¿Qué es la seguridad en las API?
Un elemento fundamental de la innovación en el mundo actual impulsado por las aplicaciones es la API. Desde bancos, comercio minorista y transporte hasta IoT, vehículos autónomos y ciudades inteligentes, las API son una parte fundamental de las aplicaciones web, SaaS y móviles modernas y se pueden encontrar en aplicaciones internas y orientadas al cliente.
Por naturaleza, las API exponen la lógica de la aplicación y los datos confidenciales, como la información de identificación personal (PII), y debido a esto se han convertido cada vez más en un objetivo para los atacantes. Sin API seguras, la innovación rápida sería imposible.
Junto con el OWASP Top 10 de Mobile 2023 y OWASP Serverless Top 10, el nuevo API Security Top 10 de 2023 se enfoca en estrategias y soluciones para comprender y mitigar las vulnerabilidades únicas y los riesgos de seguridad de las interfaces de programación de aplicaciones (API).
Los 10 principales en seguridad de API de 2023
API1:2023 - Autorización de nivel de objeto roto
Las API tienden a exponer puntos finales que manejan identificadores de objetos, creando una amplia superficie de ataque de problemas de control de acceso a nivel de objeto. Las verificaciones de autorización a nivel de objeto deben considerarse en cada función que acceda a una fuente de datos utilizando una ID del usuario. Sigue leyendo.
API2:2023 - Autenticación rota
Los mecanismos de autenticación a menudo se implementan incorrectamente, lo que permite a los atacantes comprometer los tokens de autenticación o explotar fallas de implementación para asumir las identidades de otros usuarios de forma temporal o permanente. Comprometer la capacidad de un sistema para identificar al cliente/usuario compromete la seguridad de la API en general. Sigue leyendo.
API3:2023 - Autorización de nivel de propiedad de objetos rotos
Esta categoría combina API3:2019 Exposición excesiva de datos y API6:2019 - Asignación masiva, centrándose en la causa raíz: la falta o la validación de autorización incorrecta en el nivel de propiedad del objeto. Esto conduce a la exposición o manipulación de la información por parte de personas no autorizadas. Sigue leyendo.
API4:2023 - Consumo de recursos sin restricciones
Satisfacer las solicitudes de la API requiere recursos como el ancho de banda de la red, la CPU, la memoria y el almacenamiento. Los proveedores de servicios ponen a disposición otros recursos como correos electrónicos/SMS/llamadas telefónicas o validación biométrica a través de integraciones API y se pagan por solicitud. Los ataques exitosos pueden conducir a una denegación de servicio o un aumento de los costos operativos. Sigue leyendo.
API5:2023 - Autorización de nivel de función rota
Las políticas de control de acceso complejas con diferentes jerarquías, grupos y roles, y una separación poco clara entre funciones administrativas y regulares, tienden a generar fallas de autorización. Al explotar estos problemas, los atacantes pueden obtener acceso a los recursos y/o funciones administrativas de otros usuarios. Sigue leyendo.
API6:2023 - Acceso sin restricciones a flujos comerciales confidenciales
Las API vulnerables a este riesgo exponen un flujo comercial, como comprar un boleto o publicar un comentario, sin compensar cómo la funcionalidad podría dañar el negocio si se usa excesivamente de manera automatizada. Esto no necesariamente proviene de errores de implementación. Sigue leyendo.
API7:2023 - Falsificación de solicitud del lado del servidor
Las fallas de falsificación de solicitud del lado del servidor (SSRF) pueden ocurrir cuando una API obtiene un recurso remoto sin validar el URI proporcionado por el usuario. Esto permite que un atacante coaccione a la aplicación para que envíe una solicitud manipulada a un destino inesperado, incluso cuando esté protegida por un firewall o una VPN. Sigue leyendo.
API8:2023 - Configuración incorrecta de seguridad
Las API y los sistemas que las respaldan suelen contener configuraciones complejas, destinadas a hacer que las API sean más personalizables. Los ingenieros de software y DevOps pueden pasar por alto estas configuraciones o no seguir las mejores prácticas de seguridad en lo que respecta a la configuración, lo que abre la puerta a diferentes tipos de ataques. Sigue leyendo.
API9:2023 - Gestión de inventario inadecuada
Las API tienden a exponer más puntos finales que las aplicaciones web tradicionales, lo que hace que la documentación adecuada y actualizada sea muy importante. Un inventario adecuado de hosts y versiones de API implementadas también es importante para mitigar problemas como versiones de API en desuso y puntos finales de depuración expuestos. Sigue leyendo.
API10:2023 - Consumo no seguro de API
Los desarrolladores tienden a confiar más en los datos recibidos de las API de terceros que en las entradas de los usuarios, por lo que tienden a adoptar estándares de seguridad más débiles. Para comprometer las API, los atacantes buscan servicios integrados de terceros en lugar de intentar comprometer la API de destino directamente. Sigue leyendo.
Si no estás familiarizado con la serie OWASP top 10, le recomendamos consultar al menos los siguientes 10 proyectos principales:
- OWASP Cloud-Native Application Security Top 10
- OWASP Desktop App Security Top 10
- OWASP Docker Top 10
- OWASP Low-Code/No-Code Top 10
- OWASP Machine Learning Security Top Ten
- OWASP Mobile Top 10
- OWASP TOP 10
- OWASP Top 10 CI/CD Security Risks
- OWASP Top 10 Client-Side Security Risks
- OWASP Top 10 Privacy Risks
- OWASP Serverless Top 10