COMENTARIO
La mayoría de las empresas son objetivos fáciles cuando se trata de seguridad API. En mis dos décadas en seguridad de TI, nunca he visto un panorama de amenazas evolucionar tan rápida y peligrosamente como el que rodea a las API. Y aquí está el problema: la mayoría de las organizaciones no son conscientes de la bomba de tiempo que se encuentra dentro de su infraestructura digital.
Recuerde la violación de Optus ¿Las API expusieron 9,8 millones de registros de clientes el año pasado? Esto fue sólo la punta del iceberg. Las API son el nuevo objetivo favorito de los piratas informáticos, y con razón. Están en todas partes, a menudo mal protegidos y llenos de datos jugosos.
No me crees ? Veamos algunos números. Una auditoría de seguridad reciente para un cliente fintech de tamaño mediano reveló la asombrosa cifra de 5.743 API distintas en uso. Hace cinco años, esta cifra era 486. Esto no es una anomalía, es la nueva normalidad.
Pero aquí es donde da miedo: la mayoría de las empresas aún no han descubierto cuántas API utilizan. Es como salir de casa con todas las ventanas y puertas abiertas y luego preguntarte por qué te robaron.
Tomemos el ejemplo reciente de la debacle de Twilio. Un único punto final API inseguro expuso 33 millones de números de teléfono asociados con cuentas Authy. según Trend Micro. Los atacantes no necesitaban herramientas sofisticadas ni conocimientos internos. Introducieron una lista de números de teléfono en una API y observaron el flujo de datos. Fue así de simple.
O Considere el fiasco del Pelotón de 2021. Una API defectuosa permitía a cualquiera acceder a los datos privados de los usuarios sin autenticación. Se tuvieron en cuenta la edad, el sexo y la ubicación.
Estos no son incidentes aislados. Estos son síntomas de un problema sistémico en nuestro enfoque de la seguridad de API. Construimos rascacielos digitales sobre cimientos de arena y nos maravillamos cuando se derrumban.
Entonces, ¿qué puede hacer usted al respecto? Aquí hay algunas medidas prácticas:
Pon tu casa en orden. Comienza a catalogar todas las API de tu ecosistema. No puedes asegurar lo que no sabes que existe. Puede utilizar herramientas de descubrimiento automatizadas si es necesario, pero puede obtener un inventario completo.
Adopte un enfoque de confianza cero. Trate cada llamada a la API como potencialmente maliciosa, independientemente de su origen. Implemente autenticación y autorización sólidas para cada punto final. Sin excepciones.
Limita todo. No permita que los atacantes abrumen sus API con solicitudes. Establezca límites razonables y aplíquelos rigurosamente.
El control de versiones es tu amigo. Implemente un sistema de versiones robusto para sus API. Cuando se descubren vulnerabilidades (y se descubrirán), es necesario poder desaprobar y deshabilitar rápidamente las versiones anteriores.
Capacite a sus desarrolladores. La mayoría de las vulnerabilidades de las API surgen de la falta de conocimiento de la seguridad por parte de los desarrolladores. Invierta en sesiones de capacitación periódicas centradas explícitamente en las mejores prácticas de seguridad de API.
Monitorear agresivamente. Implemente herramientas avanzadas de análisis y monitoreo del comportamiento. Asegúrese de buscar anomalías en los patrones de tráfico de API. Cuanto antes detecte una actividad inusual, más probabilidades tendrá de evitar una infracción.
Pruebas de penetración periódicas. No espere a que los piratas informáticos descubran sus vulnerabilidades. Realice pruebas de penetración centradas en API con regularidad y solucione cualquier problema que descubra.
Esta es la dura realidad: si sólo haces algunas de estas cosas, probablemente seas el siguiente en la lista de objetivos. Los atacantes son cada vez más innovadores, ingeniosos y persistentes. Están probando tus defensas mientras hablamos, buscando esa API débil que les dará las llaves de tu reino.
La cuestión no es si se producirá la próxima gran infracción, sino cuándo se producirá. Y cuando suceda, la pregunta no será: “¿Cómo sucedió esto?” » Sabemos cómo sucederá esto. La pregunta será: “¿Por qué no hicimos más para prevenirlo?” »
Es hora de tomar conciencia de la crisis de seguridad de las API y dejar de tratarla como un problema secundario o un complemento. Con visibilidad a nivel de junta directiva y recursos dedicados, debería estar a la vanguardia de su estrategia de seguridad.
Porque si no te tomas en serio la seguridad de la API ahora, te verás obligado a tomarla en serio después de una infracción. Y para entonces ya será demasiado tarde.
La decisión es tuya. Actúe ahora o explique a sus clientes más tarde por qué no lo ha hecho.
consideraciones adicionales
Al analizar más de cerca la crisis de seguridad de las API, es fundamental comprender que no se trata sólo de un problema técnico, sino también de un problema empresarial. Las repercusiones de una violación importante de la API pueden ser devastadoras y afectar todo, desde los resultados de su empresa hasta su reputación en el mercado.
Considera lo siguiente:
Conformidad normativa. Con regulaciones como GDPR, CCPA y otras cada vez más estrictas, la seguridad de API ya no se trata solo de protección de datos: también se trata de evitar multas elevadas y problemas legales. Una infracción podría costarle a su empresa millones de dólares en sanciones y causar daños a largo plazo a su marca.
Riesgo de terceros. Es probable que su ecosistema API se extienda más allá de su organización. Las integraciones y asociaciones con terceros pueden representar una vulnerabilidad significativa si no se gestionan adecuadamente.
Evolución de los vectores de ataque. Los atacantes están innovando constantemente. Desde el envenenamiento de API hasta el abuso de GraphQL, están surgiendo nuevos vectores de ataque a una velocidad que muchas organizaciones no pueden seguir.
Seguimiento y mejora continua. El panorama de la seguridad de las API no es estático. Lo que hoy es seguro puede ser vulnerable mañana. Asegúrese de que su postura de seguridad de API evolucione con el panorama de amenazas.
Recuerde, la seguridad de su API depende de su eslabón más débil. Es hora de fortalecer todos los aspectos de su ecosistema API antes de que sea demasiado tarde. El futuro de su negocio bien podría depender de ello.