{"id":766821,"date":"2023-05-22T12:22:36","date_gmt":"2023-05-22T12:22:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/sus-api-estan-filtrando-datos-confidenciales\/"},"modified":"2023-05-22T12:22:39","modified_gmt":"2023-05-22T12:22:39","slug":"sus-api-estan-filtrando-datos-confidenciales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/sus-api-estan-filtrando-datos-confidenciales\/","title":{"rendered":"\u00bfSus API est\u00e1n filtrando datos confidenciales?"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>No es ning\u00fan secreto que las filtraciones de datos se han convertido en una gran preocupaci\u00f3n tanto para los ciudadanos como para las instituciones de todo el mundo.  Pueden causar serios da\u00f1os a la reputaci\u00f3n de una organizaci\u00f3n, inducir p\u00e9rdidas financieras considerables e incluso tener serias repercusiones legales.  Desde el infame esc\u00e1ndalo de Cambridge Analytica hasta la filtraci\u00f3n de datos de Equifax, ha habido filtraciones de bastante alto perfil que han tenido enormes consecuencias para las marcas m\u00e1s grandes del mundo.<\/p>\n<p>Las infracciones tambi\u00e9n pueden tener un gran impacto en las personas, lo que en \u00faltima instancia conduce a la p\u00e9rdida de informaci\u00f3n personal, como contrase\u00f1as o detalles de tarjetas de cr\u00e9dito, que los delincuentes podr\u00edan utilizar con fines maliciosos.  En particular, las v\u00edctimas quedan vulnerables al robo de identidad o al fraude financiero. <\/p>\n<p>Cuando piensas en el gran volumen de estas filtraciones, uno podr\u00eda imaginar que el mundo se detendr\u00eda y se concentrar\u00eda en los vectores de ataque que se est\u00e1n explotando.  La desafortunada realidad es que el mundo no se detuvo.  Para hacer las cosas m\u00e1s interesantes, es probable que el vector de ataque m\u00e1s destacado no sea lo que usted o cualquier otra persona piensa.  Lo crea o no, las interfaces de programaci\u00f3n de aplicaciones (API) son las principales culpables de la exposici\u00f3n y el compromiso. <\/p>\n<p>As\u00ed es, los piratas inform\u00e1ticos explotan cada vez m\u00e1s las API para obtener acceso y filtrar datos confidenciales.  Solo en 2022, el 76% de los profesionales de ciberseguridad admitieron haber experimentado un <a rel=\"nofollow noopener\" href=\"https:\/\/nonamesecurity.com\/api-security-disconnect?utm_medium=hackernews&amp;utm_source=media-buy&amp;utm_campaign=disconnect\" target=\"_blank\">Incidente relacionado con la seguridad de la API<\/a>.  Si eso no fuera lo suficientemente llamativo, las empresas estadounidenses incurrieron en m\u00e1s de $23 mil millones en p\u00e9rdidas por <a rel=\"nofollow noopener\" href=\"https:\/\/www.darkreading.com\/application-security\/api-security-losses-billions-complicated\" target=\"_blank\">Infracciones relacionadas con la API<\/a> durante el mismo per\u00edodo de tiempo.  Y, lamentablemente, muchas organizaciones reci\u00e9n comienzan a darse cuenta.<\/p>\n<p>Dicho esto, en este art\u00edculo exploraremos las posibles consecuencias de las fugas de datos, el rol y el impacto que tienen las API, y c\u00f3mo las organizaciones pueden protegerse de estos riesgos.<\/p>\n<h2 style=\"text-align: left;\"><strong>Protecci\u00f3n de datos que atraviesan sus API<\/strong><\/h2>\n<p>Si trabaja en TI, es obvio cu\u00e1n esenciales son los controles de seguridad para evitar que los datos confidenciales se expongan o se filtren.  Como tal, las organizaciones deben tomar medidas adicionales para proteger sus datos del acceso no autorizado.  Las empresas deben invertir en las \u00faltimas medidas de seguridad y asegurarse de que todos los empleados sean conscientes de la importancia de proteger la informaci\u00f3n confidencial.  Si a\u00fan no se ha hecho una idea, este ejercicio definitivamente deber\u00eda incluir invertir en seguridad de API.<\/p>\n<p>Sorprendentemente para muchos profesionales de la tecnolog\u00eda, <a rel=\"nofollow noopener\" href=\"https:\/\/nonamesecurity.com\/blog\/5-reasons-cisos-are-investing-in-api-security?utm_medium=hackernews&amp;utm_source=media-buy\" target=\"_blank\">Tr\u00e1fico de API<\/a> ahora representa m\u00e1s del 80 % del tr\u00e1fico actual de Internet, y las llamadas API crecen el doble de r\u00e1pido que el tr\u00e1fico HTML.  Cuando analiza esta estad\u00edstica, r\u00e1pidamente queda claro que las API interact\u00faan con todo tipo de datos, incluidos datos confidenciales como informaci\u00f3n de tarjetas de cr\u00e9dito, registros de salud, n\u00fameros de seguridad social, etc. Sin embargo, no se presta tanta atenci\u00f3n a proteger las API como la de seguridad de red, per\u00edmetro y aplicaciones.  Para ser honesto, muchas organizaciones luchan incluso por saber cu\u00e1ntas API tienen realmente.<\/p>\n<p>Bastante alarmante, \u00bfverdad?  Como dice el viejo refr\u00e1n, no puedes proteger lo que no puedes ver.  Y sin un inventario de API preciso y una visi\u00f3n del tr\u00e1fico de datos confidenciales, no puede abordar adecuadamente las posibles vulnerabilidades y la fuga de datos. <\/p>\n<p>Las puertas de enlace de API y los firewalls de aplicaciones web (WAF) solo brindan una visibilidad limitada de su estado de API, ya que solo revelan el tr\u00e1fico de API que se enruta a trav\u00e9s de ellos.  Tambi\u00e9n tenga en cuenta que el inventario de API es m\u00e1s que un n\u00famero.  Necesita saber cu\u00e1ntas API tiene, incluidas las API ocultas y zombis, as\u00ed como los tipos de datos con los que interact\u00faan.  \u00bfCu\u00e1l es la otra desventaja de los WAF y las puertas de enlace? Simplemente no brindan visibilidad de los tipos de datos confidenciales que atraviesan sus API.  Sin \u00e9l, puede haber consecuencias nefastas si alguna vez se exponen datos confidenciales.<\/p>\n<h2 style=\"text-align: left;\"><strong>Cumplir con las normas de cumplimiento<\/strong><\/h2>\n<p>Cuando considera la creciente cantidad de datos que se recopilan y almacenan, cumplir con las normas de cumplimiento de datos es igualmente importante para proteger los datos confidenciales.  Eso puede sonar un poco extra\u00f1o considerando cu\u00e1n interdependientes son ambas pr\u00e1cticas, pero el cumplimiento de datos cubre una amplia gama de temas, incluidas las pol\u00edticas de privacidad, las medidas de seguridad de datos y los derechos del cliente. <\/p>\n<p>Para abordar variables como la industria, la geograf\u00eda y el tipo de datos, los reguladores de todo el mundo contin\u00faan promulgando y ampliando los requisitos sobre c\u00f3mo las organizaciones manejan la informaci\u00f3n confidencial, como GDPR, HIPAA, PCI DSS, CCPA, etc. <\/p>\n<p>Cumplir con estas regulaciones puede ayudar a proteger la privacidad de los clientes, prevenir violaciones de datos y garantizar que los datos recopilados est\u00e9n seguros y protegidos contra el acceso no autorizado o el uso indebido.  Lo que significa que identificar d\u00f3nde residen los datos, a d\u00f3nde se mueven y desde d\u00f3nde se accede a ellos es fundamental para garantizar el cumplimiento y evitar multas costosas.<\/p>\n<p>Nuevamente, aqu\u00ed es donde las API juegan un papel importante.  Las API son el tejido conectivo entre sus aplicaciones y dispositivos.  Ya sea que se d\u00e9 cuenta o no, los datos confidenciales de su organizaci\u00f3n est\u00e1n atravesando las API.  Desafortunadamente, la idea de mantener el cumplimiento dentro de una organizaci\u00f3n todav\u00eda se considera un ejercicio que involucra \u00fanicamente la infraestructura heredada.  Los l\u00edderes empresariales y de TI deben cambiar r\u00e1pidamente, ya que el cumplimiento est\u00e1 adquiriendo una dimensi\u00f3n completamente nueva con la llegada de las API.  La visibilidad de la API debe ser primordial, ya que las fugas de datos confidenciales pueden dar lugar a importantes infracciones de cumplimiento.<\/p>\n<h2 style=\"text-align: left;\"><strong>C\u00f3mo proteger sus API y datos confidenciales<\/strong><\/h2>\n<p>Las soluciones de seguridad de aplicaciones tradicionales han sido fundamentales en las pilas de ciberseguridad.  Sin embargo, a pesar de su historial de \u00e9xito, las API presentan desaf\u00edos de seguridad \u00fanicos que estas soluciones no pueden abordar.  Como establecimos anteriormente, las puertas de enlace de API y los WAF solo brindan visibilidad del tr\u00e1fico de API que pasa a trav\u00e9s de ellos.<\/p>\n<p>Cuando se trata de tener las herramientas adecuadas, debe invertir en controles de seguridad de API durante todo el ciclo de vida del desarrollo de software para garantizar que sus API est\u00e9n protegidas desde el c\u00f3digo hasta la producci\u00f3n.  Es realmente la \u00fanica estrategia tangible si se toma en serio la protecci\u00f3n de sus datos confidenciales y el cumplimiento de las normas de privacidad de datos.  Los cuatro pilares que componen una plataforma de seguridad de API especialmente dise\u00f1ada son el descubrimiento de API, la gesti\u00f3n de posturas, la protecci\u00f3n del tiempo de ejecuci\u00f3n y las pruebas de seguridad de API.  Echemos un vistazo r\u00e1pido a cada uno y c\u00f3mo lo ayudan a proteger sus datos confidenciales:<\/p>\n<ul style=\"text-align: left;\">\n<li><strong>Descubrimiento de API<\/strong>: el descubrimiento de API le permite identificar e inventariar todas sus API en todas las fuentes de datos y entornos.<\/li>\n<li><strong>Gesti\u00f3n de la postura<\/strong>: La administraci\u00f3n de la postura proporciona una vista integral del tr\u00e1fico, el c\u00f3digo y las configuraciones para evaluar la postura de seguridad de la API de la organizaci\u00f3n.  tambi\u00e9n identifica todas las formas de datos confidenciales que se mueven a trav\u00e9s de las API.<\/li>\n<li><strong>Protecci\u00f3n en tiempo de ejecuci\u00f3n<\/strong>: Con tecnolog\u00eda de monitoreo basado en IA y ML, las herramientas de tiempo de ejecuci\u00f3n detectan anomal\u00edas y amenazas potenciales en el tr\u00e1fico de su API y facilitan la correcci\u00f3n en funci\u00f3n de sus pol\u00edticas de respuesta a incidentes preseleccionadas.<\/li>\n<li><strong>Pruebas de seguridad de API<\/strong>: Las pruebas de seguridad de API buscan eliminar las vulnerabilidades antes de la producci\u00f3n, reducir el riesgo y, por lo tanto, fortalecer su programa de cumplimiento.<\/li>\n<\/ul>\n<p>Como puede ver, se requiere una plataforma de seguridad API integral para obtener un control completo sobre sus datos confidenciales.  Sin embargo, tambi\u00e9n puede ser un poco abrumador.  Dicho esto, un buen lugar para comenzar es familiariz\u00e1ndose con el manejo de la postura.  Teniendo en cuenta que esta faceta es donde se clasifica y organiza la informaci\u00f3n de identificaci\u00f3n personal (PII), probablemente sea mejor comenzar aqu\u00ed.  Puede descargar una copia gratuita del <a rel=\"nofollow noopener\" href=\"https:\/\/nonamesecurity.com\/definitive-guide-posture-management?utm_medium=hackernews&amp;utm_source=media-buy&amp;utm_campaign=posture\" target=\"_blank\">Gu\u00eda definitiva para la gesti\u00f3n de la postura API<\/a> Para empezar.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/are-your-apis-leaking-sensitive-data.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>No es ning\u00fan secreto que las filtraciones de datos se han convertido en una gran preocupaci\u00f3n tanto para<\/p>\n","protected":false},"author":1,"featured_media":766822,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10367,4661,4664,59207,1755,415,4662,24166,4668,4667,4654,4658,4659,4653,4655,4663,4666,4665,251,4660],"class_list":["post-766821","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-ataques-ciberneticos","tag-como-hackear","tag-confidenciales","tag-datos","tag-estan","tag-filtracion-de-datos","tag-filtrando","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sus","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/766821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=766821"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/766821\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/766822"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=766821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=766821"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=766821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}