"Herramientas de testing de seguridad de APIs" cubre tres trabajos distintos que se suelen mezclar: escanear tu código, escanear tu API en ejecución y vigilarla en producción. Ninguna herramienta hace las tres bien — la respuesta correcta suele ser un stack chico, no un solo producto.
Las tres capas (por qué necesitás más de una)
- SAST / estático — analiza el código fuente. Detecta temprano, pero no sabe cómo se comporta la app desplegada.
- DAST / dinámico — prueba la API en ejecución desde afuera, como un atacante. Detecta misconfiguraciones reales.
- Monitoreo en runtime — vigila la API en vivo por ataques en curso (oleadas de errores de auth). Detecta lo que el testing no ve: el ataque de las 3am.
Comparación
| Herramienta | Tipo | Qué detecta | Precio |
|---|---|---|---|
| OWASP ZAP | DAST | Vulns web/API en ejecución | Gratis (open source) |
| Burp Suite | Proxy + DAST | Pentesting manual profundo | Gratis / Pro pago |
| 42Crunch | Auditoría de spec | Problemas de seguridad en OpenAPI | Free tier / pago |
| StackHawk | DAST en CI | Escaneos dinámicos en el pipeline | Free tier / pago |
| Snyk | SAST + SCA | Dependencias vulnerables | Free tier / pago |
| Nurbak | Scan + runtime | Secretos expuestos, sin auth, headers; anomalías en prod | Scan gratis |
Testing no es monitoreo
Todas las de arriba corren antes del deploy. Ninguna vigila cuando un atacante empieza a golpear /api/login el martes. Eso lo cubre el monitoreo en runtime.
Nurbak cubre ambas puntas: escanea tu API desplegada (secretos, auth, misconfiguraciones) y Nurbak Watch monitorea las tasas de error por endpoint — un spike de 401/403/400 te avisa en segundos.
Stack recomendado
- Gratis: OWASP ZAP + gitleaks + Snyk free.
- Equipo: StackHawk o 42Crunch en CI + Nurbak para escanear la app desplegada y monitoreo en runtime.