El rápido crecimiento de las aplicaciones web se ha visto alimentado, en parte, por las interfaces de programación de aplicaciones (APIs)—especificaciones de software que permiten a los sitios y servicios conectarse e interactuar entre ellos. Sin embargo, en la conferencia DEFCON dedicada mundo del hacker y celebrada en Las Vegas la semana pasada, unos investigadores desvelaron una forma de aprovecharse de las APIs para atacar a distintos sitios y servicios.

Las APIs son las responsables del ascenso meteórico de muchos sitios sociales importantes. La red social Facebook, por ejemplo, ganó una inmensa popularidad y atención después de abrir el sitio a aplicaciones escritas por desarrolladores externos utilizando su API.

La API del sitio de microblogging más querido, Twitter, también es la causante en parte de haber aumentado su popularidad. John Musser, fundador de Programmable Web, una página para usuarios de híbridos web y APIs, afirma que el tráfico que llega a Twitter a través de las APIs—por ejemplo, de los clientes de escritorio—es de cuatro a ocho veces mayor que el tráfico que llega a través de la propia página. “La API ha sido crucial a la hora de marcar el éxito de la startup,” afirma.

Sin embargo los investigadores Nathan Hamiel de Hexagon Security Group y Shawn Moyer de Agura Digital Security afirman que las APIs también pueden ser aprovechadas por los hackers. Advierten que varias APIs a menudo se apilan unas encimas de otra. Por ejemplo, una API puede que sea usada por los desarrolladores de otras web, y que estos publiquen APIs de su propia cosecha. “Podrían darse problemas de seguridad a distintos niveles cuando este tipo de apilamiento tiene lugar,” señala Hamiel.

Hamiel también afirma que las APIs son capaces de hacer que las webs se enfrenten a nuevos tipos de amenazas. Por ejemplo, señala a las APIs como responsables de la construcción de aplicaciones que funcionan a través de múltiples páginas web. Estas herramientas puede que ayuden a los desarrolladores a introducir contenidos de webs de terceros, aunque Hamiel afirma que también abren la posibilidad de sufrir ataques.

Durante su presentación, Hamiel demostró que un atacante puede ser capaz de utilizar una API de formas no intencionadas para así ganar acceso a partes de la página web que no deberían ser visibles de cara al público. “Cada vez que se añade funcionalidad, se incrementa la superficie de ataque,” afirma Hamiel, y añade que lo que hace que las APIs sean tan potentes es a menudo lo que las hace tan arriesgadas.

Musser, desde Programmable Web, afirma que muchos de los riesgos de seguridad introducidos por las APIs son similares a los que podemos encontrar en los ordenadores de sobremesa. En ambos casos, afirma, las vulnerabilidades de seguridad existen allí donde hay un punto de acceso del que un atacante pueda abusar. Cualquier sitio que construya su API encima de la API de otro sitio está poniéndose a merced de la seguridad de terceras partes, y no resulta fácil analizar lo que se ha construido para ver lo bien que se ha manejado, afirma Musser. “Parte de este problema tan fundamental es lo novedosa que resulta la tecnología,” añade.

Jeremiah Grossman, fundador y director técnico de WhiteHat Security, afirma que a los sitios que publican APIs les puede resultar difícil descubrir los fallos de seguridad de las mismas. Señala que a menudo es difícil distinguir en qué momentos un sitio externo está utilizando una API, así como si el sitio ha sido comprometido por un atacante.

Las APIs también son más difíciles de poner a prueba que las páginas web tradicionales, afirma Grossman. Aunque se han desarrollado herramientas de software capaces de analizar el código subyacente de un sitio web para encontrar vulnerabilidades potenciales, estas herramientas no funcionan para poner a prueba las APIs. “Todo es mucho más manual, sin tanta automatización, lo cual, al cabo del día, para el negocio significa un gasto extra,” afirma.

Sin embargo, aunque los expertos están de acuerdo en que no hay una forma sencilla de arreglar los riesgos que presentan las APIs, también afirman que esta tecnología no va a desaparecer de aquí a mucho tiempo. “Las páginas web se están convirtiendo en servicios web, y esa tendencia no va a detenerse,” señala Musser.