Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Seguridad de las API

Fecha de actualizacion 20/11/2025
Autor
INCIBE (INCIBE)
Seguridad de las API

En sus inicios, las APIs eran utilizadas principalmente para la integración de software local, facilitando la comunicación entre programas dentro de un mismo sistema operativo. Con la llegada de la web y el modelo cliente-servidor, surgieron las APIs web, que permitieron la interacción entre aplicaciones remotas a través de protocolos como SOAP y REST. Esta evolución transformó la forma en que se diseñaban las arquitecturas de software, permitiendo que distintas plataformas se conectaran y compartieran información sin necesidad de estar alojadas en el mismo entorno.

El gran impulso de las APIs llegó con la expansión de los servicios en la nube y la popularización de los dispositivos móviles. Empresas como Google, Amazon, Facebook y Microsoft comenzaron a ofrecer APIs públicas que permitían a los desarrolladores integrar funcionalidades como autenticación, mapas, pagos y almacenamiento sin necesidad de desarrollar esas capacidades desde cero. Este modelo permitió la escalabilidad y la interoperabilidad entre servicios, reduciendo costos y tiempos de desarrollo.

Sin embargo, este crecimiento también ha traído consigo nuevos desafíos de seguridad. La exposición de datos sensibles, las malas configuraciones y la falta de controles de acceso han convertido a las APIs en un objetivo prioritario para atacantes.

Principales riesgos en seguridad de API

Las APIs desempeñan un papel crucial como puente entre aplicaciones, pero su exposición pública las convierte en un objetivo frecuente para atacantes. A continuación, exploramos los principales riesgos de seguridad en APIs basados en el OWASP API SecurityTop 10:

  1. Autorización a nivel de objeto rota (BOLA - Broken Object Level Authorization): Muchas APIs permiten a los usuarios recuperar datos basados en un identificador (ID) sin verificar si tienen permiso para acceder a ellos, lo que facilita el acceso no autorizado a información sensible. Por ejemplo, si un usuario autenticado accede a su perfil mediante la API /usuarios/12345 y cambia el número en la URL a /usuarios/54321, puede obtener datos privados de otro usuario, como su dirección o información financiera.
  2. Autenticación rota: Implementaciones débiles de autenticación pueden permitir que atacantes se hagan pasar por otros usuarios o accedan a datos sin restricciones. Un caso típico ocurre cuando una API permite tokens de sesión sin caducidad, lo que significa que si un atacante obtiene uno (por phishing o malware), podrá usarlo indefinidamente para acceder a la cuenta del usuario afectado sin ser detectado, incluso después de un cambio de contraseña.
  3. Autorización a nivel de propiedad de objeto rota: Ocurre cuando una API permite a un usuario acceder o modificar propiedades de un objeto sin validar correctamente los permisos. Un ejemplo es un panel de usuario que permite actualizar datos personales mediante una solicitud como { "rol": "admin" }. Si la API no valida que solo los administradores pueden modificar ese campo, un atacante podría elevar sus privilegios y obtener acceso a funciones restringidas.
  4. Consumo de recursos sin restricciones: Las APIs requieren recursos como ancho de banda, CPU y memoria, y sin límites adecuados, pueden ser explotadas para causar Denegación de Servicio (DoS) o aumentar costos operativos. Un atacante podría aprovechar una API que permita cargas y descargas ilimitadas de ficheros, saturando el servidor con peticiones masivas hasta colapsarlo.
  5. Autorización a nivel de función rota: Las diferencias entre usuarios regulares y administradores deben estar bien definidas, pero algunas APIs no aplican controles adecuados. En una API de gestión de pedidos, si un usuario normal puede llamar al endpoint /admin/cancelarPedido?id=123 y cancelar compras ajenas, significa que hay un fallo en la autorización de funciones administrativas.
  6. Acceso sin restricciones a flujos de negocio sensibles: Las APIs pueden exponer funciones críticas sin prever su posible abuso automatizado. Por ejemplo, si una API permite comprar boletos para un concierto sin límite de solicitudes por usuario, un atacante podría utilizar un bot para comprar todas las entradas en segundos, dejándolas fuera del alcance del público general.
  7. Server-Side Request Forgery (SSRF): Si una API permite a los usuarios proporcionar una URL externa para extraer datos, pero no valida el destino, un atacante podría utilizarla para enviar solicitudes maliciosas a servidores internos. Por ejemplo, en una aplicación de vista previa de imágenes que carga contenido desde una URL, un atacante podría ingresar http://localhost/admin y acceder a paneles internos del servidor.
  8. Configuración de seguridad incorrecta: Muchas APIs vienen con configuraciones por defecto que exponen información sensible o permiten accesos inseguros. Un caso común es cuando una API en producción sigue mostrando mensajes de error detallados, revelando estructuras de bases de datos o rutas internas que los atacantes pueden aprovechar para explotar vulnerabilidades.
  9. Gestión inadecuada del inventario: Las APIs deben mantener un inventario actualizado de versiones y endpoints para evitar exponer funciones obsoletas o vulnerables. Si una empresa mantiene en uso una API antigua accesible en /v1/login sin actualizarla ni protegerla, los atacantes podrían aprovechar sus fallos de seguridad para eludir protecciones implementadas en versiones más recientes (/v3/login).
  10. Consumo inseguro de APIs: Los desarrolladores suelen confiar en datos de APIs de terceros sin validación adecuada, lo que permite ataques indirectos. Por ejemplo, si un sistema de pago recibe confirmaciones de una API externa sin verificar su autenticidad, un atacante podría interceptar la respuesta y aprobar pagos falsos, obteniendo productos sin haber pagado realmente.

Los riesgos identificados abarcan tanto el desarrollo de APIs como su configuración en entornos cloud, ya que las vulnerabilidades pueden originarse tanto en el código de la aplicación como en la infraestructura que las soporta.

 

Autenticación y autorización seguras en APIs

La seguridad en la autenticación y autorización de APIs es fundamental, ya que cualquier vulnerabilidad puede comprometer la integridad del sistema y exponer datos sensibles. 

  • OAuth 2.0 es un protocolo ampliamente utilizado que permite autenticar usuarios sin exponer credenciales, mediante tokens de acceso que otorgan permisos específicos, lo que reduce el riesgo de robo de credenciales y facilita la integración con servicios como AWS Cognito, Azure AD y Google Identity Platform para gestionar autenticaciones de manera centralizada. 

  • JSON WebTokens (JWT) por su parte, permiten almacenar información sobre autenticación y roles dentro de la API sin depender de consultas constantes a bases de datos, lo que mejora la eficiencia y seguridad de los accesos, especialmente en arquitecturas serverless donde se utilizan servicios como AWS Lambda, Azure Functions, o Google Cloud Functions. 

  • El uso de API Keys sigue siendo común, aunque requieren una gestión rigurosa para evitar exposiciones indebidas, mediante prácticas como el cifrado, la restricción de acceso por IP o dominio y la rotación periódica, lo que puede implementarse en AWS API Gateway, Azure API Management o Google Cloud Endpoints, donde se pueden definir políticas de uso y control de accesos. 

Para mitigar riesgos, es esencial establecer expiración de tokens para limitar su tiempo de uso y evitar accesos prolongados en caso de compromiso, algo que se puede gestionar en IAM en cualquier entorno cloud. Asimismo, las credenciales nunca deben almacenarse en código fuente, sino en servicios seguros de almacenamiento de secretos, lo que minimiza el riesgo de filtraciones accidentales. Finalmente, todas las comunicaciones deben cifrarse mediante HTTPS para proteger los datos en tránsito, evitando ataques de interceptación o manipulación de tráfico. 

Controles de acceso y gestión de datos

El control de acceso es un componente esencial en la seguridad de las APIs, asegurando que los usuarios solo puedan interactuar con los recursos y datos que tienen permiso para utilizar, tanto en su implementación en el desarrollo como en su configuración dentro de entornos cloud.

  • Uno de los enfoques más utilizados es el control de acceso basado en roles (RBAC), donde los permisos se asignan según roles predefinidos. Por ejemplo, un usuario con el rol de "administrador" podrá acceder a configuraciones avanzadas, mientras que un usuario con el rol de "cliente" solo podrá consultar su propia información. En entornos cloud, esto se gestiona a través de AWS IAM Roles, Azure RBAC y Google Cloud IAM Policies, que permiten definir accesos específicos a servicios dentro de la infraestructura.

  • Por otro lado, el control de acceso basado en atributos (ABAC) permite una gestión más flexible al definir permisos según atributos dinámicos como ubicación, hora del día o tipo de dispositivo. Esto permite restringir el acceso a datos o servicios en función del contexto del usuario. En la nube, AWS IAM Policy Conditions, Azure ABAC y Google IAM Conditions permiten implementar estas restricciones a nivel granular, asegurando que incluso dentro de un mismo rol, los permisos sean ajustables a diferentes circunstancias.

Además del control de acceso, la gestión de datos es clave para evitar la exposición innecesaria de información en las APIs. Limitar los datos que una API devuelve es fundamental para reducir el riesgo de filtraciones, y esto se puede lograr mediante field filtering (selección de campos), donde los clientes solo reciben la información estrictamente necesaria. En entornos cloud, esta práctica se puede reforzar con AWS API Gateway Data Transformation, Azure API Management Policies y Google Cloud API Gateway, permitiendo que las respuestas sean filtradas y procesadas antes de ser entregadas al usuario.

 

Conclusión

La seguridad en las APIs es esencial para salvaguardar tanto los datos como los sistemas en el entorno digital actual. Dado que las APIs permiten la comunicación entre aplicaciones y el intercambio de información sensible, garantizar su protección es clave para evitar brechas de seguridad. Para ello, es crucial implementar medidas de autenticación sólidas que verifiquen de manera efectiva la identidad de los usuarios y las aplicaciones. Además, los controles de acceso deben ser lo suficientemente rigurosos como para garantizar que solo los usuarios autorizados puedan interactuar con los recursos específicos, limitando las acciones según el rol de cada uno.

El cifrado adecuado de los datos en tránsito y reposo también juega un papel fundamental en la protección de la información sensible frente a posibles interceptaciones. Para complementar estas medidas, las auditorías regulares permiten detectar vulnerabilidades o actividades sospechosas, asegurando que las APIs se mantengan seguras a lo largo del tiempo. Asimismo, es vital actualizar constantemente las mejores prácticas y las herramientas utilizadas para estar al tanto de las amenazas emergentes.

El compromiso con la seguridad de las APIs no solo protege a las organizaciones contra ciberataques, sino que también refuerza la confianza del usuario, un aspecto clave. Implementar una cultura de seguridad proactiva, respaldada por formación continua, es fundamental para afrontar los desafíos que surgen en un panorama digital en constante cambio.

Etiquetas