¿Qué es la seguridad de API?

API es la abreviatura de interfaz de programación de aplicaciones. Del mismo modo que protegería su información básica, como la contraseña vinculada a su identidad de usuario en las redes sociales, es igual de importante en el back-end proteger el acceso a las API, para que no se haga un uso indebido de identificadores como las claves de API y las llamadas de API.

No es de extrañar que las API representen un riesgo de seguridad cada vez mayor, ya que las aplicaciones web o servicios web disponibles casi seguramente estén respaldados, de alguna manera, por una API. Desde aplicaciones móviles y dispositivos del Internet de las cosas (IoT) hasta aplicaciones internas, servicios al cliente basados en la nube y arquitecturas de microservicios, las API hacen posible la comunicación y las transacciones en su empresa.

Así pues, la seguridad de las API web y su gestión deben convertirse en una prioridad esencial para sus equipos de TI durante el ciclo de vida completo de estas. Sin embargo, la protección de las API frente a las amenazas de seguridad puede suponer un desafío complejo, puesto que aquí están implicados factores como la migración a la nube, las innovadoras prácticas de desarrollo y operaciones (DevOps) y que las API están en constante evolución.

La seguridad de API es un enfoque sistemático para proteger las API que las organizaciones utilizan para respaldar sus procesos empresariales. Estos pueden incluir:

• API que se implementan para que los clientes o partners comerciales puedan acceder fácilmente a la funcionalidad y los datos.
• API utilizadas por los partners comerciales.
• API que se implementan y utilizan internamente para que la funcionalidad y los datos de las aplicaciones estén disponibles para diversos sistemas e interfaces de usuario de una manera estandarizada y escalable.

Una estrategia de seguridad de API eficaz debe incluir técnicas sistemáticas para:

• Evaluar el riesgo y el impacto potencial.
• Ejecutar las medidas de mitigación apropiadas.

El primer paso para evaluar el riesgo es crear un inventario de todas las API autorizadas y no autorizadas publicadas y utilizadas por la organización. Este inventario debe incluir atributos como los siguientes:

• Clasificaciones de datos que, como mínimo, distingan entre datos “no confidenciales”, “confidenciales” y “muy confidenciales”.
• Indicadores de riesgo, como vulnerabilidades de API y errores de configuración.

Estos son los elementos esenciales para medir el impacto y priorizar los esfuerzos de mitigación.

Las medidas de visibilidad y mitigación de riesgos de las API deben tener en cuenta un conjunto diverso de posibles amenazas, entre las que se incluyen:

• Detectar e impedir el uso de "API en la sombra" no autorizadas.
• Identificar y corregir las vulnerabilidades y las configuraciones incorrectas de las API que los agentes maliciosos podrían aprovechar.
• Prevenir casos de uso indebido de las API, como el abuso de la lógica empresarial y el scraping de datos.

La identificación y mitigación de estos y otros riesgos para la seguridad de API requiere controles de seguridad lo suficientemente sofisticados como para hacer frente a este panorama de amenazas complejo y en rápida evolución. Sin embargo, es igualmente importante encontrar formas de ampliar las prácticas de seguridad de API a flujos de trabajo no relacionados con la seguridad que afecten a la estrategia de seguridad de API, como el desarrollo de software y la documentación.

Las API, o interfaces de programación de aplicaciones, son una parte fundamental del desarrollo web moderno. Pero, un gran poder conlleva una gran responsabilidad, y en lo que respecta a las API, esa responsabilidad es la seguridad. La seguridad de API consiste en proteger las interfaces entre las aplicaciones. Sin una seguridad de API adecuada, los datos confidenciales podrían quedar expuestos, los sistemas podrían verse comprometidos y los servicios podrían verse interrumpidos. Básicamente, la seguridad de API es lo que mantiene alejados a los malos mientras deja que los buenos hagan su trabajo.

Dos aspectos fundamentales de la seguridad de API son la autenticación y la autorización. La autenticación es el proceso de verificación de la identidad de un usuario, dispositivo o sistema. Es como comprobar un documento de identidad en la puerta de una discoteca: hay que asegurarse de que la persona que intenta entrar es quien dice ser. La autorización, por otro lado, consiste en determinar lo que un usuario verificado puede y no puede hacer. Que alguien esté autorizado a entrar en la discoteca no significa que pueda ir detrás de la barra y servirse una copa. En el mundo de las API, la autenticación y la autorización pueden implicar técnicas como claves de API, tokens u OAuth.

Otro aspecto importante de la seguridad de API es la validación de entradas. Se trata de comprobar que los datos enviados a una API son válidos antes de procesarlos. Por ejemplo, imagine que está revisando las entradas en un cine: no dejaría entrar a alguien con una entrada para una película diferente, ¿verdad? Del mismo modo, la validación de entradas ayuda a evitar que datos maliciosos entren en una API y causen problemas.

La seguridad de API es una de las prioridades de los ejecutivos de seguridad que está creciendo a mayor velocidad, pero también es posiblemente una de las menos entendidas. La evolución de las API, que han pasado de ser un mero detalle de la implementación hasta convertirse en un factor estratégico para la innovación, ha sido rápida. Como resultado, muchos equipos de seguridad se esfuerzan actualmente por aumentar la sofisticación de sus estrategias y prácticas de seguridad de API. Las API posibilitan el comercio, pero también transportan datos confidenciales.

A continuación se muestra una recopilación de temas que los responsables y profesionales de seguridad pueden utilizar para aumentar sus conocimientos básicos sobre la seguridad de API.

Una API web es una interfaz programática que consta de uno o más terminales expuestos públicamente a un sistema de mensajes de solicitud-respuesta definido, normalmente expresado en formato JSON o XML, que se expone a través de la Web, normalmente mediante un servidor web basado en HTTP.

Cuando oyen "API", lo que la mayoría de la gente piensa es en una API web, un conjunto de terminales. Los terminales constan de rutas de acceso a recursos, las operaciones que se pueden realizar en esos recursos y la definición de los datos de recursos (en JSON, XML, protobuf u otro formato).

El término es útil para diferenciar las API web de otras API, como las expuestas por el sistema operativo o las bibliotecas a las aplicaciones que se ejecutan en la misma máquina. Pero cuando hablamos de transformación digital empresarial y seguridad de API, todos entendemos que "API" se refiere a las API basadas en HTTP (web).

Los cuatro tipos principales de API web que se ven hoy en día, definidas como basadas en HTTP, son:

• API RESTful: la transferencia de estado representacional, que tiene su origen en la tesis doctoral de Roy Fielding en el año 2000, es el tipo más común de API web y utiliza normalmente el formato de datos JSON (notación de objetos de JavaScript). Las API RESTful son fáciles de utilizar por los marcos de front-end modernos (por ejemplo, React y React Native) y facilitan el desarrollo de aplicaciones web y móviles. Se han convertido en el estándar para cualquier API web, incluidas las utilizadas para B2B. 
• API SOAP: SOAP utiliza el lenguaje de marcado extensible (XML) detallado para llamadas a procedimientos remotos (RPC). Aún se puede encontrar entre las API heredadas.
• API GraphQL: el nuevo estándar GraphQL desarrollado por Facebook, proporciona acceso a las bases de datos a través de un único terminal POST (normalmente /graphql). Resuelve un problema común de las API RESTful, que requieren varias llamadas para rellenar una sola página de interfaz de usuario, además de introducir otros problemas adicionales.
• API gRPC: un nuevo protocolo binario de alto rendimiento desarrollado por Googlesobre HTTP/2.0, que se utiliza principalmente para la comunicación este-oeste.

Las API de empresa a cliente (B2C) son las que respaldan las aplicaciones web y móviles. Normalmente, los clientes de front-end modernos las utilizan para permitir a los usuarios finales acceder a la funcionalidad empresarial expuesta por estas API.

Las API de empresa a empresa (B2B) son las que utilizan los partners comerciales de la empresa (otras empresas), unas veces para prestarles servicios (siendo estas empresas el cliente final) y otras para proporcionar valor a clientes conjuntos (B2B2C).

Las API B2B son fundamentales para la transformación digital de la empresa, ya que permiten a los equipos de TI optimizar la forma en la que trabajan con sus proveedores, distribuidores y otros partners, así como ofrecer una mejor experiencia a sus clientes.

Entre los ejemplos de API B2B se incluyen:

• API de banca abierta
• API de gestión de la cadena de suministros
• API de facturación y pagos electrónicos entre partners comerciales

Dado que los usuarios de las API difieren enormemente (aplicaciones orientadas al usuario que utilizan API B2C frente a aplicaciones empresariales de partners que utilizan API B2B), los controles de seguridad disponibles para proteger estas API también varían.

En lo que respecta a la seguridad, el sector se ha centrado en casos de uso de B2C hasta hace poco, pero incluso en esos casos, no se ha centrado en proteger las API B2C, sino en proteger las aplicaciones web. Los controles de seguridad empleados para proteger las aplicaciones web B2C son poco eficaces para proteger las API B2C (por ejemplo, WAF/WAAP) o no lo son en absoluto (por ejemplo, la mayoría de las soluciones de protección contra bots).

La protección de las API B2B es un problema cada vez mayor. En lo que respecta a las API B2B, entre los proveedores de primera generación no existe una solución de visibilidad y seguridad dedicada que cubra el acceso a los datos en bloque en nombre de los usuarios compartidos (como es el caso, por ejemplo, de la banca abierta, en la que las empresas fintech y las instituciones financieras comparten consensualmente los datos de los clientes). 

A menudo, se utiliza el término "API" cuando de lo que se habla realmente es de un único terminal de API. Las API, a veces denominadas servicios o productos de API, son grupos de terminales que sirven a una función empresarial. Por otro lado, un terminal es un recurso (o ruta de acceso de recursos, también conocido como URI o Identificador de recursos uniforme) y la operación que se realiza en él (crear, leer, actualizar o eliminar; operaciones que en las API RESTful se asignan normalmente a los métodos HTTP POST, GET, PUT y DELETE).

Se trata de API que las organizaciones exponen a usuarios externos, principalmente a sus partners comerciales. Por ejemplo, los bancos que adoptan la banca abierta pueden exponer sus cuentas a otras organizaciones de servicios financieros o fintech a través de API. Las organizaciones del sector sanitario pueden exponer los registros de los pacientes a compañías de seguros y otras organizaciones médicas a través de API. Las empresas del sector de la hostelería pueden exponer su sistema de reservas a agentes de viajes o agregadores a través de API. Las API son el tejido conectivo que une a las organizaciones. Las API norte-sur suelen considerarse seguras porque el acceso está autorizado y autenticado. Normalmente, son el tipo de API de mayor volumen y crecimiento, por lo que suponen también la mayor superficie de ataque de la mayoría de las organizaciones.

Son las API que las organizaciones utilizan internamente. Estas API conectan aplicaciones internas o unidades de negocio o departamentos. Siempre que no se pueda acceder a ellas desde fuera de la organización, estas API se consideran API este-oeste.

Las API privadas, a veces también denominadas API internas, están dirigidas a los desarrolladores y contratistas de la empresa. A menudo forman parte de una iniciativa de arquitectura orientada a servicios (SOA) y están pensadas para agilizar el desarrollo interno al permitir que diferentes departamentos o unidades de negocio accedan a los datos de los demás de forma eficiente y eficaz.

Por el contrario, las API públicas, también conocidas como API externas, están expuestas a usuarios externos a la empresa. En su manifestación más extrema, como API abiertas, cualquiera puede usarlas libremente, pero en cualquier caso, requieren una gestión más estricta y una documentación óptima para que puedan utilizarlas ingenieros externos a la empresa.

Es importante tener en cuenta que las API privadas a las que se puede acceder a través de Internet no son realmente privadas, en el sentido estricto de la palabra. Tomemos, por ejemplo, la API B2C de ACME, utilizada únicamente por las aplicaciones móviles de ACME (desarrollada internamente por ingenieros de ACME). Podría parecer una API privada, pero como el tráfico llega a esta API desde Internet ("fuera de la empresa"), no lo es realmente, simplemente no está documentada. Los hackers atacan estas API a diario, interceptando el tráfico y aplicando ingeniería inversa a las aplicaciones móviles para ver con qué API interactúan.

Los riesgos de la seguridad de API ya son uno de los más acuciantes a los que se enfrentan los equipos de seguridad de las empresas, y el desafío no deja de crecer a medida que aumenta el número de interacciones con los clientes y de procesos empresariales internos que utilizan las API.

En resumen, el uso de API aumenta exponencialmente y muchos equipos de seguridad están poniendo al día sus estrategias de seguridad de API.

Por este motivo, la seguridad de API se está convirtiendo rápidamente en una de las principales prioridades y áreas de preocupación para los ejecutivos de TI y seguridad. De hecho, según un estudio realizado por Gartner, "para el año 2022, los abusos de las API pasarán de ser un vector de ataque poco frecuente a ser el más frecuente, lo que dará lugar a filtraciones de datos en las aplicaciones web empresariales".

Si bien la seguridad de API y la seguridad de las aplicaciones tradicional son disciplinas relacionadas, la primera plantea un reto distinto por dos razones clave: la escala y la complejidad del problema.

Hay tres factores que contribuyen al rápido crecimiento del uso de las API:

1. El uso creciente de microservicios, una arquitectura que exige el uso de API para la comunicación servicio a servicio.
2. En el canal de usuario directo, los marcos de aplicaciones front-end modernos, como React, Angular y Vue, utilizan API y están sustituyendo a las aplicaciones web heredadas que a veces no lo hacen.
3. Además, se añaden API para abordar también canales completamente nuevos (canales que son intrínsecamente diferentes) para partners, IoT y automatización empresarial.

A diferencia de las aplicaciones web, las API están diseñadas para utilizarse mediante programación de muchas formas diferentes, lo que hace que diferenciar el uso legítimo de los ataques y el abuso sea extremadamente difícil.

Cada vez más organizaciones utilizan API para poner los procesos empresariales y los datos a disposición de clientes y partners de forma bidireccional. La mayoría entiende que las API de empresa a cliente, a veces conocidas como B2C, alimentan los datos de los sitios web o las aplicaciones móviles. Sin embargo, la red de API que se activa en segundo plano también requiere seguridad de API a API. Piense en la aplicación de fintech a la que accede para consultar su información financiera que crea llamadas de API de empresa a empresa, también conocidas como B2B, desde esa aplicación a su banco para autenticarle como usuario. La red de llamadas de API B2C a B2B demuestra que necesita un enfoque holístico para proteger todo el tráfico de API. La enmarañada red de llamadas de API B2C y B2B indica que las organizaciones también deben tener en cuenta la seguridad de API a API.

Para mejorar su seguridad de API, las organizaciones interesadas pueden empezar por las siguientes 12 prácticas recomendadas:

• Buscar formas de integrar los estándares y las prácticas de seguridad de API en el ciclo de vida de desarrollo de software de la organización.
• Incorporar la documentación de las API y las pruebas de seguridad automatizadas en los procesos de integración y entrega continua (CI/CD).
• Asegurarse de que se aplican a las API controles de autenticación y autorización adecuados y eficaces.
• Implementar medidas de limitación de velocidad para evitar el abuso o la sobrecarga de las API.
• Aumentar la limitación de velocidad y otras medidas a nivel de aplicación con puertas de enlace especializadas o redes de distribución de contenido para mitigar el riesgo de ataques distribuidos de denegación de servicio (DDoS).
• Convertir las pruebas de seguridad de API en una parte integral de los procesos de pruebas de aplicaciones más amplios.
• Poner en práctica un proceso de detección continua de API.
• Implementar un enfoque sistemático para identificar y corregir vulnerabilidades comunes de las API, incluidos los 10 principales riesgos de seguridad de API según OWASP.
• Utilizar la detección y prevención de amenazas basadas en firmas como nivel de referencia de protección contra ataques conocidos de API.
• Ampliar la detección basada en firmas con IA y análisis de comportamiento para que la detección de amenazas de API sea más escalable, precisa, relevante para el negocio y resistente frente a nuevas amenazas.
• Asegurarse de que la supervisión y el análisis de la seguridad de API se prolonguen durante varias semanas y sesiones de API.
• Complementar la supervisión y las alertas de seguridad de API con acceso bajo demanda a los datos de actividad e inventario de API para que los utilicen los investigadores de amenazas, los desarrolladores, los equipos de DevOps y el personal de soporte.

La mejor manera de abordar las prácticas recomendadas de seguridad de API es pensar en términos de madurez organizativa utilizando un marco como el que se muestra a continuación.

Una vulnerabilidad de API es un error de software o de configuración del sistema que puede explotar un atacante para acceder a funciones o datos confidenciales de una aplicación o para hacer algún otro uso indebido de una API.

Los 10 principales riesgos de seguridad de API según OWASP ofrecen una descripción útil de algunas de las vulnerabilidades de API que más se explotan y que las organizaciones deben intentar identificar y corregir.

Los 10 principales riesgos de seguridad de API según OWASP son un excelente punto de partida para las organizaciones que buscan mejorar su estrategia de protección y seguridad de API. Sus categorías cubren una amplia gama de posibles riesgos de las API. Pero es importante tener en cuenta que las categorías incluidas en los 10 principales riesgos de seguridad de API según OWASP son bastante genéricas. Por lo tanto, es importante profundizar y centrarse en las subáreas de cada una de ellas.

También existen riesgos de seguridad de API que quedan completamente fuera de 10 principales riesgos de seguridad de API según OWASP, como el abuso de errores lógicos. Por ejemplo, los atacantes que apuntan a las API a menudo intentan aprovechar los problemas de autorización (cubiertos ampliamente por OWASP), así como vulnerar errores lógicos (que OWASP no cubre de ningún modo).

Las API se pueden atacar y vulnerar de muchas formas diferentes, pero algunas de las formas más comunes incluyen:

• Explotación de vulnerabilidades: las vulnerabilidades técnicas de la infraestructura subyacente pueden comprometer el servidor. Los ejemplos de estos tipos de vulnerabilidades incluyen desde las vulnerabilidades de Apache Struts (CVE-2017-9791, CVE-2018-11776 y similares) hasta las vulnerabilidades de Log4j (CVE-2021-44228 y similares).
• Abuso de la lógica empresarial: estos son los escenarios alarmantes que mantienen a los directores de seguridad de la información en vela, ya que los controles de seguridad heredados son inútiles frente a ellos. El abuso de la lógica se produce cuando un atacante aprovecha los defectos de diseño o implementación de una aplicación para generar un comportamiento inesperado y no autorizado.
• Acceso no autorizado a los datos: otra forma común de abuso de API es aprovechar mecanismos de autorización comprometidos para acceder a los datos a los que no se debería tener acceso. Estas vulnerabilidades tienen muchos nombres, como autorización a nivel de objeto comprometida (BOLA) y referencia de objeto directo no segura (IDOR), así como autorización a nivel de función comprometida (BFLA). Puede consultar una lista actualizada de vulnerabilidades en el sitio web del proyecto de seguridad de API de OWASP.
• Robo de cuentas: después de un robo de credenciales o incluso de un ataque de scripts entre sitios (XSS), se puede tomar el control de una cuenta. Cuando esto sucede, el abuso incluso de la API mejor redactada y mejor protegida es posible. Después de todo, si no realiza un análisis de comportamiento, cualquier actividad autenticada se considera un uso legítimo.
• Scraping de datos: cuando las organizaciones ponen a disposición conjuntos de datos a través de API públicas, los atacantes pueden consultar de forma agresiva estos recursos para realizar una captura indiscriminada de grandes volúmenes de información valiosa.
• Denegación de servicio (DoS) empresarial: al pedir al back-end que realice tareas pesadas, los atacantes de API pueden provocar una "erosión del servicio" o una denegación completa de servicio en la capa de aplicación (una vulnerabilidad muy común en GraphQL, pero que puede suceder con cualquier implementación de terminal de API que utilice muchos recursos).

Las API de back-end permiten a los desarrolladores acceder a los servicios centrales de las aplicaciones de forma rápida y muy repetible. Esto es de especial importancia para las organizaciones que ofrecen los datos a través de varias interfaces de usuario diferentes. Uno de los pasos más importantes que se deben tomar para proteger las API de back-end es implementar un modelo eficaz de autenticación y acceso. Pero también es importante no suponer que nunca se abusará de un conjunto bien autenticado de API back-end.

Se han dado numerosos casos de atacantes que aprovechan las vulnerabilidades de las aplicaciones móviles o las interfaces web para hacer que la interfaz de usuario interactúe con las API de back-end de formas inesperadas y no autorizadas. La mejor forma de proteger las API de back-end contra estos y otros tipos de abuso es mediante el uso continuo de análisis de comportamiento. La creación de modelos de uso estándar de las API de back-end permitirá detectar anomalías y tomar medidas proactivas para proteger las API de back-end contra vectores de ataque que pueden no haberse previsto durante el proceso inicial de desarrollo e implementación.

Debido a los cambios en los requisitos empresariales y en el mercado, las API están en constante evolución. A medida que se lanzan nuevas implementaciones de terminales para satisfacer las nuevas necesidades empresariales, corregir errores e introducir mejoras técnicas, las versiones más antiguas de estos terminales van quedando obsoletas.

La gestión del proceso de retirada de terminales antiguos no es una tarea sencilla. A menudo, las implementaciones de terminales que deberían haberse retirado permanecen activas y son accesibles; es lo que se denomina API zombis.

La mejor manera de detectar API en la sombra en toda la empresa es incorporar y analizar los datos de registro de actividad de API de las fuentes, lo que proporciona la cobertura más amplia. La implementación de sensores por aplicación en cada API puede proporcionar información detallada sobre la actividad de la API, pero por definición no puede proporcionar una amplia cobertura, ya que las API heredadas o las API que no se conocen permanecen en la sombra.

Algunos ejemplos de fuentes de registros de datos de actividad de API son:

• Redes de distribución de contenido (CDN)
• Puertas de enlace de API
• Firewalls de aplicaciones web (WAF)
• Orquestación de contenedores Kubernetes

Una vez recopilados los datos sin procesar de todas las fuentes disponibles, se pueden utilizar técnicas de IA para transformarlos en un inventario comprensible para el ser humano de todas las API, los terminales y los parámetros. A partir de ahí, se pueden realizar análisis adicionales para clasificar estos elementos e identificar las API ocultas que deben eliminarse o incorporarse a los procesos de control formales.

En lo que respecta a las API internas, todo depende de lo que se entienda por "interna". Con frecuencia, la gente se refiere a las API expuestas a través de Internet a las aplicaciones web y móviles de su propia organización como "API internas". Aunque la documentación de estas API solo puede ser accesible para empleados y contratistas de la empresa, los hackers son expertos en el análisis de aplicaciones y la ingeniería inversa de las API que las sirven a través de kits de herramientas de desmontaje de aplicaciones y proxies como Burp Suite.

Sin embargo, si por "API internas" se entiende API este-oeste a las que no se puede acceder desde fuera de la organización, el riesgo principal se reduce a las amenazas internas.

Proteja sus API internas (en el sentido anterior de la palabra) y sus API de empresa a empresa (B2B) como haría con la mayoría de las API: comience por proteger su ciclo de vida de desarrollo de software seguro (SSDLC), continúe garantizando el acceso autenticado y autorizado; gestione cuotas, límites de velocidad y detenciones de picos; y protéjase contra firmas conocidas con WAF/WAAP.

En el caso de las API B2B, debido a la naturaleza confidencial y a menudo masiva de las transacciones, considere la posibilidad de añadir, si es posible, mecanismos de autenticación estrictos, como mTLS.

Para ambas, le recomendamos que utilice análisis de comportamiento, especialmente si tiene muchas entidades implicadas, lo que puede dificultar el proceso de distinguir entre comportamientos legítimos e ilegítimos.

Por ejemplo:

• ¿Cómo saber si las credenciales de API de un usuario concreto han sido vulneradas?
• ¿Cómo podría saber si su API de facturación está sufriendo un ataque por parte de un partner que itera números de factura para robar datos de cuentas?

La protección de API B2B y API internas requiere un contexto empresarial que no se puede obtener analizando elementos técnicos, como direcciones IP y tokens de API, por sí solos. El uso de IA y análisis de comportamiento para obtener visibilidad de las entidades relevantes para el negocio es la única forma de comprender y gestionar eficazmente los riesgos de las API internas y las API B2B. El contexto empresarial y los puntos de referencia históricos para el uso normal de las API por parte de entidades específicas, como sus usuarios o partners, o incluso entidades de procesos empresariales (facturas, pagos, pedidos, etc.), permiten detectar anomalías que, de otro modo, pasarían inadvertidas.

Muchas organizaciones que utilizan un enfoque estratégico para las API utilizan puertas de enlace de API. Algunos ejemplos son Apigee, Kong, MuleSoft, Akamai, AWS API Gateway, y Azure API Management.

La mayoría de las puertas de enlace de API integran funciones de seguridad completas que las organizaciones deberían aprovechar, en primer lugar, la autenticación (y también la autorización, si pueden utilizar OpenID Connect).

Sin embargo, no basta con realizar la autenticación, la autorización y la gestión de cuotas en la puerta de enlace de API, por varios motivos:

• Las deficiencias en la detección de las puertas de enlace de API. Las puertas de enlace de API solo tienen visibilidad y control sobre las API que están configuradas para gestionar, lo que las hace ineficaces a la hora de detectar los terminales y las API en la sombra.
• Las brechas de seguridad de las puertas de enlace de API. Las puertas de enlace de API pueden aplicar la autenticación y, en cierta medida, los esquemas de autorización, pero no inspeccionan las cargas (como hacen los WAF y los WAAP), ni perfilan el comportamiento para detectar abusos.

El número de posibles errores de configuración de API es casi infinito, dada la multitud de formas en que se utilizan las API. Sin embargo, los siguientes son algunos temas recurrentes:

La autenticación es fundamental para proteger los datos confidenciales que están disponibles a través de las API. El primer paso consiste en asegurarse de que todas las API que contienen datos confidenciales disponen en primer lugar de autenticación. Pero también es importante proteger los mecanismos de autenticación contra ataques de fuerza bruta, Credential Stuffing y el uso de tokens de autenticación robados mediante la limitación de velocidad.

A veces pueden producirse errores de configuración que permiten a los usuarios de API omitir los mecanismos de autenticación, a menudo en torno a la gestión de tokens (por ejemplo, algunos problemas notorios de validación de JWT o no comprobar el ámbito de los tokens).

Uno de los usos más comunes de las API es proporcionar acceso a datos o contenido, incluida información confidencial. La autorización es el proceso de verificación de que un usuario de API es apto para acceder a los datos a los que intenta acceder, antes de ponerlos a su disposición. Esto se puede hacer en el nivel de objeto o recurso (por ejemplo, puede acceder a sus pedidos, pero no a los de otra persona), o en el nivel de función (como suele ocurrir con las capacidades administrativas).

La autorización es difícil de implementar correctamente debido al elevado número de casos y condiciones, y debido a los diversos flujos que las llamadas de API pueden tomar entre microservicios. Si no tiene un motor de autorización centralizado, es probable que la implementación de API incluya algunas de estas vulnerabilidades, como BOLA (autorización a nivel de objeto comprometida) y BFLA. (autorización a nivel de función comprometida).

Existen muchos tipos posibles de errores de configuración de seguridad más allá de los problemas de autenticación y autorización mencionados anteriormente, como la comunicación no segura (por ejemplo, no usar SSL/TLS o usar conjuntos de cifrado vulnerables), el almacenamiento en la nube sin protección y las políticas de uso compartido de recursos entre orígenes demasiado permisivas.

Cuando las API se implementan sin ningún límite en el número de llamadas que los usuarios de API pueden realizar, los agentes maliciosos pueden saturar los recursos del sistema, lo que provoca la degradación del servicio y la denegación de servicio (DoS) a gran escala. Como mínimo, se deben aplicar límites de velocidad al acceso a cualquier terminal no autenticado, siendo los terminales de autenticación de vital importancia; de lo contrario, los ataques de fuerza bruta, de Credential Stuffingy de validación de credenciales ocurrirán sin remedio.

Los ataques a las API son intentos de utilizar API con fines maliciosos o no autorizados. Los ataques a las API adoptan muchas formas, entre las que se incluyen:

• Explotación de vulnerabilidades técnicas en implementaciones de API.
• Uso de credenciales robadas, así como de otras técnicas de robo de cuentas para hacerse pasar por un usuario legítimo.
• Abuso de la lógica empresarial que permite el uso de API de formas inesperadas.

La filtración de información de ID de usuario y contraseña de sitios web y plataformas de SaaS se ha convertido en algo habitual. A menudo, estos incidentes provocan que se compartan ampliamente en línea grandes conjuntos de credenciales.

El Credential Stuffing es la práctica de utilizar credenciales de autenticación filtradas de sitios web que se han vulnerado anteriormente para realizar intentos de inicio de sesión automatizados en otros sitios web. Esta técnica se basa en la premisa de que algún porcentaje de usuarios utiliza las mismas credenciales para varios sitios.

Cada vez más, esta práctica se aplica a las API directamente (no a través del front-end, ya sea una aplicación web o móvil). Esto permite a los atacantes automatizar el ataque más fácilmente, pues, al fin y al cabo, las API se crean para facilitar el uso.

La exfiltración de datos se suele producir cuando los ataques a las API y los abusos a estas consiguen su objetivo. En algunos casos, al hablar de exfiltración de datos se hace referencia a información con un alto nivel de confidencialidad y no pública robada por un atacante a través de ataques a las API y el abuso de estas. Sin embargo, también se puede aplicar a tipos menos graves de abuso de API, incluido el scraping agresivo de datos disponibles públicamente para recopilar grandes conjuntos de datos valiosos en su conjunto.

Prácticas de desarrollo. A continuación se muestran las tendencias clave que los ejecutivos de seguridad deben tener en cuenta al desarrollar una estrategia de seguridad y protección de API.

Análisis de comportamiento y detección de anomalías: además de intentar predecir posibles ataques y depender de la detección basada en firmas y de políticas predefinidas (por ejemplo, WAF) para mitigar el riesgo, las organizaciones recurren cada vez más a la IA y al análisis de comportamiento para ver la actividad de API en un contexto empresarial y detectar anomalías.

Transición del entorno local al software como servicio: aunque muchos productos de seguridad de API de primera generación se implementaron en el entorno local, los enfoques de software como servicio (SaaS) son cada vez más populares debido a su velocidad y facilidad de implementación, y a su capacidad para aprovechar el potencial de la IA y el aprendizaje automático a escala.

Análisis de periodos de tiempo más amplios: los enfoques de seguridad de API que solo analizan llamadas de API individuales o actividad de sesión a corto plazo se están sustituyendo por plataformas que analizan la actividad de API a lo largo de días y, a veces, semanas, desde completar la optimización automatizada de políticas WAF básicas hasta realizar análisis de comportamiento y detectar anomalías.

DevSecOps: incorporación de partes interesadas no relacionadas con la seguridad: una de las mejores formas de reducir los riesgos de las API es establecer una conexión más estrecha entre las estrategias y herramientas de seguridad de API y los desarrolladores y sistemas implicados en la creación, implementación y configuración de las API.

Seguridad de API habilitada para API: aunque es fundamental detectar y mitigar los ataques activos a las API y los casos de abuso, las organizaciones con visión de futuro están buscando formas de utilizar el acceso bajo demanda a los datos y la información de seguridad de API para mejorar la búsqueda de amenazas, la respuesta a incidentes y las API.

Las técnicas de seguridad de API basada en firmas supervisan las características y patrones de ataque conocidos, y generan alertas de seguridad y otras respuestas automatizadas cuando se observan coincidencias. El valor de la detección basada en firmas es limitado (para la seguridad de API y en general), ya que muchos ataques a las API y técnicas de abuso simplemente no tienen firma.

Toda la premisa de la detección basada en firmas es que exista alguna señal reveladora en un solo paquete o solicitud. Al no tener que preocuparse por el contexto (¿Quién es este usuario? ¿A cuántos terminales accedió el mes pasado?), los motores de comparación de firmas pueden trabajar a velocidades extremadamente altas. Sin embargo, eso también hace que pasen por alto la mayoría de los ataques a las API.

La seguridad de API requiere contexto: es necesario comprender cada solicitud de API en el contexto del usuario que la realiza, sus solicitudes anteriores y los patrones generales de solicitud de todos los usuarios. Por lo tanto, se deben utilizar técnicas de seguridad de API basadas en el análisis de comportamiento y el aprendizaje automático para detectar usos anómalos.

La detección y respuesta de API es una categoría emergente de seguridad de API centrada en un análisis profundo de los datos históricos con los siguientes fines:

• Establecer un estándar de comportamiento para todos los usuarios de API.
• Detectar ataques y anomalías que indiquen un posible abuso y uso incorrecto de las API.

Para ser eficaces a gran escala, las soluciones de detección y respuesta de API deben ofrecerse bajo un modelo de software como servicio (SaaS) debido al enorme tamaño de los conjuntos de datos que requieren las técnicas de IA y aprendizaje automático, que consumen muchos recursos.

La protección avanzada contra amenazas de API es un enfoque basado en SaaS para la seguridad de API que combina los análisis de comportamiento con la búsqueda de amenazas con los siguientes fines:

• Detectar todas las API que utiliza una organización, incluidas las API en la sombra o zombis.
• Aplicar el aprendizaje automático para superponer el contexto empresarial sobre cómo se utilizan las API y se abusa de ellas.
• Realizar análisis de comportamiento y búsqueda de amenazas en las API y en los datos de actividad de esas API que abarquen periodos de tiempo prolongados.

Una plataforma de seguridad de API es una oferta basada en SaaS especialmente diseñada con los siguientes fines:

• Crear un inventario continuamente actualizado de todas las API en uso en toda la empresa (tanto si están autorizadas como si no).
• Analizar las API y su uso con técnicas de IA y aprendizaje automático para descubrir el contexto empresarial y establecer un estándar de comportamiento esperado.
• Detectar anomalías en el uso de las API y, cuando sea necesario, proporcionar alertas y datos de apoyo a los flujos de trabajo de gestión de eventos e información de seguridad (SIEM) y de orquestación, automatización y respuesta de seguridad (SOAR).
• Proporcionar acceso bajo demanda a la información de inventario, actividad y amenazas de API tanto a las partes interesadas del área de seguridad como a las de otros ámbitos.

Las organizaciones utilizan muchos tipos diferentes de técnicas de seguridad de API para proteger sus aplicaciones y datos confidenciales contra el uso indebido y otros tipos de ataques. Algunos tipos comunes de seguridad de API son:

• Análisis del código de las API en busca de fallos y vulnerabilidades durante el desarrollo y las pruebas.
• Desarrollo de modelos de amenazas de API e implementación de medidas defensivas como la validación de entradas.
• Implementación de API con prácticas recomendadas como el cifrado TLS y modelos de autenticación y autorización eficaces y escalables.
• Despliegue en primera línea de herramientas especializadas como firewalls de aplicaciones web, plataformas de mitigación de bots y puertas de enlace de API.
• Realización periódica de evaluaciones de vulnerabilidades para identificar cualquier error de configuración u otros fallos de implementación.
• Detección continua de API para garantizar que todas las API en uso están protegidas o, en caso necesario, retiradas.
• Supervisión de técnicas conocidas de ataque a las API mediante firmas.
• Supervisión de formas más sofisticadas de abuso de las API mediante el uso de análisis de comportamiento y detección de anomalías.
• Realización de actividades continuas de búsqueda de amenazas para identificar y mitigar los riesgos en una fase temprana y proporcionar orientación proactiva en materia de seguridad a los equipos de desarrollo y operaciones.

Todos estos tipos de seguridad de API pueden desempeñar un papel en su estrategia general de seguridad, pero es importante implementarlos de forma integrada centrándose en el perfil de riesgo específico de su organización.

Ahora que los responsables de TI y seguridad utilizan las API de forma más estratégica, es posible que tengan que recurrir a partners especializados en API. Los dos tipos más comunes de empresas de API son:

• Empresas que ofrecen puertas de enlace de API y que proporcionan la tecnología necesaria para aceptar las llamadas de API de forma centralizada y dirigirlas a los recursos de back-end y microservicios adecuados.
• Empresas que ofrecen plataformas de seguridad de API y que ayudan a las empresas a identificar todas las API activas, detectar casos de ataques y abusos, y les proporcionan datos enriquecidos sobre cómo se utilizan esas API.

Muchos equipos de seguridad llevan a cabo actividades proactivas de búsqueda de amenazas para identificar las posibles amenazas con antelación y responder con medidas defensivas. Muchos productos de seguridad de API de primera generación ofrecen un valor limitado a los equipos de búsqueda de amenazas, ya que se centran en las alertas y no almacenan actividad de API en absoluto, lo que significa que no hay datos que consultar ni buscar. Las empresas de seguridad de API más avanzadas almacenan conjuntos de datos de actividad de API de gran tamaño y con contexto, y hacen que esta información esté disponible tanto en una interfaz gráfica de usuario como a través de API, de modo que los investigadores de amenazas puedan utilizar los datos.

La protección de API y aplicaciones web (WAAP) es una categorización que la empresa de investigación Gartner utiliza para su cobertura en el sector de amenazas web y API emergentes. Se trata de una evolución de la cobertura anterior del sector en el mercado de los firewalls de aplicaciones web (WAF) en respuesta a la creciente importancia estratégica de la seguridad de API y al paso de las plataformas WAF a la nube como servicio SaaS gestionado.

La forma más común de documentación de API para API RESTful (que son el tipo más común de API web) es una colección de archivos Swagger basados en la especificación OpenAPI. Lo ideal es que los desarrolladores creen la documentación de API cuando se diseña o implementa una API. Sin embargo, la documentación de API suele estar obsoleta, lo que provoca una discrepancia entre esa documentación y el uso de la API en el mundo real. Para solucionar este problema, algunas plataformas de seguridad de API pueden generar archivos Swagger a partir de la actividad real de la API, lo que pone de relieve las brechas entre lo que se documenta y lo que se implementa realmente, un componente integral de cualquier evaluación de riesgos de API.

Una seguridad de API eficaz requiere muchos pasos detallados y prácticas continuas. A continuación se muestra una lista de comprobación que los equipos de seguridad pueden utilizar como punto de partida a medida que avanzan hacia un enfoque más sofisticado de la seguridad de API:

• ¿Su enfoque de seguridad de API incluye un mecanismo para la detección continua de API en toda la empresa?
• ¿Está aprovechando la nube o el SaaS para obtener acceso a las técnicas de IA y aprendizaje automático, evitando, así, complicar innecesariamente la implementación?
• ¿Su enfoque de seguridad de API analiza los datos a lo largo de un horizonte temporal lo suficientemente largo (lo ideal es que sea de al menos 30 días)?
• ¿Proporcionará su enfoque a sus equipos el contexto empresarial que necesitan para comprender realmente la actividad de las API y los posibles riesgos que se están observando?
• ¿Cuenta con una estrategia de automatización bidireccional entre su plataforma de seguridad de API y otros procesos empresariales relacionados, como SIEM/SOAR, búsqueda de amenazas, documentación, herramientas de DevOps, etc.?
• ¿Está tomando medidas para hacer partícipes a las partes interesadas que no pertenecen al ámbito de la seguridad, como los desarrolladores, de sus herramientas y procesos de seguridad de API?

A continuación se muestran las categorizaciones y descripciones comunes de las API que pueden aparecer en un contexto de seguridad.

Resulta útil para los equipos de seguridad familiarizarse con los siguientes términos que hacen referencia a los diferentes modelos de uso y enfoques tecnológicos para las implementaciones de API.

Las soluciones de seguridad de API son un conjunto de herramientas y prácticas utilizadas para garantizar la seguridad de las interfaces de programación de aplicaciones (API) frente a ataques maliciosos y filtraciones de datos. Las empresas y organizaciones utilizan las API para permitir que sus aplicaciones se comuniquen entre sí, compartan datos y realicen diversas funciones. 

Sin embargo, a medida que se ha extendido el uso de las API, también lo han hecho los riesgos de seguridad asociados a ellas. Las API pueden ser vulnerables a una serie de amenazas de seguridad, como el acceso no autorizado, los ataques de denegación de servicio y los ataques de inyección. Para mitigar estos riesgos, las empresas deben implementar soluciones de seguridad de API eficaces.

Entre las soluciones de seguridad de API se incluyen:

• Autenticación y autorización: las soluciones de seguridad de API requieren autenticar y autorizar a los usuarios que acceden a las API para garantizar que solo los usuarios autorizados puedan acceder a los datos y manipularlos. Los métodos de autenticación incluyen la autenticación multifactorial, OAuth, OpenID Connect y las claves de API, mientras que los métodos de autorización incluyen el control de acceso basado en funciones y el control de acceso basado en atributos.
• Puerta de enlace de API: una puerta de enlace de API es un componente de las soluciones integrales de seguridad de API que actúa como punto de entrada para todas las solicitudes de API. La puerta de enlace puede realizar varias funciones, como la autenticación, la limitación de velocidad, la gestión del tráfico y el almacenamiento en caché. También puede ayudar a prevenir ataques como los distribuidos de denegación de servicio (DDoS).
• Cifrado: las soluciones de seguridad de API también incluyen el cifrado, que garantiza que los datos transmitidos a través de las API son seguros y no pueden ser interceptados por los atacantes. Las técnicas de cifrado incluyen el cifrado SSL, TLS y AES, que se pueden utilizar para cifrar las solicitudes de API, las respuestas y los datos en reposo.
• Limitación de velocidad: la limitación de velocidad es una función de las soluciones de seguridad de API que ayuda a evitar los ataques de denegación de servicio al limitar el número de solicitudes que un usuario puede realizar en un periodo de tiempo determinado. La limitación de velocidad se puede basar en direcciones IP, cuentas de usuario u otros parámetros, y puede ayudar a evitar que los atacantes saturen las API con solicitudes.
• Auditoría y registro: las soluciones de seguridad de API también deben incluir auditoría y registro, que pueden ayudar a detectar y mitigar las amenazas de seguridad al proporcionar visibilidad de la actividad de las API. La auditoría consiste en realizar un seguimiento de las solicitudes y respuestas de API, mientras que el registro se ocupa de registrar los eventos y actividades de las API de forma segura y a prueba de manipulaciones.
• Pruebas de API: las soluciones de seguridad de API también requieren la realización de pruebas de API para identificar vulnerabilidades y posibles riesgos de seguridad. Las pruebas de API se pueden realizar manualmente o mediante herramientas automatizadas, y pueden ayudar a garantizar que las API son seguras y que funcionan según lo previsto.
• Supervisión de API y protección del tiempo de ejecución: el comportamiento de las API debe supervisarse en una solución de seguridad de API. Comprender el comportamiento normal frente al abuso anormal es un componente esencial para proteger las API de los usuarios malintencionados.
• Gestión de vulnerabilidades: las soluciones de seguridad de API también suponen la gestión de vulnerabilidades, que consiste en identificar y abordar las vulnerabilidades de seguridad de las API. La gestión de vulnerabilidades puede implicar el análisis, la aplicación de parches y la corrección de vulnerabilidades, y puede ayudar a evitar que los atacantes aprovechen las vulnerabilidades conocidas de las API.

Las soluciones de seguridad de API son fundamentales para garantizar la seguridad y la integridad de las API. Mediante la implementación de autenticación y autorización, puertas de enlace de API, cifrado, limitación de velocidad, auditoría y registro, pruebas de API, supervisión, protección del tiempo de ejecución y gestión de vulnerabilidades, las empresas tienen la certeza de que sus API están seguras y protegidas frente a toda una serie de amenazas de seguridad. 

A medida que las API se vuelven más integrales para las operaciones empresariales, las empresas deben invertir en soluciones de seguridad de API sólidas para proteger sus datos confidenciales y su propiedad intelectual.

El análisis de comportamiento es un enfoque de seguridad que utiliza el aprendizaje automático y el análisis de datos para identificar anomalías y patrones en el comportamiento de los usuarios. Este enfoque se utiliza para detectar y prevenir amenazas de seguridad como amenazas internas, robo de cuentas y fraude. 

El análisis de comportamiento es cada vez más importante en el campo de la seguridad de API, ya que las API se utilizan cada vez más y son un objetivo cada vez más frecuente de los ciberdelincuentes.

Las empresas utilizan las API para permitir que sus aplicaciones se comuniquen entre sí, compartan datos y realicen diversas funciones. Sin embargo, a medida que se ha extendido el uso de las API, también lo han hecho los riesgos de seguridad asociados a ellas. 

Las API pueden ser vulnerables a una serie de amenazas de seguridad, como el acceso no autorizado, los ataques de denegación de servicio y los ataques de inyección. El análisis de comportamiento puede ayudar a detectar estas amenazas analizando el comportamiento de los usuarios e identificando patrones anómalos que podrían indicar un ataque.

El análisis de comportamiento es un componente fundamental de la seguridad de API, ya que las API pueden ser el objetivo de los ciberdelincuentes que buscan obtener acceso no autorizado a datos confidenciales o interrumpir las operaciones empresariales. El análisis de comportamiento puede ayudar a detectar estas amenazas analizando el comportamiento de los usuarios e identificando patrones anómalos que podrían indicar un ataque.

Las soluciones de seguridad de API que incorporan análisis de comportamiento pueden ayudar a identificar y prevenir ataques como:

Robo de cuentas: el robo de cuentas se produce cuando un atacante obtiene acceso a la cuenta de un usuario legítimo y la utiliza para acceder a datos confidenciales o realizar acciones maliciosas. El análisis de comportamiento puede ayudar a detectar si una cuenta se ha visto comprometida analizando el comportamiento de los usuarios e identificando patrones anómalos que indiquen que un atacante ha obtenido acceso a la cuenta de un usuario.

Amenazas internas: las amenazas internas se producen cuando un usuario de confianza con acceso autorizado a una API utiliza ese acceso con fines maliciosos. El análisis de comportamiento puede ayudar a detectar amenazas internas analizando el comportamiento de los usuarios e identificando patrones anómalos que podrían indicar que un usuario se está comportando de forma sospechosa o maliciosa.

Ataques de inyección: los ataques de inyección se producen cuando un atacante inyecta código o comandos maliciosos en una solicitud de API para aprovechar una vulnerabilidad y obtener acceso no autorizado a datos confidenciales. El análisis de comportamiento puede ayudar a detectar ataques de inyección analizando el comportamiento de los usuarios e identificando patrones anómalos que podrían indicar que un atacante está intentando aprovechar una vulnerabilidad de API.

Ataques de denegación de servicio: los ataques de denegación de servicio (DoS) se producen cuando un atacante satura una API con solicitudes para interrumpir las operaciones empresariales. El análisis de comportamiento puede ayudar a detectar ataques DoS analizando el comportamiento de los usuarios e identificando patrones anómalos que podrían indicar que un atacante está intentando inundar una API con solicitudes.

A medida que el uso de las API se generaliza y se convierten en objetivo de los ciberdelincuentes, las empresas deben invertir en soluciones de seguridad de API eficaces que incorporen análisis de comportamiento para proteger sus datos confidenciales y su propiedad intelectual.

La búsqueda gestionada de amenazas es un enfoque de seguridad proactivo que consiste en utilizar herramientas y técnicas avanzadas para identificar y mitigar las posibles amenazas de seguridad antes de que puedan causar daños. 

La búsqueda gestionada de amenazas es un tipo de servicio ofrecido por algunas empresas de seguridad de API, en el que una empresa paga a un proveedor externo para que gestione y lleve a cabo la búsqueda de amenazas en su nombre. Este servicio permite a las empresas beneficiarse de la experiencia y los recursos de un equipo de seguridad especializado, sin tener que invertir en sus propias capacidades internas de búsqueda de amenazas.

La búsqueda gestionada de amenazas se denomina así porque una empresa paga a una empresa de seguridad de API para que realice la búsqueda de amenazas en su nombre. Para ello, la empresa de seguridad de API debe llevar a cabo una supervisión proactiva de la infraestructura de API de la empresa, analizar los registros y otras fuentes de datos, y utilizar técnicas avanzadas como el aprendizaje automático y el análisis de comportamiento para identificar posibles amenazas de seguridad. 

A continuación, la empresa de seguridad de API trabaja con la empresa para corregir cualquier amenaza identificada y proporcionar recomendaciones para mejorar su estrategia de seguridad.

La búsqueda gestionada de amenazas es especialmente importante en el contexto de la seguridad de API, ya que las API pueden ser vulnerables a una serie de amenazas de seguridad, incluidos los ataques de inyección, el robo de cuentas y los ataques de denegación de servicio. 

La búsqueda gestionada de amenazas puede ayudar a identificar y mitigar estas amenazas antes de que puedan causar daños, lo que permite a las empresas proteger sus datos confidenciales y su propiedad intelectual.

Los componentes clave de la búsqueda gestionada de amenazas incluyen:

• Supervisión e investigaciones proactivas: la búsqueda gestionada de amenazas implica la supervisión proactiva de las API de una empresa para identificar posibles amenazas de seguridad. Esto puede incluir la supervisión de todos los datos de actividad de API, incluidos los registros del sistema y otras fuentes de datos, o la investigación de las alertas detectadas.
• Almacenamiento de datos históricos de API: todos los datos de API deben almacenarse para que sea posible realizar investigaciones y buscar amenazas. El acceso a los datos es un requisito previo para la búsqueda gestionada de amenazas.
• Técnicas de detección avanzadas: la búsqueda gestionada de amenazas utiliza técnicas avanzadas de tecnología, como el aprendizaje automático y el análisis de comportamiento, para identificar posibles amenazas de seguridad. Estas técnicas pueden ayudar a identificar amenazas que pueden no ser detectables mediante los enfoques tradicionales basados en firmas.
• Equipo de búsqueda de amenazas: la búsqueda gestionada de amenazas requiere un equipo especializado de profesionales de seguridad formados y con experiencia en la identificación y mitigación de posibles amenazas de seguridad. La empresa de seguridad de API que presta el servicio suele contar con un equipo de expertos con conocimientos especializados sobre las amenazas de seguridad de API.
• Corrección y recomendaciones: la búsqueda gestionada de amenazas implica trabajar con la empresa para corregir cualquier amenaza identificada y proporcionar recomendaciones para mejorar su estrategia de seguridad. Para ello, puede ser necesario aplicar parches a las vulnerabilidades, mejorar los controles de acceso o implementar otros controles de seguridad en otras herramientas como WAF, CDN u otros proxies.

En el contexto de la seguridad de API, la búsqueda gestionada de amenazas puede ayudar a identificar y mitigar una serie de amenazas, incluidos los ataques de inyección, el robo de cuentas y los ataques de denegación de servicio. 

Al invertir en la búsqueda gestionada de amenazas, las empresas pueden asegurarse de que sus API estén seguras y protegidas frente a una serie de amenazas de seguridad.