Las APIs requieren autenticación (OAuth 2.0, API keys, mutual TLS) y autorización granular (scopes, rate limits) para cada consumidor.
Qué es una API
Una API (Interfaz de Programación de Aplicaciones) es un conjunto de reglas y protocolos que permite que dos aplicaciones o sistemas se comuniquen e intercambien datos. Las APIs son fundamentales en arquitecturas modernas, especialmente en microservicios, integraciones cloud y ecosistemas SaaS. Sin embargo, las APIs mal aseguradas son vectores críticos de ataque: exposición de datos sensibles, inyección de código, autenticación débil y falta de validación de entrada son vulnerabilidades comunes que reguladores como NIS2 y DORA exigen que se protejan.
Por qué importa
Las APIs exponentes en internet representan un riesgo significativo porque son puntos de acceso directo a datos y funcionalidad de negocio. Un CISO debe inventariar todas las APIs (internas y externas), validar controles de autenticación y autorización, implementar rate limiting, y monitorear accesos anormales. Las brechas frecuentemente involucran APIs: credenciales hardcodeadas en repositorios git, falta de validación de tokens JWT, inyección CRUD en consultas, y exfiltración silenciosa mediante endpoints desprotegidos. En auditorías ISO 27001 y pentesting, las APIs mal configuradas son hallazgos críticos repetitivos. DORA exige visibilidad y control de APIs que exponen sistemas críticos.
Puntos clave
Validación de entrada en APIs es crítica: inyección SQL, CRUD injection, XXE, y deserialización insegura explotan APIs confiadas.
Monitoreo y alertas en APIs detectan acceso anómalo, tokens comprometidos y patrones de exfiltración; EDR y SIEM deben incluir API logs.
Gobernanza de APIs es obligatoria en NIS2 y DORA: documentación, versionado, deprecación ordenada y control de cambios.
Ejemplo: Vulnerabilidad en API de integración cloud
Una empresa exporta datos de clientes mediante API a un sistema externo. Pentesting descubre que la API acepta cualquier JWT sin validar firma, y que los tokens no expiran. Un atacante replica tokens válidos de empleados retirados para extraer 5 años de datos de clientes. Además, la API no valida parámetros: cambiar IDs en la URL accede a registros de otros clientes (IDOR). Implementación de solución: renovación de tokens, validación criptográfica de JWT, autorización por recurso, rate limiting, y logging de accesos en SIEM vinculado a alertas en tiempo real.
Errores habituales
- Asumir que una API 'interna' es segura; las APIs de intranet son atacadas frecuentemente desde inside y lateral movement.
- Validar inputs solo en cliente; la validación debe ocurrir en servidor, con rechazo de payloads malformados.
- Usar API keys como credenciales permanentes; deben ser corta vida, rotadas frecuentemente, y revocar keys comprometidas inmediatamente.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre autenticación y autorización en APIs?
Autenticación verifica quién eres (credenciales válidas, JWT legítimo). Autorización define qué puedes hacer con esos privilegios (scopes, roles, permisos por recurso). Una API puede autentica correcto pero autorización débil permite acceso a datos que no deberías ver (ej: cambiar rol de admin mediante API).
¿Cómo se deben registrar logs de acceso a APIs?
Logs deben incluir: timestamp, usuario/app, método (GET/POST/etc), endpoint, parámetros anónimos (no exponer valores sensibles), código de respuesta, latencia, IP origen, y decisión de autorización (permitido/denegado). Estos logs deben fluir a SIEM central con alertas para acceso anómalo, tasa alta de errores 403, o intentos de acceso a recursos sensibles.
¿Qué herramientas se usan para auditar APIs?
Burp Suite Pro, OWASP ZAP para pruebas activas; SonarQube para análisis de código; Postman/Insomnia para pruebas funcionales; Swagger/OpenAPI para documentación y validación; Snyk para dependencias; y herramientas CSPM que monitorizan APIs cloud en tiempo real.