Hablando entre máquinas

Las API, más allá de un tecnicismo, es la puerta de entrada para una transformación digital segura y eficiente

¿Se acuerdan de aquellos tiempos en los que se llamaba por teléfono al banco para realizar una determinada gestión y se hablaba con la operadora que nos pedía una determinada combinación de una matriz de números? Hoy en día la tecnología nos ofrece otras alternativas más seguras, más eficientes e inmediatas para hacer esta y otras tareas del día a día, sin depender de terceras personas u horarios comerciales.

Este artículo no habla de la seguridad, sino de la propia comunicación. En el sector financiero, y en todos los sectores realmente, existen cada vez más procesos de negocio en los que se requiere que diferentes sistemas se comuniquen entre sí para realizar de diferentes tareas en diferentes escenarios y con total disponibilidad de horario.

En esta torre de Babel, donde interactúan varios sistemas, cada uno diseñado con diferentes herramientas tecnológicas, de diferentes empresas y sectores, ¿cómo es posible que se entiendan entre ellas? La respuesta está en las Application Programming Interfaces (API).

Acerca de las API

Las API funcionan de manera similar a los traductores que facilitan la comunicación entre dos aplicaciones desconocidas entre sí, que, sin ellas, no podrían interactuar. Cada aplicación define qué servicios ofrece al resto de aplicaciones, indicando qué datos de entrada va a aceptar para poder realizar la acción o devolver la información requerida por parte de la aplicación que le contacta. Se trata de un modelo de “solicitudes” y “respuestas”. Cuando una aplicación necesita información de otra, emite una solicitud. También se utilizan para requerir una acción por parte de la otra aplicación. La aplicación que recibe la solicitud responde con los datos o realizando una acción internamente, e informando si ha sido correcto el servicio solicitado.

Gracias a este “puente” entre aplicaciones, una aplicación de escaneo de facturas de compra le envía a otro sistema, un ERP (sistema de gestión empresarial), cierta información para que se contabilicen las facturas. Hecho esto, y siempre que ninguna de las aplicaciones reciba un mensaje de que algo ha ido mal, el ERP manda al CFO a través de una aplicación móvil la solicitud de aprobación, la cual, tras su confirmación, incluye estas facturas en una remesa; la que es enviada a la aplicación del banco para el pago de estas. Un ejemplo de proceso de negocio es en el que intervienen diferentes sistemas de información hablando entre ellos de una manera eficiente, sin errores de interpretación y sin demoras; donde es posible ir guardando “las trazas” o registros históricos para después poder consultar posteriormente todos los datos del proceso si fuera necesario.

JSON, XML…

A la hora de intercambiar información entre los diferentes sistemas, existen formatos universales que son utilizados por parte de las API. Los formatos de texto como son los "JSON" y "XML" establecen cómo interpretar la información que llega, y son los más utilizados debido a que son legibles por humanos, lo que facilita el diagnóstico de problemas y la depuración. Son ampliamente soportados por la mayoría de los lenguajes de programación. Son ligeros en términos de uso de la red y del procesamiento requerido para comprenderlos, y pueden ser extendidos para representar tipos de datos más complejos y estructuras de datos.

Estos formatos de texto están basados en etiquetas (“Tags”) que identifican cada pieza de información. La estructura donde viene la información establece la jerarquía de los datos, por ejemplo, en documentos de facturas. Permite diferenciar cada uno de los documentos y establece para cada documento la relación entre la cabecera y sus líneas.

Seguridad en las API

La información financiera es sensible, y como tal debe ser protegida. No debemos olvidar la importancia de mantener la seguridad en todas las comunicaciones. Las empresas necesitan emplear mecanismos de autenticación y encriptación para asegurarse de que solo las partes autorizadas tengan acceso a las comunicaciones de la API.

El principal método de seguridad empleado en este tipo de comunicaciones es la autenticación mediante tokens. La aplicación que va a solicitar un servicio se autentica mediante unas claves primarias y solicita un “token” o clave única, que empleará en una segunda llamada para solicitar el servicio. En este proceso es crucial tener en cuenta el tiempo de vida de dicho “token”. Para mantener una seguridad óptima, los tokens expiran después de algún tiempo y requieren que el usuario se autentique de nuevo. Este enfoque ayuda a abordar cualquier riesgo potencial de seguridad relacionado con el robo o la pérdida del “token”.