Broken Object-Level Authorization (BOLA / IDOR) · CWE-639 · CVSS 9.1 - object returned for a user you are not authorized as.
¿Qué es Pentest de API?
Las pruebas de penetración de API son una evaluación de seguridad manual en la que testers certificados atacan tus APIs REST, GraphQL y SOAP como lo haría un adversario real: abusando de la autorización a nivel de objeto y de función, la autenticación rota, la exposición excesiva de datos y la asignación masiva. CyberXplore mapea cada endpoint, parámetro y rol, y luego ejecuta pruebas manuales dirigidas por seniors contra el OWASP API Security Top 10 para revelar las fallas de autorización y de lógica de negocio que los escáneres simplemente no pueden alcanzar. Recibes orientación de remediación priorizada y lista para los desarrolladores, además de retesteo gratuito para confirmar cada corrección.
OWASP API Security Top 10OWASP WSTGPTESNIST SP 800-115
Por qué CyberXplore
Solo evaluadores sénior (OSCP, CRTP, CREST)
Certificación ISO 27001 & ISO 9001
Retest gratuito + carta de certificación
Alcance y presupuesto a medida en 24 horas
Por qué es importante
Las APIs son ahora la superficie de ataque dominante: exponen datos y lógica directamente, y las fallas de autorización como BOLA/IDOR permiten a los atacantes leer o modificar los registros de otros usuarios con un solo ID cambiado.
La exposición excesiva de datos, la asignación masiva y las respuestas verbosas filtran campos sensibles que tu interfaz nunca muestra, convirtiendo un endpoint rutinario en una brecha de datos completa.
Los escáneres automatizados no pueden comprender tus modelos de objetos, roles de usuario o flujos de negocio; solo las pruebas manuales encuentran de forma fiable la autorización rota a nivel de objeto y de función.
Los socios, clientes y marcos como SOC 2, ISO 27001 y PCI DSS exigen cada vez más evidencia independiente de pruebas de seguridad de API antes de integrarse.
Alineado con los estándares del sector: OWASP API Security Top 10 · OWASP WSTG · PTES · NIST SP 800-115
Nuestra metodología
01
Alcance y Descubrimiento de API
Recopilamos tus especificaciones OpenAPI/Swagger, esquemas GraphQL, WSDLs y colecciones de Postman, definimos roles de usuario y reglas de participación, y enumeramos cada endpoint, método y parámetro, incluidas las APIs ocultas, obsoletas y en la sombra.
02
Pruebas de Autenticación y Autorización
Atacamos la emisión de tokens, los flujos de JWT/OAuth, las claves de API y el manejo de sesiones, y luego probamos metódicamente la autorización BOLA (a nivel de objeto) y BFLA (a nivel de función) en cada rol para exponer la escalada de privilegios y el acceso entre inquilinos.
03
Explotación Manual
Combinamos herramientas ajustadas con pruebas manuales profundas de inyección, asignación masiva, exposición excesiva de datos, SSRF, abuso de limitación de tasa y consumo de recursos, y problemas específicos de GraphQL como introspección, batching y DoS por consultas anidadas.
04
Lógica de Negocio y Encadenamiento
Abusamos de flujos de trabajo de varios pasos y encadenamos hallazgos individuales para demostrar un impacto de negocio real y concreto (toma de control de cuentas, exfiltración de datos o manipulación financiera), no un riesgo teórico.
05
Informe
Recibes un informe claro con severidad CVSS, endpoints afectados, evidencia de solicitud/respuesta sin procesar, pasos de reproducción y orientación de remediación lista para los desarrolladores, mapeada al OWASP API Security Top 10.
06
Soporte de Remediación y Retesteo
Acompañamos a tus ingenieros durante las correcciones y volvemos a probar cada problema para confirmar que quedó resuelto, incluido de forma gratuita, con una carta de verificación de la remediación y de atestación.
Qué evaluamos
Endpoints de API REST, GraphQL y SOAP/XML
Broken Object Level Authorization (BOLA/IDOR) y acceso entre inquilinos
Broken Function Level Authorization (BFLA) y escalada de privilegios
Autenticación rota, JWT/OAuth, claves de API y manejo de sesiones
Exposición excesiva de datos y fuga de campos sensibles
Asignación masiva y autorización a nivel de propiedad de objeto
Inyección (SQL, NoSQL, comandos) y SSRF a través de parámetros de API
Limitación de tasa, throttling y consumo de recursos sin restricciones
Introspección de GraphQL, batching de consultas y DoS por consultas anidadas
Configuración de seguridad incorrecta, CORS, errores verbosos y gestión de inventario inadecuada
Qué obtiene
Resumen ejecutivo para la dirección y las partes interesadas
Hallazgos técnicos detallados con severidad CVSS y mapeo de endpoints
Evidencia de solicitud/respuesta sin procesar y reproducción paso a paso
Hallazgos mapeados al OWASP API Security Top 10
Orientación de remediación priorizada y lista para los desarrolladores
Retesteo gratuito con carta de verificación de la remediación
Carta de atestación para clientes, auditores y cumplimiento
Ejemplo de entregable
Qué verá en su informe
Cada proyecto concluye con un informe claro y priorizado: hallazgos clasificados por severidad con puntuaciones CVSS, activos afectados y estado de remediación - además de un retest gratuito. Las cifras siguientes son ilustrativas.
Hallazgos por severidad
24 total
Critical
1
High
6
Medium
10
Low
7
Critical · CVSS 9.1CX-204
Broken object-level authorization (BOLA / IDOR)
CWE-639api.example.comOpen
High · CVSS 8.2CX-211
Broken function-level authorization on admin route
CWE-285api.example.comRetested
Ejemplo ilustrativo: api penetration test - anonimizado a example.com.
High · CVSS 7.6CX-217
Mass assignment allows role escalation
CWE-915api.example.comOpen
¿Quiere el informe de muestra anonimizado completo? Lo incluiremos con su presupuesto.
Cifras acumuladas del historial conjunto de proyectos de nuestro equipo
Compartido bajo NDA · detalles anonimizados
“CyberXplore found critical issues three previous vendors missed. The report was the clearest we've ever received - our engineers fixed everything in a week, and the free retest confirmed every fix held.”
23 critical findings surfaced
HS
Head of Security
European SaaS platform · Series C · 450 employees
B2B SaaS
Compartido bajo NDA · detalles anonimizados
“Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.”
SOC 2 passed first attempt
VE
VP of Engineering
Series B FinTech · Payments platform
FinTech
Certificaciones de nuestros testers
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Preguntas frecuentes
Probamos APIs REST/JSON, GraphQL, SOAP/XML, gRPC y basadas en webhooks. Trabajamos a partir de tus especificaciones OpenAPI/Swagger, esquema GraphQL, WSDL o colección de Postman, y también buscamos endpoints no documentados, obsoletos y en la sombra.