Las API (Application Programming Interface), son componentes fundamentales para el crecimiento y la consolidación de una economía digital moderna y si trabajas o estás relacionado con el mundo Fintech, debes haber escuchado este término. Es una gran cantidad de información y datos los que son enviados y recibidos a través de estos componentes; datos personales, financieros, privados y sensibles, datos que deben estar protegidos de acuerdo con legislaciones vigentes. Por esto, toda empresa que desarrolle y ofrezca servicios a clientes finales u otras empresas a través de una API, tiene el deber legal, corporativo e incluso moral de protegerlas, evitando incidentes de ciberseguridad que conlleven a fugas de información, sanciones regulatorias y la muy temida pérdida de reputación o clientes.

Las API son sistemas que permiten que dos componentes de software se comuniquen entre sí, lo que abre considerablemente las oportunidades de negocio entre compañías, transformándolas en un componente fundamental -o la columna vertebral- de los múltiples servicios que las Fintech ofrecen a través de sus plataformas tecnológicas. Esto, potencia el desarrollo de una economía digital, entendiendo este último término como el desarrollo de actividades comerciales, producción, intercambio y consumo de bienes y servicios a través de componentes tecnológicos, haciéndolo de una forma segura, confiable, escalable, sostenible en el tiempo.

A través de las APIs, las Fintech y empresas en general pueden lograr interconexión global, mejor interoperabilidad entre socios de negocio, reducción de Time-To-Market y Time-To-Value, escalabilidad, promueven la competencia, mejoran la experiencia al cliente y en general, hacen posible la transformación digital y la economía de los datos.

Ahora bien, el uso de la tecnología tiene su riesgo inherente y ante todo es necesario entender que siempre habrá alguien con la motivación necesaria para atacar nuestros sistemas. Aquí es donde juega un papel fundamental tomar las acciones necesarias para proteger este componente fundamental de los sistemas.

Cybertrust Latam identificó las 5 medidas esenciales para proteger las APIs:

La seguridad como requisito funcional: Gustavo Ríos, Socio de Ciberseguridad de Cybertrust Latam, explica que “iniciando desde el diseño, es necesario sumar medidas, requisitos y criterios de aceptabilidad basados en los estándares y requisitos de seguridad que debe cumplir tu API. Para esto, es necesario implementar el concepto de Seguridad por Diseño.”

Mecanismos robustos de autenticación y acceso a datos: Es importante definir la forma como se garantizará que solo sistemas válidos puedan tener acceso, extraer, consumir y cargar datos. Gustavo Ríos afirma que “si bien hay muchos métodos para lograr este objetivo, que se ajustan muy bien a cada contexto de funcionamiento y dentro de los que se destacan tokens JWT, API Keys, OAuth e incluso con listas de control de acceso y tráfico cifrado, lo relevante es asegurarse que estos mecanismos están implementados de forma correcta.”

Mecanismos para mejorar disponibilidad y limitar la cantidad de tráfico que acepta la API: Este tipo de sistemas usualmente manejan información esencial para el funcionamiento de procesos de negocio y faltas de disponibilidad o lentitud podría afectar de forma significativa el normal desarrollo de actividades, pudiendo traer incluso problemas contractuales. Gustavo Ríos detalla que “esto lo puedes lograr con la configuración de políticas de rate limiting, throttling y monitoreo de uso ayuda a mitigar ataques de denegación de servicio (DoS/DDoS) y a prevenir saturaciones que puedan afectar la continuidad del servicio, evitándose así incumplimientos contractuales o pérdida de clientes.”

Pruebas de seguridad: Los controles de seguridad deben ser probados, por lo que, indistintamente de que se considere que están bien implementados, es altamente recomendable probarlos de forma periódica a través de pruebas de seguridad, hacking ético y auditorías.

Monitoreo continuo y gestión de incidentes: Si bien podemos tener controles y medidas de seguridad que protejan las API, los ataques van a existir y eventualmente, alguno podría ser exitoso. Por esto es necesario tener sistemas de monitoreo que permitan identificar anomalías y actuar de forma proactiva. Gustavo Ríos agrega que “de igual forma es necesario tener un protocolo de gestión de incidentes que defina de forma clara la línea de actuación tanto desde el punto de vista técnico, como organización, legal y comunicacional, lo que demuestra debida diligencia y ayuda a cumplir con normativas legales y expectativas del mercado.”