{"id":691103,"date":"2023-04-03T21:05:38","date_gmt":"2023-04-03T21:05:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/smart-mobility-tiene-un-punto-ciego-cuando-se-trata-de-api-security\/"},"modified":"2023-04-03T21:05:42","modified_gmt":"2023-04-03T21:05:42","slug":"smart-mobility-tiene-un-punto-ciego-cuando-se-trata-de-api-security","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/smart-mobility-tiene-un-punto-ciego-cuando-se-trata-de-api-security\/","title":{"rendered":"Smart Mobility tiene un punto ciego cuando se trata de API Security"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>La aparici\u00f3n de servicios y aplicaciones de movilidad inteligente ha llevado a un fuerte aumento en el uso de API en la industria automotriz.  Sin embargo, esta mayor dependencia de las API tambi\u00e9n las ha convertido en uno de los vectores de ataque m\u00e1s comunes.  Seg\u00fan Gartner, las API representan el 90 % de las \u00e1reas de superficie de ataque de las aplicaciones web. <\/p>\n<p>Sin sorpresa, tambi\u00e9n est\u00e1n surgiendo tendencias similares en el espacio de la movilidad inteligente.  Un reciente <a rel=\"nofollow noopener\" href=\"https:\/\/upstream.auto\/reports\/global-automotive-cybersecurity-report\/?utm_campaign=API%20Security&amp;utm_source=hackernews&amp;utm_medium=api-security&amp;utm_content=blog\" target=\"_blank\"><b>Informe de Ciberseguridad en Automoci\u00f3n y Movilidad Inteligente<\/b><\/a>  por <b>Seguridad ascendente<\/b> indica que el ecosistema automotriz y de movilidad inteligente experiment\u00f3 un aumento del 380 % en los incidentes basados \u200b\u200ben API en 2022, en comparaci\u00f3n con 2021. Adem\u00e1s, las API representaron el 12 % del total de incidentes cibern\u00e9ticos en 2022, frente a solo el 2 % en 2021. <\/p>\n<p>Al examinar las aplicaciones y los servicios de movilidad inteligente, el equipo de inteligencia de amenazas de Upstream inform\u00f3 que se descubri\u00f3 que los actores de sombrero negro estaban detr\u00e1s del 53 % de los incidentes, lo que indica que la intenci\u00f3n maliciosa es la fuerza impulsora de la mayor\u00eda de los ataques relacionados con API.  El impacto de estos incidentes va mucho m\u00e1s all\u00e1 de las infracciones de datos y PII, ya que a menudo causan interrupciones en el servicio, actividades fraudulentas, problemas de confianza y posibles p\u00e9rdidas de ingresos. <\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680555938_823_Smart-Mobility-tiene-un-punto-ciego-cuando-se-trata-de.png\" alt=\"Seguridad Automotriz\" border=\"0\" data-original-height=\"705\" data-original-width=\"728\" title=\"Seguridad Automotriz\" \/><\/div>\n<h2 style=\"text-align: left\"><strong>Los servicios de movilidad basados \u200b\u200ben datos remodelan los modelos de ingresos automotrices tradicionales<\/strong><\/h2>\n<p>En los \u00faltimos a\u00f1os, la conectividad de los veh\u00edculos ha crecido dr\u00e1sticamente, presentando oportunidades innovadoras de ingresos basadas en datos para las partes interesadas tradicionales de la industria automotriz, as\u00ed como para los nuevos actores.  La movilidad en general se ha vuelto m\u00e1s conectada, con viajes compartidos, servicios de alquiler de autom\u00f3viles e incluso servicios de administraci\u00f3n de flotas, todos utilizando aplicaciones m\u00f3viles para brindar un acceso f\u00e1cil y una experiencia mejorada a los consumidores.  Los casos de uso de datos modernos ofrecen un monitoreo continuo y ayudan a las partes interesadas a introducir nuevas funciones y oportunidades.  Seg\u00fan una investigaci\u00f3n de McKinsey, el 30 % de los ingresos automotrices se atribuir\u00e1 a los servicios de movilidad inteligente y basados \u200b\u200ben datos para 2030. Pero a diferencia de las aplicaciones basadas en TI, estas aplicaciones innovadoras y basadas en datos utilizan en gran medida las API que tienen un impacto directo en los veh\u00edculos en El camino.<\/p>\n<h2 style=\"text-align: left\"><strong>Atascos de tr\u00e1fico masivos causados \u200b\u200bpor transacciones API manipuladas <\/strong><\/h2>\n<p>En 2022, vimos un uso cada vez m\u00e1s sofisticado de las API en ciberataques automotrices y de movilidad inteligente.  Como vector de ataque, las API llaman la atenci\u00f3n de investigadores y actores maliciosos, ya que requieren un umbral relativamente bajo de conocimientos y experiencia automotriz.  Esencialmente, reducir al m\u00ednimo la barrera de entrada de los actores de amenazas.  Una sola vulnerabilidad en una API puede tener un impacto directo en millones de veh\u00edculos, en varias flotas.  Un fuerte ejemplo de la facilidad del ataque y el impacto significativo se puede encontrar en un incidente reciente en Europa: a mediados de 2022, el centro de Mosc\u00fa se paraliz\u00f3 cuando un servicio de transporte privado fue manipulado maliciosamente para enviar todos los taxis disponibles a una sola ubicaci\u00f3n. provocando atascos de horas de duraci\u00f3n, impidiendo la libertad de circulaci\u00f3n de las personas y poniendo en riesgo la infraestructura y la seguridad p\u00fablicas.  En este caso, los atacantes no necesitaban saber c\u00f3mo operan o funcionan los veh\u00edculos, todo lo que ten\u00edan que hacer era identificar las vulnerabilidades de la API y explotarlas. <\/p>\n<h2 style=\"text-align: left\"><strong>WAF no es (siempre) suficiente: desarrollo de un marco contextual para la seguridad de API de movilidad inteligente<\/strong><\/h2>\n<p>Los servicios de movilidad inteligente siempre han estado monitoreando y asegurando las transacciones de API para evitar la p\u00e9rdida de ingresos debido al fraude, el tiempo de inactividad del servicio y el compromiso de los datos privados de la organizaci\u00f3n o los usuarios.  Sin embargo, las soluciones tradicionales de seguridad de API tienen un &#8220;punto ciego&#8221; significativo cuando se trata de movilidad inteligente.  A menudo, no logran detectar ataques sofisticados que afectan a las aplicaciones, los activos y los consumidores de movilidad debido a la falta de un an\u00e1lisis contextual del impacto de las transacciones API en los veh\u00edculos en movimiento.<\/p>\n<p>Garantizar una s\u00f3lida postura de ciberseguridad en el ecosistema de movilidad inteligente requiere ampliar el alcance para incluir un an\u00e1lisis contextual de la <a rel=\"nofollow noopener\" href=\"https:\/\/upstream.auto\/securing-automotive-and-smart-mobility-apis\/?utm_campaign=API%20Security&amp;utm_source=hackernews&amp;utm_medium=api-security&amp;utm_content=blog\" target=\"_blank\"><b>impacto en la vida real de las API en los activos de movilidad<\/b><\/a>, incluidos los veh\u00edculos en la carretera.  La seguridad de API est\u00e1 evolucionando gradualmente para integrar tambi\u00e9n aspectos de OT (tecnolog\u00eda operativa) que se correlacionan entre el tr\u00e1fico de API, las transacciones y el estado contextual de los activos de movilidad para proporcionar una s\u00f3lida postura de ciberseguridad.  El objetivo es combinar el descubrimiento, la creaci\u00f3n de perfiles y la supervisi\u00f3n de API con un an\u00e1lisis profundo del comportamiento de los activos de movilidad y el impacto de la transacci\u00f3n API espec\u00edfica en la seguridad.  Cuando tiene en cuenta c\u00f3mo los activos de OT se comportan de manera diferente a los activos de TI, ya sea su estado de encendido, ubicaci\u00f3n o velocidad, puede comenzar a abordar su seguridad de manera contextual.<\/p>\n<p>Los jugadores de movilidad inteligente est\u00e1n adoptando un nuevo enfoque para asegurar las transacciones API de movilidad inteligente, que incluye cuatro pasos clave: <\/p>\n<ul>\n<li>Mapear la superficie de ataque potencial<\/li>\n<li>Supervise continuamente el tr\u00e1fico de la API <\/li>\n<li>Aplicar detecci\u00f3n de anomal\u00edas contextuales<\/li>\n<li>Mitigar y responder a las ciberamenazas<\/li>\n<\/ul>\n<p>El primer paso es comprender la superficie de ataque potencial en relaci\u00f3n con las API.  Esto requiere inventariar las API utilizadas por servicios, aplicaciones y terceros, a partir de fuentes de documentaci\u00f3n como Swagger, as\u00ed como el an\u00e1lisis de transacciones y tr\u00e1fico de API en vivo y en tiempo real.  Este an\u00e1lisis incluye API documentadas, no documentadas o incluso las API depreciadas pero activas que podr\u00edan ser un punto de acceso &#8220;perfecto&#8221; para los actores de amenazas. <\/p>\n<p>Una vez que se comprende la superficie de ataque, el monitoreo del tr\u00e1fico de la API ayuda a aumentar la postura de ciberseguridad al garantizar que se documenten y detecten los cambios, as\u00ed como cualquier uso indebido de las configuraciones incorrectas.  Al monitorear el tr\u00e1fico de la API de movilidad en tiempo real, es importante considerar la capacidad de manejar la escala y la complejidad de estas transacciones y reconocer cualquier desviaci\u00f3n del estado normal del activo.  Cuando una sola llamada API puede arrancar el motor de un veh\u00edculo o informar la ubicaci\u00f3n de un conductor, la ciberseguridad se vuelve extremadamente importante. <\/p>\n<p>Dado que los activos de movilidad inteligente son de naturaleza OT, el contexto en el que se encuentran (su estado en un momento dado) se puede utilizar para protegerlos.  Cualquier desviaci\u00f3n o anomal\u00eda importante en su comportamiento puede indicar un posible mal uso o ataque.  Al correlacionar el estado de los activos con el tr\u00e1fico de la API, los equipos cibern\u00e9ticos pueden comprender las implicaciones contextuales y el impacto en las aplicaciones o los usuarios.  Las solicitudes aparentemente v\u00e1lidas a veces pueden ser un indicador de intenciones maliciosas.  Por ejemplo, una sola IP, aunque inicialmente no sea sospechosa, que env\u00ede solicitudes a m\u00faltiples veh\u00edculos o aplicaciones de movilidad deber\u00eda generar sospechas e investigaciones inmediatas. <\/p>\n<p><b>Seguridad ascendente<\/b> recientemente ha dado un paso m\u00e1s en el <a rel=\"nofollow noopener\" href=\"https:\/\/upstream.auto\/resources\/api-security-solution-overview\/\" target=\"_blank\"><b>an\u00e1lisis contextual de transacciones API<\/b><\/a>.  Se basa en un gemelo digital robusto, que es una representaci\u00f3n digital en vivo del estado del activo, construido sobre flujos de datos de aplicaciones, servidores back-end, servicios telem\u00e1ticos y m\u00e1s.  Como resultado, ofrece una visi\u00f3n integral de todos los activos de movilidad y usuarios afectados.  Una vez que se ha detectado el ataque o la configuraci\u00f3n incorrecta utilizando el contexto \u00fanico proporcionado al comprender el estado del activo, los equipos cibern\u00e9ticos pueden responder de manera efectiva y r\u00e1pida y mitigar los riesgos potenciales. <\/p>\n<p>Este enfoque \u00fanico impulsado por la movilidad abre un nuevo \u00e1mbito de actividades de seguridad de API en el ecosistema de movilidad inteligente.  Dado que la innovaci\u00f3n en este espacio avanza tan r\u00e1pido, la introducci\u00f3n de nuevos modelos de transporte, servicios aut\u00f3nomos y opciones de viajes compartidos, la eliminaci\u00f3n de los &#8220;puntos ciegos&#8221; seguir\u00e1 siendo un desaf\u00edo de m\u00e1xima prioridad.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/03\/smart-mobility-has-blindspot-when-it.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La aparici\u00f3n de servicios y aplicaciones de movilidad inteligente ha llevado a un fuerte aumento en el uso<\/p>\n","protected":false},"author":1,"featured_media":691104,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10367,4661,19421,4664,2577,4662,4668,4667,32599,4654,4658,4659,4653,4655,4663,171,56626,4666,4665,14920,324,6460,4660],"class_list":["post-691103","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-ataques-ciberneticos","tag-ciego","tag-como-hackear","tag-cuando","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-mobility","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-punto","tag-security","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-smart","tag-tiene","tag-trata","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/691103","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=691103"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/691103\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/691104"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=691103"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=691103"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=691103"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}