API siguen siendo inseguras: Cloudflare
Cloudflare publicó su primer Informe de gestión y seguridad de las API, el cual revela que las API, una tecnología que respalda los sitios y las aplicaciones más utilizados en la actualidad, están siendo aprovechadas para los negocios más que nunca—lo que en definitiva abre la puerta a las amenazas en línea a niveles sin precedentes. El informe resalta la brecha entre el uso de las API de parte de las organizaciones y su capacidad para proteger los datos que están en contacto con ellas.
Las API impulsan el mundo digital—nuestros teléfonos, relojes inteligentes, sistemas bancarios y sitios de compra todos dependen de las API para comunicarse. Ayudan a los sitios de comercio electrónico a aceptar pagos, permiten que los sistemas de atención médica compartan de manera segura datos de los pacientes e incluso brindan a los taxis y transporte público acceso a los datos de tráfico en tiempo real. Casi todos los negocios de la actualidad las usan para crear y ofrecer mejores sitios, aplicaciones y servicios a los consumidores. Sin embargo, si no se gestionan o son inseguras, las API son una mina de oro para que los ciberdelincuentes extraigan datos de información confidencial.
“Algunas de las mayores deficiencias que se han observado en los últimos años tienen que ver con la capacidad de los ciberdelincuentes para atravesar los firewalls y acceder a la red, y con la capacidad de los ciberdelincuentes para ingresar por una puerta abierta —una API”, comentó Matthew Prince, director general y cofundador de Cloudflare.
“Como las API se han convertido en un punto central para nuestra economía digital, creemos que ningún negocio o consumidor deben sacrificar la seguridad de sus datos para aprovechar las mejores experiencias que ofrecen las API”.
Conclusiones clave del Informe de gestión y seguridad de las API de 2024 de Cloudflare:
Incluso las industrias más dispares observan altos picos de tráfico de API: las eficientes integraciones que permiten las API han hecho que organizaciones de todas las industrias las aprovechen cada vez más –algunas más rápido que otras. En 2023, el mayor porcentaje de tráfico de API se observó en los sectores de IoT, ferrocarriles, autobuses y taxis, servicios legales, multimedia y juegos, logística y cadenas de suministro.
El tráfico de API representa la mayor parte del tráfico de Internet: las API dominan el dinámico tráfico de Internet en todo el mundo (57 %), y en cada región protegida por Cloudflare se observa un aumento de uso en el último año. Sin embargo, las principales regiones que adoptaron las API de manera explosiva y tuvieron el mayor porcentaje de tráfico en 2023 fueron África y Asia.
Las API enfrentan una serie de amenazas frecuentes y crecientes: al igual que con cada función crítica de los negocios populares que alberga información confidencial, los ciberdelincuentes intentan usar todos los medios que sean necesarios para obtener acceso a estas funciones. El aumento de la popularidad de las API también generó un aumento en el volumen de ataques, y las anomalías de HTTP, los ataques de inyección y la inclusión de archivos son los tres tipos de ataque más mitigados por Cloudflare.
Las API paralelas ofrecen una ruta sin defensas para los ciberdelincuentes: a las organizaciones les cuesta proteger lo que no pueden ver. Se descubrieron casi 31 % más de puntos finales de API REST (cuando una API se conecta con el programa de software) a través de aprendizaje automático en comparación con identificadores provistos por el cliente –p. ej., las organizaciones no tienen un inventario completo de sus API.
Las soluciones de mitigación de DDoS son una de las herramientas más efectivas para proteger las API: independientemente de si una organización tiene plena visibilidad de todas sus API, las soluciones de mitigación de DDoS pueden ayudar a bloquear potenciales amenazas. Un tercio (33 %) de todas las mitigaciones aplicadas a las amenazas contra las API fueron bloqueadas por protecciones DDoS ya vigentes.
“Las API son potentes herramientas para que los desarrolladores creen aplicaciones complejas con muchas funciones para sus clientes, socios y empleados; pero cada API es una potencial superficie de ataque que debe estar asegurada”, comentó Melinda Marks, directora de Práctica, Ciberseguridad, de Enterprise Strategy Group.
“Como muestra este nuevo informe, las organizaciones necesitan formas más efectivas para abordar la seguridad de las API, lo que incluye mejor visibilidad de las API, formas de garantizar una autenticación y autorización seguras entre las conexiones y mejores formas de proteger sus aplicaciones de los ataques”.