_
_
_
_

Los mayores errores de ciberseguridad cometidos por pymes

En 2022 los mayores ataques se produjeron por las APIs

A lo largo del año 2022, las APIs han sido el vector de ataque más frecuente para las pequeñas y medianas empresas. Exponer una API supone una puerta de acceso a los datos del usuario y en el caso de las empresas da entrada a la propia organización.

Expertos de Paradigma Digital señalan que uno de los errores más frecuentes que se cometen tiene que ver con el control de acceso. El control de acceso suele implicar problemas tanto a la hora de autenticación como a la de autorización.

Si se trata de la autenticación, esto supone que los atacantes pueden comprometer usuarios y contraseñas para asumir otra identidad y en el caso de la autorización pueden explotar funcionalidades para las que no están autorizados, por ejemplo, ver datos de otros usuarios, modificar permisos o tener acceso a funciones de administración.

Sin restricciones

Los expertos también advierten de que las empresas se enfrentan a la ausencia de restricciones en el número de peticiones y tamaño de los mensajes. De esta manera, apuntan, los atacantes pueden aprovechar esta circunstancia para utilizar la fuerza bruta para adivinar credenciales de usuarios, realizar ataques de denegación de servicio y sobrecargar la API para que deje de estar disponible, incluso si un recurso expone una API con paginación, solicitar una página de tamaño excesivo que supera su capacidad. En este caso, las empresas pueden minimizar los problemas definiendo un rate-limit a nivel de API, métodos y cliente origen de las peticiones, así como limitar el tamaño de los mensajes que retorna la API.

El último de los problemas a los que se enfrentan las empresas tiene que ver con los ataques a nivel de datos. En este caso, las APIs no protegen adecuadamente datos sensibles como información personal, financiera o sanitaria. La solución aquí es la validación de forma estricta los datos tanto de petición como de respuesta, es decir, si se admite un campo que es un teléfono, rechazar todas las peticiones que no cumplan ese patrón. Para que esto sea efectivo se deberían definir esquemas y patrones de la información que se admite y, por último, realizar un análisis riguroso de los datos que se envían en la respuesta para justificar su uso.

Más información

Archivado En

_
_