APIs zombis: Riesgos y soluciones para las empresas modernas

Fiabilidad
Resumen

Las API zombis se despliegan en entornos inactivos o no gestionados, sirviendo como puertas traseras potenciales para que los hackers accedan a activos de datos sensibles.

Las interfaces de programación de aplicaciones (API) son una de las principales tecnologías que permiten a las aplicaciones comunicarse en los modernos entornos en la nube.

Sin embargo, aunque las API son esenciales para la comunicación entre aplicaciones, también son una de las partes más atacables de la superficie de ataque.

Según Noname Security, la organización media tiene 15.564 API en su entorno. Este número es tan alto que la mayoría de las organizaciones no tienen visibilidad sobre estos componentes, lo que los deja abiertos a la explotación por parte de los actores de amenazas.

El mismo estudio reveló que el 54% de las organizaciones mencionan las API obsoletas o zombis como su principal preocupación. Estas preocupaciones tampoco son sólo teóricas, ya que el 41% de las empresas sufrieron una brecha en las API en 2022.

Un año antes se produjo uno de los ejemplos más sonados de una brecha relacionada con una API, después de que unos hackers aprovecharan una vulnerabilidad de la API de Twitter para acceder a los datos de más de 5 millones de usuarios.

Pero, ¿qué hace que las API zombis sean una amenaza tan grande?

¿Cómo las APIs zombis vuelven para atormentar a las empresas?

Las API zombis son API que se han desplegado en un entorno que ya no se utiliza o que ya no recibe mantenimiento. Por lo tanto, los actores de amenazas pueden utilizar las API zombis como puerta trasera para acceder a activos de datos confidenciales.

En parte, la preocupación por las API zombis se debe a que hay demasiadas API en los entornos de nube modernos como para que los equipos de seguridad puedan hacerles un seguimiento. En la práctica, esto significa que las organizaciones están en la oscuridad acerca de su exposición a los actores de amenazas.

“Debido a su naturaleza olvidada, las API zombis no se incluyen en las pruebas, parches o actualizaciones de seguridad regulares, lo que conduce a un aumento de la superficie de ataque”, dijo a Techopedia el CSO y cofundador de StackHawk, Scott Gerlach.

Gerlach señala que la creciente migración a la nube ha dado lugar a un aumento de las API, que muchas organizaciones no están probando de seguridad, dejando esencialmente nuevas vulnerabilidades para que las exploten los actores de amenazas.

Esto es aún más problemático si se tiene en cuenta que muchas API tienen acceso directo a los datos, por lo que si se ven comprometidas, pueden exponer cantidades masivas de datos.

“La deuda técnica asociada a estas API puede vincularse sin saberlo a otras partes de sistemas críticos, lo que puede causar otras complejidades operativas y riesgos para la estabilidad de los sistemas más nuevos.”

Por lo tanto, a menos que una organización invierta en herramientas para descubrir automáticamente las API, no podrá saber qué API existen en el entorno ni tomar medidas para mantenerlas.

Abordar las API zombis

A un alto nivel, una forma en que las organizaciones pueden abordar las API zombis es mediante la ejecución de análisis automatizados con un escáner de vulnerabilidades de API, que puede descubrir y crear automáticamente un inventario de API. La creación de un inventario de API puede proporcionar a los equipos de seguridad una mejor comprensión de su postura de seguridad.

Sin embargo, Gerlach sugiere que la solución clave para mitigar los riesgos que presentan las API zombis es la comunicación.

“Para minimizar el riesgo de las API zombis y otras amenazas relacionadas con las API, las organizaciones deben fomentar y practicar líneas abiertas de comunicación con los desarrolladores y los equipos de seguridad.”

“Ambas partes de la seguridad de las API tienen que entender que comparten la responsabilidad de documentar y dejar obsoleto el software que ya no se utiliza. Sin una comunicación adecuada y constante entre los desarrolladores y los equipos de seguridad, las API zombis pueden permanecer activas y desconocidas, dejando vulnerable la infraestructura de las organizaciones.”

Esto pone de relieve que tanto los desarrolladores de software como los equipos de seguridad tienen un papel que desempeñar a la hora de definir si una API es necesaria para las operaciones de una organización o debe cerrarse para eliminar posibles vulnerabilidades.

Otras medidas, como el uso de código autodocumentado, que documenta todas las API, pueden proporcionar un marco para probar y corregir errores y vulnerabilidades en todo el entorno.

Conclusión

Las APIs zombis plantean riesgos significativos, pero las organizaciones que invierten tiempo y dinero en inventariar las APIs pueden disminuir drásticamente la probabilidad de ser víctimas de una violación de datos.

Al crear un inventario de API, los equipos de seguridad y los desarrolladores pueden empezar a identificar los componentes que no son necesarios y tomar medidas para eliminarlos.

Temas relacionados

Artículos relacionados

Tim Keary
Technology Specialist
Tim Keary
Editor

Desde enero de 2017, Tim Keary ha sido un escritor y reportero de tecnología independiente que cubre tecnología empresarial y ciberseguridad.