BLOG

La seguridad de la API requiere gestión de bots: Abordando las diez principales vulnerabilidades de la API según OWASP

Miniatura de Jim Downey
Jim Downey
Publicado el 16 de mayo de 2025

Los equipos de ciberseguridad empresarial han centrado su atención en la seguridad de las API , y con razón. En la economía digital, las API son la puerta de entrada al negocio, un punto de entrada para dispositivos IoT, aplicaciones web y móviles y, cada vez más, para aplicaciones impulsadas por IA que están transformando la forma en que hacemos negocios. Desafortunadamente, las API también son la puerta de entrada para los delincuentes, muchos de los cuales dependen de bots para realizar ataques. Por lo tanto, es fundamental que los equipos de seguridad protejan las API y mitiguen los bots que se utilizan para atacarlas.

La lista de las diez principales vulnerabilidades de seguridad de API de OWASP identifica claramente el papel central que desempeñan los bots en los ataques a las API. Tres de las diez principales vulnerabilidades de API están directamente relacionadas con los bots:

  • Autenticación rota : Los bots rompen la autenticación mediante ataques de fuerza bruta, diccionario y relleno de credenciales que resultan en apropiación de cuentas, fraude, pérdidas financieras y clientes enojados.
  • Consumo de recursos sin restricciones : Los bots aprovechan el consumo ilimitado de recursos, agotando la memoria y la capacidad de procesamiento de las API. Cuando los bots apuntan a API diseñadas para el consumo por aplicaciones interactivas (aplicaciones web y móviles utilizadas por humanos), el impacto en el rendimiento y los costos puede ser catastrófico.
  • Acceso sin restricciones a flujos comerciales sensibles : El acceso excesivo a ciertos flujos comerciales puede perjudicar el negocio. Los revendedores no autorizados pueden agotar el inventario de productos y revenderlos a un precio significativamente más alto. Los spammers pueden explotar un flujo de comentarios o publicaciones. Los atacantes pueden utilizar un sistema de reserva para reservar todos los espacios de tiempo disponibles. En estos casos, se utilizan bots para explotar estos flujos comerciales.

En su libro Hacking APIs: En Breaking Web Application Programming Interfaces, el reconocido experto en ciberseguridad y API Corey J. Ball explica cómo los atacantes pueden usar herramientas automatizadas para el descubrimiento de API (OWASP ZAP, Gobuster, Kiterunner) y fuzzing (Postman, Wfuzz y Burp Suite) para enviar miles de solicitudes a las API para descubrir vulnerabilidades. Es necesario implementar una gestión de bots para identificar el espionaje y reducir su efectividad.

Los bots no afectan a todas las API de la misma manera. Las API generalmente están protegidas por TLS mutuo , por lo que el riesgo de una autenticación rota es bajo y se puede aplicar una limitación de velocidad por cada cliente autenticado. Las API que esperan tráfico únicamente de aplicaciones web y móviles interactivas son las más vulnerables a los bots.

Defenderse de los bots se ha vuelto cada vez más difícil para las API que esperan tráfico iniciado por humanos. Las bibliotecas de código abierto facilitan la evasión de la detección a través de huellas dactilares de encabezado, y los servicios para derrotar a los CAPTCHA y las solicitudes de proxy a través de redes que contienen decenas de millones de direcciones IP residenciales están ampliamente disponibles para los operadores de bots. Las antiguas técnicas de análisis de encabezados, listas de denegación de IP y CAPTCHA ya no son efectivas , lo que significa que los equipos de seguridad de aplicaciones que buscan mitigar los bots deben confiar en una rica recopilación de señales del lado del cliente, utilizando JavaScript y SDK móviles, y un sofisticado aprendizaje automático para distinguir las herramientas de ataque y los comportamientos de los bots.

A medida que las aplicaciones de IA se implementan más ampliamente, será fundamental proteger las API y estos puntos finales contra ataques automatizados. En respuesta, OWASP ha publicado su Top 10 de Riesgos y Mitigaciones para LLM y Aplicaciones Gen AI en 2025 . Consulte mi publicación reciente, Cómo los bots atacan modelos de lenguaje grandes , para obtener más información.

¿Cuáles de las API de su organización son vulnerables a los bots? ¿Cuál es la probabilidad de un ataque y el costo del impacto? ¿Cómo se pueden diseñar controles de seguridad para garantizar las protecciones necesarias contra los bots? Éstas son buenas preguntas para abordar en el modelado de amenazas. Para obtener más información sobre el impacto empresarial de los bots, lea el informe técnico de F5 sobre el tema o regístrese para una consulta gratuita.