VULNERABILIDADES DE API MÁS EXPLOTADAS EN 2022

Es de conocimiento común que mantener un alto nivel de seguridad cibernética se ha convertido rápidamente en una de las principales prioridades para las empresas de todos los tamaños, y esto es particularmente cierto para las empresas que operan en sectores que manejan información confidencial del consumidor. Es esencial para estas empresas, mientras trabajan con el objetivo de desarrollar planes de seguridad efectivos, tener en cuenta las numerosas vulnerabilidades y vectores de ataque que existen.

La seguridad de las API es un área que necesita mucha investigación. Las interfaces de programación de aplicaciones a veces conocidas como API para abreviar se han convertido en un componente estándar para la construcción de negocios conectados digitalmente. No solo ayudan en las transiciones digitales clave sino que también facilitan la comunicación y los procesos comerciales esenciales. Por lo tanto no debería sorprender que la cantidad promedio de API utilizadas por una organización haya aumentado en el transcurso del último año.

El proceso de desarrollar una estrategia de seguridad para una API es difícil. Las API brindan un conjunto distinto de desafíos de seguridad, muchos de los cuales no pueden abordarse adecuadamente con las medidas de seguridad convencionales, como los firewalls de aplicaciones web o los sistemas de administración de acceso e identidad. Lo primero que hay que hacer para hacerlo correctamente es tener una comprensión de las limitaciones típicas.

LAS 5 VULNERABILIDADES DE API MÁS COMÚNMENTE UTILIZADAS Y CÓMO SOLUCIONARLAS

El Open Web Application Security Project (OWASP) ha compilado una lista de las diez principales amenazas para las interfaces de programación de aplicaciones (API) que se pueden encontrar en su API Security Top 10. A continuación, examinaremos algunas de las más frecuentes en más detalle.

AUTENTICACIÓN DE NIVEL DE OBJETO ROTO (BOLA)

Los atacantes pueden explotar fácilmente los puntos finales de la API en las API que han fallado en la autenticación a nivel de objeto porque pueden manipular la ID de un objeto que se entrega junto con una solicitud de API. Cual es el resultado? Las deficiencias en el sistema de autorización de BOLA pueden dar lugar a la lectura, alteración o eliminación no autorizada de datos, o incluso a la apropiación completa de una cuenta.

BOLA es responsable del cuarenta por ciento de todos los ataques a API en la actualidad. Las medidas de seguridad tradicionales, como los WAF o las puertas de enlace API, no pueden reconocerlos como anormales en el comportamiento estándar de la API, que es una de las razones clave por las que están tan extendidos. En su lugar, las organizaciones necesitan una solución API que pueda identificar instancias en las que un usuario autenticado intenta obtener acceso ilegal a los datos de otro usuario.

AUTENTICACIÓN DE USUARIO INEFICAZ

Un sistema de autenticación de usuario que no funcione correctamente en una API puede deberse a una variedad de problemas diferentes. Esto incluye tener una contraseña insuficientemente difícil o tener una mala higiene de contraseñas, no tener umbrales de bloqueo de cuentas tener períodos prolongados para rotaciones de contraseñas o certificados o depender solo de claves API para la autenticación.

Los ciberdelincuentes pueden adquirir acceso a las aplicaciones mediante ataques relacionados con la autenticación como el relleno de credenciales y los ataques de fuerza bruta cuando una API ha roto la autenticación del usuario. Estos ataques se pueden usar cuando una API ha roto la autenticación del usuario. Una vez que los atacantes han obtenido acceso al sistema, pueden tomar el control de las cuentas de los usuarios, modificar datos o realizar actividades ilegales.

Las medidas de seguridad convencionales a menudo carecen de la capacidad de monitorear el tráfico a lo largo del tiempo, lo que significa que no pueden detectar de manera efectiva ataques de gran volumen, como el relleno de credenciales. Este es uno de los principales inconvenientes de las medidas de seguridad tradicionales. A la luz de esto, una solución para la seguridad de API debería poder reconocer actividades aberrantes en comparación con un procedimiento de autenticación estándar.

EXPOSICIÓN EXCESIVA DE DATOS

La mayoría de las interfaces de programación de aplicaciones (API), en un esfuerzo por maximizar la eficiencia, a menudo se diseñan para proporcionar más datos en las respuestas de la API de lo estrictamente necesario. Este es uno de los problemas más frecuentes con las API. Luego pasan la responsabilidad de filtrar la información y mostrarla al usuario en la aplicación del cliente. El hecho de que los atacantes puedan utilizar los datos duplicados para obtener información confidencial de la API es un problema causado por esta situación.

Aunque algunas soluciones de seguridad convencionales pueden reconocer este tipo de vulnerabilidad, no siempre pueden diferenciar entre los datos confidenciales que la API no debería proporcionar y los datos legales que la API ha devuelto. Esto indica que un usuario debe poder ser identificado por una solución de seguridad API cuando accede a una cantidad excesiva de datos confidenciales.

INSUFICIENCIA DE RECURSOS E IMPOSICIÓN DE LÍMITES TARIFARIOS

No suele ser el caso pero en ocasiones las interfaces de programación de aplicaciones (API) pueden no poner límites a la cantidad de recursos que un usuario o cliente puede solicitar. Debido a esto, son susceptibles a interrupciones del servidor que pueden resultar en denegación de servicio así como ataques de enumeración y de fuerza bruta dirigidos a las API que son responsables de la autenticación y la recuperación de datos. Además, los atacantes pueden generar ataques automatizados contra las API que no tienen restricciones. Estos ataques pueden incluir el descifrado de credenciales y el descifrado de tokens.

Los sistemas tradicionales a menudo proporcionarán al menos algunas capacidades fundamentales de limitación de velocidad; sin embargo, no siempre es sencillo instalar esta característica a escala. Debido a esto estas tecnologías de seguridad a menudo carecen del contexto necesario para detectar un ataque mientras está en curso. Una solución de seguridad de vanguardia para las API debería poder detectar cualquier comportamiento que se desvíe de los parámetros de uso típicos e informarlo.

VULNERABILIDADES EN LA CONFIGURACIÓN DE SEGURIDAD

Una variedad de configuraciones incorrectas de seguridad tienen el potencial de introducir inadvertidamente vulnerabilidades en las interfaces de programación de aplicaciones (API). La configuración incompleta los encabezados HTTP configurados incorrectamente, los mensajes de error detallados, el almacenamiento en la nube abierto y otros problemas similares son ejemplos de este tipo de vulnerabilidades. Los atacantes pueden utilizarlos para obtener más información sobre los componentes de la API y luego utilizar sus conocimientos recién adquiridos para aprovechar las configuraciones incorrectas como parte de su ataque.