API son las siglas de Application Programming Interface, cuya traducción sería interfaz de programación de aplicaciones. No obstante, también se conoce bajo las siglas API y es un tipo de interfaz que permite la comunicación entre dos programas.
¿Qué significa exactamente API?
A través de una API, es decir, una interfaz, se puede transmitir información, como datos o comandos. La comunicación a través de una API tiene lugar a nivel de código fuente, es decir, en un lenguaje de programación.
Permiten acceder a una base de datos o a un disco duro, por ejemplo, y pueden transferir datos de un sistema a otro. También pueden utilizarse para intercambiar datos entre un móvil y un dispositivo IoT, como un reloj inteligente, o para el intercambio de datos en Internet. Por ejemplo, cuando visitas un sitio web, el navegador se conecta al servidor a través de una API, es decir, este servidor envía los datos del sitio web al navegador a través de la API.
En términos de ciberseguridad de empresa, las API son relevantes de varias maneras:
- Como interfaces del sistema, las API proporcionan de forma potencial acceso a datos relacionados con la empresa. Por lo tanto, estas interfaces deben protegerse contra el acceso no deseado.
- Los programas aceptan órdenes a través de las API. Si se protegen de forma correcta, se reduce el riesgo de que los ciberdelincuentes controlen tus programas a distancia.
- El intercambio de datos entre las API puede estar cifrado o no.
- Los ciberdelincuentes no pueden leer estos datos cifrados, aunque consigan interceptarlos o espiarlos durante la transmisión. Intentan manipular estas API a través de diferentes vectores de ataque. Por lo tanto, además de la protección específica para las API, es importante reducir el riesgo cibernético en general.
¿En el trabajo diario, dónde puedo encontrarme con este tema?
Te lo encuentras de forma constante sin darte cuenta. Por ejemplo:
- Cada vez que utilices un programa que no sea del fabricante de tu sistema operativo. Las API permiten integrar, por ejemplo, Adobe Acrobat en un sistema operativo Windows.
- Cuando se importan datos de un programa a otro, por ejemplo, de un sistema TPV a un informe.
¿Qué puedo hacer para mejorar mi seguridad?
Ponte en contacto con expertos para comprobar y optimizar la protección de las API de tu sistema. Debido a todos los tipos de API que hay, es recomendable seguir diferentes medidas para cada una. Por ejemplo:
- Crear un proceso de autentificación riguroso y lo más seguro posible
- Transmitir los datos de forma cifrada
- Controlar las llamadas y el tráfico de datos
- Dirigir todo el tráfico de la API a través de la llamada API Gateway
Los ataques a las API pueden llevarse a cabo de formas muy diferentes, por ejemplo, mediante correo electrónico con un programa malicioso (malware) oculto en un archivo adjunto, a través de keyloggers, mediante ingeniería social o un puesto de trabajo que se ha dejado desprotegido en una pausa. Por lo tanto, casi todas las medidas para reducir el riesgo cibernético también sirven para proteger las API. La concienciación del personal también desempeña un papel importante.