Las API, interfaces de programación de aplicaciones (application programming interface, en inglés), juegan un papel fundamental en el avance de la transformación digital, al permitir la conexión de sistemas y aplicaciones para integrarse y comunicarse entre ellas.
Actualmente cualquier organización gestiona por término medio 421 API diferentes, la mayoría alojadas en entornos de nube pública, según el informe anual "2024 State of Application Strategy Report: API Security". El estudio, realizado por F5 con carácter anual, constata que el número de API no deja de aumentar en el escenario digital actual, con una creciente demanda entre organizaciones de diversos entornos. Sin embargo, arroja preocupantes conclusiones sobre el estado actual de la seguridad de las API, señalando que existen importantes lagunas en su protección que están dejando a muchas empresas en una situación vulnerable frente a las diferentes ciberamenazas.
Según sus resultados, menos del 70% de las API orientadas al consumidor están protegidas mediante HTTPS (protocolo de transferencia de hipertexto seguro), lo que significa que casi un tercio de las API están completamente desprotegidas. Esta estadística contrasta con el 90% de las páginas web a las que ahora se accede a través de este protocolo, tras el impulso a las comunicaciones web seguras durante la última década.
"Las API se están convirtiendo en la columna vertebral de los esfuerzos de transformación digital, conectando servicios y aplicaciones críticos en todas las organizaciones", afirma Lori MacVittie, ingeniera distinguida de F5. "Sin embargo, como indica nuestro informe, muchas organizaciones no están siguiendo el ritmo de los requisitos de seguridad necesarios para proteger estos valiosos activos, especialmente en el contexto de las amenazas emergentes impulsadas por IA".
Otros hallazgos preocupantes
Además de la insuficiente tasa de adopción del protocolo HTTPS, el informe pone en evidencia que otro grave problema en la seguridad de las API es que las prácticas actuales se centran en gran medida en el tráfico entrante, dejando desprotegidas las llamadas de API salientes. En esta línea, subraya que a medida que las API se conectan cada vez más a servicios de IA, como OpenAI, el modelo de seguridad debe adaptarse para cubrir el tráfico de API entrante y saliente.
Por otra parte, destaca que la programabilidad ha sido posicionada por los encuestados como la capacidad de API más valiosa, lo que pone de manifiesto la necesidad de inspección y respuesta en tiempo real al tráfico y las amenazas del API. Además, el informe ha detectado que existe una responsabilidad fragmentada en las organizaciones en lo que se refiere a la seguridad de las API: el 53% la gestiona en el ámbito de la seguridad de las aplicaciones y el 31% en el de las plataformas de gestión e integración de API, una división que puede generar lagunas en la cobertura y prácticas de seguridad inconsistentes.
Cómo abordar los agujeros negros en la seguridad de las API
Para abordar estas lagunas de seguridad, el informe de F5 recomienda que las organizaciones adopten soluciones integrales de seguridad que puedan cubrir todo el ciclo de vida de las API, desde el diseño hasta la implementación. Al integrar la seguridad de las API tanto en las fases de desarrollo como en las operativas, las organizaciones pueden proteger mejor sus activos digitales contra una variedad cada vez mayor de amenazas.
"Las API son parte integral de la era de la IA, pero deben protegerse para garantizar que la IA y los servicios digitales puedan funcionar de forma segura y eficaz". "Este informe es una llamada a la acción para que las organizaciones reevalúen sus estrategias de seguridad de API y adopten las medidas necesarias para proteger sus datos y servicios", apunta MacVittie.