No todas las organizaciones cuentan con una estrategia de seguridad de API. Aplicar el modelo Zero Trust a la seguridad de las API es una forma de protegerlas y reducir las posibilidades de que sean objeto de ataques.

Las API constituyen un eslabón esencial para las interacciones tecnológicas, ya que no solo permiten conectar aplicaciones modernas, sino que también ofrecen una forma de trabajar con la infraestructura heredada. Sin embargo, este tejido conectivo es un blanco propicio para los ataques. El proveedor de redes de distribución de contenidos Akamai ha señalado un aumento del 167 % en los ataques a aplicaciones web entre 2021 y 2022, y Gartner ha pronosticado que las API se convertirán en el principal vector de ataque de las aplicaciones web en 2023.

Una forma de mitigar los ataques contra las API consiste en implementar el modelo Zero Trust para protegerlas. El modeloZero Trustparte de la base de que los usuarios y los dispositivos no son de confianza por defecto. A continuación, la autenticación y la autorización continuas comprueban si un dispositivo o un usuario sigue siendo de confianza. Incluso en ese caso, solo se concede un acceso mínimo durante un periodo limitado.

A continuación se presentan cuatro formas de utilizar la estrategia Zero Trust para garantizar la seguridad de las API.

1. Seguridad de las API: inventario, evaluación y corrección de las API

 El modelo Zero Trust requiere conocer la superficie de ataque existente. Por lo tanto, el primer paso para proteger las API consiste en identificar e inventariar todas las API que se utilizan, evaluar su uso continuado, así como los posibles riesgos y vulnerabilidades, y corregir cualquier problema detectado, si es necesario.

Las herramientas de detección de API ayudan a localizar y evaluar todas las API de la infraestructura informática, ya sean API de acceso público, internas o conectadas a aplicaciones heredadas. Estas herramientas también pueden detectar API funcionales conectadas a aplicaciones desactivadas.

Tras las fases de identificación y inventario, determine si las API en cuestión deben seguir utilizándose, evalúe su nivel de seguridad y decida cómo protegerlas en el futuro. A continuación, corrija las API vulnerables o desactive aquellas que ya no sean necesarias.

2. Seguridad de las API: Evaluación del acceso a los datos de las API y control de las políticas

Una vez realizado el inventario, documente y gestione los datos a los que tienen acceso las API. Utilice herramientas como programas de gestión de bases de datos en la nube para obtener información sobre los datos a los que acceden actualmente las API. Reasigne o restrinja los derechos de acceso a los datos de las API según sea necesario mediante mecanismos de control de acceso en la base de datos.

Cree y aplique políticas de Zero Trust para las API. Por ejemplo, utilice políticas de seguridad de datos para controlar el acceso a los datos. En una política, especifique qué usuarios y roles pueden acceder a los distintos tipos de datos, cuándo pueden hacerlo y desde dónde. Utilice esta información para asegurarse de que solo las API activas y seguras accedan a los datos a los que están autorizadas dentro de la infraestructura.

Además, considere la posibilidad de investigar más a fondo los datos a los que acceden las API desactivadas, o de eliminarlos para reducir los riesgos.

3. Autenticación y autorización de las API

La autenticación y la autorización son principios fundamentales para la implementación del modelo Zero Trust.

Analiza cómo pueden interactuar los usuarios y los dispositivos con las API. Considera cada API como un recurso y exige que los usuarios y los dispositivos se autentiquen y obtengan autorización antes de permitirles el acceso.

El acceso a las API debería basarse en políticas de acceso granulares del modelo Zero Trust, como el principio del privilegio mínimo. Además, para autenticar el tráfico de las API, se deben implementar estándares como OpenID y OAuth 2.0. Entre los métodos de autenticación adicionales que se deben tener en cuenta se encuentran las claves de API, la autenticación HTTP y los tokens web JSON. El mejor método de autenticación de las API varía en función de cada API específica y de sus usos. Por ejemplo, las claves de API se utilizan a menudo para solicitudes de API más sencillas y no son tan seguras como OAuth o los tokens web JSON.

4. Limitación del caudal de las API

Establezca un límite de ancho de banda para las API con el fin de ayudar a prevenir ataques contra las API, como los ataques de denegación de servicio distribuido (DDoS). Los atacantes maliciosos utilizan ataques DDoS para saturar los servicios de API con una sobrecarga de llamadas a las API. Los ataques DDoS más sofisticados utilizan bots para realizar llamadas a las API que consumen más recursos de CPU o memoria con el fin de degradar los servicios.

Más concretamente, la limitación de flujo de tipo «fuerza bruta» restringe el número de llamadas a la API por minuto o por hora mediante un límite máximo predefinido; todo lo que supere ese límite se rechaza automáticamente. Una limitación de flujo más sofisticada restringe las llamadas a la API en función del día, la hora, la ubicación geográfica o la frecuencia de uso.

Para una protección adicional de las API, aplique otras prácticas recomendadas de seguridad de las API, como el cifrado de las solicitudes y las respuestas, el registro de las API en un registro de API y la protección de las claves de las API.