Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
junio
(Total:
85
)
- Estafan a una mujer 170.000€ en Granada (España) q...
- Un técnico corta internet a toda la empresa para c...
- Grupo de ransomware 8Base aumenta los ataques de d...
- Microsoft quiere llevar Windows totalmente a la nube
- Google habría cancelado sus gafas de realidad aume...
- Microsoft prefirió usar los chips de Xbox Series X...
- Un hombre acepta un soborno para desviar 2 millone...
- "El factor humano" la principal debilidad de todas...
- La redada EncroChat conduce a la detención de 6.55...
- Falsas amenazas de bomba como estafa para consegui...
- Diablo IV y World of Warcraft sufren ataques DDoS ...
- El malware que viajando en un solo USB ha infectad...
- Detenida en España una influencer por abusar sexua...
- Nuevo test evalúa la capacidad de la inteligencia ...
- Discord cada vez es menos gratis y más de pago
- La IA regulará los deepfakes para evitar contenido...
- Parches de emergencia para Apple: vulnerabilidades...
- Demandan a Amazon por engañar a sus clientes para ...
- Microsoft confirma oficialmente que sufrió ataques...
- Más de 100.000 cuentas de ChatGPT hackeadas se est...
- Going Dark es el grupo de la UE que quiere termina...
- Se puede extraer información incluso con solo 3 mm...
- El submarino perdido de la expedición del Titanic ...
- La curiosa historia detrás del dominio Googlemail....
- Los jefes del malware bancario Gozi, finalmente en...
- ChatGPT no genera claves de activación de Windows ...
- Banda de ransomware ALPHV (BlackCat) amenaza a Red...
- Grupo de ransomware 8Base apunta a pymes mexicanas
- YouTubers italianos causan la muerte de niño de 5 ...
- La UE obligará a usar baterías sustituibles para a...
- Ransomware Rhysida publica 360.000 documentos del ...
- EEUU arresta en Arizona a un ruso de 20 años del g...
- Intel anuncia nueva nomenclatura para sus procesad...
- Killnet, Anonymous Sudan y REvil amenazan con atac...
- Ciberdelincuentes chinos explotan vulnerabilidad Z...
- La petrolera Shell víctima indirecta del ransomwa...
- Amazon utiliza inteligencia artificial generativa ...
- Descubren que se puede rastrear el domicilio de lo...
- Tails 5.14 mejora la seguridad con el almacenamien...
- Troyano modular Pikabot
- Scripts básicos para encontrar vulnerabilidades co...
- Análisis de precios en el mercado de la Dark Web
- A los senadores de España ya no les srive el iPhon...
- Las Apple Vision Pro tendrán que cambiar de nombre...
- Google DeepMind, OpenAI y Anthropic abren sus mode...
- Pueden robar claves criptográficas grabando en víd...
- Roban miles de dólares en Bitcoins de Rusia y los ...
- Un tipo diferente de petición de ransomware: donar...
- Estados Unidos multa con 20 millones a Microsoft p...
- Dos AirTag expusieron el robo de víveres para Turq...
- La Universidad Pompeu Fabra (UPF) de Barcelona víc...
- Capcom celebra 40º aniversario con grandes juegos ...
- Principales riesgos de seguridad de las APIs y cóm...
- Chrome mejora la seguridad del gestor de contraseñ...
- El ataque a los canales de YouTube con cookies rob...
- Un adolescente chino, de 13 años, se gasta 64.000 ...
- Hackean CNV: Comisión Nacional de Valores de Argen...
- Cómo entrar al router para configurarlo: 192.168.1.1
- Microsoft OneDrive estuvo caído todo el mundo tras...
- Nuevo malware PowerDrop contra la industria aeroe...
- nginx 1.25 añade soporte para HTTP/3
- El masivo ciberataque a MOVEit amenaza los datos p...
- ¿Display Port o HDMI en un PC para juegos?
- Apple apuesta por el «gaming» en macOS
- Los canales de WhatsApp: una forma privada de segu...
- PrivateGPT, el ChatGPT que no necesita conectarse ...
- Técnicas de HTML Smuggling para Phishing
- Libro gratuito: "ESTEGOMALWARE. Evasión de antivir...
- Utilizan imágenes de redes sociales para hacer vid...
- La Unión Europea plantea prohibir el uso de Huawei...
- Los algoritmos de Instagram promueven redes de ped...
- Ciberataque a varias televisiones rusas con un 'de...
- Apple presenta Vision Pro, sus gafas de realidad m...
- Kermit, el cibercriminal “selecto” y de “alta repu...
- Elon Musk, otra vez acusado de manipular el precio...
- Rusia dice que la NSA colabora con Apple para espi...
- La historia de cómo varios adolescentes crearon la...
- Un dron militar controlado por IA se rebela y mata...
- Kaspersky afirma que hackearon varios iPhones de s...
- RARBG cierra tras 15 años ofreciendo Torrents
- Pegasus tiene un sustituto como software espía en ...
- El Servicio Nacional de Salud británico compartió ...
- Amazon pagará 23 millones por violar la privacidad...
- La comunidad open source no tiene la culpa de los ...
- Cientos de modelos de placas base Gigabyte vulnera...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Principales riesgos de seguridad de las APIs y cómo mitigarlos
La interfaz de programación de aplicaciones (API) es un héroe olvidado de la revolución digital. Es el pegamento que une diversos componentes de software para crear nuevas experiencias de usuario. Pero al proporcionar una vía directa a las bases de datos back-end, las APIs también son un objetivo atractivo para los ciberdelincuentes. No ayuda el hecho de que su número se haya disparado en los últimos años, lo que ha provocado que muchos despliegues no estén documentados ni protegidos.
“Según un estudio reciente, el 94% de las organizaciones mundiales han experimentado problemas de seguridad de las APIs en producción durante el último año, y casi una quinta parte (17%) ha sufrido una brecha relacionada con alguna API”, comenta Josep Albors, Director de Investigación y Concienciación de ESET España.
¿Cuál es la gravedad de las amenazas contra las APIs?
Las APIs son la clave de la empresa modular, un concepto de Gartner en el que se anima a las organizaciones a descomponer sus aplicaciones en capacidades empresariales empaquetadas (PBC). La idea es que ensamblar estos componentes más pequeños de diversas maneras permite a las empresas moverse con mayor agilidad y velocidad, creando nuevas funcionalidades y experiencias en respuesta a las necesidades empresariales en rápida evolución. Las APIs son un componente fundamental de las PBC, cuyo uso se ha disparado últimamente con la creciente adopción de arquitecturas de microservicios.
Por tanto, casi todos (97%) los líderes mundiales de TI coinciden ahora en que ejecutar con éxito una estrategia de APIs es vital para los ingresos y el crecimiento futuros. Pero cada vez es más preocupante el enorme volumen de APIs y su distribución entre múltiples arquitecturas y equipos, según ESET. “En una gran empresa puede haber decenas o incluso cientos de miles de APIs orientadas a clientes y socios. Incluso las empresas medianas pueden llegar a tener miles”, refuerza Albors.
¿Cuál es el impacto en las empresas?
Las amenazas a las APIs no sólo ponen en peligro la reputación de la empresa y su cuenta de resultados, también pueden retrasar importantes proyectos empresariales. Más de la mitad (59%) de las organizaciones afirman que han tenido que ralentizar el despliegue de nuevas aplicaciones por problemas de seguridad de las APIs.
Según ESET, hay docenas de formas en las que los ciberdelincuentes pueden explotar una API, pero OWASP es el recurso de referencia para aquellos que quieren entender las mayores amenazas para su organización. Su lista OWASP API Security Top 10 2023 detalla los tres principales riesgos de seguridad:
- Broken Object Level Authorization (BOLA): La API no verifica si un solicitante debe tener acceso a un objeto. Esto puede dar lugar al robo, modificación o borrado de datos. Los ciberdelincuentes sólo tienen que ser conscientes de que el problema existe ya que no es necesario hackear el código ni robar contraseñas para explotar BOLA.
- Broken Authentication: Protecciones de autenticación ausentes y/o mal implementadas. La autenticación de las API puede ser «compleja y confusa» para muchos desarrolladores, que pueden tener ideas equivocadas sobre cómo implementarla, advierte OWASP. El propio mecanismo de autenticación también está expuesto a cualquiera, lo que lo convierte en un objetivo atractivo. Los endpoints de las API responsables de la autenticación deben ser tratados de forma diferente a los demás, con una protección reforzada. Además, cualquier mecanismo de autenticación utilizado debe ser apropiado para el vector de ataque pertinente.
- Broken Object Property Level Authorization (BOPLA): Los atacantes son capaces de leer o cambiar los valores de las propiedades de los objetos a los que se supone que no pueden acceder.Los endpoints de la APIs son vulnerables si exponen las propiedades de un objeto que se consideran sensibles («exposición excesiva de datos») o si permiten que un usuario cambie, añada o elimine el valor de la propiedad de un objeto sensible («asignación masiva»). El acceso no autorizado podría dar lugar a la divulgación de datos a partes no autorizadas, a la pérdida de datos o a su manipulación.
Cómo mitigar las amenazas de las APIs
Debido a todo lo que está en juego, ESET recuerda que es vital la incorporación de la seguridad a cualquier estrategia de APIs desde el principio. Eso significa saber dónde están todas las APIs y crear capas de herramientas y técnicas para gestionar la autenticación de los endpoints, proteger la comunicación de red, mitigar los errores comunes y hacer frente a la amenaza de los bots maliciosos.
En este sentido, la compañía líder en ciberseguridad aconseja empezar por:
- Mejorar la gobernanza de las APIs siguiendo un modelo de desarrollo de aplicaciones centrado en las APIs que nos permita obtener visibilidad y control. De este modo, cambiará la seguridad para aplicar controles en una fase temprana del ciclo de vida del desarrollo de software y automatizarlos en la canalización de CI/CD.
- Utilizar herramientas de descubrimiento de APIs para eliminar el número de APIs en la sombra que ya existen en la organización, comprender dónde se encuentran las APIs y si contienen vulnerabilidades.
- Desplegar una pasarela API que acepte las solicitudes de los clientes y las dirija a los servicios backend adecuados.
- Añadir un firewall de aplicaciones web (WAF) para mejorar la seguridad de tu puerta de entrada, bloqueando el tráfico malicioso, incluidos los intentos de DDoS y explotación.
- Cifrar todos los datos (mediante TLS, por ejemplo) que viajan a través de las APIs, para que no puedan ser interceptados en ataques de intermediarios.
- Utilizar OAuth para controlar el acceso de la APIs a recursos como sitios web sin exponer las credenciales de usuario.
- Aplicar la limitación de velocidad para restringir la frecuencia con la que se puede llamar a su API. Esto mitigará la amenaza de ataques DDoS y otras amenazas no deseadas.
- Utilizar una herramienta de supervisión para registrar todos los eventos de seguridad y señalar las actividades sospechosas.
- Considerar un enfoque de confianza cero que postula que no se puede confiar en ningún usuario, activo o recurso dentro del perímetro. En su lugar, tendrás que exigir pruebas de autenticación y autorización para cada operación.
“La transformación digital es el combustible que impulsa el crecimiento sostenible de la empresa moderna. Esto sitúa a las APIs en el centro de cualquier nuevo proyecto de desarrollo, por lo que deben estar rigurosamente documentadas y protegidas”, concluye Josep Albors.
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.