OWASP API Security Top 10: Riesgos críticos

Las APIs son el corazón de las aplicaciones modernas. Microservicios, aplicaciones móviles, integraciones SaaS: todo pasa por endpoints REST o GraphQL. Esta superficie de ataque ampliada llevó a OWASP a publicar una lista específica de riesgos para APIs, distinta del OWASP Top 10 clásico para aplicaciones web.

Los 10 riesgos OWASP API Security

1. Broken Object Level Authorization (BOLA)

El riesgo más frecuente. La API expone objetos identificados por un ID sin verificar que el usuario tiene derecho a acceder a ese objeto concreto.

Ejemplo: GET /api/users/1234/invoices devuelve las facturas de otro usuario si cambias el ID.

Remediación: Verificar sistemáticamente que el objeto solicitado pertenece al usuario autenticado. No exponer IDs secuenciales — preferir UUIDs.

2. Broken Authentication

Mecanismos de autenticación mal implementados: tokens JWT sin expiración, secretos débiles, ausencia de rate limiting en endpoints de login.

Remediación: Tokens JWT con expiración corta (15-60 min), refresh tokens almacenados como httpOnly, rate limiting en /auth/*, MFA para cuentas sensibles.

3. Broken Object Property Level Authorization

La API expone propiedades que el usuario no debería ver (mass assignment) o permite modificar campos protegidos.

Ejemplo: PATCH /api/users/me acepta {"role": "admin"} sin validación.

Remediación: Whitelist explícita de propiedades aceptadas. DTOs estrictos con validación Zod o similar.

4. Unrestricted Resource Consumption

Ausencia de límites en el tamaño de peticiones, número de registros devueltos u operaciones costosas. Conduce a DoS o costes cloud desbordados.

Remediación: Paginación obligatoria, límites en el tamaño de payloads, rate limiting por usuario e IP, timeout en peticiones.

5. Broken Function Level Authorization

Endpoints administrativos accesibles para usuarios normales. La seguridad por oscuridad (ocultar rutas admin) no es suficiente.

Remediación: Control de acceso basado en roles (RBAC) en cada endpoint. Probar rutas admin con un token de usuario estándar.

6. Unrestricted Access to Sensitive Business Flows

Flujos de negocio críticos (compra, votación, registro) expuestos sin protección contra automatización abusiva.

Remediación: CAPTCHA en flujos sensibles, detección de anomalías comportamentales, rate limiting de negocio (ej: 3 compras/minuto máx).

7. Server Side Request Forgery (SSRF)

La API acepta URLs proporcionadas por el usuario y realiza peticiones a esos destinos. Un atacante puede hacer que tu servidor acceda a recursos internos.

Ejemplo: POST /api/import {"url": "http://169.254.169.254/metadata"} accede a los metadatos de la instancia cloud.

Remediación: Validar y sanitizar todas las URLs proporcionadas por el usuario. Whitelist de dominios permitidos. Bloquear acceso a IPs privadas y metadata endpoints.

8. Security Misconfiguration

Configuraciones por defecto inseguras, headers faltantes, CORS mal configurado, mensajes de error que revelan información interna.

Remediación: Hardening de la configuración del servidor y framework. Headers de seguridad. CORS restrictivo. Mensajes de error genéricos en producción.

9. Improper Inventory Management

APIs no documentadas, versiones antiguas expuestas, endpoints de staging accesibles en producción.

Remediación: Inventario actualizado de todas las APIs y versiones. Desactivar endpoints obsoletos. Separar entornos staging y producción.

10. Unsafe Consumption of APIs

Tu API consume datos de APIs de terceros sin validar las respuestas. Un tercero comprometido puede inyectar datos maliciosos.

Remediación: Validar todas las respuestas de APIs externas con el mismo rigor que los inputs de usuario. No confiar implícitamente en proveedores.

Impacto en el mercado español

El INCIBE reporta un aumento constante de ataques dirigidos a APIs en España, especialmente en:

• Fintech: APIs de pago y scoring son objetivos prioritarios
• E-commerce: APIs de inventario, precios y checkout
• Sanidad digital: APIs que manejan datos de pacientes (alto valor)
• Administración electrónica: APIs de tramitación que manejan datos sensibles

Herramientas de testing

Testing manual

• Burp Suite: proxy de interceptación para análisis de APIs
• Postman: testing funcional y de seguridad de APIs
• OWASP ZAP: proxy de seguridad open source

Testing automatizado

• WarDek: escaneo automático OWASP con puntuación por categoría
• Nuclei: motor de escaneo basado en plantillas
• API fuzzing: generación automática de inputs malformados

Checklist rápida de seguridad API

• [ ] Autenticación robusta con expiración de tokens
• [ ] Autorización verificada en cada endpoint
• [ ] Rate limiting implementado
• [ ] Validación estricta de inputs
• [ ] HTTPS obligatorio
• [ ] Headers de seguridad configurados
• [ ] CORS restrictivo
• [ ] Logging de accesos y errores
• [ ] Versionado y depreciación de endpoints obsoletos
• [ ] Documentación actualizada (OpenAPI/Swagger)

Buenas prácticas de seguridad API

Más allá de los 10 riesgos OWASP, estas prácticas fortalecen la seguridad global de tus APIs:

• Principio de mínimo privilegio: cada token o API key debe tener los permisos estrictamente necesarios, nunca acceso completo
• Rotación de secretos: rota API keys y tokens de servicio periódicamente, con un máximo de 90 días para credenciales críticas
• Observabilidad: centraliza logs de acceso API con contexto suficiente (endpoint, método, usuario, IP, código de respuesta) para detectar patrones anómalos
• Desactivación de endpoints debug: rutas como /debug, /status o /metrics deben estar protegidas o eliminadas en producción

Cómo WarDek protege tus APIs

WarDek escanea tu superficie web y detecta automáticamente problemas de seguridad API:

• Headers y CORS: verificación de configuración segura
• TLS: validación de cifrado y certificados
• Information disclosure: detección de información sensible expuesta
• Puntuación OWASP: score por categoría con recomendaciones priorizadas

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.