Desarrollo Seguro de API

Las API son un componente esencial de la arquitectura basada en microservicios y

microservicios y una buena práctica permite una rápida evolución de las
aplicaciones y simplifica su gestión. En esta presentación hablaremos de cómo
cómo desarrollar API seguras para proteger los datos críticos de la empresa.
empresa.
¿Qué es una API?
Tecnología Ventajas Importancia

Interfaz que permite la Agilidad y flexibilidad en el Base tecnológica de servicios

comunicación entre diferentes desarrollo. Facilita la como PayPal, Uber, Amazon
diferentes componentes de integración de herramientas de Web Services, entre otros.
de una aplicación. herramientas de terceros.
¿Por qué desarrollar API seguras?
Integridad

Los datos no deben modificarse en tránsito sin

consentimiento.

1 2 3

Confidencialidad Disponibilidad

Los datos transmitidos deben ser conocidos solo por Las aplicaciones deben estar disponibles para los
la parte a la que van destinados. usuarios autorizados en todo momento.
Vulnerabilidades comunes en las API
Autorización Insegura
Autenticación inadecuada o falta de
verificación de permisos pueden
comprometer la seguridad de la
API.
Injection Attacks
Atacantes pueden enviar comandos
maliciosos a través de los
parámetros de la API para ganar
acceso no autorizado a la
aplicación.
Bugs de seguridad
Los errores en el código pueden
exponer a la aplicación a ataques
fuera del plan.
Técnicas de defensa
Limitar accesos

Establecer controles de acceso y limitar las

permisiones concedidas para limitar el daño en caso
de ataque.

1 2 3

Autenticación y Autorización Encriptación

Implementar métodos de autenticación y Proteger lo datos en tránsito y en reposo y

asegurarse que la autorización sea previa a la asegurarse que solo sean entregados al destinatario
entrega de información. deseado.
Ejemplos de ataques a API
HTTP Parameter Man in the Middle Cross-Site Scripting
Pollution
Intercepta datos de la Aprovechamiento de
Adulteración de parámetros comunicación para su uso vulnerabilidades en la
para confundir y romper el ilegal. aplicación para ejecutar
programa. código.
Cómo realizar pruebas de seguridad en una API

Penetration Testing Análisis Estático Pruebas de la API

Técnica de prueba de seguridad Método que busca vulnerabilidades Pruebas realizadas específicamente
que busca explotar vulnerabilidades en el código fuente, antes de la a la interacción con la API.
para evaluar la efectividad del etapa de testing.
sistema de seguridad.
Recomendaciones finales para el desarrollo
seguro de API
1 Seguir Estándares 2 Actualizar el Software 3 Trazar todo

Seguir buenas practicas de Guardar registros de todas

seguridad como OAuth2 y Importante mantener el las interacciones en la
OpenID Connect. software actualizado para aplicación para auditorías
eliminar vulnerabilidades futuras.
conocidas.
 Apoya tu proceso de remediaciones con:

ALINA
ALINA es un innovador chatbot impulsado por Inteligencia
Artificial que te ayudará a resolver las remediaciones
propuestas en este informe.

https://grupooruss.com/alina
 ¡Gracias!
www.grupooruss.com

Grupo Oruss 2023