La expansión de las API pone en riesgo la seguridad de las empresas
Las API han resultado ser un elemento muy útil a la hora de facilitar la evolución de la economía digital, sin embargo, en estos momentos su crecimiento podría estar fuera de control.
La rápida proliferación de las API trae como consecuencia retos relacionados con la seguridad y la gobernanza. Así lo revela el informe de F5 “Expansión continua de las API: desafíos y oportunidades en una economía impulsada por API”.
El informe de F5 destaca el valor de las API para el funcionamiento de la economía de Internet, al facilitar desde los pagos digitales hasta los servicios de entretenimiento o los relacionados con los hogares inteligentes. No obstante, se estima que las API podrían crecer desde los 200 millones actuales a los 1.700 millones en 2030. Además de su volumen, preocupa también la falta de estándares comunes, de una gobernanza sólida, de control de versiones o las carencias relacionadas con la seguridad.
F5 dice en su informe que estos problemas surgen como consecuencia de las tendencias actuales en el desarrollo del software, que incluyen una creciente adopción de arquitecturas de microservicios o la modernización de las aplicaciones heredadas, lo que provoca duplicidades, errores de documentación o mantenimientos deficientes.
A todo ello hay que añadir una creciente complejidad organizativa, en la que los equipos de desarrollo siguen trabajando en silos y adoptando enfoques de infraestructuras híbridas. Así, el informe “El estado de la estrategia de aplicaciones 2021”, también elaborado por F5, señala que en 2021 el 68% de los equipos de desarrollo operan en cuatro o cinco arquitecturas de aplicación diferentes (41% en 2020), algo que contribuye a incrementar la dispersión y duplicación de API y que complica el poder mantener una supervisión correcta.
“A medida que proliferen las API de todo tipo, será normal que las organizaciones lleguen a un punto en el que no puedan gestionarlas y controlarlas de manera efectiva”, dice Rajesh Narayanan, director senior y tecnólogo de F5. "La expansión de las API viene condicionada por tener que controlar demasiadas API diferentes en demasiadas ubicaciones distintas".
Obstáculos operativos y riesgos de seguridad
La expansión de las API trae a primer plano una serie de desafíos operativos y de seguridad. A medida que aumenta la cantidad de API y la complejidad de las aplicaciones, resulta muy difícil rastrear dónde se encuentran las API. Descubrirlas dentro y fuera de la empresa puede resultar difícil y la conectividad end-to-end puede verse afectada. Las actualizaciones frecuentes de las API provocan problemas de control de versiones y documentación.
Igualmente urgente es el riesgo de seguridad inherente a la expansión de las API. Así, más del 90% de las empresas experimentaron un incidente de seguridad relacionado con las API el año pasado . Las API no son solo una fuente de amenazas de seguridad, sino uno de los principales riesgos dentro de todo el entorno cloud: IBM descubrió que dos tercios de los incidentes de seguridad en la nube en el último año involucraron claves de API mal configuradas que permitían un acceso inadecuado .
"La expansión descontrolada de las API supone una posible brecha de seguridad más", dice Narayanan. “El crecimiento de las API en una infraestructura distribuida significa que los datos que permiten el acceso privilegiado a un sistema se distribuyen más ampliamente y se vuelven más vulnerables. Solo se necesita una clave de API para que un atacante obtenga acceso a la infraestructura crítica".
Controlando la expansión
Las API seguirán siendo un elemento crítico para la economía digital: un importante impulsor de la innovación y la creación de valor. Sin embargo, su crecimiento plantea tanto amenazas como oportunidades, por lo que deben gestionarse de una manera más coordinada para evitar que los problemas emergentes de hoy se conviertan en problemas sistémicos a gran escala.
"La expansión de las API es una parte inevitable de la arquitectura de software moderna", afirma Narayanan. “No podemos evitarlo, por lo que debemos encontrar formas de abordarlo de una manera práctica y escalable. Para 2030 espero que se puedan ofrecer servicios SaaS que se encarguen de la validación, compatibilidad y seguridad de las API. También será necesario elaborar un inventario de API inactivas o sin soporte".
“Las empresas deben actuar es antes de que las API alcancen un volumen que sea mucho más difícil de controlar. Si los datos son el nuevo petróleo, es necesario evitar que las API se conviertan en el nuevo plástico y causen estragos en el ecosistema. Para mantenerse saludables y prosperar en la economía impulsada por API, es hora de que las organizaciones se tomen en serio su creación, uso y administración".
