30
Nov

Entre las noticias más destacadas que conseguimos en los portales web queremos compartirles las nuevas actualizaciones del sistema API para prevenir las vulnerabilidades dentro de la web para este 2022. El equipo de MásQueSeguridad, junto con Rafael Núñez Aponte, buscan que dentro de la plataforma web encuentren no solo los mejores servicios y profesionales en cuanto a ciberseguridad, también que las personas tengan material actualizado y las últimas noticias en cuanto a seguridad informática.

En este sentido, compartimos la nota de prensa del portal Noticias Seguridad donde detallan toda la información de las actualizaciones de API. Recordemos que este sistema busca garantizar un conjunto de distintos desafíos de seguridad, de los cuales muchos no pueden abordarse adecuadamente con las medidas de seguridad convencionales.

Es de conocimiento común que mantener un alto nivel de seguridad cibernética se ha convertido rápidamente en una de las principales prioridades para las empresas de todos los tamaños, y esto es particularmente cierto para las empresas que operan en sectores que manejan información confidencial del consumidor. Es esencial para estas empresas, mientras trabajan con el objetivo de desarrollar planes de seguridad efectivos, tener en cuenta las numerosas vulnerabilidades y vectores de ataque que existen.

La seguridad de las API es un área que necesita mucha investigación. Las interfaces de programación de aplicaciones, a veces conocidas como API, se han convertido en un componente estándar para la construcción de negocios conectados digitalmente.

No solo ayudan en las transiciones digitales clave, sino que también facilitan la comunicación y los procesos comerciales esenciales. Por lo tanto, no debería sorprender que la cantidad promedio de API utilizadas por una organización haya aumentado en el transcurso del último año.

El proceso de desarrollar una estrategia de seguridad para una API es difícil. Estas brindan un conjunto distinto de desafíos de seguridad, muchos de los cuales no pueden abordarse adecuadamente con las medidas de seguridad convencionales, como los firewalls de aplicaciones web o los sistemas de administración de acceso e identidad. Lo primero que hay que hacer para hacerlo correctamente es tener una comprensión de las limitaciones típicas.

5 vulnerabilidades de API más utilizadas y cómo solucionarlas

El Open Web Application Security Project (OWASP) ha compilado una lista de las 10 principales amenazas para las interfaces de programación de aplicaciones (API) que se pueden encontrar en su API Security Top 10. A continuación, examinaremos algunas de las más frecuentes en más detalle.

• Autenticación de nivel de objeto roto (BOLA)

Los atacantes pueden explotar fácilmente los puntos finales de la API en las que han fallado en la autenticación a nivel de objeto porque pueden manipular la ID de un objeto que se entrega junto con una solicitud de API. ¿Cuál es el resultado? Las deficiencias en el sistema de autorización de BOLA pueden dar lugar a la lectura, alteración o eliminación no autorizada de datos, incluso, la apropiación completa de una cuenta.

BOLA es responsable del 40% de todos los ataques a API en la actualidad. Las medidas de seguridad tradicionales, como los WAF o las puertas de enlace API no pueden reconocerlos como anormales en el comportamiento estándar de estas, que es una de las razones clave por las que están tan extendidos. En su lugar, las organizaciones necesitan una solución que pueda identificar instancias en las que un usuario autenticado intenta obtener acceso ilegal a los datos de otro usuario.

• Autenticación de usuario ineficaz

Un sistema de autenticación de usuario que no funcione correctamente en una API puede deberse a una variedad de problemas diferentes. Esto incluye:

• Tener una contraseña insuficientemente difícil o tener una mala higiene de contraseñas.
• No tener umbrales de bloqueo de cuentas.
• Tener períodos prolongados para rotaciones de contraseñas o certificados.
• Depender solo de claves API para la autenticación.

Los ciberdelincuentes pueden adquirir acceso a las aplicaciones mediante ciberataques relacionados con la autenticación, como el relleno de credenciales y los ataques de fuerza bruta cuando una API ha roto la autenticación del usuario. Estos ataques se pueden usar cuando una API ha roto la autenticación del usuario. Una vez que los atacantes han obtenido acceso al sistema, pueden tomar el control de las cuentas de los usuarios, modificar datos o realizar actividades ilegales.

Las medidas de seguridad convencionales a menudo carecen de la capacidad de monitorear el tráfico a lo largo del tiempo, lo que significa que no pueden detectar de manera efectiva ataques de gran volumen, como el relleno de credenciales. Este es uno de los principales inconvenientes de las medidas de seguridad tradicionales. A la luz de esto, una solución para la seguridad de las interfaces de programación de aplicaciones debería poder reconocer actividades aberrantes en comparación con un procedimiento de autenticación estándar.

• Exposición excesiva de datos

La mayoría de las interfaces de programación de aplicaciones, en un esfuerzo por maximizar la eficiencia, a menudo se diseñan para proporcionar más datos en las respuestas de la API de lo estrictamente necesario. Este es uno de los problemas más frecuentes con estas interfaces. Luego pasan la responsabilidad de filtrar la información y mostrarla al usuario en la aplicación del cliente.

El hecho de que los atacantes puedan utilizar los datos duplicados para obtener información confidencial de la API es un problema causado por esta situación. Aunque algunas soluciones de seguridad convencionales pueden reconocer este tipo de vulnerabilidad, no siempre pueden diferenciar entre los datos confidenciales que la API no debería proporcionar y los datos legales que la interfaz ha devuelto. Esto indica que un usuario debe poder ser identificado por una solución de seguridad API cuando accede a una cantidad excesiva de datos confidenciales.

• Insuficiencia de recursos e imposición de límites tarifarios

No suele ser el caso, pero en ocasiones las interfaces de programación de aplicaciones pueden no poner límites a la cantidad de recursos que un usuario o cliente puede solicitar. Debido a esto, son susceptibles a interrupciones del servidor que pueden resultar en denegación de servicio, así como ataques de enumeración y de fuerza bruta dirigidos a las API que son responsables de la autenticación y la recuperación de datos.

Además, los atacantes pueden generar ataques automatizados contra las API que no tienen restricciones. Estos ataques pueden incluir el descifrado de credenciales y el descifrado de tokens. Los sistemas tradicionales a menudo proporcionarán al menos algunas capacidades fundamentales de limitación de velocidad; sin embargo, no siempre es sencillo instalar esta característica a escala.

Debido a esto, estas tecnologías de seguridad a menudo carecen del contexto necesario para detectar un ataque mientras está en curso. Una solución de seguridad de vanguardia para las estas interfaces debería poder detectar cualquier comportamiento que se desvíe de los parámetros de uso típicos e informarlo.

• Vulnerabilidades en la configuración de seguridad

Una variedad de configuraciones incorrectas de seguridad tiene el potencial de introducir inadvertidamente vulnerabilidades en las interfaces de programación de aplicaciones. Algunos ejemplos de este tipo de vulnerabilidades son:

• La configuración incompleta.
• Los encabezados HTTP configurados incorrectamente.
• Los mensajes de error detallados.
• El almacenamiento en la nube abierto y otros problemas similares.

Los atacantes pueden utilizarlos para obtener más información sobre los componentes de la API y luego utilizar sus conocimientos recién adquiridos para aprovechar las configuraciones incorrectas como parte de su ataque.