Proteger las API: ¿misión imposible?
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
La seguridad de las API es difícil, pero con una formación adecuada, una planificación y un enfoque en las mejores prácticas, se pueden mitigar incluso las vulnerabilidades más insidiosas.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
Tabla de contenido
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
