Las APIs manejan tokens de autenticacion, datos de pago e informacion personal. Son la superficie mas expuesta de tu aplicacion.
OWASP API Security Top 10
| # | Vulnerabilidad | Que significa |
|---|---|---|
| 1 | BOLA | Usuario A accede a datos de Usuario B cambiando el ID |
| 2 | Auth rota | Mecanismos de auth debiles, tokens sin validar |
| 3 | Mass assignment | Usuario puede modificar campos que no deberia |
| 4 | Sin rate limiting | Permite DoS y brute force |
| 5 | Auth de funciones rota | Usuario normal accede a endpoints admin |
Herramientas
OWASP ZAP (gratis), Burp Suite ($449/ano), Postman, 42Crunch, StackHawk.
Testing vs Monitoreo de seguridad
Nurbak Watch detecta spikes de errores 401/403 en tiempo real — posibles ataques de brute force. Alertas WhatsApp en 10 segundos. Gratis en beta.