Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

API1:2023 – Broken Object Level Authorization

owasp

Broken Object Level Authorization (BOLA) es un riesgo que aparece cuando una API no valida correctamente si el usuario que realiza una solicitud tiene permiso para acceder a un objeto específico. Aunque el usuario esté autenticado, la API falla al comprobar si ese recurso concreto (orden, perfil, factura, ticket, registro, etc.) le pertenece o está dentro de su ámbito autorizado.
Es uno de los problemas más comunes y críticos en APIs modernas porque afecta directamente al acceso a datos y operaciones sensibles.

Origen del problema

Este riesgo ocurre con frecuencia en aplicaciones reales por una combinación de factores habituales:

  • Diseño basado en identificadores: muchas APIs aceptan un ID y devuelven información sin validar la relación entre el usuario y el objeto.
  • Autorización incompleta o inconsistente: algunos endpoints aplican controles y otros no, especialmente en entornos con microservicios.
  • Confianza excesiva en el front-end: se asume que la interfaz limita el acceso, olvidando que la API es accesible de forma directa.
  • Modelos de negocio complejos: multicliente, roles jerárquicos, equipos o sucursales aumentan la probabilidad de errores de autorización.
  • Falta de una política clara por objeto: se valida “quién eres”, pero no “qué puedes tocar exactamente”.

Ejemplo de escenario de ataque

Paso 1 – Contexto del sistema
Una plataforma de gestión de pedidos expone una API para consultar el detalle de cada orden. Cada cliente debería acceder únicamente a sus propios pedidos, identificados por un ID único.

Paso 2 – Acción general del atacante
Un atacante con una cuenta válida interactúa con la aplicación y realiza solicitudes a distintos recursos que siguen el mismo patrón. La API no verifica correctamente si el pedido consultado pertenece al usuario autenticado.

Paso 3 – Resultado o impacto
La API devuelve información de pedidos de otros clientes, incluyendo datos comerciales y personales. Esto habilita la exposición masiva de información y posibles abusos posteriores.

Impacto real si no se gestiona

  • Acceso no autorizado a información sensible de otros usuarios o empresas.
  • Riesgo de fraude, manipulación de datos y abuso operativo.
  • Incumplimiento de normativas de protección de datos y contratos.
  • Pérdida de confianza de clientes y daño reputacional.
  • Costes elevados por gestión de incidentes y remediación urgente.

Conclusión

BOLA es el clásico “error silencioso”: no rompe nada, no genera alertas… solo abre puertas. Y en APIs reales, una sola puerta abierta hacia objetos ajenos basta para convertir una plataforma estable en una fuga masiva de datos.

¿Quieres profundizar en el OWASP API Top 10:2023?

Domina los 10 riesgos más críticos de las APIs de forma práctica con mi curso OWASP API Top 10:2023, actualizado a la última versión.

Accede aqui al curso

Nos vemos en la siguiente entrada

Fernando Conislla

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing