Pentesting de API: OWASP API Security Top 10 (2023), Demostrado

Las APIs son donde realmente viven las aplicaciones modernas — y donde realmente ocurren las brechas modernas. Una aplicación de página única o un cliente móvil no es más que una fina carcasa sobre los endpoints REST y GraphQL que contienen toda la lógica y todos los datos. El pentesting de API evalúa esos endpoints directamente frente al OWASP API Security Top 10 (2023), con broken object-level authorization (BOLA) y autenticación rota como los riesgos dominantes. Matproof Sentinel prueba sus APIs como lo hace un atacante, confirma cada hallazgo con un proof-of-exploit y devuelve un informe listo para auditoría mapeado a ISO 27001, SOC 2, NIS2 y DORA. Escaneo gratuito de 3 minutos, informe completo desde 149 €.

Escanear API gratis
MW
Escrito por Malte Wagenbach
Fundador de Matproof Security. Especializado en pruebas de penetración impulsadas por IA y cumplimiento UE (DORA, NIS2, ENS, ISO 27001).
Última revisión: 17 de mayo de 2026

Por qué la seguridad de las API es una disciplina propia — y por qué los escáneres la pasan por alto

Probar el front-end de una aplicación ya no es lo mismo que probar la aplicación. El navegador o la app móvil son una capa de conveniencia; la verdadera superficie de ataque es la API que hay detrás, y las APIs fallan de formas específicas de las APIs. El OWASP API Security Top 10 existe precisamente porque el Top 10 de aplicaciones web no captura cómo se rompen las APIs. El riesgo número uno de las API —Broken Object Level Authorization (BOLA, API1:2023)— es un fallo de autorización que permite a un usuario leer o modificar los objetos de otro usuario cambiando un identificador, y es la causa más común de brechas de datos de API a gran escala. Los escáneres automatizados son casi inútiles contra él, porque cada petición maliciosa parece una respuesta 200 autenticada y perfectamente válida; solo una prueba que entienda qué usuario debería poder acceder a qué objeto puede encontrarlo. Añada los problemas de introspección y de profundidad de consulta de GraphQL, la broken function-level authorization, el mass-assignment y el consumo de recursos sin restricciones, y las pruebas de API se convierten en una disciplina propia. Con los compradores empresariales y los auditores de ISO 27001/SOC 2 preguntando cada vez más específicamente por la seguridad de las API, un pentest de API ya no es opcional para ningún producto que exponga endpoints.

  • Broken Object Level Authorization (API1:2023, BOLA/IDOR) es la causa dominante de brechas de API — y es invisible para los escáneres porque las peticiones de explotación son llamadas válidas y autenticadas; solo las pruebas conscientes de la autorización lo encuentran.
  • Autenticación rota (API2:2023): validación débil de JWT (CWE-347), ausencia de expiración de tokens, accesibilidad a credential stuffing y abuso de refresh-token son habituales en APIs que solo se «aseguraron» en la pasarela.
  • Broken object property level authorization (API3:2023): exposición excesiva de datos (la API devuelve más campos de los que muestra el cliente) y mass-assignment (la API acepta campos que el cliente no debería poder fijar, p. ej. isAdmin=true).
  • Riesgos específicos de GraphQL: introspección dejada activa en producción, consultas anidadas sin límite que permiten denegación de servicio, y comprobaciones de autorización ausentes en resolvers individuales.
  • Unrestricted resource consumption (API4:2023): ausencia de límites de tasa y de paginación que permiten scraping, fuerza bruta y ataques de amplificación de coste.
  • Los auditores y los compradores empresariales piden ahora específicamente evidencia de seguridad de API — probar solo el front-end renderizado deja la capa de datos real sin probar y la pregunta sin responder.

Qué prueba Matproof en un pentesting de API

  • Broken Object Level Authorization (API1:2023, BOLA): ¿puede el usuario A leer/modificar los objetos del usuario B manipulando identificadores? — probado en cada endpoint que referencia objetos
  • Broken Authentication (API2:2023): validación de firma y algoritmo de JWT (CWE-347), expiración y revocación de tokens, abuso de refresh-token, exposición a credential stuffing
  • Broken Object Property Level Authorization (API3:2023): exposición excesiva de datos en las respuestas, mass-assignment de propiedades restringidas (CWE-915)
  • Broken Function Level Authorization (API5:2023): ¿puede un usuario estándar llamar a endpoints exclusivos de administrador adivinando o alterando rutas/métodos?
  • Unrestricted Resource Consumption (API4:2023): aplicación de límites de tasa y paginación, límites de coste de consulta, resistencia a fuerza bruta
  • Server-Side Request Forgery (API7:2023, CWE-918) accesible vía parámetros de la API; inyección (SQL/NoSQL/comandos) en la capa de API
  • Específicos de GraphQL: exposición de introspección, límites de profundidad/complejidad de consulta, autorización por resolver, abuso de batching
  • Security misconfiguration (API8:2023): errores verbosos, CORS permisivo, cabeceras de seguridad ausentes en las respuestas de la API, endpoints de depuración sin protección
  • Improper inventory management (API9:2023): versiones de API no documentadas, obsoletas y en la sombra todavía accesibles en producción
  • Hallazgos clasificados por riesgo con CVSS 3.1 y mapeados a MITRE ATT&CK y a los controles de ISO 27001 / SOC 2 / NIS2 / DORA para evidencia lista para auditoría

Ejemplo de hallazgo

Crítico

Un BOLA en la API de pedidos permitía a cualquier usuario leer el pedido de cualquier cliente

Sentinel detectó que GET /api/v2/orders/{orderId} devolvía el pedido completo — nombre del cliente, dirección de envío, artículos y los cuatro últimos dígitos del método de pago— siempre que el llamante presentara cualquier token de acceso válido, sin comprobar si el propietario del token había realizado realmente ese pedido. Iterando los valores de orderId, una cuenta autenticada de bajo privilegio enumeró todo el historial de pedidos de cada cliente. Esto es OWASP API1:2023 Broken Object Level Authorization, la vulnerabilidad de API más común y más dañina, y produce únicamente respuestas 200 válidas — de modo que un escáner automatizado no reporta nada.

Corrección: Implementar la autorización a nivel de objeto en la capa de acceso a datos: todo handler de API que cargue un objeto por su ID debe verificar que el principal autenticado es propietario o está explícitamente autorizado a acceder a ese objeto, y devolver 404 (no 403) para referencias no autorizadas, evitando confirmar su existencia. Añadir pruebas de contrato automatizadas que aseveren que el acceso entre cuentas está denegado para cada endpoint que referencia objetos, y ejecutarlas en CI. Sentinel vuelve a probar la familia de endpoints tras la remediación y registra la verificación en el informe listo para auditoría.

Referencia: OWASP API1:2023 Broken Object Level Authorization · CWE-639 Authorization Bypass Through User-Controlled Key · ISO 27001:2022 A.8.3 Restricción del acceso a la información · MITRE ATT&CK T1530 Data from Cloud Storage

Pentest de API: escaneo gratuito vs Matproof Sentinel vs consultoría tradicional

Escaneo gratuitoMatproof SentinelConsultoría tradicional
Motor de escaneo automatizado✓ (vista previa 3 min)✓ Escaneo completo✗ Solo manual
Cobertura OWASP Top 10Parcial✓ Completa✓ Completa
Evidencia proof-of-exploit✓ Por hallazgo✓ Por hallazgo
Mapeo normativo (DORA/NIS2/ISO 27001)✓ Automatizado✓ Manual
Informe PDF listo para auditoría✓ Inmediato✓ Entrega 2–4 semanas
Escaneos continuos / recurrentes✓ Por despliegue✗ Encargo anual
Tiempo hasta el primer resultado~3 min~30 min escaneo completo2–4 semanas
Precio€0Desde €149€8.000–€25.000
Revisión de código fuente (SAST)✓ Plan Growth✓ En alcance
Pruebas de API (REST/GraphQL)✓ Automatizado✓ Manual

Precios del pentesting de API

Escaneo único
€149 pago único
  • 1 escaneo pentest completo
  • Hallazgos priorizados por IA con CVSS 3.1
  • Proof-of-exploit por hallazgo
  • Informe PDF listo para auditoría
  • Mapeo normativo (DORA, NIS2, ISO 27001)
Comprar escaneo único
Recomendado
Starter
€299 / mes
  • Escaneos ilimitados (hasta 3 dominios)
  • Monitorización continua
  • Integración CI/CD (GitHub, GitLab)
  • Todos los mapeos normativos
  • Soporte prioritario
Iniciar Starter
Growth
€799 / mes
  • Escaneos + dominios ilimitados
  • Pruebas autenticadas / White-Box
  • Pruebas de API e infraestructura cloud
  • Account manager de seguridad dedicado
  • SLA de respuesta en 24h
Contactar para Growth

Preguntas frecuentes sobre el pentesting de API

¿Qué es el pentesting de API?

El pentesting de API es la evaluación de los endpoints REST y GraphQL directamente —en lugar de solo el front-end web o móvil— frente a clases de ataque específicas de las API, principalmente el OWASP API Security Top 10 (2023). Como las APIs contienen la lógica y los datos reales, probarlas directamente detecta fallos de autorización y de lógica de negocio que las pruebas solo del front-end se pierden.

¿Por qué no basta con las pruebas de aplicación web para cubrir la API?

El front-end solo ejercita las rutas de la API que la interfaz usa, en el orden en que la interfaz las usa. Un atacante llama a la API directamente, en cualquier orden, con cualquier valor, incluidos endpoints y parámetros que la interfaz nunca toca. Los fallos de API más dañinos —BOLA, mass-assignment, broken function-level authorization— se alcanzan llamando a la API fuera del flujo previsto por la interfaz, que es exactamente lo que hacen las pruebas de API dedicadas.

¿Probáis GraphQL además de REST?

Sí. GraphQL tiene sus propios modos de fallo —exposición de introspección en producción, consultas anidadas sin límite que causan denegación de servicio, comprobaciones de autorización ausentes en resolvers individuales y abuso de batching— y Sentinel los prueba todos, además de las categorías estándar del OWASP API Top 10 que aplican tanto a REST como a GraphQL.

¿Cuánto cuesta el pentesting de API?

Los pentests de API independientes de consultoría suelen situarse en una banda similar a la de los proyectos de aplicación web —aproximadamente entre 4.000 £ y 12.000 £ según el número de endpoints y la complejidad— entregados en 2-4 semanas. Matproof Sentinel prueba sus APIs como parte de un informe listo para auditoría desde 149 € (escaneo único) o 299 €/mes continuo, con las pruebas de API incluidas en todos los planes.

¿Satisfará mi auditor el informe de pentest de API?

Sí. El informe mapea los hallazgos de API a ISO 27001:2022 A.8.3 (Restricción del acceso a la información), A.8.8 (Gestión de vulnerabilidades técnicas) y A.8.26 (Requisitos de seguridad de aplicaciones), a los criterios SOC 2 CC6/CC7, y a NIS2 Art. 21 y DORA Art. 24 — con proof-of-exploit y evidencia de re-test por hallazgo — de modo que sirve como evidencia de cumplimiento, no solo como documento técnico.

Temas relacionados

Profundiza — artículos relacionados del blog

Pruebe sus APIs frente al OWASP API Top 10

Ejecute ahora un escaneo gratuito de 3 minutos, o consiga un informe completo de pentest de API — BOLA, autenticación rota, GraphQL y más, proof-of-exploit por hallazgo, mapeado a sus controles de cumplimiento — desde 149 €.

Escanear API gratis