SEGURIDAD EN APIS: ANÁLISIS DE RIESGOS, PRUEBAS DE PENETRACIÓN Y MITIGACIONES

Abstract

Este Trabajo de Fin de Grado (TFG) aborda la seguridad de las Interfaces de Programación de Aplicaciones (APIs) y su importancia en el contexto de la seguridad informática.

Se inicia con una introducción a las APIs, explicando su función como herramientas de comunicación entre diferentes sistemas y aplicaciones, los principales tipos de APIs y los mecanismos de autenticación comúnmente utilizados en ellas. Además, se discute la importancia de la documentación en las APIs y cómo puede ser utilizada tanto para fines legítimos como maliciosos.

Luego, se analizan los riesgos más críticos identificados en el OWASP API Security Top 10 de 2023. Cada riesgo se examina en detalle, explorando diferentes propuestas y estrategias para mitigarlos. Esta sección proporciona una comprensión teórica de las amenazas y las mejores prácticas para proteger las APIs contra posibles vulnerabilidades.

A continuación, se proporciona una descripción de lo que son los test o pruebas de penetración y las diferentes modalidades existentes, como black box, grey box y white box. Se enfatiza la importancia de definir claramente el alcance de las pruebas y asegurarse de que las autorizaciones necesarias estén formalmente establecidas antes de comenzar.

Finalmente, se describen las herramientas utilizadas en el proceso de pruebas de penetración y se realizan demostraciones de pruebas controladas en un entorno simulado. Estas pruebas tienen como objetivo vulnerar los riesgos identificados en las APIs, proporcionando un enfoque práctico y visual que facilita la comprensión de las vulnerabilidades del OWASP API Security Top 10 descritas en el marco teórico.

Estas pruebas de penetración permiten ilustrar cómo un atacante malicioso o un auditor podría explotar dichas vulnerabilidades, resaltando la necesidad de implementar medidas de seguridad robustas en el desarrollo y mantenimiento de APIs.