{"id":707505,"date":"2023-04-13T20:43:50","date_gmt":"2023-04-13T20:43:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/por-que-las-shadow-api-son-mas-peligrosas-de-lo-que-piensas\/"},"modified":"2023-04-13T20:43:53","modified_gmt":"2023-04-13T20:43:53","slug":"por-que-las-shadow-api-son-mas-peligrosas-de-lo-que-piensas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/por-que-las-shadow-api-son-mas-peligrosas-de-lo-que-piensas\/","title":{"rendered":"Por qu\u00e9 las Shadow API son m\u00e1s peligrosas de lo que piensas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Las API en la sombra son un riesgo creciente para las organizaciones de todos los tama\u00f1os, ya que pueden enmascarar comportamientos maliciosos e inducir una p\u00e9rdida sustancial de datos.  Para aquellos que no est\u00e1n familiarizados con el t\u00e9rmino, las API ocultas son un tipo de interfaz de programaci\u00f3n de aplicaciones (API) que no est\u00e1 oficialmente documentada ni admitida. <\/p>\n<p>Contrariamente a la creencia popular, lamentablemente es muy com\u00fan tener API en producci\u00f3n que nadie en sus operaciones o equipos de seguridad conoce.  Las empresas administran miles de API, muchas de las cuales no se enrutan a trav\u00e9s de un proxy, como una puerta de enlace de API o un firewall de aplicaciones web.  Esto significa que no se controlan, rara vez se auditan y son los m\u00e1s vulnerables. <\/p>\n<p>Dado que no son visibles para los equipos de seguridad, las API en la sombra brindan a los piratas inform\u00e1ticos un camino indefenso para explotar las vulnerabilidades.  Estas API pueden ser potencialmente manipuladas por actores malintencionados para obtener acceso a una variedad de informaci\u00f3n confidencial, desde direcciones de clientes hasta registros financieros de la empresa.  Teniendo en cuenta la posibilidad de una fuga sustancial de datos y graves infracciones de cumplimiento, la prevenci\u00f3n del acceso no autorizado a trav\u00e9s de las API en la sombra se ha convertido en una misi\u00f3n cr\u00edtica.<\/p>\n<p>Para ayudarlo a comenzar, explorar\u00e9 c\u00f3mo se ocultan las API y discutir\u00e9 c\u00f3mo las API en la sombra se pueden usar con fines maliciosos.  Tambi\u00e9n aprender\u00e1 la importancia de monitorear el tr\u00e1fico y el uso de la API, as\u00ed como tambi\u00e9n c\u00f3mo identificar las API en la sombra y mitigar los riesgos con controles de seguridad especialmente dise\u00f1ados.<\/p>\n<h2 style=\"text-align: left\"><strong>C\u00f3mo se ocultan las API<\/strong><\/h2>\n<p>Varios factores pueden contribuir a la falta de visibilidad de la API, incluida la mala gesti\u00f3n de la API, la falta de gobernanza y la documentaci\u00f3n inadecuada.  Sin suficiente gobernanza, las organizaciones corren el riesgo de tener una cantidad excesiva de API que no se utilizan de manera efectiva. <\/p>\n<p>Una parte significativa de las API en la sombra son causadas por el desgaste de los empleados.  Francamente, los desarrolladores no comparten todo el conocimiento tribal cuando parten hacia nuevas oportunidades.  Y con el mercado laboral de desarrolladores tan caliente como est\u00e1, es f\u00e1cil ver c\u00f3mo puede suceder esto.  Especialmente cuando consideras en cu\u00e1ntos proyectos est\u00e1n trabajando.  Incluso los empleados con las mejores intenciones se perder\u00e1n algo durante el traspaso.<\/p>\n<p>Tambi\u00e9n hay API que se transmitieron como resultado de una fusi\u00f3n o adquisici\u00f3n que a menudo se olvidan.  La p\u00e9rdida de inventario puede ocurrir durante la integraci\u00f3n del sistema, que es una operaci\u00f3n dif\u00edcil y complicada, o es posible que no exista ning\u00fan inventario.  Las corporaciones m\u00e1s grandes que adquieren varias empresas m\u00e1s peque\u00f1as corren un riesgo particular, ya que es m\u00e1s probable que las empresas m\u00e1s peque\u00f1as tengan API documentadas de manera inadecuada. <\/p>\n<p>Otro culpable son las API con poca seguridad o una vulnerabilidad conocida que todav\u00eda est\u00e1 en uso.  A veces, una versi\u00f3n anterior del software puede tener que ejecutarse junto con una m\u00e1s nueva durante un tiempo durante las actualizaciones.  Luego, desafortunadamente, la persona a cargo de desactivar la API en \u00faltima instancia, se va, se le asigna una nueva tarea o se olvida de eliminar la versi\u00f3n anterior.<\/p>\n<div class=\"article-board\" style=\"text-align: left\">\n<p>\u00bfSabes cu\u00e1ntas API tienes?  Mejor a\u00fan, \u00bfsabe si sus API exponen datos confidenciales?  Si tiene problemas con las API ocultas en su entorno, debe descargar el <a rel=\"nofollow noopener\" href=\"https:\/\/nonamesecurity.com\/definitive-guide-api-discovery?utm_medium=hackernews&amp;utm_source=media-buy&amp;utm_campaign=discovery\" target=\"_blank\"><b>Gu\u00eda definitiva para el descubrimiento de API<\/b><\/a>  de Seguridad sin nombre.  Aprenda a encontrar y corregir todas sus API, sin importar el tipo.<\/p>\n<\/div>\n<p><\/p>\n<h2 style=\"text-align: left\"><strong>C\u00f3mo utilizan los piratas inform\u00e1ticos las API en la sombra<\/strong><\/h2>\n<p>Las API en la sombra son una herramienta poderosa para los actores malintencionados, ya que les permite eludir las medidas de seguridad y obtener acceso a datos confidenciales o interrumpir las operaciones.  Los piratas inform\u00e1ticos pueden usar las API en la sombra para realizar varios ataques, como la exfiltraci\u00f3n de datos, el secuestro de cuentas y la escalada de privilegios.  Tambi\u00e9n se pueden utilizar con fines de reconocimiento, recopilando informaci\u00f3n sobre los sistemas y redes cr\u00edticos de un objetivo. <\/p>\n<p>Como si eso no fuera lo suficientemente peligroso, los piratas inform\u00e1ticos pueden evitar los controles de autenticaci\u00f3n y autorizaci\u00f3n a trav\u00e9s de las API en la sombra para acceder a cuentas privilegiadas que podr\u00edan usarse para lanzar ataques m\u00e1s sofisticados.  Todo sin el conocimiento del equipo de seguridad de la organizaci\u00f3n.  Por ejemplo, los ataques de API tambi\u00e9n han comenzado a surgir en el <a rel=\"nofollow noopener\" href=\"https:\/\/samcurry.net\/web-hackers-vs-the-auto-industry\/\" target=\"_blank\">industria automotriz<\/a>poniendo a los conductores y sus pasajeros en un riesgo extremo. <\/p>\n<p>Al explotar las API, los ciberdelincuentes podr\u00edan recuperar datos confidenciales de los clientes, como su direcci\u00f3n, informaci\u00f3n de tarjetas de cr\u00e9dito de cotizaciones de ventas y n\u00fameros VIN, informaci\u00f3n con implicaciones obvias para el robo de identidad.  Estas vulnerabilidades de API explotadas tambi\u00e9n podr\u00edan exponer la ubicaci\u00f3n del veh\u00edculo o permitir que los piratas inform\u00e1ticos comprometan los sistemas de administraci\u00f3n remota.  Lo que significa que los ciberdelincuentes tendr\u00edan la capacidad de desbloquear veh\u00edculos, arrancar motores o incluso desactivar los motores de arranque por completo.<\/p>\n<p>A medida que las organizaciones se vuelven cada vez m\u00e1s dependientes de los servicios basados \u200b\u200ben la nube, se vuelve cada vez m\u00e1s importante para ellas descubrir API en la sombra para proteger sus datos y sistemas de actores maliciosos.<\/p>\n<h2 style=\"text-align: left\"><strong>C\u00f3mo identificar y mitigar los riesgos de la API en la sombra<\/strong><\/h2>\n<p>La identificaci\u00f3n de las API ocultas es una parte importante de la seguridad de las API.  Implica descubrir todas las API que se ejecutan en su entorno, comprender su prop\u00f3sito y garantizar que sean seguras.  Esto se puede hacer a trav\u00e9s <a rel=\"nofollow noopener\" href=\"https:\/\/nonamesecurity.com\/learn-what-is-api-discovery?utm_medium=hackernews&amp;utm_source=media-buy&amp;utm_campaign=discovery\" target=\"_blank\">descubrimiento de API<\/a> herramientas que buscan todas las API que se ejecutan en un entorno y brindan informaci\u00f3n detallada sobre ellas.<\/p>\n<p>Mediante el uso de estas herramientas, las organizaciones pueden identificar cualquier API oculta que pueda existir en su entorno y tomar medidas para protegerlas antes de que se conviertan en un riesgo de seguridad mayor.  Esto puede incluir monitorear el tr\u00e1fico de la red en busca de actividades sospechosas, realizar escaneos de vulnerabilidad regulares y garantizar que todas las solicitudes de API est\u00e9n autenticadas. <\/p>\n<p>Una vez identificadas, las organizaciones deben implementar medidas para mitigar los riesgos asociados con estas API, como implementar el cifrado de datos, restringir los privilegios de acceso y hacer cumplir las pol\u00edticas de seguridad.  Adem\u00e1s, las organizaciones tambi\u00e9n deben asegurarse de contar con sistemas de registro adecuados para que cualquier intento de acceso no autorizado pueda identificarse y abordarse r\u00e1pidamente.<\/p>\n<h2 style=\"text-align: left\"><strong>Encuentre y elimine las API ocultas con Noname Security<\/strong><\/h2>\n<p>Ahora que ha llegado al final, resumamos las cosas para que realmente comprenda la tarea que tiene por delante.  La conclusi\u00f3n es que las API ocultas presentan un desaf\u00edo \u00fanico para organizaciones como la suya.  Proporcionan a los piratas inform\u00e1ticos una forma de ocultar sus actividades, ya que a menudo son dif\u00edciles de detectar y rastrear.  Como m\u00ednimo, son una amenaza para la seguridad y la privacidad de los datos. <\/p>\n<p>Dicho esto, Noname Security puede ayudarlo a realizar un seguimiento preciso de todas sus API, especialmente las API ocultas.  Proporcionan un panel \u00fanico que le brinda una visi\u00f3n completa de todas las fuentes de datos, ya sea en las instalaciones y en la nube. <\/p>\n<p>Su API Security Platform puede monitorear balanceadores de carga, puertas de enlace API y firewalls de aplicaciones web, lo que le permite encontrar y catalogar todo tipo de API, incluidos HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC y gRPC.  Lo crea o no, sus clientes suelen encontrar un 40 % m\u00e1s de API en su entorno de lo que hab\u00edan pensado anteriormente. <\/p>\n<p>Para obtener m\u00e1s informaci\u00f3n sobre el descubrimiento de API y c\u00f3mo Noname Security puede ayudarlo a controlar sus API ocultas, lo animo a descargar su nuevo <a rel=\"nofollow noopener\" href=\"https:\/\/nonamesecurity.com\/definitive-guide-api-discovery?utm_medium=hackernews&amp;utm_source=media-buy&amp;utm_campaign=discovery\" target=\"_blank\"><strong><em>Gu\u00eda definitiva para el descubrimiento de API<\/em><\/strong><\/a>. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/why-shadow-apis-are-more-dangerous-than.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Las API en la sombra son un riesgo creciente para las organizaciones de todos los tama\u00f1os, ya que<\/p>\n","protected":false},"author":1,"featured_media":707506,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10367,4661,4664,4662,4668,246,4667,16,4654,4658,4659,4653,4655,24061,8432,231,4663,387,4666,4665,67246,1932,4660],"class_list":["post-707505","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-ataques-ciberneticos","tag-como-hackear","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-mas","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-peligrosas","tag-piensas","tag-por","tag-programa-malicioso-ransomware","tag-que","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-shadow","tag-son","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/707505","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=707505"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/707505\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/707506"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=707505"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=707505"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=707505"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}