Cuando compras a través de enlaces de afiliados en nuestra web, es posible que obtengamos una comisión sin coste adicional para ti. Aprende 
Las interfaces de programación de aplicaciones (API) son una de las principales tecnologías que permiten a las aplicaciones comunicarse en los modernos entornos en la nube.
Sin embargo, aunque las API son esenciales para la comunicación entre aplicaciones, también son una de las partes más atacables de la superficie de ataque.
Según Noname Security, la organización media tiene 15.564 API en su entorno. Este número es tan alto que la mayoría de las organizaciones no tienen visibilidad sobre estos componentes, lo que los deja abiertos a la explotación por parte de los actores de amenazas.
El mismo estudio reveló que el 54% de las organizaciones mencionan las API obsoletas o zombis como su principal preocupación. Estas preocupaciones tampoco son sólo teóricas, ya que el 41% de las empresas sufrieron una brecha en las API en 2022.
Un a?o antes se produjo uno de los ejemplos más sonados de una brecha relacionada con una API, después de que unos hackers aprovecharan una vulnerabilidad de la API de Twitter para acceder a los datos de más de 5 millones de usuarios.
Pero, ?qué hace que las API zombis sean una amenaza tan grande?
?Cómo las APIs zombis vuelven para atormentar a las empresas?
Las API zombis son API que se han desplegado en un entorno que ya no se utiliza o que ya no recibe mantenimiento. Por lo tanto, los actores de amenazas pueden utilizar las API zombis como puerta trasera para acceder a activos de datos confidenciales.
En parte, la preocupación por las API zombis se debe a que hay demasiadas API en los entornos de nube modernos como para que los equipos de seguridad puedan hacerles un seguimiento. En la práctica, esto significa que las organizaciones están en la oscuridad acerca de su exposición a los actores de amenazas.
“Debido a su naturaleza olvidada, las API zombis no se incluyen en las pruebas, parches o actualizaciones de seguridad regulares, lo que conduce a un aumento de la superficie de ataque”, dijo a Techopedia el CSO y cofundador de StackHawk, Scott Gerlach.
Gerlach se?ala que la creciente migración a la nube ha dado lugar a un aumento de las API, que muchas organizaciones no están probando de seguridad, dejando esencialmente nuevas vulnerabilidades para que las exploten los actores de amenazas.
Esto es aún más problemático si se tiene en cuenta que muchas API tienen acceso directo a los datos, por lo que si se ven comprometidas, pueden exponer cantidades masivas de datos.
“La deuda técnica asociada a estas API puede vincularse sin saberlo a otras partes de sistemas críticos, lo que puede causar otras complejidades operativas y riesgos para la estabilidad de los sistemas más nuevos.”
Por lo tanto, a menos que una organización invierta en herramientas para descubrir automáticamente las API, no podrá saber qué API existen en el entorno ni tomar medidas para mantenerlas.
Abordar las API zombis
A un alto nivel, una forma en que las organizaciones pueden abordar las API zombis es mediante la ejecución de análisis automatizados con un escáner de vulnerabilidades de API, que puede descubrir y crear automáticamente un inventario de API. La creación de un inventario de API puede proporcionar a los equipos de seguridad una mejor comprensión de su postura de seguridad.
Sin embargo, Gerlach sugiere que la solución clave para mitigar los riesgos que presentan las API zombis es la comunicación.
“Para minimizar el riesgo de las API zombis y otras amenazas relacionadas con las API, las organizaciones deben fomentar y practicar líneas abiertas de comunicación con los desarrolladores y los equipos de seguridad.”
“Ambas partes de la seguridad de las API tienen que entender que comparten la responsabilidad de documentar y dejar obsoleto el software que ya no se utiliza. Sin una comunicación adecuada y constante entre los desarrolladores y los equipos de seguridad, las API zombis pueden permanecer activas y desconocidas, dejando vulnerable la infraestructura de las organizaciones.”
Esto pone de relieve que tanto los desarrolladores de software como los equipos de seguridad tienen un papel que desempe?ar a la hora de definir si una API es necesaria para las operaciones de una organización o debe cerrarse para eliminar posibles vulnerabilidades.
Otras medidas, como el uso de código autodocumentado, que documenta todas las API, pueden proporcionar un marco para probar y corregir errores y vulnerabilidades en todo el entorno.
Conclusión
Las APIs zombis plantean riesgos significativos, pero las organizaciones que invierten tiempo y dinero en inventariar las APIs pueden disminuir drásticamente la probabilidad de ser víctimas de una violación de datos.
Al crear un inventario de API, los equipos de seguridad y los desarrolladores pueden empezar a identificar los componentes que no son necesarios y tomar medidas para eliminarlos.
