Los 3 errores de seguridad más comunes de las APIs y cómo resolverlos
Paradigma Digital nos explica cómo protegerse de los ataques que sufren las APIs, los más frecuentes durante 2022 según Gartner.
Durante 2022, las APIs han sido el vector de ataque más frecuente, según datos de Gartner. Exponer una API supone una puerta de acceso a los datos del usuario y en el caso de las empresas da entrada a la propia organización. Desde autenticaciones comprometidas hasta simples errores de configuración, existen numerosos problemas de seguridad.
Desde el equipo de tecnología de Paradigma Digital han querido recordar la importancia de la seguridad de las APIs y han analizado los tres errores más habituales y cómo evitar las posibles vulnerabilidades.
Control de Acceso a las APIs
El primer problema que indican desde Paradigma Digital es el control de acceso, pues implica problemas en los procesos de autenticación y de autorización. En el caso de la autenticación supone que los atacantes puedan comprometer usuarios y contraseñas para asumir otra identidad. Respecto a la autorización pueden explotar funcionalidades para las que no están autorizadas, como ver datos de otros usuarios.
Tal y como ha explicado Noelia Martín Hernández, Consultora API en Paradigma Digital: “A nivel de autenticación lo ideal es utilizar mecanismos estándar de autenticación y generación de tokens, minimizar el tiempo de validez de los tokens, testear de manera periódica y automatizada todas las posibles formas de autenticación, en especial el proceso de reseteo de contraseña e implementar políticas de bloqueo severas y de contraseña seguras”.
Para hacer frente a los ataques dirigidos a la autorización, una solución pasa por limitar el acceso a los usuarios según el rol para garantizar que solo las personas con los permisos puedan acceder y modificar los recursos de la API. Otra de las soluciones pasa por verificar el acceso a nivel objeto, pero para hacer esa comprobación, es necesaria la validación de los identificadores de los recursos API.
Número de peticiones y mensajes
El segundo problema hace referencia a la ausencia de restricciones en el número de peticiones y tamaño de los mensajes. Los atacantes tienden a usar la fuerza bruta para adivinar credenciales de usuarios, realizar ataques de denegación de servicio y sobrecargar la API para que deje de estar disponible, incluso si un recurso expone una API con paginación, solicitar una página de tamaño excesivo que supera su capacidad.
Para soluciones este tipo de ataques facilitados por la ausencia de restricciones en el número de peticiones y tamaño de los mensajes, desde Paradigma Digital recomiendan que lo ideal es definir un rate-limit a nivel de API, métodos y cliente origen de las peticiones, así como limitar el tamaño de los mensajes que retorna la API.
Ataques a nivel de datos
El tercer y el último de los problemas tiene que ver con los ataques a nivel de datos, producidos porque las APIs no protegen adecuadamente datos sensibles como información personal, financiera o sanitaria. En este caso, los atacantes pueden robar o modificar esos datos protegidos de forma inadecuada para llevar a cabo fraudes, robos de identidad u otros delitos.
Para prevenir esta vulnerabilidad es necesario validar de forma estricta los datos tanto de petición como de respuesta. Para lograr de forma efectiva esta validación lo ideal es definir esquemas y patrones de la información que se admite y, por último, realizar un análisis riguroso de los datos que se envían en la respuesta para justificar su uso.