El crecimiento exponencial de la demanda de aplicaciones Web y API las ha transformado en objetivos muy lucrativos para la ciberdelincuencia, al grado que los ataques cibernéticos hacia éstas aumentaron un 49% entre el primer trimestre de 2023 y el de 2024, de acuerdo al informe de Akamai Fortalezas digitales bajo asedio: amenazas a las arquitecturas de aplicaciones modernas. Los actores de amenazas buscan explotar las brechas de seguridad de las API para obtener acceso no autorizado a los datos valiosos de la víctima. De hecho, varias filtraciones de datos de gran repercusión en los últimos meses se han relacionado con el abuso o la explotación de las vulnerabilidades de las API.

A decir de Patricio Villacura, Especialista de Seguridad Empresarial para Akamai, “las API intrínsecamente no cuentan con las medidas de seguridad necesarias, todas las medidas dependerán de que tan robusta es la codificación y diseño de una API. A medida que las aplicaciones se integran cada vez más en todos los aspectos de la empresa, la compleja red de conexiones que las hacen funcionar es constantemente sondeada por malware, bots y otros atacantes que buscan puntos débiles de seguridad que explotar”.

El abuso de las API es una preocupación cada vez mayor para las empresas y organizaciones que dependen de ellas para proporcionar acceso a sus servicios y datos. Éste puede adoptar muchas formas, desde el acceso no autorizado y las filtraciones de datos a los ataques DDoS y el spam. Para evitar dichas acciones, es esencial implementar medidas de seguridad de API sólidas.

De acuerdo con el mencionado informe de Akamai, se observaron 108,000 millones de ataques a API entre el primer trimestre de 2023 y el de 2024. A fin de mejorar la seguridad de las API, se requiere de la inteligencia artificial (IA) y de machine learning (ML) para detectar y responder a ataques dinámicos dirigidos a las vulnerabilidades únicas de cada API. De esta manera, se podrán detectar amenazas de manera automatizada.

“La IA y el ML son importantes para reforzar la seguridad en las API, ya que se puede perfilar el comportamiento de uso de APIs en miras a la búsqueda del nivel cumplimiento de estándares como OWASP 10,  que es un gran recurso básico para desarrollar código seguro. Por ejemplo,  la obligatoriedad de autenticar al usuario que está haciendo uso de ellas o el nivel real de su usabilidad evitando así abusos en la cantidad de consultas para el cual el negocio normalmente las requiere, u otras variables a detectar como el tipo de información que es manejada por la API evitando así el uso de información sensible ya sea personal o del tipo de negocio que usa”, dijo Patricio Villacura.

Afortunadamente las vulnerabilidades o falencias de configuración de las API pueden ser detectadas en forma proactiva por herramientas del tipo API Security que unido a otras soluciones como WAF, DDoS, API Gateways permiten reforzar las medidas de seguridad para garantizar que las API operen de forma correcta minimizando el potencial impacto en el negocio”, expresó Patricio Villacura.

El experto de Akamai dijo que es necesario entender y limitar el acceso a la información o recursos que las API legítimas y autenticadas puedan acceder (de igual forma como en un edificio se controla el acceso a una persona… una vez ya validado el usuario debemos entender y limitar a qué dependencias del edificio pueda ingresar), siempre con el fin de restringir el acceso a la información necesaria (una especie de Zero Trust, pero desde el lado de las API). Es precisamente ahí donde la IA y el machine learning entregan una potente ventaja para poder comprender el perfil de comportamiento y las introducciones de brechas de seguridad”, enfatizó.

El aprendizaje automático brinda protección automática y proactiva contra ataques DDoS en la capa de aplicación, mientras que un asistente de IA integrada directamente en el análisis de seguridad web permite a los usuarios filtrar y consultar rápidamente información de seguridad en todos los atributos de datos (que incluye tipos de ataques, direcciones IP, países, puntuaciones de amenazas y docenas más), a través de una interfaz intuitiva basada en chat. Al aprovechar la IA, los usuarios pueden acceder instantáneamente a información de seguridad relevante, agilizar la exploración de datos y mejorar la eficiencia de la investigación.

Por último, Patricio Villacura dijo que entre los retos de añadir una nueva capa de seguridad basada en IA y machine learning,  es que dichas tecnologías estén alineadas a la lógica del negocio en particular.  Este es el gran desafío a abordar cuando se detectan APIs que manejan información sensible, o eventualmente son abusadas para ganar accesos a recursos que no debieran ser accesibles, entre otras, discernir entre un comportamiento correcto y uno que no lo es.  Este no es solo un desafío exclusivo de las áreas de ciberseguridad ya que es clave integrar un trabajo arduo con las áreas de Desarrollo y Operaciones (DevOps) a fin de afrontar de la mejor manera la seguridad de las API.

Shares: