Estos pequeños programas de enlace son viejos conocidos de programadores y desarrolladores.

En el terreno empresarial se han convertido en herramientas que ‘salvan la vida’ de los responsables tecnológicos. Pero también se la pueden complicar bastante: son muy prácticas, pero vulnerables en lo que respecta a la ciberseguridad.

Presentación, ¿qué son las API?

Empecemos por el principio: una interfaz de programación de aplicaciones, o API, es básicamente un medio de comunicación entre una fuente de datos y un interfaz o una aplicación de usuario.

Son ellas quienes permiten que la comunicación y los datos fluyan entre los distintos sistemas y plataformas. Y son de uso tan común que las encontramos en una aplicación para ver los movimientos de la bolsa, el ránking de cualquier deporte, la meteorología o cualquier chat de mensajería pública.

En las empresas, las APIs permiten a los desarrolladores estructurar sus programas para mostrar datos de forma eficiente, incluso si provienen de fuentes externas.

Se usan, por ejemplo, para gestionar redes sociales, chatear, escribir mails personalizados, para visualización de datos… También y cada vez más, para utilizar, gestionar y almacenar en la nube (sobre todo si es una nube ajena como las súper seguras Salesforce, IBM o Amazon, pero también cualquier otra plataforma en cloud más pequeña y, por tanto, con más vulnerabilidades). 

La importancia de las API para las empresas

La infraestructura tecnológica necesaria de una empresa (de cualquier tipo y sin importar si es grande o pequeña) es cada vez más variada y compleja.

Así, para ofrecer una experiencia digital sencilla, coherente y eficiente a los usuarios, es fundamental que la comunicación entre aplicaciones sea fluida.

Las API, como decimos, son quienes permiten esa comunicación pero el problema (potencial problema al menos) es que suelen ser desarrollos de terceros. Y por mucho que estén pensadas para la integración sencilla (ese es su trabajo, después de todo), no siempre lo están para garantizar su propia seguridad.  

“Una regla básica de la ciberseguridad de última generación es la ‘confianza cero’. Es decir, debe haber el mínimo de administradores autorizados y comprobar cualquier interacción como si fuera potencialmente peligrosa. Esto, cuando se trabaja con aplicaciones de terceros, es mucho más complicado”, explica Hervé Lambert Global Consumer Operations Manager de Panda Security. 

Por tanto, si atendemos a ese principio de Confianza Cero, parece evidente que dejar entrar a terceros en tu sistema puede tener sus riesgos.

Las APIs son un objetivo atractivo para los ciberdelincuentes, ya que pueden utilizarse para robar datos, acceder a sistemas internos o causar daños.

Si no se protegen bien, por tanto, pueden suponer un riesgo importante. 

Cuídate cuidando tus APIs

Según el informe API Security Disconnect 2023, el 78% de los profesionales de ciberseguridad se ha enfrentado a algún incidente de seguridad relacionado con APIs sólo en el último año.

Puesto que todos los sistemas de cualquier empresa moderna están interconectados y las APIs son tan esenciales como el interruptor de una instalación eléctrica o un empalme de fontanería, garantizar su seguridad es clave para el buen estado general de toda la infraestructura.

Que sólo una de ellas esté comprometida, supone abrir puertas a los ciberdelincuentes para que puedan explotar las vulnerabilidades en todo el sistema.

“Una regla básica de la ciberseguridad de última generación es la ‘confianza cero’. Es decir, debe haber el mínimo de administradores autorizados y comprobar cualquier interacción como si fuera potencialmente peligrosa. Esto, cuando se trabaja con aplicaciones de terceros como las API, es mucho más complicado”.

Consecuencias de un ciberataque a través de las API

Un sistema inestable o débilmente protegido puede provocar filtraciones de datos por accidente, pero también ataques de inyección de malware o DDoS (denegación de servicio) que buscan saturar a la API en cuestión para corromperla, por ejemplo. 

En los últimos años no han sido pocos los casos de brechas de seguridad en algunas de ellas, y es que, los hackers han desarrollado sofisticadas técnicas para abordar estas debilidades de manera específica.

Por ejemplo, pueden aprovechar las inyecciones de código malicioso en una query, manipular respuestas para obtener acceso no autorizado o extraer información confidencial sobre los usuarios.

WAF y Gateways: seguridad propia de las API

Es cierto que las propias API, aunque no especializadas en seguridad, suelen contar con gateways y cortafuegos web integrados, pero también que este tipo de sistemas carece de un control de acceso específico (aunque sí tengan capacidades de autenticación básicas) que puede ser necesario en entornos complejos como las empresas, en las que se utilizan sistemas como roles de usuario o permisos por niveles de autorización.

Además, tampoco suelen estar preparadas para hacer frente a ataques ‘modernos’, como puede ser un ataque business logic, para los que esos firewalls web para API (WAF) tradicionales no están preparados. 

Protección para las API

Por otro lado, al estar configuradas de manera general, las API suelen carecer de inteligencia de respuesta frente a amenazas complejas, con lo que un hacker avezado puede fácilmente idear un ataque que, por ejemplo, aborde la vulnerabilidad antes de llegar al gateway o WAF para no ser detectado.

Para protegerse de manera efectiva en este aspecto, es necesario un conocimiento más profundo de los procesos del negocio. Además también hay que implementar medidas de seguridad personalizadas dentro del código mismo de la API. Es decir, hacerlo ‘desde dentro’ de la empresa.

“Las consecuencias de un ciberataque a través de las API pueden llegar a ser importantes, tanto para las empresas como para los usuarios. Empezando por las violaciones a la protección de datos (con sus consiguientes multas) y siguiendo por pérdidas o borrado de los datos, acceso a sistemas internos y, finalmente, el daño a su reputación”, explica Lambert.

La respuesta está, como casi siempre, en la inversión en ciberseguridad, tanto en medidas de seguridad lógica como en vigilancia constante de toda la red y de los controles de acceso. Si las API forman parte de la gestión de la compañía, que sean también de su estrategia de ciberseguridad.