Seguridad de API
¿Qué es Seguridad de API?
Seguridad de APIDisciplina de diseñar, construir y operar APIs de forma que autenticación, autorización, exposición de datos y resistencia al abuso se mantengan bajo ataque.
La seguridad de API abarca superficies REST, GraphQL, gRPC y webhooks que a menudo exponen la lógica de negocio directamente. Aborda los riesgos del OWASP API Security Top 10, como autorización rota a nivel de objeto, autenticación rota, exposición excesiva de datos, consumo de recursos sin límite y SSRF. Los programas eficaces combinan identidad robusta (OAuth 2.0/OIDC, JWT firmados, mTLS, tokens con scopes), autorización estricta en cada referencia a objeto, validación de petición y respuesta basada en esquema, limitación de tasa y cuotas, registro estructurado y pruebas continuas con SAST, DAST y fuzzing específico de API. El descubrimiento e inventario de APIs sombra y zombi es fundamental: no se puede defender lo que no se conoce.
● Ejemplos
- 01
Verificar que el usuario autenticado es dueño de «orderId» antes de devolver el pedido, para prevenir BOLA/IDOR.
- 02
Aplicar límites de tasa por token y topes de tamaño de petición frente a un endpoint GraphQL.
● Preguntas frecuentes
¿Qué es Seguridad de API?
Disciplina de diseñar, construir y operar APIs de forma que autenticación, autorización, exposición de datos y resistencia al abuso se mantengan bajo ataque. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Seguridad de API?
Disciplina de diseñar, construir y operar APIs de forma que autenticación, autorización, exposición de datos y resistencia al abuso se mantengan bajo ataque.
¿Cómo defenderse de Seguridad de API?
Las defensas contra Seguridad de API combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Seguridad de API?
Nombres alternativos comunes: Seguridad de APIs.