Estas Semanas en Cloudflare en Español

Hola, buenos días, buenas tardes, buenas noches, donde quiera que nos estén sintonizando en vivo o estén viendo la retransmisión de su programa Estas semanas en Cloudflare en español. Mi nombre es Alex Mayorga Adame y soy un ingeniero de soluciones de Cloudflare para América Latina. Bueno, antes que nada, feliz 2024. Espero que sea saludable, seguro y próspero para todos. También, antes de comenzar con el programa, quiero enviar un saludo a mi esposa y a mi hija que están por celebrar sus cumpleaños. Así es que muchas felicidades. Pasamos. Para los que nos sintonizan por primera vez, lo que hacemos en este programa es revisar las novedades de producto de Cloudflare e igualmente revisamos los webinars que están próximos a venir y revisamos las últimas noticias en el blog de Cloudflare. Para aquellos que quieran enviarnos alguna pregunta o algún comentario, en la parte baja de la transmisión pueden encontrar un correo electrónico y un número telefónico en donde pueden enviar sus preguntas y trataremos de responderlas si tenemos tiempo durante la transmisión. Sin más preámbulo, vayamos allá. Si me quieren acompañar, la URL de esta página es Cloudflare.com-whats-new y en esta podemos ver las novedades de producto de Cloudflare. Tenemos para comenzar un reporte de analista. En este caso se trata del radar de GigaOM para las redes de distribución de contenido. En este caso Cloudflare ha sido reconocido como un líder en este reporte. Pueden descargar los detalles del reporte directamente en ese enlace. También tenemos otro reconocimiento para Cloudflare que viene de Gartner. En este caso es la voz del consumidor en cuanto a soluciones de mitigación de ataques de negación de servicios distribuidas. De igual manera pueden acceder al reporte directamente en el enlace. Tenemos un reconocimiento más para la solución serverless de Cloudflare en plataformas de desarrollo en el borde del analista Forrester, que en su ola para el trimestre de 2023 reconoce a Cloudflare como un líder en este segmento y en donde Cloudflare recibió una puntuación alta en 24 de los 33 categorías o criterios de evaluación que ellos utilizan para su análisis. Después tenemos un informe también de Forrester sobre cómo podemos recuperar el control de nuestra conectividad de nube utilizando Cloudflare. Este es un estudio que Cloudflare solicitó y pueden acceder al mismo directamente en este enlace. También tenemos un análisis de Gartner en cuanto a seguridad para aplicaciones web en la nube y protección de APIs, en donde Cloudflare es reconocido como un vendedor representativo en este segmento. Tenemos también una novedad en el producto de Cloudflare Waiting Room, en donde ahora podemos utilizar combinaciones de nombres de host y rutas para utilizar múltiples combinaciones de estos en un solo Waiting Room, lo que nos permite dar una mayor cobertura y flexibilidad a los usuarios de esta solución. Igualmente se ha agregado la posibilidad de tener múltiples idiomas en esta solución. Siempre pueden acceder, como les decía, a este sitio que es público, Cloudflare.com-whats-new. Y aquí podemos ver las distintas soluciones de Cloudflare. Si alguna solución que ustedes utilizan es específica de su interés, la pueden seleccionar aquí. O podemos ordenar también por el tipo de caso de uso que requieran revisar. Vamos adelante. Ahora vamos a revisar Cloudflare.com-webinars, en donde podemos ver una redirección al centro de recursos. Podemos aprender más sobre Cloudflare y podemos acceder a distintos tipos de recursos. En este caso yo estoy hablando en particular de seminarios web o webinars que tenemos en puerta. Tenemos acá el más próximo, ocurrirá el día 23 de enero, en donde tenemos un webinar que hablará sobre los nuevos conceptos o innovaciones que tenemos en el firewall de aplicaciones web. Y cómo esto ayuda a proteger múltiples servicios, como pueden ser APIs o microservicios. Se pueden registrar desde ya para este webinar. Después tenemos el día 25 de enero, un webinar sobre cómo justamente podemos recuperar el control de nuestra infraestructura de tecnología. Un poco hablando sobre este estudio del que mencionábamos de Forrester. Y cómo podemos utilizar Cloudflare para recuperar ese control de nuestros stacks tecnológicos. Siguiendo el día 31 de enero, vamos a tener otro webinar, en donde se hablará de los riesgos de seguridad modernos y cuáles son los tres riesgos más urgentes que Cloudflare puede ayudarlos a mitigar, como lo hemos hecho en nuestra propia organización, e invitarlos a registrarse en este webinar. Siguiendo en el mes de febrero, el día primero de febrero, tenemos un par de webinars sobre seguridad en el correo electrónico. El primero de ellos va a ser en idioma portugués. Y bueno, vamos a hablar de cómo luce el panorama actual y cómo la solución de Cloudflare de seguridad de correo electrónico basado en la nube, nos puede ayudar a detener tanto los ataques más tradicionales, como los más modernos o de última generación que se han estado observando en la industria. Posteriormente, el día 8 de febrero, tenemos un webinar más en idioma inglés, en donde vamos a hablar de cómo proteger aplicaciones críticas utilizando el firewall de aplicaciones web basado en la nube de Cloudflare. Cómo nos podemos proteger de distintas amenazas, incluidas vulnerabilidades de día cero. El día 22 de febrero, tendremos también un nuevo webinar en idioma portugués, igualmente en idioma español, un par de horas más tarde, sobre cómo obtener seguridad para nuestras APIs. Cómo aumentar la resiliencia de las mismas y tener mejor cumplimiento. Bueno, como mencioné aquí, el casi 60% del tráfico HTTP que se observa en Cloudflare, es directamente o está relacionado con APIs. Entonces, es muy importante securizar esta información. También tenemos para el día 14 de marzo, un webinar en donde se estará hablando de las últimas amenazas que nuestros equipos de respuesta a ataques e incidentes han observado y cómo podemos posicionar a Cloudflare para protegernos de ellos. Igualmente, este se va a retransmitir en idioma español, un par de horas más tarde, el día 14 de marzo. Igualmente, recordarles que si alguno de estos webinars llega a no ser accesible para ustedes por cuestiones de agenda, todos los webinars son archivados en esta misma ubicación y los pueden consumir bajo demanda cuando así lo requieran. Nuevamente, Cloudflare.com diagonal webinars. Seguimos con la última parte de este segmento, en donde hablamos de las últimas novedades que se han publicado en el blog de Cloudflare. Tenemos justamente un blog de nuestros colegas John y Sabina, en donde nos hablan del más reciente informe que Cloudflare ha publicado sobre seguridad y gestión de APIs. Nos hablan también de las novedades y tendencias que ellos esperan en el 2024. Bueno, como quizás ya sepan, Cloudflare observa aproximadamente el 20% del tráfico total de la web. Esto es para acelerar y securizar distintas propiedades web. Pero algo que hemos notado y que es interesante, como ya mencionamos en el anuncio del webinar hace un momento, poco más de la mitad de este tráfico no son necesariamente una página web que una persona esté visitando, sino que se trata de tráfico de APIs, en donde distintas herramientas se comunican entre ellas, para lograr ofrecer algún servicio o brindar alguna información. Nos mencionan aquí nuestros colegas que también este estudio no se basa en una encuesta, sino que se basa en tráfico real que hemos observado en la infraestructura de Cloudflare. Un poco la moraleja que ellos nos comentan es que justamente muchas organizaciones no tienen una visión precisa, o inclusive muchas veces es inexacta y separada de lo que realmente se observa en el tráfico, porque básicamente algunas organizaciones hacen encuestas para observar o determinar qué APIs existen, lo cual difiere de lo que se observa directamente en el tráfico. Aquí vemos que cuando nuestros clientes indican a Cloudflare que supervisemos su tráfico de API, utilizamos modelos de aprendizaje automatizados para identificar este tráfico en el tráfico HTTP. Y bueno, nos mencionan aquí que en base a esta observación hemos logrado detectar un poco más del 30% de las APIs que los clientes conocían o sabían de su existencia. A estas APIs, ellos las llamamos o en la industria se conocen como las APIs paralelas, porque son aquellas de las que no tenemos conocimiento y por tanto no podemos tener una adecuada protección de las mismas. Y bueno, nos comentan que un poco parte de su predicción es que este desconocimiento pues incrementa la complejidad y también hace más inseguras a las organizaciones, porque bueno, esto van a ser superficies de ataque que no conocemos. Nos dan luego un ejemplo de una aplicación, en este caso de predicciones meteorológicas, en donde utilizamos una API para ofrecer este tipo de servicios. Nos comentan aquí de una brecha que ocurrió recientemente, en donde los server delincuentes pudieron poner a la venta 10 millones de registros de usuarios. Y también nos comentan que muchas agencias gubernamentales están precisamente advirtiendo sobre los posibles riesgos de estas APIs. Para ayudar a las organizaciones con esto, Cloudflare ha presentado nuestro producto de descubrimiento de APIs. En este mismo, como les comentaba, muchas organizaciones hacen la identificación de sus APIs a través de enviar un correo electrónico y preguntar quién las tiene, para intentar un poco elaborar ese inventario. Y obviamente, pues como hay un componente humano y no todos van a responder a estas encuestas, y quizás las personas que reciben las encuestas tampoco van a tener conocimiento de la totalidad de las APIs, empezamos ahí a tener la primera brecha en el desconocimiento de las APIs. Igualmente va a ser complejo mantener ese inventario actualizado, y puede ser que no considere también todas aquellas aplicaciones o APIs heredadas que tenemos. Entonces, cuando utilizamos Cloudflare con la solución de API Gateway, esto se reduce porque de nuevo se aplica aprendizaje automático directamente sobre el tráfico, para identificar todos los puntos de acceso de la API que tengamos detrás de Cloudflare. También adicional a ello, la solución nos permite agregar ya sea un encabezado o una cookie para asistir con la identificación de esto. Bueno, como mencionábamos al principio, esto resulta en que con la observación de la solución de API Gateway y API Discovery, podemos tener casi un 31% más de visibilidad de la totalidad de las APIs. Bueno, después nos comentan también si aún no son clientes de Cloudflare, podemos comenzar utilizando este estándar de OpenAPI para crear y comenzar a recopilar los esquemas de las APIs que tengamos. Otra interesante recomendación es utilizar limitación de velocidad precisa para evitar que haya un abuso por el uso excesivo o la sobrecarga de APIs o servicios que tengamos detrás de las APIs. Con esto podemos enviar códigos de respuesta HTTP estándar, como puede ser el 403 o el 429, para indicar a aquellos que estén consultando las APIs que dichas APIs están prohibidas para su uso o que tienen que reducir el número de solicitudes que nos están haciendo, en el caso de 429 que son demasiadas solicitudes. Después vemos un poco una gráfica de las respuestas de error más comunes. Como mencionamos, 429 es muy común. Después tenemos otros códigos de respuesta como request incorrectos o respuestas no encontradas. Y bueno, nos comentan que utilizando la solución también podemos obtener recomendaciones específicas de a qué niveles establecer estos límites de velocidad, lo cual nos permite obtener o establecer más correctamente cuál sería el uso correcto de las APIs. Por ejemplo, aquí vemos un poco la interfaz gráfica en donde se están mostrando los distintos percentiles de uso en periodos de 10 minutos, en esa API en particular para creación de usuarios. Vemos que la recomendación es establecer este límite a 68 solicitudes por un periodo de 10 minutos, dado que los percentiles que vemos ahí eso sugieren. Bueno, nos comentan también que una API también puede ser igual víctima de otros tipos de ataques, como vulnerabilidades de OWASP e inyecciones de SQL. En esta parte, obviamente, si tenemos un servicio detrás de Cloudflare, todo esto va a ser gestionado y controlado a través del firewall de aplicaciones web de Cloudflare. Tenemos aquí también un gráfico que nos muestra los riesgos más comunes para las APIs. Podemos ver que son el principal, son anomalías de HTTP, después tenemos ataques de inyección, ya sea de SQL o de cross-site scripting, inclusión de archivos, ataques específicos contra ciertos softwares, ataques comunes y también ataques que intentan moverse a través de los directorios en las APIs. Después nos cuentan un poco más sobre ataques de tipo específico, en donde vemos errores en la parte de autorización del acceso a los objetos o errores en la autorización al nivel de las funciones. Bueno, nos dan después algunas recomendaciones específicas. Autenticar las APIs, a menos de que específicamente tengamos APIs públicas. Podemos utilizar TLS Mutuo o WebTokens de JSON para autorizar el acceso. También tenemos como segundo paso lo que ya mencionábamos. Definir cuál es el límite de velocidad de uso adecuado para las APIs, para evitar que algún adversario pueda hacer un uso exagerado de las mismas o llegar a saturarlas. Una tercera recomendación es evitar la salida de datos confidenciales que sean anormales a través de la app. Y finalmente recomiendan evitar que un oponente pueda utilizar las APIs fuera de una secuencia conocida o legítima que nosotros hayamos determinado para el uso de las mismas. Finalmente nos comentan, a final de cuentas la API, a pesar de que es comunicación interprocesos y entre sistemas, su función última es que haya un servicio útil para una persona que esté utilizando dichos servicios. Y bueno, nos muestran aquí una gráfica un poco de cómo el tráfico global en APIs justamente se relaciona con eventos humanos. En este caso, ellos hablan de incrementos de un poco más del 10% en eventos como pueden ser las ventas de lo que se llama el Black Friday y Cyber Monday en Estados Unidos, que son eventos de compras muy representativos. Pero también nos mencionan que justo las festividades que tuvimos recientemente, por el fin e inicio del año, vemos ahí justamente cómo de manera muy marcada hay reducciones en el uso de las APIs. Esto pues correlaciona también con los cambios en el tráfico total de HTTP, pero es siempre interesante. Algunas recomendaciones más que nos hacen es para obtener mejores resultados con nuestras APIs. Es combinar el rendimiento y la seguridad, así como la visibilidad, al momento de que se están desarrollando unas APIs. Y bueno, de ser posible, mantener ese inventario del que ya hablamos actualizado lo mejor posible. Otra recomendación es utilizar herramientas de seguridad como puede Cloudflare API Gateway, que pueden aprender y automatizar justo este inventario para reducir la necesidad de equipo humano y reducir los costos de mantener estos inventarios. Adoptar un modelo de seguridad positivo, es decir, asegurar las APIs antes de que sean utilizadas. Y bueno, mantener un esfuerzo para mejorar la madurez en cómo se administran los APIs en la organización a través del tiempo. Después elaboran un poco en lo que tenemos sobre los modelos positivos o negativos. En el modelo negativo, básicamente una herramienta de seguridad intenta determinar lo que se considera malicioso a través de señales conocidas. En el modelo positivo, son las solicitudes correctas las que se autorizan y el resto se descarta. Entonces, en especial para las APIs, porque pueden ser costosas a través de CPU o red, se recomienda adoptar el segundo modelo. Y bueno, obviamente combinarlo con lo que puede ser un Web Application Firewall. Finalmente, nuestros colegas nos hablan de un poco predicciones para el 2024. Bueno, lamentablemente es que ellos esperan que haya un cierto nivel de pérdida de control y aumento en la complejidad. Esto, dado a una encuesta en donde el 73% de las personas que respondieron, nos indican que esto va a ocurrir, que se espera mayor expansión de APIs y obviamente esto resultará en que los inventarios sean más inexactos. También el hecho de que la inteligencia artificial sea más accesible, obviamente conlleva un riesgo, dado que se espera que también se use esta inteligencia artificial generativa para, lamentablemente, lanzar ataques a las APIs. Y bueno, nos comentan aquí de Forrester, una predicción que hacen, en donde indican que al menos habrá tres fugas importantes de datos debido al código poco seguro que será atacado por medios de inteligencia artificial. También esperan un aumento en los ataques a lógicas de distintas empresas. Obviamente, los actores maliciosos siempre están buscando atacar a las organizaciones y nos comentan que ellos prevén un incremento en el uso de bots maliciosos para atacar eficientemente las APIs. Esto, bueno, incrementándose de lo que se ha observado en años anteriores. Finalmente, hay mayor gobernanza o se espera que haya mayor gobernanza, dado que cambios en estándares como PCI, que entrarán en vigor en marzo de este año, tienen requisitos específicos para distintos sectores. Entonces, lo que recomiendan es trabajar con nuestros equipos de auditoría en la organización para estar al tanto de cómo la entrada en vigor de estos nuevos estándares puede afectar la administración de nuestras APIs y cómo debemos protegerla. Finalmente, nos dejan un enlace a donde pueden descargar el informe completo de seguridad de APIs, para que lo tengan a mano y lo puedan revisar. Y bueno, finalmente, invitarles, si algo de esto es preocupante para ustedes o hay algún interés, ponerse en contacto con nosotros. Nuestro equipo de clientes empresariales estará encantado de hablarles un poco más sobre API Gateway y API Discovery. Inclusive, directamente, si son clientes actuales de Cloudflare, pueden iniciar una prueba directamente en su panel de control. Esto les permitirá proteger e identificar mejor el tráfico en sus APIs. Agradecerles su atención a la emisión de hoy, de estas semanas de Cloudflare en español. Que tengan un excelente día y nos vemos en la próxima emisión. Hasta luego.