¿Cumple su IA con la normativa? Regístrese hoy

Técnico

El Top 10 de Seguridad de API de OWASP 2023 Explicado

December 31, 2024

Eric Schwake
Head of Product Marketing

¿Qué es OWASP?

En el panorama digital interconectado actual, las API son fundamentales para las aplicaciones modernas, impulsando la innovación y permitiendo a las empresas satisfacer las crecientes expectativas de los clientes. Sin embargo, esta dependencia de las API también las ha convertido en objetivos atractivos para los ciberatacantes. Para contrarrestar con éxito estas amenazas, las organizaciones deben comprender los principales riesgos de seguridad de las API y encontrar formas de mitigarlos.

OWASP: Un defensor de la seguridad de las aplicaciones web

El Open Web Application Security Project (OWASP) es una organización sin fines de lucro centrada en mejorar la seguridad de las aplicaciones web. Ofrece una amplia gama de recursos gratuitos, como documentación, herramientas, foros y videos, destinados a ayudar a desarrolladores y expertos en seguridad a crear aplicaciones más seguras. Sus contribuciones clave incluyen el OWASP Top 10, que destaca las vulnerabilidades de las aplicaciones web, y el OWASP API Security Top 10, que se enfoca en los riesgos asociados con la seguridad de las API.

El panorama cambiante de los ataques a las API

El panorama de las amenazas a las API está en constante evolución a medida que los atacantes mejoran sus métodos. El informe Estado de la seguridad de las API de Salt Security indicó que el 95% de las organizaciones experimentaron algún tipo de incidente de seguridad de API. Los actores maliciosos están apuntando cada vez más a la lógica de negocio central de las API y empleando tácticas de "bajo y lento" para evitar la detección, lo que les permite llevar a cabo sus ataques durante períodos prolongados.

OWASP API Security Top 10: Un recurso crítico

En 2023, OWASP publicó su versión actualizada del API Security Top 10 para abordar las amenazas en evolución. Esta lista proporciona información crucial sobre los desafíos clave de seguridad en el complejo ecosistema de API actual. Este blog examinará de cerca cada vulnerabilidad descrita en el OWASP API Security Top 10.

API1:2023 Autorización a nivel de objeto rota (BOLA)

La autorización a nivel de objeto rota se debe a la falta de controles de acceso adecuados en los puntos finales de las API, lo que permite a usuarios no autorizados acceder y modificar datos sensibles. BOLA está presente en aproximadamente el 40% de todos los ataques a las API y es la amenaza de seguridad de API más común. Las vulnerabilidades de API de autorización a nivel de objeto rota han ocupado el primer lugar en la lista de OWASP desde 2019 y han mantenido su posición principal en la versión de 2023.

API2:2023 Autenticación rota

El fallo en la autenticación permite a los atacantes usar tokens de autenticación robados, relleno de credenciales y ataques de fuerza bruta para obtener acceso no autorizado a las aplicaciones. Esta vulnerabilidad de seguridad en la autenticación de API ha mantenido su segundo puesto en la lista OWASP desde 2019.

API3:2023 Autorización deficiente a nivel de propiedades de objeto

La autorización deficiente a nivel de propiedades de objeto combina ataques que ocurren al obtener acceso no autorizado a información sensible a través de Exposición excesiva de datos (anteriormente listada como número 3 en el Top 10 de Seguridad de API de OWASP de 2019) o Asignación masiva (anteriormente en sexto lugar en la lista de 2019). Ambas técnicas se basan en la manipulación de puntos finales de API para obtener acceso a datos sensibles.  

API4:2023 Consumo de recursos sin restricciones

Esta vulnerabilidad se origina en APIs que implementan de forma incorrecta o no implementan límites en el consumo de recursos, lo que las deja altamente susceptibles a ataques de fuerza bruta. El Consumo de Recursos sin Restricciones ha reemplazado al anterior número 4 en el Top 10 de Seguridad de API de OWASP, Falta de Recursos y Limitación de Tasa. Sin embargo, aunque el nombre cambió, esta vulnerabilidad sigue siendo la misma en general.

API5:2023 Autorización a nivel de función deficiente (BFLA)

Esta amenaza se materializa cuando la autorización no se implementa correctamente, lo que permite a usuarios no autorizados ejecutar funciones de API como añadir, actualizar o eliminar un registro de cliente o un rol de usuario. BFLA ha mantenido su quinto puesto en la lista desde 2019.

API6:2023 Acceso sin restricciones a flujos de negocio sensibles

Esta nueva amenaza, que ha reemplazado a la Asignación Masiva como número 6 en el Top 10 de Seguridad de API de OWASP, se manifiesta cuando una API expone un flujo de negocio sin compensar cómo la funcionalidad podría causar daño si se utiliza excesivamente a través de la automatización. Para explotar esta vulnerabilidad, un atacante necesitará comprender la lógica de negocio detrás de la API en cuestión, encontrar flujos de negocio sensibles y automatizar el acceso a ellos para causar daño al negocio.

API7:2023 Falsificación de Solicitudes del Lado del Servidor (SSRF)

La Falsificación de Solicitudes del Lado del Servidor puede ocurrir cuando una URL controlada por el usuario se pasa a través de una API y es aceptada y procesada por el servidor de back-end. Los riesgos de seguridad de la API se materializan si el servidor de back-end intenta conectarse a la URL proporcionada por el usuario, lo que abre la puerta a SSRF. Esta amenaza ha reemplazado a Asignación masiva como número 6 en la lista del Top 10 de Seguridad de API de OWASP.

API8:2023 Configuración de seguridad incorrecta

La configuración de seguridad incorrecta es un término general para una amplia gama de configuraciones de seguridad incorrectas que a menudo impactan negativamente la seguridad de la API en su conjunto e introducen vulnerabilidades de API de forma inadvertida. Esta amenaza ha sido el número 7 en la lista del Top 10 de Seguridad de API de OWASP publicada en 2019 y ha permanecido en la misma posición en 2023.

API9:2023 Gestión de Inventario Inadecuada

Esta amenaza es el resultado de un inventario obsoleto o incompleto que puede crear brechas desconocidas en la superficie de ataque de la API, dificultando la identificación de versiones antiguas de APIs que deberían ser dadas de baja. La Gestión de Inventario Inadecuada ha reemplazado a la Gestión de Activos Inadecuada como el número 9 en el Top 10 de Seguridad de API de OWASP y, aunque el nombre ha sido cambiado para enfatizar la importancia de un inventario de API preciso y actualizado, la amenaza sigue siendo la misma.

API10:2023 Consumo Inseguro de APIs

La vulnerabilidad de Consumo Inseguro de APIs surge del uso inadecuado de APIs por parte de los clientes de API, como eludir los controles de seguridad de autenticación de API o manipular las respuestas de API, lo que puede llevar a un acceso no autorizado y a la exposición de datos. Esta vulnerabilidad de API puede ser explotada a través del consumo de los propios datos de la API o abusando de problemas de integración de terceros. El Consumo Inseguro de APIs ha reemplazado a Registro y Monitoreo Insuficientes como el número 10 en el Top 10 de Seguridad de API de OWASP.

Por qué necesita comprender el Top 10 de Seguridad de API de OWASP

Las APIs conectan las aplicaciones modernas de hoy, impulsan la innovación empresarial y permiten a las empresas satisfacer las expectativas cada vez más altas de sus clientes en cuanto a digitalización y velocidad. Pero, al convertirse en un activo invaluable para las organizaciones, también se han convertido en un objetivo principal para los atacantes.

Si desea obtener más información sobre Salt y cómo podemos ayudarle en su camino hacia la seguridad de API a través del descubrimiento, la gobernanza de la postura y la protección contra amenazas en tiempo de ejecución, por favor contáctenos, programe una demostración, o consulte nuestro sitio web.

Blog de seguridad de Salt

Suscríbase al boletín de Salt para obtener los últimos recursos y publicaciones del blog.

Nuestras últimas publicaciones