API es una abreviatura de las palabras en inglés “Application Programming Interfaces”, que en español significa interfaz de programación de aplicaciones. Se trata de un conjunto de definiciones y protocolos que se utilizan para desarrollar e integrar el software de las aplicaciones, permitiendo la comunicación entre dos aplicaciones a través de un conjunto de reglas. Además, se puede hablar de una API como una especificación formal que establece cómo un módulo de un software se comunica o interactúa con otro para cumplir múltiples funciones.

Si bien el internet era importante antes del COVID-19, durante la pandemia ha sido una necesidad primordial. Debido a esto los usuarios cada vez tienen que proporcionar más datos personales para hacer uso de:

• Servicios financieros.
• Pago de impuestos.
• Búsqueda de empleo.
• Servicios de transporte privado.
• Envío de medicamentos.
• Comida a domicilio.

Con el uso de datos confidenciales o por las regulaciones para el uso de aplicaciones, como la reciente aprobación a la geolocalización de usuarios para el uso de la banca móvil, los datos altamente sensibles de los usuarios podrían quedar expuestos en caso de ser comprometidos.

En los últimos meses, el ejemplo más sobresaliente ha sido la fuga de datos de la red social Facebook. Los atacantes explotaron las vulnerabilidades en la API que utilizaba para descubrir amigos a través de los contactos de sus teléfonos, con el objetivo de obtener información. En el escenario anterior es fácil de apreciar lo siguiente:

• El uso de APIs facilita y automatiza las consultas que pueda requerir un sistema, incluso podría beneficiar al usuario de la red social al intentar enlazarlo a sus contactos.
• De no estar bien diseñadas las consultas, se podría exponer información confidencial a personas malintencionadas.

Para disminuir el impacto por exposición de datos mediante APIs, se recomienda lo siguiente:

• Con frecuencia, las operaciones de consulta masiva de información pueden ocasionar grandes fugas o incluso un agotamiento al servidor que proporciona la información, por lo que el administrador debería establecer un límite de registro o “Rate-Limit”.
• Las APIs deben estar protegidas desde su diseño, por consiguiente, no deben proporcionar información adicional a la destinada inicialmente.
• Debido a que las APIs se encuentran dentro de las principales superficies de ataque, se deben realizar actualizaciones de forma mandatoria sobre las tecnologías que las soportan.
• Es conveniente que las organizaciones monitoreen el volumen de tráfico de las consultas, e incluso integren un patrón para distinguir si ha ocurrido algo anormal en su red.

Referencias:
https://blog.segu-info.com.ar/2021/04/como-y-porque-proteger-las-apis-publicas.html
https://www.tutorialsteacher.com/articles/web-scrapping-rest-api-scrapestack
https://www.eleconomista.com.mx/tecnologia/Datos-personales-de-13-millones-de-mexicanos-en-Facebook-estuvieron-a-la-venta-desde-2019-y-ahora-se-ofrecen-gratis-20210405-0063.html
https://www.xataka.com/basics/api-que-sirve