El informe State of API Security in 2024 de Imperva, una empresa de Thales, reveló que el 71% del tráfico de Internet en 2023 estuvo compuesto por llamadas de API. La creciente cantidad de tráfico de Internet a través de las API es motivo de preocupación para los profesionales de seguridad informática. En promedio, las empresas tienen 613 puntos finales de API en producción, pero esta cantidad sigue en aumento.
Los ataques a los puntos finales de las API son comunes porque proporcionan una vía fácil para acceder a datos sensibles. Según el Centro de análisis de riesgos cibernéticos de Marsh McLennan, los incidentes de seguridad con API cuestan a las empresas globales alrededor de 75 mil millones de dólares cada año.
Esto es especialmente relevante para la banca y el comercio minorista en línea, los cuales registraron los mayores volúmenes de llamadas a la API en comparación con otras industrias en 2023. Además, los servicios financieros, incluyendo la banca, fueron los principales objetivos de los ataques en 2023.
Los ciberdelincuentes a menudo utilizan la usurpación de cuentas (ATO) para atacar los puntos finales de la API. Ésta es la explotación de vulnerabilidades en el proceso de autenticación de una API para acceder a cuentas sin autorización. Casi la mitad de los ataques de ATO en 2023 (45,8%) apuntaron a los puntos finales de API.
Imperva identificó tres tipos de puntos finales de API mal administrados que representan riesgos de seguridad: API en sombra, API obsoletas y API no autenticadas. Para mitigar estos riesgos, es recomendable realizar auditorías regulares, monitoreo continuo y actualizaciones regulares de las API.
Para mejorar la postura de seguridad de su organización en relación a las API, Imperva sugiere descubrir, clasificar e inventariar todas las API, identificar y proteger las API sensibles y de alto riesgo, establecer un sistema de monitoreo sólido para los puntos finales de API y adoptar un enfoque de seguridad de API que integre opciones de mitigación como un firewall de aplicaciones web (WAF), protección de API, prevención de denegación de servicio distribuido (DDoS) y protección de bot.
Vía The Hacker News
