare es crucial para garantizar aplicaciones y API seguras y eficientes. Defiende contra ataques DDoS, bloquea el acceso de bots no autorizados, detecta datos maliciosos y escanea en busca de ataques a la cadena de suministro del navegador.

YouTube vídeo

La extensa red mundial de Cloudflare facilita la transmisión de grandes cantidades de tráfico a través de su pasarela API. Para garantizar la seguridad de sus API, Cloudflare emplea un marco integral que abarca la detección de API, la gestión y el análisis integrados de API y las defensas de API por capas.

La puerta de enlace de API proporciona una gestión de API segura y eficaz, que incluye descubrimiento, seguridad de capa 7, TLS mutuo, seguridad positiva de API, detección de abusos y detección de datos confidenciales. Facilita la identificación y supervisión de puntos finales, protege contra ataques, implementa la autenticación, verifica los esquemas OpenAPI y evita las fugas de datos.

Cloudflare API Gateway protege contra los riesgos de API de OWASP.

Invicti

Invicti viene con una USP de "escaneo basado en pruebas". En términos más sencillos, a menudo es posible que las condiciones irregulares de la red o algunos comportamientos menos conocidos de la API se interpreten como brechas de seguridad, que más tarde se descubre que son erróneas.

Esto supone un derroche de recursos, ya que todas las vulnerabilidades notificadas deben ser escaneadas de nuevo manualmente para confirmar que no se trata de falsos positivos. Invicti afirma que la herramienta es capaz de proporcionarle una prueba de concepto lo suficientemente sólida para los informes, eliminando las dudas sobre los puntos débiles encontrados.

cuadro de mandos de netsparker

Con empresas como Sony, Religare, Coca-Cola, Huawei, etc., en su lista de clientes, puede estar seguro de que esta gente está haciendo algo bien 🙂 ...

Okta

okta

Pruebe Okta para que sus desarrolladores puedan concentrarse en mejorar la experiencia del usuario, así como en proteger los datos de su empresa de forma eficaz. Ofrece autorización OAuth 2.0 y está diseñado tanto para aplicaciones móviles como web. También es compatible con servicios de gestión de API de terceros.

Utilice Okta para crear, auditar y mantener todas las políticas de acceso a la API a través de consolas fáciles de usar y diseñadas a tal efecto, sin necesidad de códigos personalizados. Le ofrece flexibilidad adicional para que no tenga que asegurar su API utilizando instancias de pasarela adicionales.

Okta engloba políticas basadas en la identidad para controlar diferentes tipos de usuarios y servicios bajo un mismo techo. Define el acceso en función de perfiles de usuario, redes, grupos, consentimientos y clientes. Amplíe los tokens utilizando datos dinámicos de sus sistemas internos para disfrutar de una integración más rápida y una migración sin problemas.

Facilita una administración centralizada para las API y le permite proteger los recursos de las API. Okta se centra en la seguridad permitiéndole salvaguardar el acceso entre diferentes microservicios.

42crunch

42Crunch es una plataforma de seguridad de API para que los desarrolladores integren a la perfección medidas de seguridad en el proceso de desarrollo de API, garantizando pruebas, correcciones y protección proactivas desde el desarrollo hasta el tiempo de ejecución.

La plataforma cuenta con la confianza de grandes marcas como Verizon, Ford, Bridgestone, Allianz, etc.

YouTube vídeo

La empresa afirma ser la única plataforma que garantiza la gobernanza y el cumplimiento de la seguridad desde el diseño hasta el tiempo de ejecución.

Lo hace a través de API Audit, que realiza 300 comprobaciones de seguridad; API Scan, que detecta vulnerabilidades en pruebas y en tiempo de ejecución; y API Protect, que hace cumplir las políticas de seguridad de las API en tiempo de ejecución con un pequeño cortafuegos de microAPI en contenedores.

Las herramientas de comprobación de la seguridad de las API de 42Crunch ayudan a descubrir los puntos débiles de la seguridad de las API, mientras que API Protection garantiza la seguridad en tiempo de ejecución con la validación del contenido, la detección de amenazas, el control del tráfico y un microcortafuegos de API. Más de 800k desarrolladores adoptan las herramientas API de 42crunch.

Probablemente

Probablemente es un escáner de vulnerabilidades utilizado por empresas SaaS, desarrolladores, equipos de seguridad, DevOps y profesionales del cumplimiento. Escanea aplicaciones web y API, encuentra vulnerabilidades y ofrece informes detallados sobre cómo resolverlas.

YouTube vídeo

Algunas empresas punteras como Olx, Trend Micro y Entertainment Partners confían en esta plataforma, que admite diversas aplicaciones web y API, incluidos microservicios y API independientes que siguen una especificación OpenAPI (Swagger) o una colección Postman.

Probely proporciona una API documentada y adapta la gravedad de las vulnerabilidades en función del contexto. Se integra con las canalizaciones CI/CD, automatiza las pruebas de seguridad para aplicaciones web y API, y se sincroniza con las plataformas de seguimiento de incidencias.

Garantiza el cumplimiento de normas como PCI-DSS, OWASP TOP 10, ISO27001, HIPAA y GDPR. Pruébelo gratis durante 14 días.

APIsec

APIsec proporciona una plataforma automatizada para pruebas de seguridad de API proactivas y continuas. Genera confianza en el cliente probando exhaustivamente las actualizaciones y los lanzamientos para garantizar un entorno de producción seguro.

La plataforma automatiza las pruebas exhaustivas de seguridad de las API a lo largo del ciclo de vida de desarrollo del software (SDLC). Permite el descubrimiento de API, el análisis y la ejecución de escenarios de ataque personalizados antes de la producción.

YouTube vídeo

APIsec ayuda a deshacerse de las repetitivas pruebas manuales de terceros automatizando las pruebas de seguridad de las API.

APIsec se integra a la perfección con las plataformas de CI/CD, ticketing y comunicación, garantizando un flujo de trabajo fluido. Alinear las pruebas de penetración de API con la evaluación de riesgos permite detectar problemas de seguridad en una fase temprana, reduciendo la deuda técnica en el desarrollo de aplicaciones.

La plataforma ofrece un escáner de API no autenticado, gratuito, para identificar configuraciones erróneas y otros fallos de seguridad básicos. También ofrece cursos gratuitos como Fundamentos de la seguridad de las API y Pruebas de penetración de API expertas; si está interesado, puede visitar la Universidad APIsec.

Cequence

Cequence es una plataforma multipremiada para el descubrimiento, el inventario, el cumplimiento y las pruebas dinámicas de API. La plataforma ayuda en la identificación y prevención de fraudes, ataques, exploits y fugas de datos en tiempo real.

YouTube vídeo

Ofrece una solución integral para identificar las superficies de ataque de las API con el fin de garantizar la protección frente a las amenazas, así como el cumplimiento de la normativa. La plataforma puede integrarse fácilmente con su infraestructura de seguridad y API existente.

Cequence afirma haber ahorrado millones de dólares y miles de millones de usuarios al tiempo que garantiza la seguridad de las transacciones. Algunas de las principales empresas que utilizan esta plataforma son RBS, American Express, Ulta Beauty, PoshMark, T-mobile, Telstra, etc.

El descubrimiento de API y la evaluación de riesgos, la corrección de la exposición de datos sensibles, la prevención de la toma de control de cuentas y la evaluación de riesgos de API son algunas de sus características clave. La plataforma ofrece una evaluación gratuita de la seguridad de las API.

Conclusión

No hay escasez de herramientas de seguridad de API disponibles en el mercado, ya sean de código abierto, gratuitas o comerciales, o cualquier combinación de éstas.

Pruebe algunas de ellas de la lista y vea cuál se adapta mejor a sus necesidades.

  • Ankush
    Autor
    Escribo sobre, alrededor y para el ecosistema de los desarrolladores. Recomendaciones, tutoriales, debates técnicos... Sea lo que sea lo que publique, hago todo lo posible por eliminar la confusión y la palabrería y ofrecer respuestas prácticas basadas en la experiencia personal... Seguir leyendo
Etiquetado como
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder