Llegamos a ustedes gracias a:



Noticias

Akamai: Las API se están convirtiendo en el medio de ataque

[21/02/2020] Los nuevos datos de la empresa de seguridad y entrega de contenidos Akamai muestran que uno de cada cinco intentos de obtener acceso no autorizado a las cuentas de usuario, se realiza ahora a través de interfaces de programación de aplicaciones (API) en lugar de páginas de acceso de cara al usuario. Esta tendencia es aún más pronunciada en el sector de los servicios financieros, donde el uso de las API está muy extendido y en parte impulsado por los requisitos normativos.

Según un informe publicado esta semana, entre diciembre del 2017 y noviembre del 2019, Akamai observó 85,4 mil millones de ataques de abuso de credenciales contra empresas de todo el mundo que utilizan sus servicios. De estos ataques, alrededor de 16,5 mil millones, o casi el 20%, se dirigieron a nombres de host que estaban claramente identificados como puntos finales de API. Sin embargo, en la industria financiera, el porcentaje de ataques dirigidos a APIs aumentó considerablemente entre mayo y septiembre del 2019, llegando a veces a un 75%.

"El uso de API y su adopción generalizada han permitido a los delincuentes automatizar sus ataques", anotó la empresa en su informe. "Por ello, el volumen de incidentes de relleno de credenciales ha seguido creciendo año tras año, y por ello esos ataques siguen siendo un riesgo constante y constante en todos los segmentos del mercado".

El problema del relleno de credenciales

El relleno de credenciales, un tipo de ataque de fuerza bruta en el que los delincuentes utilizan listas de combinaciones de nombres de usuario y contraseñas filtradas para obtener acceso a las cuentas, se ha convertido en un problema importante en los últimos años. Ello es consecuencia del gran número de infracciones de datos que se han producido en el último decenio, y que han dado lugar a que miles de millones de credenciales robadas se publiquen en Internet o se vendan en los mercados clandestinos como productos básicos.

Sabiendo que los usuarios reutilizan las contraseñas en diversos sitios web, los atacantes han utilizado las credenciales expuestas en las violaciones de datos para elaborar las denominadas listas combo. Estas listas de combinaciones de nombres de usuario y contraseñas se cargan luego en redes de robots o herramientas automatizadas, y se utilizan para inundar los sitios web con solicitudes de acceso en un intento de obtener acceso.

Sin embargo, una vez obtenido el acceso, la extracción de información de los servicios afectados mediante el rastreo de las páginas de los clientes requiere cierto esfuerzo y personalización, mientras que la solicitud y extracción de información a través de las API está estandarizada y es muy adecuada para la automatización. Después de todo, la finalidad misma de una API es facilitar que las aplicaciones hablen entre sí e intercambien datos automáticamente.

"Cuando se trata del relleno de credenciales, las API que estamos examinando utilizan REST [transferencia de estado de representación] y SOAP [Protocolo de Acceso a Objetos Simples] para acceder a los recursos", dijeron los investigadores de Akamai. "Esto incluye páginas de resumen de cuentas con información personal, registros de cuentas y saldos, así como otras herramientas o servicios dentro de la plataforma". Aunque no son directamente comparables, tanto REST como SOAP son esencialmente métodos de comunicación entre aplicaciones. REST puede aplicarse de diferentes maneras, según el proyecto. SOAP es un estándar para el intercambio de datos".

La industria financiera está siendo atacada

Aunque las API siempre han estado presentes, dentro de los sistemas operativos y en otros lugares, el uso de las API de la web ha experimentado un enorme crecimiento en la última década. Esto ha sido en parte impulsado por el ecosistema móvil, ya que las aplicaciones móviles hablan con los servicios de fondo a través de las API. También se debe a la adopción de la infraestructura en la nube y al cambio hacia una arquitectura orientada a los servicios en la que las tradicionales aplicaciones monolíticas autosuficientes están siendo sustituidas por microservicios en contenedores que manejan funcionalidades individuales y se comunican entre sí a través de las API.

La innovación en el espacio de la tecnología financiera -fintech- también ha ejercido presión sobre las instituciones financieras para que pongan a disposición de sus clientes datos y servicios a través de las API. De hecho, la Directiva de Servicios de Pago (PSD2) revisada que entró en vigor en la Unión Europea (UE) en septiembre, se diseñó para impulsar el concepto y los principios de la banca abierta.

La PSD2 exige a los bancos y otras instituciones financieras que tienen cuentas de clientes que hagan posible que los servicios de terceros comprueben la disponibilidad de fondos, inicien pagos o accedan a los datos de las cuentas si los propietarios de las mismas dan su consentimiento. La forma más común de cumplir esa petición es mediante el desarrollo de API web y la mayoría de los bancos empezaron a aplicar esas API mucho antes del plazo de la PSD2.

Aunque no existen requisitos reglamentarios similares en los países no pertenecientes a la UE, las fuerzas del mercado están empujando a las instituciones financieras en la misma dirección, ya que necesitan innovar y mantenerse a la altura de la competencia. Los expertos en seguridad han expresado desde hace tiempo su preocupación, por que los errores de aplicación de las API bancarias y la falta de una norma de desarrollo común puedan aumentar el riesgo de violación de los datos.

Además de la adopción generalizada de las API, los datos disponibles para los servicios de la industria financiera siempre han sido de gran interés para los ciberdelincuentes, que pueden monetizarlos de diversas maneras. Los datos financieros son más valiosos que la información que podría extraerse de otros tipos de servicios, por lo que hacen que las API de la industria financiera sean un objetivo más atractivo.

"Los criminales siguen comprando, vendiendo e intercambiando tarjetas bancarias, credenciales financieras, saldos de tarjetas de regalo comprometidas y cuentas bancarias online a un ritmo rápido, porque la demanda de tales cosas sigue siendo alta", dijeron los investigadores de Akamai. "Algunos activos comprometidos están siendo intercambiados por dinero en efectivo, mientras que otros están siendo intercambiados por más producto en un intercambio directo entre los criminales, como alguien que intercambia cuentas bancarias válidas con saldos por cuentas de tarjetas de crédito en Europa".

Además del relleno de credenciales y el abuso del API, los delincuentes también intentan otros tipos de ataques para obtener acceso a los datos financieros. Durante el periodo analizado de 24 meses, Akamai observó 473 millones de ataques de relleno de credenciales contra el sector financiero, pero también 662 millones de otros ataques a aplicaciones Web. El principal tipo de ataque a aplicaciones web contra el sector de servicios financieros fue la inclusión de archivos locales (LFI), con un 47%, seguido de la inyección SQL (SQLi) con un 36%, y el cross-site scripting (XSS) con un 7,7%. Otros tipos de ataque observados fueron la inyección PHP, la inyección de comandos, la inclusión de archivos remotos, la inyección OGNL y la carga de archivos malignos.

Los ataques LFI tienen como objetivo archivos de scripts escritos en diversos lenguajes de programación web, principalmente PHP, pero también ASP, JSP y otros, y suelen dar lugar a la divulgación de información sensible.

Falta de protección de la API

Los investigadores de Akamai identificaron varios problemas con el desarrollo de las API que facilitan a los atacantes el abuso de las mismas. Por ejemplo, algunas API no tienen límite de velocidad para los intentos de autenticación, lo que permite a los hackers realizar decenas de miles de adivinanzas de contraseñas cada minuto. Acelerar las solicitudes de autenticación es una buena práctica, pero esto por sí solo no es una defensa completa contra los ataques de relleno de credenciales, ya que los atacantes pueden configurar sus scripts para realizar solicitudes a una tasa menor y evitar ser bloqueados.

Otro problema es con las respuestas de error que dan las API para los intentos de inicio de sesión fallidos. Esto puede a menudo filtrar información sobre si un nombre de usuario existe o no en el servicio y los criminales se aprovechan de ello para validar, ajustar y clasificar sus listas de credenciales haciendo que sus futuros ataques sean más difíciles de detectar porque las tasas de error desencadenadas serán menores.

"No son solo los servicios financieros; todo el mundo está siendo blanco de los criminales que utilizan y abusan de las credenciales robadas para alimentar sus empresas criminales", dijeron los investigadores de Akamai. "Una de las herramientas para luchar contra este asalto continuado es la confianza cero. A medida que se extienda la adopción de este marco, será más difícil para los criminales utilizar ataques pasivos, como el relleno de credenciales, para conseguir un punto de apoyo en una red determinada. Será más difícil para ellos aprovechar el phishing o los servidores de comando y control personalizados, ya que el DNS puede ser bloqueado en la fuente".