Informe sobre el estado de los webhooks en 2024

En 2023, analizamos las 100 principales empresas de API junto con datos internos de Svix para examinar con qué frecuencia se implementan las mejores prácticas de webhook en la industria y qué tipo de impacto tienen estas prácticas en la confiabilidad y escalabilidad de los sistemas de webhook.

Este año, analizamos las mismas 100 empresas para ver si la adopción de webhooks y las mejores prácticas de implementación ha aumentado y en qué medida. También analizamos más de 100 nuevas empresas clasificadas como startups por Forbes en 3 industrias diferentes: tecnología financiera, herramientas para desarrolladores e inteligencia artificial para comparar las tasas de adopción de webhooks en todas las industrias, así como por etapa de la empresa.

Nos complace informar que se ha producido un aumento generalizado en la adopción de webhooks y en la implementación de las mejores prácticas. Nos gustaría pensar que uno de los principales factores que contribuyen a esta tendencia es el lanzamiento de la especificación Standard Webook, que describe las mejores prácticas para un servicio de webhooks salientes, y la demanda continua de los consumidores de webhooks de webhooks más fiables y seguros.

Adopción de Webhook

El año pasado, 83 de las 100 API principales que analizamos ofrecían webhooks. Cuando analizamos las mismas 100 API este año, hubo un pequeño aumento hasta el 85 % de adopción de webhooks.

Una pregunta que queríamos responder en esta edición de State of Webhooks era si las empresas emergentes tienen más o menos probabilidades de ofrecer un servicio de webhooks que los proveedores de API establecidos. Por un lado, las empresas emergentes tienden a adoptar nuevas tecnologías más rápido, pero los webhooks suelen ser una característica que se agrega después del lanzamiento de una API.

Tomamos las empresas emergentes de las listas Forbes Fintech 50 y AI 50, así como las 59 principales empresas emergentes de DevTool de Failory y las analizamos de la misma manera que hicimos con las 100 principales API. Claramente, las empresas emergentes se están quedando un poco atrás en la adopción de webhooks, especialmente en IA, que tiende a ser negocios más centrados en el consumidor.

Reintentos

Los reintentos (reenviar un webhook si un intento falla) son uno de los componentes fundamentales de un sistema de webhook confiable, por lo que estamos encantados de ver un aumento en la adopción del 67% al 73%.

También vimos aumentos en la cantidad de reintentos ofrecidos con una disminución en la cantidad de servicios que ofrecen solo 1 reintento y aumentos en la cantidad de servicios que ofrecen 5 o más reintentos.

De manera similar a cómo las empresas emergentes se quedaron atrás en la adopción general de webhooks, también se quedaron atrás en la adopción de reintentos. Existe una tasa de adopción significativamente menor específicamente para las empresas emergentes de Devtool, lo cual fue inesperado.

Fintech representa la tasa más alta de adopción de reintentos, lo que tiene sentido considerando lo crítico que es responder a eventos financieros en tiempo real y no perder ningún dato de transacción.

Reintentos: retroceso exponencial

Aumentar progresivamente el tiempo de espera entre reintentos reduce el riesgo de empeorar los problemas del servidor, soluciona los problemas transitorios enviando los primeros reintentos rápidamente y brinda a los usuarios suficiente tiempo para reparar los puntos finales defectuosos.

La adopción de un cronograma de reducción exponencial de reintentos también aumentó de 25/83 (30%) a 31/83 (37%).

La narrativa en torno a la adopción de la regresión exponencial por parte de las empresas emergentes es muy similar a la adopción de los reintentos en general. Las empresas emergentes de tecnología financiera lideran el camino, mientras que las empresas emergentes de herramientas de desarrollo se quedan muy atrás.

Reintentos manuales

En términos porcentuales, el mayor aumento en la adopción entre todas las mejores prácticas que analizamos fue la implementación de reintentos manuales (+71 %). Por supuesto, fue la mejor práctica menos adoptada en el informe de 2023 y la que tenía más margen de mejora.

Poder volver a intentar enviar mensajes manualmente acelera la resolución de problemas. Es más rápido activar un reintento de inmediato en lugar de esperar al siguiente reintento automático.

Es una tendencia agradable de ver y debería hacer que la vida de los consumidores de webhooks sea mucho más fácil cuando tienen que solucionar problemas con puntos finales defectuosos o simplemente necesitan enviar eventos de prueba durante la configuración y las pruebas iniciales.

Uno de los resultados más sorprendentes fue la tasa a la que las empresas emergentes de IA adoptan los reintentos manuales. Nuestra mejor suposición sobre por qué la tasa de adopción entre las empresas emergentes de tecnología financiera es tan baja en comparación con otras prácticas recomendadas es que, por lo general, hay un gran volumen de mensajes en los sistemas financieros, por lo que la capacidad de reintentar una sola transacción rara vez es necesaria.

Cuando tienes un gran volumen de mensajes, normalmente querrás volver a intentar enviar todos los mensajes fallidos de forma masiva o en lotes. Los productos de IA tienden a tener un menor volumen de mensajes.

Registro y monitoreo

Otro gran aumento porcentual se produjo en la cantidad de servicios que ofrecen registros del historial de mensajes. Esta es una excelente característica que permite a los usuarios solucionar por sí mismos los problemas de los puntos finales que fallan.

Esto no solo beneficia al consumidor, que no tiene que esperar una respuesta del soporte para obtener respuestas sobre por qué no recibe los eventos esperados, sino que también es beneficioso para el proveedor de webhook, ya que recibe significativamente menos solicitudes de soporte relacionadas con fallas de webhook.

Los problemas también se resuelven más rápido cuando los desarrolladores pueden autodiagnosticar sus problemas, por lo que esta característica es beneficiosa para todos.

Tipos de eventos

Otro resultado curioso es que la adopción del registro y monitoreo de mensajes es bastante pareja entre los 100 principales proveedores de API y las empresas emergentes, y en todas las industrias.

Esto sugiere que la capacidad de autodiagnosticar y solucionar problemas no es exclusiva de ningún campo o etapa particular de la empresa y es algo que todos los consumidores de webhooks desean y de lo que se benefician enormemente.

La adopción del tipo de evento fue básicamente la misma (93 % frente a 94 %), ya que la tasa de adopción era muy alta para empezar. Esto se debe simplemente a que los tipos de evento son una característica fundamental de cualquier implementación de webhook, ya que es necesario que los usuarios sepan qué evento están recibiendo.

Curiosamente, la adopción del tipo de evento fue muy baja para las empresas emergentes de IA. En la API 100, las únicas implementaciones sin webhooks fueron aquellas con un solo evento, por lo que quizás las empresas de IA solo tengan un evento para ofrecer.

Autenticación de mensajes

Nuevamente, vemos un aumento en la adopción de las mejores prácticas de autenticación de mensajes (HMACSHA256). Vemos que este aumento se produce de manera relativamente uniforme a partir de una disminución en todos los métodos de autenticación alternativos, pero en particular en las implementaciones que simplemente pasaban un token de portador.

La adopción de HMACSHA256 es similar en todos los ámbitos. Los resultados atípicos provienen de la IA 50, donde pasar un secreto directamente en el encabezado es muy popular. Curiosamente, esto explica por qué pocas de las IA 50 no ofrecen autenticación de webhook en absoluto.

Autenticación del mensaje: marcas de tiempo

Incluir la marca de tiempo como parte del contenido codificado al generar firmas HMAC ayuda a prevenir ataques de repetición. Sin la marca de tiempo como parte de la firma, los mensajes antiguos pueden duplicarse y enviarse nuevamente, lo que puede ser un problema importante si una institución financiera procesa la misma transacción dos veces.

Lo mismo ocurre con las marcas de tiempo en la firma. Los proveedores de API establecidos superan a las empresas emergentes en lo que respecta a la implementación de las mejores prácticas.

Documentación

Una buena documentación es fundamental para ofrecer una excelente experiencia a los desarrolladores. Esto es especialmente cierto en el caso de los webhooks, que tienen varias “trampas” en las que los desarrolladores pueden caer cuando intentan implementar sus puntos finales. Disponer de una documentación exhaustiva puede ayudar a los usuarios a evitar estos obstáculos y ahorrar mucho tiempo y frustración.

Una de las cosas que vemos en los mejores servicios de webhook son las instrucciones para realizar pruebas. Esto también incluye consejos para solucionar problemas comunes, como errores en la verificación de firmas.

En lo que respecta a la documentación, las empresas emergentes están a la par de los proveedores de webhooks más consolidados. Esto también es lógico, ya que la documentación es fundamental para todos los productos.

Un elemento clave que consideramos un indicador de una buena documentación de webhooks son los ejemplos de código. Esto se aplica a la mayoría de la documentación de API, pero en particular a los webhooks. Es extremadamente útil tener ejemplos de puntos finales de webhooks en funcionamiento para que los usuarios comprendan exactamente qué deben hacer sus puntos finales y cómo hacerlo.

Junto con todo lo demás que hemos visto en el informe hasta ahora, también vimos más ejemplos de código. Esto es un reflejo directo del aumento en la cantidad de proveedores que ofrecen autenticación de firma HMAC. Si los proveedores no ofrecen autenticación en absoluto o ofrecen métodos más simples como autenticación básica o un encabezado secreto simple, hay menos necesidad de un ejemplo de código ya que la implementación es mucho más simple.

En este caso, la mayoría de los proveedores de webhooks, ya sean nuevos o consolidados, ofrecen muestras de código a sus usuarios. La excepción son las empresas de inteligencia artificial, que tienden a no ofrecer firmas HMAC y prefieren encabezados secretos para la autenticación.

Tal vez los usuarios de IA no sean tan conscientes de la tecnología o la seguridad como los consumidores de tecnología financiera y herramientas de desarrollo y un método de autenticación más simple sea mejor para su caso de uso. También parece probable que los productos de IA tengan una base de usuarios principal de consumidores y sus API y webhooks sean una oferta secundaria para un pequeño porcentaje de sus usuarios, por lo que se ha invertido menos esfuerzo en hacer que sus servicios de webhooks sean más seguros y robustos.

Resumen y conclusiones principales

Nos complace informar que después de actualizar nuestra investigación, vimos un aumento generalizado en la adopción, así como en la implementación de las mejores prácticas.

Observamos que la cantidad de nuevos adoptantes fue consistente en todas las mejores prácticas, lo que demostró que la mayor parte del aumento en la adopción provino de nuevas implementaciones que siguieron la mayoría de las mejores prácticas, en lugar de implementaciones existentes que actualizaron sus servicios de webhook.

Este año, analizamos 150 empresas adicionales de tres listas diferentes de las principales empresas emergentes en Fintech, Devtools e IA para ver si podíamos encontrar tendencias entre industrias, así como diferencias entre las empresas emergentes y los proveedores de API establecidos.

En general, hemos observado que los proveedores de API consolidados adoptan webhooks a un ritmo mayor y también implementan más prácticas recomendadas. Esto es muy lógico, ya que los proveedores consolidados tienen más recursos para invertir en ofrecer una mejor solución y es más probable que las empresas emergentes lancen versiones MVP (producto mínimo viable) de sus servicios de webhook.