API, bots maliciosos y el aumento de los ciberfraudes 

Las API crecen rápidamente. También la automatización y los ataques utilizando bots. 

Los incrementos no son aislados: la falta de protección convierte a los bots en un vector. 

Por: Ricardo Cazares | Vicepresidente de Imperva en Latinoamérica

 

La rápida proliferación de las interfaces de programación de aplicaciones (API) está encabezando la transformación digital. 

¿Por qué? Porque ayudan a los desarrolladores a unir aplicaciones de forma rápida y eficiente, al tiempo que proporcionan una mejor experiencia de usuario. 

Una encuesta de Imperva descubrió que el número medio mínimo de API que una institución gestiona hoy en día es de 300. 

Sin embargo, a medida que crece el volumen de las mismas se amplía la superficie de ataque. 

Por lo tanto, cabe esperar que, en los próximos años, las API se conviertan en uno de los principales objetivos de los ciberdelincuentes. Éstas no sólo amplían la superficie de ataque al proporcionar más puntos de entrada a los cibercriminales.

Ellas también son más susceptibles al abuso de la lógica empresarial y al fraude, lo que las convierte en un objetivo ideal para los ataques automatizados. 

Y éstos están aumentando a un ritmo alarmante. Como se indica en nuestro informe “Bad Bot Report 2023“, el 17% de todos los ataques dirigidos a API en 2022 procedían de Bots. Y el 21% eran otros tipos de amenazas automatizadas. 

No debería sorprendernos que la falta de protección sea uno de los desafíos del 2023. 

Pero, ¿por qué estás herramuebtas son un vector cada vez más atacado?

Las organizaciones carecen de visibilidad

Las organizaciones deben identificar y documentar todas sus API. 

Muchas existen y están expuestas públicamente, pero las instituciones no han hecho el inventario ni las conocen activamente. Son las denominadas “API en la sombra”. 

Los ejemplos incluyen: antiguos puntos finales de API que están obsoletos, pero nunca se eliminaron. También hay nuevos puntos finales  que no están documentados.

O cuando un desarrollador realiza un cambio que expone puntos finales de API no públicos a Internet. 

Esto nos lleva a preguntarnos: ¿Cómo se puede proteger lo que no se sabe que está ahí?

También está el reto de distinguir el tráfico humano del de bots y, también, diferenciar los bots buenos de los maliciosos. 

El problema radica en el hecho de que, para estas herramientas, todo parece un bot, ya que están diseñadas para clientes automatizados.

Esto hace que sea difícil que las organizaciones protejan sus API contra los ataques de bots. 

Las mismas manejan grandes volúmenes de peticiones, pero carecen de mecanismos de defensa incorporados. 

Todo ello dificulta la detección y el bloqueo del tráfico de bots maliciosos: permite a los atacantes utilizar la automatización sin riesgo de que salten las alarmas. 

Proporcionan acceso directo a datos sensibles

Las API son una vía directa de acceso a: 

• Datos confidenciales 
• Funcionalidades empresariales
• Recursos 
• Y otra información sensible 

Un análisis reciente de Imperva descubrió que el 13% de las API manejan información altamente sensible. 

Nos referimos a números de tarjetas de crédito, de la seguridad social, direcciones de particulares, etc. 

Si un atacante consigue acceder a una API que maneja datos, podría obtener – potencialmente – esta información, lo que daría lugar a una violación de datos.

La lógica empresarial suele pasarse por alto

Según Postman, el 44% de los desarrolladores de API tienen menos de dos años de experiencia. 

Cuando se trata de protegerlas, los desarrolladores suelen aplicar un conjunto estándar de reglas, exponiendo así las API a vulnerabilidades. 

Incluso si los desarrolladores intentan mitigar el tráfico de bots, a menudo, utilizan herramientas y técnicas de seguridad tradicionales. 

Entre ellas se encuentran la limitación de velocidad, la detección basada en firmas, los protocolos de bloqueo, etc. 

Estas técnicas suelen ser ineficaces contra los sofisticados ataques de bots que se dirigen a las API.

No se trata sólo de la función empresarial

Scraping y Account Takeover son dos ejemplos de ataques de bots que pueden explotar la lógica de negocio de una API. 

Los bots pueden atacar las API de muchas otras formas. Un ejemplo son los ataques distribuidos de denegación de servicio (DDoS). 

Los bots pueden utilizarse para lanzar ataques DDoS contra las API, saturándolas de tráfico y haciéndolas inaccesibles para los usuarios legítimos.

Por todo lo anterior podemos concluir que las organizaciones dependen cada vez más de las API, lo que lleva a un rápido crecimiento en su adopción y uso. 

A su vez, la superficie de ataque que las empresas deben ser capaces de proteger hoy en día ha aumentado significativamente. 

Los bots, cada día más sofisticados, y la facilidad con la que pueden atacar la logística empresarial de las API, suponen un riesgo significativo. 

Según nuestras previsiones, éste no hará más que crecer.