{"id":24911,"date":"2023-11-28T10:00:56","date_gmt":"2023-11-28T09:00:56","guid":{"rendered":"https:\/\/www.codemotion.com\/magazine\/?p=24911"},"modified":"2023-11-28T10:00:57","modified_gmt":"2023-11-28T09:00:57","slug":"seguridad-y-auditorias-en-apis","status":"publish","type":"post","link":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-apis\/","title":{"rendered":"Seguridad y auditor\u00edas en APIs para desarrolladores"},"content":{"rendered":"\n

La seguridad de las APIs es un \u00e1rea importante de la ciberseguridad que trata de impedir que los atacantes exploten la interfaz de programaci\u00f3n de aplicaciones para obtener datos sensibles o interrumpir los servicios. Con la creciente dependencia de las APIs para la comunicaci\u00f3n entre aplicaciones y servicios, es esencial contar con una s\u00f3lida estrategia de seguridad y auditor\u00edas en APIs para evitar el acceso no autorizado y garantizar el blindaje de los datos.<\/p>\n\n\n\n

Las APIs pueden ser vulnerables a diversas amenazas a la seguridad, como ataques de inyecci\u00f3n, man-in-the-middle (MITM), denegaci\u00f3n de servicio distribuida (DDoS), ataques de control de acceso a las aplicaciones Estas amenazas, si no se abordan, pueden dar lugar a violaciones de datos, p\u00e9rdidas financieras y da\u00f1os a la reputaci\u00f3n.<\/p>\n\n\n\n

El presente art\u00edculo tiene como objetivo analizar la seguridad en las APIs desde el punto de vista del desarrollador, analizando las principales vulnerabilidades que se pueden producir en estas aplicaciones.<\/p>\n\n\n\n

Introducci\u00f3n al OWASP API Security Top 10<\/h2>\n\n\n\n

El proyecto OWASP API Security Top 10<\/a> <\/strong>se lanz\u00f3 en 2019 y la actualizaci\u00f3n de 2023 proporciona una representaci\u00f3n m\u00e1s precisa de las amenazas actuales que enfrentan las interfaces de programaci\u00f3n de aplicaciones (API). Este proyecto tiene como objetivo ofrecer a los desarrolladores y a los equipos de seguridad informaci\u00f3n sobre las 10 principales vulnerabilidades encontradas en las APIs que se pueden resumir en los siguientes:<\/p>\n\n\n\n

    \n
  1. Broken Object Level Authorization (Autorizaci\u00f3n a nivel de objeto rota). <\/strong>Las API suelen exponer identificadores de objetos para acceder a los recursos. Cuando el control de acceso no se implementa adecuadamente en estos endpoints, los atacantes pueden ver u operar recursos a los que no deber\u00edan tener acceso. Esta vulnerabilidad afecta a todo tipo de arquitecturas API, incluidas SOAP, REST y GraphQL.<\/li>\n\n\n\n
  2. Broken Authentication (Autenticaci\u00f3n rota). <\/strong>Los endpoints y los flujos de autenticaci\u00f3n de usuarios se consideran rotos si la API no utiliza los mecanismos de seguridad adecuados, como claves de cifrado seguras, prevenci\u00f3n de relleno de contrase\u00f1as o contrase\u00f1as fuertemente codificadas. Si el desarrollador no realiza la rotaci\u00f3n de claves o no configura la autenticaci\u00f3n mediante tokens, los atacantes pueden obtener acceso a las credenciales de otra persona y usarlas para acceder a las API.<\/li>\n\n\n\n
  3. Broken Object Property Level Authorization (Autorizaci\u00f3n de nivel de propiedad de objeto rota). <\/strong>El Top 10 de seguridad API de OWASP establece que una API es vulnerable cuando un usuario puede acceder a un objeto empleando un endpoint de la API sin que se haya procedido a validar que dicho usuario tiene derecho a acceder a las propiedades espec\u00edficas del objeto a las que va a acceder.<\/li>\n\n\n\n
  4. Unrestricted Resource Consumption (Consumo de recursos sin restricciones). <\/strong>Las APIs que no tienen restricciones en cuanto el acceso a sus recursos pueden verse f\u00e1cilmente sujetas a ataques de por fuerza bruta o de denegaci\u00f3n de servicio, que pueden tumbar los servidores o provocar un aumento del gasto en el uso de la infraestructura en el caso de utilizar arquitecturas serverless.<\/li>\n\n\n\n
  5. Broken Function Level Authorization (Autorizaci\u00f3n rota a nivel de funci\u00f3n). <\/strong>Este tipo de vulnerabilidad tiene que ver con que los usuarios habituales puedan acceder a funciones sensibles, como la modificaci\u00f3n, creaci\u00f3n o eliminaci\u00f3n, a las que de otro modo no deber\u00edan poder acceder.<\/li>\n\n\n\n
  6. Unrestricted Access to Sensitive Business Flows (Acceso sin restricciones a flujos empresariales sensibles). <\/strong>OWASP se\u00f1ala que cuando se crea un endpoint en una API, se expone un flujo de negocio y es fundamental entender que hay flujos de negocio m\u00e1s sensibles que otros y el acceso a ellos sin control puede resultar perjudicial para la empresa.<\/li>\n\n\n\n
  7. Server Side Request Forgery (Falsificaci\u00f3n de peticiones del lado del servidor). <\/strong>El ataque de Server Side Request Forgery (SSRF) es una vulnerabilidad de seguridad en la que un atacante puede inducir a una aplicaci\u00f3n web o API a realizar solicitudes HTTP o de red desde el servidor en lugar de hacerlo desde la m\u00e1quina del cliente. Esto puede permitir que un atacante realice solicitudes no autorizadas a recursos internos y servicios en la red local que pueden ser accesibles desde el servidor.<\/li>\n\n\n\n
  8. Security Misconfiguration (Configuraci\u00f3n incorrecta o no segura). <\/strong>Esta categor\u00eda cubre vulnerabilidades que ocurrieron porque las configuraciones de seguridad no se han implementado correctamente.<\/li>\n\n\n\n
  9. Improper Asset Management (Gesti\u00f3n inadecuada de activos).<\/strong> Una API suele tener muchas versiones, funcionalidades, endpoints y muchos par\u00e1metros diferentes que afectan el comportamiento de ese endpoint. El r\u00e1pido aumento de las API y los microservicios puede provocar una expansi\u00f3n y dar lugar a que muchos servicios no documentados y m\u00faltiples versiones se ejecuten simult\u00e1neamente.<\/li>\n\n\n\n
  10. Unsafe Consumption of APIs (Consumo no seguro de APIs). <\/strong>Esta vulnerabilidad se produce porque los desarrolladores tienden a confiar en las interacciones con las API externas, pero \u00e9stas podr\u00edan tener requisitos de seguridad m\u00e1s d\u00e9biles y los datos podr\u00edan verse comprometidos.<\/li>\n<\/ol>\n\n\n\n

    El papel del desarrollador en las APIs<\/h2>\n\n\n\n

    El papel del desarrollador en el contexto de las APIs (Interfaces de Programaci\u00f3n de Aplicaciones) es fundamental en el desarrollo de software y la creaci\u00f3n de soluciones tecnol\u00f3gicas. La lista de 2023<\/a> destaca varios tipos de vulnerabilidad relacionadas con la  autorizaci\u00f3n e introduce riesgos potenciales en torno a los flujos de l\u00f3gica de aplicaciones o la gesti\u00f3n inadecuada de inventario. A continuaci\u00f3n se detallan algunas responsabilidades clave que los desarrolladores deber\u00edan asumir en relaci\u00f3n con las APIs:<\/p>\n\n\n\n

      \n
    1. Broken Object Level Authorization(Autorizaci\u00f3n a nivel de objeto rota). <\/strong>Para prevenir esta vulnerabilidad, el Top 10 de seguridad API de OWASP recomienda implantar un mecanismo de autorizaci\u00f3n adecuado que se base en las pol\u00edticas y la jerarqu\u00eda de usuarios. En este punto el desarrollador deber\u00eda implementar mecanismos de autorizaci\u00f3n para comprobar si el usuario autenticado tiene acceso para realizar la acci\u00f3n solicitada en cada funci\u00f3n que utilice una entrada de datos del cliente para acceder a un registro de la base de datos.<\/li>\n\n\n\n
    2. Broken Authentication (Autenticaci\u00f3n rota). <\/strong>Respecto a la fuga de tokens, los desarrolladores deber\u00edan transportar tokens de acceso de forma segura utilizando tecnolog\u00edas como OAuth <\/a><\/strong>o JSON Web Tokens<\/a><\/strong>.<\/li>\n\n\n\n
    3. Broken Object Property Level Authorization (Autorizaci\u00f3n de nivel de propiedad de objeto rota). <\/strong>La clave para evitar esta vulnerabilidad es implementar un control de acceso estricto y granular basado en la sesi\u00f3n del usuario y garantizar que este control de acceso se implemente de manera consistente a lo largo de toda la aplicaci\u00f3n.<\/li>\n\n\n\n
    4. Unrestricted Resource Consumption (Consumo de recursos sin restricciones). <\/strong>Esta vulnerabilidad podr\u00eda ser explotada por atacantes mediante un ataque de denegaci\u00f3n de servicio (DoS)<\/strong>, ante la falta de suficientes recursos para atender a todas las peticiones que se realizan a la API. Para evitar el consumo de recursos sin restricciones, es importante establecer l\u00edmites a las solicitudes masivas, descarga de archivos o las demandas de uso de memoria y CPU.<\/li>\n\n\n\n
    5. Broken Function Level Authorization (Autorizaci\u00f3n rota a nivel de funci\u00f3n). <\/strong>Por ejemplo, cuando un usuario puede modificar la cuenta de otro usuario o cuando un usuario normal puede acceder a la funcionalidad de administraci\u00f3n de un sitio. Estos problemas son debido a la falta de controles de acceso o mal configurados.<\/li>\n\n\n\n
    6. Unrestricted Access to Sensitive Business Flows (Acceso sin restricciones a flujos empresariales sensibles). <\/strong>En este punto el desarrollador deber\u00eda comprobar los flujos de negocio para ver si est\u00e1n exponiendo informaci\u00f3n sensible.<\/li>\n\n\n\n
    7. Server Side Request Forgery (Falsificaci\u00f3n de peticiones del lado del servidor). <\/strong>Para prevenir los ataques de Server Side Request Forgery, se deben tomar medidas de seguridad adecuadas, que podr\u00edan incluir:\n