Las API son una parte cada vez más importante en el día a día de casi todo tipo de empresas, grandes, medianas y pequeñas. Una API (Interfaz de Programación de Aplicaciones) es un conjunto de definiciones y protocolos que permiten que dos aplicaciones de software se comuniquen entre sí; es decir, actúa como intermediario para que dos programas diferentes se puedan entender y compartir datos. Por ejemplo, existen millones de aplicaciones y webs que ofrecen información del clima, que toman información de estaciones meteorológicas a través de una API.
En ocasiones estas APIs fallan y se produce un Error de API. Cuando un servidor no logra encontrar el recurso solicitado del proveedor de API, se genera un mensaje de error numérico que ayuda a identificar el problema específico. Las causas más comunes de estos errores incluyen fallos en el punto final, parámetros incorrectos o problemas con la clave API durante la solicitud. Solucionar estos errores es esencial para mantener una comunicación fluida entre aplicaciones y asegurar la correcta recuperación de datos del proveedor de API.
¿Cuáles son los errores APIs más comunes?
Todos nos hemos encontrado alguna vez con una pantalla y un mensaje con un número que frustra nuestras intenciones de entrar en una web. Existen muchos errores de este tipo, pero ¿cuáles son los más comunes? Según el estudio de Cloudflare «2024 API Security & Management Report los 10 errores más comunes a la hora de comunicarse con las APIs son estos.
API error 429
Esto sucede cuando un usuario realiza demasiadas solicitudes a la API en un corto período de tiempo. Tras varios ataques DDoS de alto perfil en la última década, los servicios web monitorean cuidadosamente quién accede a sus servidores y con qué frecuencia. Esta limitación de velocidad es comparable a la que se encuentra en cualquier dominio o sitio web grande. Proveedores de alojamiento web como Cloudflare gestionan la protección contra DDoS para los dominios alojados en sus servidores. En el caso de las API, estas protecciones deben estar integradas para garantizar su seguridad.
API error 400
Esto generalmente ocurre debido a un error tipográfico en la entrada del usuario. Sin embargo, ¡esto no significa que estés libre de problemas! Es importante que tu mensaje de error incluya detalles específicos sobre la entrada incorrecta para que el usuario pueda corregirlo rápidamente.
API Error 404
La solicitud del usuario es correcta, pero el punto final o el recurso solicitado no está disponible. Esto podría ser porque el archivo ha sido eliminado, pero es importante verificar que no se trate de un error relacionado con HTTP/HTTPS.
API error 401
Este estado indica que la entrada es correcta, pero la solicitud del usuario carece de un código de autorización. No debe confundirse con otros errores de autenticación o autorización.
API error 403
Esto indica que el código de autorización es válido, pero el usuario no tiene los permisos necesarios. Por ejemplo, un usuario podría estar intentando acceder a recursos que solo están disponibles para administradores, lo cual es un problema de seguridad cada vez más común con el trabajo remoto.
Cloudflare suele ver cómo las organizaciones que se encuentran al principio de su andadura en la gestión de API utilizan un enfoque de «enviar un correo electrónico y preguntar», que crea un inventario puntual que es probable que cambie con la siguiente versión del código. Digamos que el equipo de TI de una organización sanitaria no es consciente de que una API permite a los proveedores acceder a determinados sistemas.
La filtración de datos de Quest Diagnostics en 2019, por ejemplo, expuso los datos de casi 12 millones de pacientes, cuando un usuario no autorizado accedió a una API que enviaba información a proveedores de facturación. En 2022, el proveedor de telecomunicaciones australiano Optus sufrió una filtración, al parecer debido a que un atacante accedió a su base de datos de clientes a través de una API no autenticada. A medida que crece la economía de las API, también lo hacen los problemas de pérdida y control y la complejidad del desarrollo, la gestión y la seguridad de las API.
¿Cómo estás monitoreando cuáles de tus APIs permiten acceso de escritura?
Cloudflare descubrió que el 59.2% de las organizaciones permiten acceso de escritura en al menos la mitad de sus APIs. Las APIs de solo lectura (GET) extraen e ingieren información de un sistema. Sin embargo, las APIs de escritura (POST, PUT, DELETE) también permiten a los usuarios y otras aplicaciones enviar actualizaciones (cambiar) un sistema.
Muchas brechas de seguridad en APIs ocurren debido a autorizaciones permisivas: usuarios con demasiados privilegios o con acceso a datos de otros usuarios. Cuando una API proporciona acceso de escritura a la persona equivocada, puede llevar a ataques como los descritos en este informe.