API ocultas: ¿Los puntos ciegos exponen a los organismos del sector público a ataques?
El panorama digital está en constante evolución y, con él, las amenazas al sector público y a la infraestructura crítica nacional. Ataques recientes y bien documentados, como el del 11 de julio en Estados Unidos, La violación de datos del Departamento del Tesoro a finales del año pasado y el hackeo al operador de red T-Mobile revelado en 2023 sirven como duros recordatorios de las vulnerabilidades existentes.
Y cada vez más, estas vulnerabilidades se encuentran en las interfaces de programación de aplicação , o API. De hecho, Gartner predijo recientemente que las API se están convirtiendo en el principal vector de ataque para las aplicações web, y mi experiencia confirma esta tendencia.
En el Simposio del Sector Público AppWorld de esta semana, que comienza mañana en Tysons Corner, Virginia, discutiremos sobre la protección de API, junto con otras tendencias emergentes en seguridad y entrega de aplicação . Este evento es una oportunidad crucial para examinar estos desafíos y explorar soluciones efectivas.
Revelando la amenaza de las API ocultas
Uno de los mayores desafíos que veo, una y otra vez, es la falta de visibilidad de las vulnerabilidades de la red. Muchas organizaciones simplemente no saben cuántas API tienen en uso. Hemos realizado ejercicios de descubrimiento de API para clientes que pensaban que tenían alrededor de 100 API, ¡solo para descubrir cerca de 30 000! Esto no es inusual y representa un riesgo de seguridad significativo.
Las API operan en ecosistemas complejos, ocultas entre un mosaico de arquitecturas, componentes, tipos y protocolos. En promedio, las organizaciones utilizan más de 20.000 API . Se espera que para 2030, el número total de API en uso en los sectores público y privado supere los 2 mil millones. Los desafíos para gestionarlos y protegerlos generalmente se deben a la falta de documentación o a una dificultad en el descubrimiento.
Este fenómeno de “TI en la sombra”, donde proliferan API desconocidas o no administradas, crea un caldo de cultivo para las vulnerabilidades. Estas API a menudo carecen de controles de seguridad adecuados, lo que las convierte en blancos fáciles para actores maliciosos. Piense en ello como si dejara puertas y ventanas sin llave en su casa: es una invitación abierta para aquellos que quieran entrar.
Comprensión de la explotación de API y los vectores de ataque
Las API son cada vez más blanco de ataques tanto de actores de estados nacionales como de organizaciones cibercriminales. Las API relacionadas con el gobierno y la defensa son tan vulnerables como las públicas. Se podría decir que son objetivos aún más atractivos debido a los datos confidenciales que manejan.
Las API se pueden utilizar como puntos de entrada para ataques más profundos a las redes. Una API comprometida puede proporcionar acceso a sistemas internos, bases de datos y otros recursos críticos. Es como encontrar un pasaje secreto al corazón de tu organización. Como vimos en el caso de T-Mobile, el operador de red con sede en EE. UU., los actores de amenazas pueden explotar las vulnerabilidades de la API para obtener acceso no autorizado a datos confidenciales que tienen valor en la web oscura. En este caso, los atacantes robaron la información personal de 37 millones de cuentas de clientes actuales.
Para complicar aún más las cosas, es posible que una organización no pueda controlar completamente todas las API que entran en contacto con sus sistemas.
Los Estados Unidos. Los atacantes del Departamento del Tesoro obtuvieron acceso a través de una vulnerabilidad en un componente de software de terceros; irónicamente, un software que formaba parte de su defensa cibernética. Estos ataques a la cadena de suministro pueden afectar a organizaciones de cualquier tamaño y estado, con numerosos ejemplos como el ataque Solar Winds y el grupo Volt Typhoon que aparecen en los titulares.
Las medidas de seguridad de API robustas no requieren dejar ninguna piedra sin remover. Nuestro Informe sobre el Estado de la Estrategia de Aplicação 2024: API Security revela qué API parecen enfrentar el mayor riesgo, cuáles comúnmente no se protegen y cómo los modelos y responsabilidades de seguridad de API pueden necesitar adaptarse para mantener las API seguras en la era de la IA. Alerta de spoiler: la seguridad de confianza cero también tiene un punto ciego, a menos que también incluya API.
¿Puede la IA ser tu aliada en la seguridad de tus API? Aprovechar la defensa impulsada por IA
La IA exacerba y ayuda a la seguridad de la API. Gartner estima que la adopción de IA impulsará más del 30% del aumento de la demanda de API para 2026, debido a la cantidad de API que los grandes modelos de lenguaje necesitan para recopilar e intercambiar datos. Cada API requiere documentación y seguridad, lo que crea una gran cantidad de oportunidades para intenciones maliciosas.
Afortunadamente, las organizaciones no están indefensas y la IA está surgiendo como una poderosa herramienta defensiva. La IA y el aprendizaje automático pueden analizar el tráfico de API en tiempo real, detectando anomalías y comportamientos sospechosos que serían imposibles de identificar manualmente para los humanos.
La IA puede clasificar las API, comprender patrones de comportamiento normales y señalar posibles usos indebidos o vulnerabilidades de seguridad. También se puede utilizar para generar políticas de seguridad de forma dinámica, adaptándose a las amenazas cambiantes y garantizando que sus API estén siempre protegidas. Es como tener un guardia de seguridad inteligente e incansable que monitorea constantemente el tráfico de tu API.
Lograr una protección consistente en todos los entornos
Las organizaciones del sector público actual aprovechan entornos híbridos y multicloud (con AWS, Azure, Google Cloud y otros) para lograr escalabilidad y resiliencia, pero esto también aumenta los problemas de seguridad de las API. Las diferencias inherentes entre los proveedores de nube, con sus propias herramientas y configuraciones de seguridad, generan una postura de seguridad fragmentada. Confiar únicamente en la seguridad de la nube nativa deja brechas que los atacantes explotan con entusiasmo. Es como intentar defender un castillo con diferentes ejércitos que no se coordinan.
La complejidad de gestionar API en múltiples nubes puede abrumar fácilmente a los equipos de seguridad que no pueden obtener una visión integral de todas las API y su estado de seguridad. Para abordar este desafío se necesita un enfoque unificado, comenzando con un conjunto único y consistente de políticas de seguridad en todas las nubes, que cubra la autenticación, la autorización y más. Los controles de seguridad estandarizados también son vitales para garantizar un nivel básico de protección en todas partes.
Las pruebas de seguridad automatizadas integradas en el ciclo de vida del desarrollo de API también identifican vulnerabilidades de forma temprana. El monitoreo en tiempo real y la detección de amenazas brindan visibilidad y permiten una respuesta rápida a los incidentes, mientras que un sólido sistema de gestión de acceso (IAM) controla el acceso a la API, y políticas claras de gobernanza de API garantizan prácticas de seguridad consistentes.
Proteger las API en un mundo multicloud exige un enfoque proactivo, centralizado y estandarizado. Al implementar estos principios, las organizaciones modernas del sector público y de infraestructura crítica pueden mitigar los riesgos y garantizar la seguridad continua de sus API. En última instancia, se trata de construir una defensa fuerte y adaptable contra las amenazas cambiantes.
¿Quieres saber más? Escuche el reciente Podcast de Federal Tech que presenta mi conversación con John Gilroy. Visite también la página web de F5 Public Sector Solutions .