BLOG

Abordando las diez principales vulnerabilidades de la API según OWASP: La seguridad de la API requiere gestión de bots

Miniatura de Jim Downey
Jim Downey
Publicado el 29 de febrero de 2024

Los equipos de ciberseguridad empresarial han centrado su atención en la seguridad de las API , y con razón. En la economía digital, las API son la puerta de entrada al negocio, un punto de entrada para dispositivos IoT, aplicaciones web y móviles y, cada vez más, para aplicações impulsadas por IA que están transformando la forma en que hacemos negocios. Desafortunadamente, las API también son la puerta de entrada para los delincuentes, muchos de los cuales dependen de bots para realizar ataques. Por lo tanto, es fundamental que los equipos de seguridad protejan las API y mitiguen los bots que se utilizan para atacarlas.

Un análisis de las diez principales vulnerabilidades de seguridad de API de OWASP deja clara la centralidad de los bots en los ataques a las API. Tres de las diez principales vulnerabilidades de API están relacionadas con los bots de forma directa y obvia:

  • Autenticación rota : Los bots rompen la autenticación mediante ataques de fuerza bruta, diccionario y credential stuffing que resultan en apropiación de cuentas, fraude, pérdidas financieras y clientes enojados.
  • Consumo de recursos sin restricciones : Son los bots los que se aprovechan del consumo irrestricto de recursos, agotando la memoria y la capacidad de procesamiento de las API. Cuando los bots apuntan a API diseñadas para el consumo por aplicações interactivas (es decir, aplicações web y móviles utilizadas por humanos), el impacto en el rendimiento y los costos puede ser catastrófico.
  • Acceso sin restricciones a flujos comerciales sensibles : El acceso excesivo a determinados flujos comerciales puede perjudicar al negocio. Los revendedores no autorizados pueden comprar el stock de un artículo para revenderlo a un precio más alto. Los spammers pueden explotar un flujo de comentarios o publicaciones. Los atacantes pueden utilizar un sistema de reserva para reservar todos los espacios de tiempo disponibles. En cada caso, son los bots los que causan el daño. ¿Recuerdas lo rápido que se agotaron las entradas para el concierto de Taylor Swift, colapsando la aplicación Ticketmaster y frustrando a los fans? Fueron los bots los que causaron ese alboroto .

Los otros siete elementos de la lista de los diez principales API de OWASP (vulnerabilidades como configuración incorrecta de seguridad, mala gestión de inventario y autorización defectuosa) no están tan obviamente relacionados con los bots, pero los atacantes confían en los bots para descubrir eficazmente y explotar rápidamente estas vulnerabilidades. En su libro Hacking APIs , Corey J. Ball explica el uso de varias herramientas automatizadas para el descubrimiento de API (OWASP ZAP, Gobuster, Kiterunner) y fuzzing (Postman, Wfuzz y Burp Suite). Utilizando estas herramientas, los atacantes envían miles de solicitudes a las API para descubrir vulnerabilidades. Para ganar visibilidad sobre este espionaje y reducir sus posibilidades de éxito se necesita un sistema eficaz para mitigar los bots.

Además, las aplicações de IA están dando lugar a muchas más API y haciéndolas más vulnerables a ataques automatizados. En respuesta, OWASP ha publicado su Top 10 de Riesgos y Mitigaciones para LLM y Aplicaciones Gen AI en 2025. Consulte mi publicación reciente, Cómo los bots atacan modelos de lenguaje grandes , para obtener más información.

Es importante tener en cuenta que los bots no afectan a todas las API de la misma manera. Las API que son de máquina a máquina y a las que se accede mediante procesos automatizados (normalmente procesos internos o de socios) suelen estar protegidas por TLS mutuo , en cuyo caso el riesgo de una autenticación rota es bajo y se puede aplicar una limitación de velocidad por cada cliente autenticado. Más bien, son aquellas API que esperan tráfico únicamente de aplicaciones interactivas (es decir, aplicaciones web y móviles en manos humanas) las que son más vulnerables a los bots.

Para las API que esperan tráfico iniciado por humanos, defenderse contra los bots se ha vuelto cada vez más difícil. Las bibliotecas de código abierto hacen que sea sencillo evitar la detección a través de la huella digital del encabezado, y existen servicios ampliamente disponibles para que los operadores de bots puedan derrotar los CAPTCHA y las solicitudes de proxy a través de redes que contienen decenas de millones de direcciones IP residenciales. Como las viejas técnicas de análisis de encabezados, listas de denegación de IP y CAPTCHA ya no son efectivas , los equipos de seguridad de aplicação que buscan mitigar los bots deben confiar en una rica recopilación de señales del lado del cliente, utilizando JavaScript y SDK móviles, y un sofisticado aprendizaje automático para distinguir las herramientas de ataque y los comportamientos de los bots.

¿Cuáles de las API de su organización son vulnerables a los bots, cuál es la probabilidad y el costo del impacto, y cómo puede diseñar controles de seguridad para garantizar las protecciones necesarias contra los bots? Éstas son buenas preguntas para abordar en el modelado de amenazas. Para obtener más información sobre el impacto empresarial de los bots, consulte nuestro informe técnico de F5 sobre el tema o regístrese para una consulta gratuita .