{"id":3026,"date":"2021-12-16T15:53:07","date_gmt":"2021-12-16T20:53:07","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=3026"},"modified":"2023-02-10T15:21:17","modified_gmt":"2023-02-10T20:21:17","slug":"el-peligro-de-las-apis","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/el-peligro-de-las-apis\/","title":{"rendered":"El peligro de las APIs…"},"content":{"rendered":"\n

Las interfaces de programaci\u00f3n de aplicaciones (API) se han puesto de moda hoy en d\u00eda, y los desarrolladores empresariales ahora dependen en gran medida de ellas para respaldar la entrega de nuevos productos y servicios. Eso no es ninguna sorpresa, ya que permiten a los programadores integrar la funcionalidad de los servicios proporcionados externamente en lugar de tener que crear esas funciones ellos mismos.<\/p>\n\n\n\n

\u00bfSab\u00eda que, seg\u00fan el blog API Evangelist<\/a>, la primera instancia de una interfaz de programaci\u00f3n de aplicaciones (API) que se puso en circulaci\u00f3n fue creada por Salesforce.com el 7 de febrero de 2000<\/strong>? Lo que se concibi\u00f3 originalmente como un m\u00e9todo de comunicaci\u00f3n de sistema a sistema relativamente simple ha evolucionado hasta convertirse en uno de los mayores impulsores del tr\u00e1fico de Internet.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Los actores de amenazas <\/strong>prestan atenci\u00f3n a las estad\u00edsticas y tendencias empresariales, identificando servicios y aplicaciones que ofrecen un mayor potencial de riesgo. Las aplicaciones en la nube, independientemente de su tipo (SaaS, PaaS o IaaS), han transformado la forma en que los desarrolladores de software dise\u00f1an, consumen y aprovechan las API, ya sea un escenario B2B o un escenario B2C. El alcance y la popularidad de algunas de estas aplicaciones en la nube, as\u00ed como el tesoro de datos y capacidades cr\u00edticos para el negocio que normalmente se encuentran detr\u00e1s de estas API, las convierten en un objetivo lucrativo para los actores de amenazas. La naturaleza conectada de las API tambi\u00e9n introduce riesgos adicionales para las empresas, ya que se convierten en un vector de entrada para ataques m\u00e1s amplios a la cadena de suministro.<\/p>\n\n\n\n

Los siguientes son algunos de los riesgos claves a tener en cuenta:<\/p>\n\n\n\n

    \n
  1. Configuraci\u00f3n incorrecta de las API<\/li>\n\n\n\n
  2. Explotaci\u00f3n de mecanismos de autenticaci\u00f3n modernos<\/li>\n\n\n\n
  3. Evoluci\u00f3n de los ataques de malware tradicionales para utilizar m\u00e1s API en la nube<\/li>\n\n\n\n
  4. Posible uso indebido de las API para lanzar ataques a datos empresariales<\/li>\n\n\n\n
  5. El uso de API para infraestructura definida por software tambi\u00e9n significa un posible uso indebido<\/li>\n\n\n\n
  6. Las API se publican sin revisi\u00f3n de seguridad o controles<\/strong> adecuados<\/strong><\/li>\n<\/ol>\n\n\n\n

    Otra amenaza son los bots malos, seg\u00fan Lynn Marks, Gerente Senior de Producto de Imperva:<\/p>\n\n\n\n

    \u201cLos API se estan convirtiendo en el objetivo principal de los bots malos<\/strong>, dado que los ciberdelincuentes se centrar\u00e1n m\u00e1s en los puntos finales de APIs vulnerables que se conectan directamente a la base de datos de una organizaci\u00f3n en busca de datos confidenciales. Debido a que las defensas de seguridad API a menudo pasan por alto las amenazas automatizadas, los bots se convertir\u00e1n en un desaf\u00edo persistente el pr\u00f3ximo a\u00f1o y generar\u00e1n m\u00e1s ataques de scraping (extracci\u00f3n de datos) en las API individuales que conducen a la fuga de datos. \u201d<\/p><\/blockquote><\/figure>\n\n\n\n

    Violaciones de datos de API conocidas<\/h2>\n\n\n\n

    Por lo tanto, si le preocupan sus datos, especialmente los datos a los que se accede a trav\u00e9s de API, es hora de mirar m\u00e1s all\u00e1 de sus pasarelas de administraci\u00f3n de acceso o firewalls de aplicaciones web. En el nuevo a\u00f1o, las organizaciones deben resolver estos retos que trae el uso de las APIs.<\/p>\n\n\n\n

    Aqu\u00ed est\u00e1 la lista de violaciones de datos creada por CloudVector<\/a>:<\/p>\n\n\n\n

    La API de VMWare Workspace ONE<\/strong> podr\u00eda ser un vector en la violaci\u00f3n de SolarWinds<\/a>: La brecha relacionada con SolarWinds <\/a><\/strong>nos mostr\u00f3 que la infraestructura detr\u00e1s de un per\u00edmetro se puede explotar cuando una brecha permite que los actores del ataque se muevan lateralmente. <\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    Violaci\u00f3n de datos del cliente del libro mayor<\/strong><\/a>: Ledger es una empresa francesa de carteras de hardware de criptomonedas. Si bien las billeteras y las criptomonedas est\u00e1n bien protegidas, una configuraci\u00f3n incorrecta de la API de la tercera parte termin\u00f3 filtrando datos personales de sus clientes. <\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    Defectos de la API de YouTube<\/strong><\/a>: Al subir un video en Video Builder, la herramienta mostraba una lista de canales propiedad de la cuenta y permit\u00eda al usuario elegir el canal que deseaba. Al usar la API directamente para enviar un ID de canal diferente al que es propiedad del usuario, es posible subir el video con un usuario diferente. YouTube no verific\u00f3 los permisos y subi\u00f3 el video al canal especificado.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    API de Tesla Backup Gateway<\/strong><\/a> (m\u00faltiples vulnerabilidades): las puertas de enlace de respaldo determinan cu\u00e1ndo cargar las bater\u00edas, cu\u00e1ndo enviar la energ\u00eda de regreso a la red el\u00e9ctrica y qu\u00e9 combinaci\u00f3n de energ\u00eda solar, de bater\u00eda y de red se debe usar para alimentar la casa. Las puertas de enlace est\u00e1n conectadas a Internet y exponen los puntos finales de la API. Algunas de las API no requieren autenticaci\u00f3n y, por lo tanto, exponen p\u00fablicamente datos sobre la instalaci\u00f3n individual, como el consumo de energ\u00eda y los datos de producci\u00f3n, el nombre para mostrar, el pa\u00eds y estado, el nombre de la empresa de servicios p\u00fablicos, etc. El usuario puede configurar datos como los nombres de visualizaci\u00f3n para que contengan informaci\u00f3n identificable. <\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    Exposici\u00f3n de acceso a la API de Prestige Software S3<\/strong><\/a>: Utilizado por muchos hoteles para integrar su sistema de reservas con bookings.com y expedia.com, ten\u00edan un S3 mal configurado abierto para el acceso a la API, exponiendo millones de registros privados de clientes. <\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    Las API de pol\u00edticas basadas en recursos de AWS<\/strong> ten\u00edan filtraciones de informaci\u00f3n<\/a>: Los investigadores encontraron que 22 API en 16 servicios de AWS diferentes podr\u00edan explotarse para filtrar usuarios y roles de Identity and Access Management (IAM). Para mejorar la experiencia del usuario, AWS intenta ayudar a los usuarios a evitar errores al crear pol\u00edticas basadas en recursos, a menudo complejas, y llama a las API para validar varios campos presentes en la pol\u00edtica. Esto tambi\u00e9n significa que un atacante podr\u00eda usar llamadas a la API para determinar qu\u00e9 identidades (usuarios y roles) existen para la cuenta. Para empeorar las cosas, los mensajes sobre las fallas aparecen en los registros de la cuenta del atacante. No se registra nada en la cuenta de destino, por lo que las v\u00edctimas ni siquiera detectan que est\u00e1n siendo atacadas.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

     <\/p>\n\n\n\n

    La API de Gitlab Backdoor<\/strong> expone proyectos privados<\/a>: No se necesitan m\u00e1s explicaciones. El t\u00edtulo lo dec\u00eda todo. <\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    Shopify Insider aprovech\u00f3 las API de pedidos para obtener millones<\/strong> de registros de clientes<\/a>: Las API de pedidos destinadas a los comerciantes se utilizaron para robar millones de grabadores de clientes.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    Vulnerabilidades de control de autom\u00f3viles Mercedes Benz <\/strong>(m\u00faltiples)<\/a>: Los investigadores obtuvieron acceso a la intranet de backend a trav\u00e9s de la eSIM de un autom\u00f3vil Mercedes-Benz Clase E conectado. Para conectarse, tuvieron que reutilizar la configuraci\u00f3n de APN, falsificar n\u00fameros IMEI y localizar y reutilizar certificados. Sin embargo, una vez que superaron estos obst\u00e1culos y lograron establecer la conexi\u00f3n, descubrieron que las API en s\u00ed no estaban protegidas en absoluto.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    Vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n de Cisco Data Center Network Manager<\/strong><\/a>: Una vulnerabilidad en la API REST de Cisco Data Center Network Manager (DCNM) podr\u00eda permitir que un atacante remoto no autenticado eluda la autenticaci\u00f3n y ejecute acciones arbitrarias con privilegios administrativos en un dispositivo afectado. La vulnerabilidad existe porque diferentes instalaciones comparten una clave de cifrado est\u00e1tica. Un exploit exitoso podr\u00eda permitir al atacante realizar acciones arbitrarias a trav\u00e9s de la API REST con privilegios administrativos. No se sugiere utilizar una clave API est\u00e1tica o codificada. Esta es una pr\u00e1ctica de seguridad deficiente, susceptible de interceptaci\u00f3n y reutilizaci\u00f3n de claves.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    API de Google Analytics utilizada como vector de ataque para exfiltrar datos<\/strong>:<\/a> Content Security Policy (CSP) es una herramienta \u00fatil para proteger las aplicaciones web contra vulnerabilidades del lado del cliente y ataques Magecart. CSP no es realmente compatible con las API de Google Analytics. Google Analytics se usa ampliamente en sitios web para recopilar estad\u00edsticas y datos para decisiones comerciales y, por lo tanto, su dominio generalmente se coloca en la lista de permitidos del CSP. En cierto modo, esto abre una puerta trasera a la CSP. Para extraer datos, los atacantes solo necesitan llamar a las API de Google Analytics y enviar los datos a su cuenta de Google Analytics. El dominio de esta llamada es id\u00e9ntico a cualquier otra llamada de Google Analytics, solo el par\u00e1metro de etiqueta es diferente. Esto no es suficiente para que CSP lo utilice como discriminador, por lo que la llamada se realiza sin ning\u00fan problema. Esta es otra historia a tener en cuenta cada vez que se utiliza una API de terceros.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    El error de Google Firebase expone datos a trav\u00e9s de aproximadamente 24,000 aplicaciones de Android<\/strong><\/a>: Una API no segura accedi\u00f3 al almacenamiento en la nube de Firebase utilizado por aproximadamente 24,000 aplicaciones de Android. La vulnerabilidad no era realmente una vulnerabilidad en Firebase en s\u00ed, sino c\u00f3mo muchos desarrolladores de Android configuran y usan Firebase. Como Firebase es una herramienta multiplataforma, es posible que el impacto no se limite solo a Android. Debido a que la plataforma est\u00e1 basada en la nube, desafortunadamente hay espacio para graves consecuencias si su seguridad est\u00e1 configurada de manera deficiente. Las implementaciones con fugas expusieron las API REST que permit\u00edan a los atacantes descargar datos del usuario final a trav\u00e9s de solicitudes GET e incluso realizar cambios en los datos con solicitudes PUT.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    <\/p>\n\n\n\n

    Datos personales de 1,41 millones de m\u00e9dicos estadounidenses vendidos en un foro de hackers<\/strong><\/a>: Los piratas inform\u00e1ticos utilizaron API inseguras detr\u00e1s del sitio web qa.findadoctor.com<\/a> para obtener informaci\u00f3n sobre 1,4 millones de m\u00e9dicos en los EE. UU. Si bien la informaci\u00f3n era p\u00fablica en el propio sitio, la API desprotegida permit\u00eda descargarla toda y ponerla a disposici\u00f3n de forma estructurada. Todos estos datos se pueden utilizar para realizar m\u00e1s ataques.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    La aplicaci\u00f3n de terceros utilizada por los principales comerciantes de la UE expuso 8 millones de registros de ventas<\/strong><\/a>: Se descubri\u00f3 que una base de datos no protegida estaba filtrando 8 millones de registros de compras de grandes nombres del comercio electr\u00f3nico europeo, incluidos Amazon Reino Unido, Ebay, Shopify, PayPal y Stripe.<\/strong> La base de datos con fugas pertenec\u00eda a un proveedor de API que ayud\u00f3 a los comerciantes a agregar datos de ventas y reembolsos de m\u00faltiples mercados y a calcular el impuesto al valor agregado (IVA) para las ventas transfronterizas en la UE. Este incidente muestra los peligros asociados con la exposici\u00f3n de sus datos a trav\u00e9s de API a terceros.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    CapitalOne multado con 80 millones<\/strong><\/a>: El incidente ocurri\u00f3 en 2019, pero la sanci\u00f3n finalmente se determin\u00f3 este a\u00f1o. El mal actor aprovech\u00f3 una credencial robada para acceder a los dep\u00f3sitos de S3 a trav\u00e9s de API, robando millones de registros altamente confidenciales sin ser detectado. Se implementaron todas las medidas de protecci\u00f3n y encriptaci\u00f3n de datos de \u00faltima generaci\u00f3n. Ninguno de ellos incluso activ\u00f3 una alerta.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

     <\/p>\n\n\n\n

    La vulnerabilidad de la API del servicio de inicio de sesi\u00f3n de Apple <\/strong>permite a un usuario hacerse pasar por otra persona<\/a>: S\u00ed, es el inicio de sesi\u00f3n de Apple que utilizan todos los usuarios de Mac o iPhone. <\/p>\n\n\n\n

    Informaci\u00f3n personal de los votantes israel\u00edes expuesta por una vulnerabilidad API <\/strong>de la aplicaci\u00f3n electoral<\/a>: Una estimaci\u00f3n de 6,5 millones de votantes se vieron afectados en este. <\/p>\n\n\n\n

    Aplicaci\u00f3n SoundClouds<\/strong><\/a> ten\u00eda m\u00faltiples vulnerabilidades: tal vulnerabilidad del popular sitio web de m\u00fasica y audio habr\u00eda permitido la apropiaci\u00f3n de cuentas. <\/p>\n\n\n\n

    Defecto de la API de Airtel que expone los datos privados de sus m\u00e1s de 300 millones de usuarios<\/strong>:<\/a> La informaci\u00f3n confidencial de identificaci\u00f3n personal de este gran proveedor de telecomunicaciones de la India que opera en 18 pa\u00edses, como los nombres, la direcci\u00f3n y la fecha de nacimiento, estaba en riesgo.<\/p>\n\n\n\n

    La lista puede seguir. A medida que la digitalizaci\u00f3n impulsa la adopci\u00f3n de mas APIs, muchos han hecho sonar la alarma de que el abuso de ellas es un vector importante que causa violaciones de datos. Esa capa de datos flexible y altamente personalizable que hace que la API sea tan poderosa puede ser exactamente lo que los ciberatacantes necesitan para acceder a sus datos. Obtener visibilidad de los datos confidenciales de la API en movimiento es una parte fundamental para garantizar la seguridad completa de los datos de la API para su empresa. <\/p>\n\n\n\n

    Para los desarrolladores, desarrollar un modelo de amenazas efectivo para sus API y tener un mecanismo de control de acceso de Confianza Cero debe ser una prioridad junto con un registro de seguridad, pruebas de seguridad extensivas y telemetr\u00eda efectiva para una mejor respuesta a incidentes y detecci\u00f3n de uso indebido malintencionado.<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n\n\n\n

    PTaaS<\/a><\/strong>: es un servicio moderno para encontrar vulnerabilidades y hacer pruebas de penetraci\u00f3n (Pentest) y Hacking \u00e9tico aprovechando la potencia de software con inteligencia de amenazas en la nube con la capacidad de realizar pruebas de seguridad bajo demanda, de forma \u00e1gil, automatizada y continua.\u00a0Reduzca la cantidad de especialistas, costos asociados y flexibilice los horarios para realizar el trabajo, todo esto con el soporte, acompa\u00f1amiento, revisi\u00f3n y verificaci\u00f3n de nuestro\u00a0Red Team<\/strong>.<\/p>\n\n\n\n

    Recibe un Diagn\u00f3stico Sin Costo <\/strong>del estado de seguridad de tu aplicaci\u00f3n o sitio web dando clic en el siguiente enlace:<\/p>\n\n\n\n

    \n
    Quiero el Diagn\u00f3stico Gratis<\/strong><\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

    Las interfaces de programaci\u00f3n de aplicaciones (API) se han puesto de moda hoy en d\u00eda, y los desarrolladores empresariales ahora dependen en gran medida de ellas para respaldar la entrega de nuevos productos y servicios. Eso no es ninguna sorpresa, ya que permiten a los programadores integrar la funcionalidad de los servicios proporcionados externamente en lugar…<\/p>\n","protected":false},"author":1,"featured_media":3057,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[],"class_list":["post-3026","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3026","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=3026"}],"version-history":[{"count":2,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3026\/revisions"}],"predecessor-version":[{"id":3532,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3026\/revisions\/3532"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/3057"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=3026"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=3026"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=3026"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}