Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

API10:2023 Unsafe Consumption of APIs

owasp

Este riesgo ocurre cuando una API confía ciegamente en otras APIs externas que consume. La aplicación asume que las respuestas, datos o comportamientos del servicio tercero son siempre válidos y seguros, sin validar adecuadamente su contenido, disponibilidad o coherencia. En la práctica, heredas riesgos ajenos y los incorporas a tu propio sistema.

Origen del problema

Es muy común en arquitecturas modernas por estas razones:

  • Dependencia creciente de terceros (pagos, envíos, identidad, IA, analítica).
  • Validaciones insuficientes de respuestas: se procesan datos externos sin controles de formato, tamaño o consistencia.
  • Suposiciones de confianza: “es un proveedor conocido, no puede fallar”.
  • Manejo débil de errores y caídas de servicios externos.
  • Falta de aislamiento entre la API propia y la API consumida (timeouts, circuit breakers, límites).

Ejemplo de escenario de ataque

Paso 1 – Contexto del sistema

Una plataforma de comercio electrónico consume una API externa de envíos para calcular costos y tiempos de entrega durante la compra.

Paso 2 – Acción general del atacante

El servicio externo devuelve datos inesperados o inconsistentes (ya sea por un fallo, abuso o manipulación). La API de la plataforma no valida adecuadamente esa respuesta y la acepta tal como viene.

Paso 3 – Resultado o impacto

La aplicación muestra precios incorrectos, permite pedidos con condiciones erróneas o falla en el proceso de compra. El problema no nació en tu sistema, pero impacta directamente en tu negocio.

 

Impacto real si no se gestiona

  • Errores de negocio (precios mal calculados, procesos incompletos).
  • Interrupción del servicio por fallos en dependencias externas.
  • Riesgo de fraude indirecto al confiar en datos manipulados.
  • Mala experiencia de usuario y pérdida de ventas.
  • Dependencia crítica de terceros sin controles de resiliencia.

Conclusión

Tu API puede estar bien construida y aun así fallar por confianza externa. Cuando consumes servicios de terceros sin validación ni resiliencia, estás aceptando que errores ajenos se conviertan en incidentes tuyos, con impacto directo en operación y usuarios.

¿Quieres profundizar en el OWASP API Top 10:2023?

Domina los 10 riesgos más críticos de las APIs de forma práctica con mi curso OWASP API Top 10:2023, actualizado a la última versión.

Accede aqui al curso

Nos vemos en la siguiente entrada

Fernando Conislla

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing