Todos sabemos que son muchas las amenazas a las que se enfrentan las aplicaciones de software actuales. Tal es el caso de las API (Interfaz de Programación de Aplicaciones) debido a que se están convirtiendo en una parte integral de los negocios y del desarrollo de aplicaciones web. No obstante, este crecimiento se ha aunado a un aumento de las implementaciones de API inseguras que pueden exponer a las empresas a los hackers, a los ataques DDoS, a la pérdida de datos y, finalmente, a la pérdida económica.
La forma más común de acceder a datos privados es aprovechando las API inseguras o no seguras. Por lo que resulta necesario mantenerse actualizado sobre los últimos exploits y vulnerabilidades de seguridad, así como tener a la vista los puntos de referencia para dichas vulnerabilidades. Sólo de este modo puede garantizarse la seguridad de las aplicaciones antes de que se produzca un ataque en tu empresa.
El Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) es una fundación sin ánimo de lucro de confianza que publica análisis de seguridad de software. El grupo es conocido por su resumen anual de las principales vulnerabilidades de las aplicaciones web.
1. Autenticación rota de usuario (Broken User Authentication)
La vulnerabilidad seleccionada por OWASP es la autenticación de usuario rota. Esta vulnerabilidad sucede cuando los mecanismos de autenticación están mal configurados en una API. Estos problemas pueden ser devastadores porque un solo error puede permitir a los atacantes apropiarse de las cuentas de los usuarios y acceder a datos y funcionalidades restringidas, pero ¿por qué este problema es especialmente común en las implementaciones de una API? La autenticación es difícil para las API. A menudo, solicitar las credenciales del usuario o utilizar la autenticación multifactorial no es factible durante las llamadas a la API. Por ello, la autenticación en los sistemas de API se implementa a menudo mediante tokens de acceso: tokens incrustados en las llamadas individuales de la API para autenticar al usuario. Hay muchas situaciones que pueden ir mal con los tokens de acceso: el token puede no generarse o invalidar correctamente, o también, el token puede filtrarse a través de otra vulnerabilidad. Si estos problemas ocurren, los atacantes pueden explotar estas desconfiguraciones para hacerse pasar por otra persona.
2. Exposición excesiva de datos (Excessive Data Exposure)
La exposición excesiva de datos ocurre cuando las aplicaciones revelan más información de la necesaria al usuario a través de una respuesta de la API. Algunos desarrolladores de aplicaciones asumen que si no muestran la información sensible en una página web los usuarios no pueden verla. Así que envían información sensible en las respuestas de la API al navegador del usuario sin filtrar primero la información sensible y confían en el código del lado del cliente para filtrar la información privada. En este caso, cualquiera puede interceptar esta respuesta de la API y extraer los datos sensibles. Esta es una de las vulnerabilidades más comunes que se han podido hallar en aplicaciones e implementaciones de API de la vida real.
3. Desconfiguración de la seguridad (Security Misconfiguration)
La desconfiguración de la seguridad es un tema que engloba una amplia gama de problemas. Por ejemplo: los mensajes de error verbales, las cabeceras HTTP mal configuradas, los servicios o métodos HTTP innecesarios, las configuraciones inseguras por defecto y muchos otros problemas de configuración. Son una amenaza de seguridad constante, tanto para las API como para las aplicaciones que no son API.
No olvides tomar en cuenta lo siguiente:
Asegúrate de que tu API está bien protegida. Utiliza contraseñas fuertes, además de las ya conocidas medidas de seguridad (sólo los usuarios autorizados deben tener acceso). Asimismo, verifica que todos los usuarios tengan contraseñas únicas y utiliza métodos de autenticación fuertes, como la autenticación de dos factores. Esto hará que sea mucho más difícil para los atacantes acceder a tu API. Por último, mantente al día de las últimas amenazas y actualizaciones de seguridad. En el mundo de las API la seguridad es esencial. Aunque las API ofrecen una amplia variedad de beneficios potenciales para las empresas y los consumidores, también pueden ser vulnerables a los ataques.
En Access Quality podemos ayudar a tu organización a proteger tus API para evitar ataques o pérdida de información importante. Escríbenos a: ventas@accessq.com.mx o comuníquese // +52 55 1654 9001 y un especialista lo atenderá.