[03/10/2024] F5 ha anunciado los resultados de su informe 2024 State of Application Strategy Report: API Security, que revela verdades preocupantes sobre el estado actual de la seguridad de las API en todos los sectores. Según lo señalado en el comunicado de prensa, el informe destaca brechas significativas en la protección de las API, exponiéndolas a posibles amenazas que podrían poner en peligro la seguridad y las operaciones de la empresa. Estos desafíos se ven magnificados por la rápida proliferación de API en el panorama digital actual.
"La encuesta reveló que menos del 70% de las API orientadas al cliente están protegidas mediante HTTPS (Protocolo de transferencia de hipertexto seguro), lo que deja a casi un tercio de estas API completamente desprotegidas. Este es un marcado contraste con el 90% de las páginas web a las que ahora se accede a través de HTTPS, luego del impulso de las comunicaciones web seguras durante la última década”, comentó Lori MacVittie, ingeniera distinguida de F5.
Entre las principales conclusiones del informe cabe mencionar las siguientes:
- Rápido crecimiento y diversidad de entornos: La organización promedio ahora administra 421 API diferentes, la mayoría alojadas en entornos de nube pública. "A pesar de este crecimiento, un número significativo de API, en particular las que están orientadas al cliente, siguen sin protección”, anotó la ejecutiva.
- Evolución de los usos de las API y las necesidades de seguridad: A medida que las API se conectan cada vez más a servicios de IA como OpenAI, el modelo de seguridad debe adaptarse para cubrir tanto el tráfico de API entrante como el saliente. "Las prácticas actuales se centran en gran medida en el tráfico entrante, lo que hace que las llamadas a la API salientes sean vulnerables”, sostuvo MacVittie.
- Responsabilidad fragmentada de la seguridad de la API: El informe revela una responsabilidad dividida en la seguridad de las API dentro de las organizaciones, con un 53% que la gestiona bajo la seguridad de las aplicaciones, y un 31% a través de plataformas de gestión e integración de API. "Esta división puede dar lugar a brechas en la cobertura y prácticas de seguridad inconsistentes”, señaló la ejecutiva.
- Alta demanda de soluciones de seguridad programables: Los encuestados clasificaron la programabilidad como la capacidad de seguridad de API más valiosa, lo que subraya la necesidad de inspección y respuesta en tiempo real al tráfico y las amenazas de API.
Abordar las brechas en la seguridad de las API
Para abordar estas brechas de seguridad, el informe recomienda que las organizaciones adopten soluciones de seguridad integrales que puedan cubrir todo el ciclo de vida de la API, desde el diseño hasta la implementación. Al integrar la seguridad de las API tanto en las fases de desarrollo como en las operativas, las organizaciones pueden proteger mejor sus activos digitales contra una creciente variedad de amenazas.
"Las API son parte integral de la era de la IA, pero deben protegerse para garantizar que la IA y los servicios digitales puedan operar de manera segura y efectiva", agregó MacVittie. "Este informe es un llamado a la acción para que las organizaciones reevalúen sus estrategias de seguridad de API y tomen las medidas necesarias para proteger sus datos y servicios".
Franca Cavassa, CTOPerú