Las interfaces de programación de aplicaciones (API) desempeñan un papel central en el software moderno al permitir que los sistemas se lean y se escriban entre sí. Las API se utilizan mucho en las operaciones empresariales para mejorar la funcionalidad. Por ejemplo, los desarrolladores pueden usar la API REST de Jira para que los usuarios puedan crear tickets de Jira dentro de una aplicación de Slack.
La API en la sombra hace referencia a cualquier API implementada por los desarrolladores que no esté protegida, registrada ni monitorizada por el equipo de TI de la organización. Las API en la sombra representan una seria amenaza para la seguridad, ya que abren vectores de ataque que pueden provocar brechas (como en el caso de una filtración de API de PandaBuy) e ineficiencias del sistema.
En este artículo se explica qué son las API en la sombra y cuáles son sus riesgos asociados. También veremos cómo identificarlas y mitigar sus riesgos utilizando herramientas de detección e inventario.
¿Qué es una API en la sombra?
Una API en la sombra es una API creada sin ninguna implicación ni supervisión por parte del equipo de seguridad o de TI. Estas API no son necesariamente maliciosas; de hecho, lo más probable es que los desarrolladores las creen por rapidez y comodidad, ignorando los riesgos inherentes a saltarse los procesos informáticos establecidos para adquirir y gestionar software.
Comparativa entre API tradicionales y en la sombra
En una organización, una API tradicional con una gestión adecuada tiene documentación y gobernanza. El equipo de TI ha aprobado la API y puede rastrear y monitorizar su perfil de riesgo. La documentación facilita la colaboración, ya que otros miembros de la organización también pueden utilizarla, y la gobernanza potencia la organización con auditorías y certificaciones de cumplimiento.
Por otro lado, las API en la sombra surgen dentro de las organizaciones cuando:
Los procesos de documentación y registro de las API son excesivamente engorrosos
Los desarrolladores desconocen los requisitos de seguridad y cumplimiento de las API al desarrollar una nueva
Faltan procesos formales de documentación y gestión de las API
La falta de supervisión de las API en la sombra implica que pueden no ser estándar, no cumplir las normativas y ser poco seguras, lo que introduce riesgos significativos en la posición de amenazas de una organización.
Informe sobre Threat Hunting 2024
En el Informe sobre Threat Hunting 2024 de CrowdStrike, se desvelan las últimas tácticas de más de 245 adversarios modernos, y se muestra cómo sus ataques siguen evolucionando e imitando el comportamiento de usuarios legítimos. Accede aquí a información para evitar las brechas.
Descargar ahoraRiesgos asociados a las API en la sombra
Las API en la sombra exponen a las organizaciones a una gran variedad de riesgos, incluidas vulnerabilidades de seguridad, problemas de cumplimiento normativo e interrupciones operativas.
Vulnerabilidades de seguridad
Las API en la sombra pueden carecer de ciertas medidas de seguridad, y su falta de supervisión dentro de una organización puede introducir vulnerabilidades significativas. Por ejemplo, una API sin autenticación multifactor puede permitir a los atacantes usar credenciales de acceso vulnerables. Otro ejemplo podría ser una API que ejecute código con una vulnerabilidad conocida, permitiendo que un atacante que se tope con la API en la sombra cause estragos. Estas vulnerabilidades pueden crear brechas de datos y accesos no autorizados.
Problemas de cumplimiento
Otra razón por la que cada API utilizada en una organización debe formar parte de un sistema de gestión de API y contar con la documentación asociada es que la organización pueda cumplir los requisitos normativos. El descubrimiento de API no documentadas durante una auditoría puede conllevar sanciones importantes, incluidas multas y la revocación de certificaciones. En el caso de FedRAMP, por ejemplo, el incumplimiento podría conllevar la pérdida de clientes y contratos gubernamentales.
Interrupciones operativas
Si los sistemas dependen de API no documentadas y no monitorizadas, su rendimiento y fiabilidad podrían verse afectados. Consideremos, por ejemplo, un proceso empresarial crítico con una API en la sombra. Dado que la API no está documentada y es desconocida, si falla, puede ser extremadamente difícil identificar la fuente del problema. Esta complejidad dificulta la eficacia de la respuesta a incidentes y la resolución de problemas, lo que provoca prolongados periodos de inactividad e interrupciones empresariales.
Identificación de API en la sombra
A la luz de estos riesgos, ¿qué medidas puedes adoptar para identificar la presencia de API en la sombra en tu organización?
Utilizar herramientas de descubrimiento de API: aprovecha las herramientas diseñadas específicamente para descubrir API que no se rastrean en ningún tipo de gestión de inventario de API. Un ejemplo es Salt, una herramienta automatizada de descubrimiento de API que se puede implementar fácilmente para encontrar API en la sombra sin dificultad.
Implementar un inventario de API: los sistemas diseñados para gestionar inventarios de API, como Postman o MuleSoft, ofrecen a las organizaciones un único sistema para registrar y documentar las API. Los inventarios de API son esenciales para los informes de cumplimiento y proporcionan un panel central para que los desarrolladores faciliten la identificación de problemas e integración con las API existentes.
Realizar el descubrimiento y la evaluación de manera continua: como los desarrolladores pueden implementar una nueva API en cualquier momento, es importante que las herramientas de descubrimiento se ejecuten continuamente para comprobar si hay nuevas API o si ya no se usan. Haz evaluaciones periódicas en estas API para que la introducción de nuevas API no comprometa tu posición respecto a las normativas ni tu excelencia operativa.
Mitigación de los riesgos de las API en la sombra
Mitigar los riesgos asociados a las API en la sombra es un componente esencial de las prácticas modernas de ciberseguridad. Las siguientes prácticas pueden ayudar a tu organización en este sentido.
Práctica 1: Establecer directivas de gobernanza
Las organizaciones que quieran evitar el uso de API en la sombra pueden empezar desarrollando directrices para el desarrollo y uso de API. Por ejemplo, puedes introducir un proceso estandarizado para implementar nuevas API. Este proceso debería implicar registrarse con el equipo de TI o seguridad y redactar la documentación de la API. Otro paso importante es implementar un marco de gestión de API. Esto ayudará a ver todas las API en un solo lugar y registrar las nuevas.
Práctica 2: Adoptar las mejores prácticas de seguridad
Hacer evaluaciones periódicas de tu infraestructura de API. Esto puede incluir pruebas de penetración, así como evaluaciones de procesos, como asegurar que el análisis de dependencias se implemente en toda la organización. Es importante asegurarse de que las mejores prácticas básicas de seguridad estén implementadas para todas tus API. Entre ellas se incluyen:
Pedir contraseñas seguras
Solicitar la autenticación multifactor
Aplicar periodos de validez razonables de los tokens
Adoptar el principio del mínimo de privilegios
Práctica 3: Implementar un seguimiento y registro adecuados
Monitorizar las API en tiempo real es vital para establecer una referencia de uso, lo que puede ayudar a los equipos de seguridad a detectar y alertar sobre actividades sospechosas (como que se llame a una API desde una ubicación inusual o en horas poco frecuentes). El registro es una forma sencilla de rastrear las llamadas y el uso de las API, y puede ayudar a los desarrolladores y al personal de seguridad a depurar problemas a medida que surjan.
Lucia Stanham ocupa el puesto de Senior Product Marketing Manager en CrowdStrike y se centra en la protección de endpoints (EDR/XDR) y en la IA en ciberseguridad. Forma parte de CrowdStrike desde junio de 2022.
