Saltar al contenido

Próxima edición 6 de julio de 2026

Fundamentos

OWASP API Security Top 10

Una clasificación consensuada de los diez riesgos de seguridad más críticos en APIs, publicada por el Open Web Application Security Project (OWASP), que sirve como estándar de la industria para comprender y priorizar las vulnerabilidades de APIs en aplicaciones web y móviles.

Autor
Unihackers Team
Tiempo de lectura
4 min de lectura
Última actualización

Por Qué Importa

El OWASP API Security Top 10 es el marco más ampliamente referenciado para la clasificación de vulnerabilidades de APIs. Los equipos de seguridad lo utilizan para estructurar las auditorías de pruebas de penetración de APIs. Los desarrolladores lo usan para validar sus diseños de API contra patrones de riesgo conocidos. Los marcos de cumplimiento lo referencian cada vez más como referencia para la postura de seguridad de APIs.

A diferencia del OWASP Top 10 tradicional para aplicaciones web, la lista específica de APIs se centra en los riesgos únicos que surgen cuando la lógica de negocio se expone a través de interfaces programáticas. Las APIs enfrentan amenazas distintas porque operan sin las restricciones de una interfaz de usuario, aceptan datos estructurados de cualquier cliente y frecuentemente exponen más funcionalidad de la prevista.

El OWASP API Security Top 10 de 2023

API1: Broken Object Level Authorization

La vulnerabilidad de API más común. Ocurre cuando una API no verifica que el usuario solicitante tiene permiso para acceder a un objeto (recurso) específico. Un atacante cambia un identificador en la solicitud, como un ID de usuario o número de pedido, y la API devuelve datos pertenecientes a otro usuario.

API2: Broken Authentication

Debilidades en los mecanismos de autenticación que permiten a los atacantes comprometer tokens, claves o contraseñas, o explotar fallos de implementación para asumir las identidades de otros usuarios. Cubre problemas como generación débil de tokens, falta de expiración de tokens, flujos de restablecimiento de contraseña inseguros y credential stuffing sin limitación de tasa.

API3: Broken Object Property Level Authorization

Combina dos problemas relacionados: exposición excesiva de datos (la API devuelve más campos de los que el frontend necesita) y asignación masiva (la API acepta campos que el usuario no debería poder modificar). Ambos surgen de no validar qué propiedades un usuario debería leer o escribir.

API4: Unrestricted Resource Consumption

APIs que no limitan adecuadamente los recursos que una solicitud individual o un usuario puede consumir. Cubre la falta o mala configuración de limitación de tasa, paginación sin límites, aceptación de payloads grandes y operaciones costosas sin throttling.

API5: Broken Function Level Authorization

Usuarios que acceden a funciones de API reservadas para otros roles. Un usuario regular llamando a endpoints de administración, por ejemplo. Se diferencia de BOLA en que se refiere a qué acciones puede realizar un usuario en lugar de a qué objetos puede acceder.

API6: Unrestricted Access to Sensitive Business Flows

Nuevo en 2023. APIs que exponen flujos de negocio sensibles (compras, reservas, comentarios) sin controles para prevenir el abuso automatizado. Cubre escenarios como bots de reventa de entradas, creación automatizada de cuentas y canje masivo de cupones.

API7: Server-Side Request Forgery (SSRF)

Nuevo en 2023. APIs que obtienen recursos remotos basándose en URLs proporcionadas por el usuario sin validar o restringir el destino. Permite a los atacantes forzar al servidor a realizar solicitudes a servicios internos, endpoints de metadatos en la nube u otros objetivos no previstos.

API8: Security Misconfiguration

Falta de hardening de seguridad, políticas CORS permisivas, mensajes de error verbosos, métodos HTTP innecesarios habilitados, falta de TLS y endpoints de depuración expuestos. Cubre la capa de infraestructura y configuración que rodea a las APIs.

API9: Improper Inventory Management

Organizaciones que pierden el control de qué versiones de API están desplegadas, qué endpoints están expuestos y qué documentación es accesible. Versiones antiguas de API ejecutándose sin parches, APIs en la sombra y documentación Swagger/OpenAPI expuesta entran en esta categoría.

API10: Unsafe Consumption of Third-Party APIs

APIs que confían en los datos recibidos de servicios de terceros sin la validación adecuada. Cuando una aplicación integra APIs externas y procesa sus respuestas sin sanitización ni verificación, hereda la postura de seguridad de esos servicios externos.

Cómo Usar el OWASP API Top 10

Para principiantes, concéntrate primero en API1 a API5. Estas cinco categorías cubren la mayoría de los hallazgos reales de seguridad de APIs y enseñan la mentalidad fundamental de pruebas: verificar autenticación, verificar autorización, inspeccionar la exposición de datos y probar los límites de recursos.

Usa la lista como checklist durante las evaluaciones de seguridad de APIs. Para cada endpoint, pregunta: ¿Está controlado el acceso a nivel de objeto? ¿Está la autenticación correctamente aplicada? ¿Contiene la respuesta datos excesivos? ¿Pueden manipularse los campos de la solicitud? ¿Están las funciones restringidas por rol?

En el Bootcamp

Cómo enseñamos OWASP API Security Top 10

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre OWASP API Security Top 10 en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 1: Fundamentos de Ciberseguridad

Temas relacionados que dominarás:Tríada CIAVectores de AmenazasMarco NISTISO 27001
Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido