Seguridad de API bajo escrutinio federal: una llamada de atención para los directores de TI

En un incidente, un proveedor de alojamiento y dominio global sufrió una brecha en la que los atacantes aprovecharon las debilidades de la arquitectura de API para extraer información de la cuenta de clientes. La investigación reveló fallos en los controles de autenticación y una falta de supervisión específica de API.

Del mismo modo, una importante empresa de telecomunicaciones expuso datos confidenciales de los usuarios porque había terminales de API sin protección. El problema se debió a una validación de entrada insuficiente y a restricciones de acceso inadecuadas, un descuido que llamó la atención de las agencias reguladoras federales.

En ambos casos, estas organizaciones habían invertido en defensas tradicionales, pero no aplicaron la misma rigurosidad a las API, que sirven como tejido conectivo de los servicios digitales modernos.

Un requisito fundamental en casi todos los marcos de cumplimiento normativo es mantener una comprensión clara de los activos de los que se dispone y el tipo de datos que se gestionan. Como el desarrollo y la gestión de las API son procesos continuos, a menudo a cargo de equipos diferentes o terceros, la mayoría de las organizaciones carecen de un inventario completo y en tiempo real de las API. 

Las organizaciones deben ser capaces de demostrar el conocimiento de las API de su entorno, cómo se utiliza cada una de ellas y, lo que es más importante, identificar aquellas que funcionan fuera de su visibilidad o procesos por completo.

Incluso si se identifican las API, no siempre está claro qué datos fluyen a través de ellas o si están protegidos correctamente. Muchas organizaciones no pueden determinar la propiedad de las API ni confirmar si el tráfico fluye a través de controles aprobados como firewalls de aplicaciones web (WAF) o puertas de enlace de API. 

Según nuestro Estudio sobre el impacto de la seguridad de API de 2024, solo el 27 % de expertos en seguridad que tienen inventarios de API completos saben cuáles exponen datos confidenciales, lo que supone un descenso con respecto al 40 % registrado en 2023.

Además, existe a menudo una desconexión entre las funciones: aunque el 43 % de los directores de TI encuestados cree que sabe qué API devuelven datos confidenciales, solo el 17 % de los directores de seguridad de la información comparte esa opinión. Estas brechas de visibilidad pueden dar lugar a graves infracciones de cumplimiento si se exponen datos confidenciales, como información de tarjetas de crédito, datos de identificación personal o registros relacionados con la atención sanitaria.

El cumplimiento no se limita a conocer sus activos. Se trata de garantizar que el uso indebido se detecte y aborde en tiempo real. Los equipos de seguridad deben ser capaces de determinar si alguien ha explotado una API para extraer datos de clientes u obtener más privilegios elevados.

Por ejemplo, las empresas a menudo no pueden detectar un abuso sutil de la lógica empresarial o evitar amenazas como la autorización a nivel de objeto comprometida (BOLA) de los 10 principales riesgos de seguridad de API según OWASP. Estos patrones de ataque son cada vez más frecuentes y a menudo evaden las herramientas perimetrales tradicionales.

Muchas organizaciones confían únicamente en las pruebas funcionales y pasan por alto la importancia de las pruebas de seguridad. Los marcos de cumplimiento exigen cada vez más que la seguridad se integre desde el principio, por lo que es esencial probar las API en busca de vulnerabilidades antes de implementarlas.

Debido a estas posibles brechas en la seguridad, los organismos reguladores están empezando a tratar los fallos de seguridad de las API como infracciones directas de las leyes de protección de datos, que a menudo dan lugar a la aplicación obligatoria de medidas, sanciones o correcciones. Los responsables de TI y seguridad estadounidenses (CIO, CISO, CTO) que encuestamos citaron un coste medio aproximado de de 943 162 USD como consecuencia de los incidentes de seguridad de API que experimentaron en los últimos 12 meses.

Ahora se espera que las empresas demuestren no solo su seguridad, sino también su preparación para el cumplimiento en todos los ecosistemas de API. A continuación se explica cómo la seguridad de las API se relaciona con las principales normativas comunes.

• PCI DSS v4.0: Requiere identificar y documentar todas las API relacionadas con los pagos, protegerlas con una autenticación sólida, supervisar continuamente y limitar el acceso a los datos de los titulares de tarjetas.

• GDPR: Exige la minimización de los datos, el control de acceso y la notificación de filtraciones de datos, aspectos que dependen de la protección de las API que gestionan los datos personales.

• HIPAA: Dicta que la información sanitaria protegida a la que se accede a través de API debe salvaguardarse mediante cifrado, acceso basado en funciones y registros de auditoría.

• DORA: Requiere pruebas de resiliencia y detección de incidentes en todos los canales digitales, incluidas las API, que deben supervisarse para detectar anomalías y escenarios de fallo.

Una API no protegida o no documentada podría suponer un incumplimiento, ya sea por exposición de datos de titulares de tarjetas, registros sanitarios o la falta de detección de anomalías en sectores regulados.

Los directores de informática que dirigen la infraestructura digital y las iniciativas de riesgo deben adoptar un enfoque deliberado y estructurado en cuanto a la seguridad de las API. La prioridad número 1: Se debe contar con una visibilidad completa del entorno de API. Sin un inventario en tiempo real en entornos de nube, locales e híbridos, es casi imposible proteger o auditar el uso eficaz de las API.

A continuación, la seguridad debe integrarse desde el principio. Esto incluye la implementación de una autenticación sólida, la validación de todas las entradas y la aplicación de acceso con privilegios mínimos en todas las API de la organización. La observabilidad es igualmente esencial. La supervisión del tráfico de API en tiempo real permite a los equipos detectar anomalías de forma temprana y responder antes de que los riesgos aumenten, lo que supone un requisito importante para muchos marcos normativos.

Los esfuerzos de seguridad también deben ir de la mano de los requisitos de cumplimiento. Mantener una alineación clara entre los controles y marcos de trabajo de API como PCI DSS, RGPD, HIPAA y DORA permite a las organizaciones demostrar el progreso, documentar pruebas y prepararse para auditorías con confianza.

Finalmente, la resiliencia debe ponerse a prueba constantemente. Las API deben formar parte de su estrategia de pruebas de seguridad más amplia y de la planificación de la resiliencia operativa, no de una reflexión posterior. Especialmente para las organizaciones de la Unión Europea que deben ajustarse a la normativa DORA, la capacidad de simular ataques, evaluar escenarios de fracaso y garantizar la continuidad se está convirtiendo en una expectativa esencial.

LAkamai API Security ayuda a las organizaciones a simplificar el cumplimiento y reducir la exposición al riesgo porque proporciona un enfoque de ciclo de vida completo para la protección de API. Atiende requisitos de cumplimiento clave con:

• Descubrimiento e inventario completos: Detecta y clasifica de forma continua todas las API, incluidas las API ocultas y zombis, para mantener la visibilidad y cumplir los requisitos de documentación en marcos como PCI DSS y el RGPD.

• Evaluación y postura de riesgos: Asigna los resultados a los principales marcos de cumplimiento (p. ej., PCI DSS, ISO 27001, RGPD, HIPAA) para identificar configuraciones erróneas o vulnerabilidades que podrían dar lugar al incumplimiento.

• Detección de amenazas de comportamiento: Detecta anomalías de comportamiento, abuso de lógica empresarial y exposición de datos inadecuada que las herramientas tradicionales a menudo pasan por alto, lo que contribuye a lograr los objetivos de resiliencia operativa de DORA.

• Visibilidad centralizada con un panel de conformidad: Proporciona una visión centralizada de las API que cumplen con las normas y las que no, lleva un seguimiento de las tendencias en estrategia y simplifica la preparación de cara a auditorías.

• Integración perfecta con el ecosistema de seguridad: Se integra con sistemas de gestión de eventos e información de seguridad (SIEM), sistemas de tickets y herramientas de flujo de trabajo para ayudar a generar pruebas de la conformidad y optimizar la respuesta a incidentes.

Los incidentes relacionados con API ya no se consideran problemas técnicos aislados. Se trata de fallos de conformidad con consecuencias normativas. Ante más y más escrutinio, los CIO deben garantizar que la seguridad de las API se implemente, esté en funcionamiento y sea auditable. Al priorizar las API en sus programas de seguridad y cumplimiento, no solo reduce el riesgo, sino que también prepara su empresa para el futuro frente a las nuevas normativas y amenazas.