Protección de APIs

juin 06, 2026

Protección de APIs

Hay muchas empresas y compañeros preocupados por la protección de las APIs. Vemos que cada día hay más APIs publicadas a Internet y algunas veces olvidamos protegerlas o incluso pensamos que no es necesario protegerlas, que es aún peor. Muchos compañeros tienen falta de visibilidad, observabilidad y monitorización. Por ejemplo, no saben cuánto se están utilizando y muchas veces están preocupados por el uso que se está haciendo de las APIs, es decir, nos preocupamos cuando las APIs empiezan a recibir muchas peticiones, no las tenemos controladoas, y causan una denegación de servicio.

Hace poco estuve en una presentación de F5 donde el objetivo era la protección y visibilidad de las APIs. En primer lugar se habló de NGINX y API Gateway que es una solución de F5 que nos permite proteger, controlar el uso de la API y monitorizar nuestras APIs. Mediante NGINX One podemos gestionar fácilmente las APIs desde una consola SaaS. Sin embargo, es importante tener claro quién va a realizar la operación de la protección y monitorización de las APIs porque suele ser una solución operada por el departamento de desarrollo o sistemas.

NGINX One Console

A continuación se presentó la solución de BIG-IP APM que desde mi punto de vista, junto con BIG-IP AWAF, es una tecnología muy potente en cuanto a protección de APIs porque desde el entorno gráfico de BIG-IP podemos subir un fichero Swagger para aplicar control de acceso, protección de firmas de ataques, rate limiting, etc. Además, desde la versión 17.5 de BIG-IP se permite comprobar los token JWT para ver si son válidos o están malformados. Creo que la combinación de BIG-IP APM y BIG-IP AWAF es la plataforma más utilizada últimamente para la protección de APIs. Muchos administradores de APIs empiezan controlando el uso de las APIs mediante rate limiting y luego van ampliando medidas de protección al ver que funciona bien.

BIG-IP APM Rate Limiting

Por último, tenemos una tercera opción que se utiliza sobre todo para el descubrimiento y visibilidad de las APIs. Hay organizaciones que modifican sus APIs y añaden nuevos endpoint, y cuando pasa un tiempo ya no saben qué tienen publicado a Internet. Por tanto, para el descubrimiento y visibilidad tenemos la opción de API Discovery desde F5 Distributed Cloud. Esta es una tecnología que a lo mejor no se conoce tanto pero realmente es muy intuitiva y fácil de utilizar desde el entorno SaaS de F5XC.

API Endpoint Discovery

Últimamente parece que ya solo se puede hablar de IA, y nos estamos dejando un poco de lado las APIs. Por favor, prestemos atención a nuestras maravillosas APIs porque ya otro día escribiré sobre los guarda raíles de las IAs. Todavía hay algunos que se piensan que las IAs las podemos proteger con un WAF, pero eso lo trataremos en otro post.

Un abrazo !

Rechercher dans ce blog

David Romero Trejo

Protección de APIs

Commentaires

Enregistrer un commentaire

Articles les plus consultés

Improving SSL VPN performance with DTLS

HSRP, VRRP o GLBP

Checksum

Metodología de redes (FCAPS)

Decrypting DTLS traffic with Wireshark

Two FortiGates in a VRRP domain

DNS Load Balancing

MLAG vs vPC vs Stacking

Linux Buffer Overflow Example

Balanceadores de Carga