Open in app

Sign in

Write

Sign in

API Security 101

Israel Aráoz Severiche
3 min readSep 16, 2023

--

Una de mis actividades diarias es la revisión y detección de posibles actividades sospechosas o accesos no autorizados, transferencias de dinero, en términos generales, detección de Fraudes utilizando las aplicaciones móviles y obviamente las API internas o Externas, por esta razón he decidido escribir una serie de post relacionados a la Seguridad de API

A medida que las aplicaciones modernas continúan evolucionando, las API (Interfaces de Programación de Aplicaciones) se han convertido en componentes esenciales para la infraestructura tecnológica. Pero, el uso de estas APIs, también generan riesgos significativos

1. ¿Qué es una API y por qué es importante su seguridad?

Las API son conjuntos de funciones y procedimientos que permiten que aplicaciones escritas en diferentes tecnológicas se comuniquen entre sí. Facilitan la integración de sistemas y la creación de aplicaciones más ricas y funcionales. Sin embargo, al ser un punto de acceso a sistemas y datos, las API también son un blanco perfecto para los “bad actors” . Una API insegura puede llevar a la exposición de datos sensibles, pérdida en términos financieros y daño a la reputación de una organización.

2. Principales amenazas en la seguridad de API

El Proyecto OWASP (Open Web Application Security Project) ha identificado varias amenazas específicas para las API. Algunas de las más comunes incluyen:

  • Inyección: Similar a la inyección SQL, pero en el contexto de API, donde los atacantes envían datos maliciosos para manipular o interrogar el sistema.
  • Errores de autenticación y autorización: Esto ocurre cuando las API permiten solicitudes no autenticadas o cuando un usuario autenticado puede acceder a recursos que no debería.
  • Exposición de datos sensibles: Las API que no protegen adecuadamente los datos pueden exponer información sensible, como datos personales o detalles financieros.

3. Buenas prácticas en seguridad de API

Para proteger tus API, es necesario tomar en cuenta como mínimo las siguientes prácticas recomendadas:

  • Autenticación y autorización robustas: Utiliza estándares como OAuth 2.0 y asegúrate de que solo los usuarios autorizados puedan acceder a los recursos adecuados.
  • Limitación de tasa: Implementa límites en la cantidad de solicitudes que un usuario o IP puede hacer en un período determinado para proteger contra ataques de fuerza bruta.
  • Validación de entrada: Asegúrate de que todas las entradas a tu API estén validadas y sanitizadas para proteger contra inyecciones y otros ataques.
  • Cifrado: Usa HTTPS para cifrar datos en tránsito y considera cifrar datos sensibles en reposo.

4. Herramientas y recursos para la seguridad de API

A continuación detallo algunas herramientas y recursos que pueden ayudarte en el proceso de evalacion :

  • OWASP API Security Top 10: Una lista de las principales amenazas y vulnerabilidades en seguridad de APIs, con recomendaciones para mitigar las vulnerabilidades
  • Postman y Swagger: Herramientas útiles para probar y documentar tus API.
  • ZAP (Zed Attack Proxy) de OWASP: Una herramienta gratuita para encontrar vulnerabilidades en tus API.

Espero que este post te haya proporcionado una introducción clara y concisa al mundo de la seguridad de API. En futuros posts, revisaremos cada una de las vulnerabilidades según el OWASP API Security Risk 2023.

Owasp
API
Cybersecurity
Owasp Api Security Top 10

--

--

Israel Aráoz Severiche
Israel Aráoz Severiche

Written by Israel Aráoz Severiche

382 Followers
28 Following

{💀Cybersecurity Engineer​​🐞 } / { 🥋​ Purple Belt Brazilian Jiu Jitsu } / {🌐​https://twitter.com/iara0z}

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams