Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

API6:2023 Unrestricted Access to Sensitive Business Flows

owasp

Este riesgo ocurre cuando una API permite ejecutar flujos críticos del negocio sin controles adecuados. No se trata solo de datos, sino de acciones encadenadas que impactan directamente en el negocio (por ejemplo: aplicar descuentos, confirmar pagos, crear cuentas, canjear beneficios). La API valida que la solicitud “sea válida”, pero no controla cuándo, cuántas veces o bajo qué condiciones puede ejecutarse el flujo.

Origen del problema

Aparece con frecuencia por razones habituales en productos digitales:

  • Lógica de negocio expuesta directamente en la API sin límites ni validaciones de contexto.
  • Falta de controles de abuso (frecuencia, secuencia, estado del proceso).
  • Suposiciones erróneas: “nadie ejecutaría esto tantas veces” o “el front-end ya lo controla”.
  • Flujos complejos difíciles de modelar en reglas simples (promociones, reembolsos, onboarding).
  • Ausencia de monitoreo específico para detectar patrones anormales en procesos clave.

Ejemplo de escenario de ataque

Paso 1 – Contexto del sistema

Una plataforma de comercio electrónico tiene una API para aplicar cupones de descuento durante el proceso de compra. El flujo está pensado para ejecutarse una sola vez por pedido.

Paso 2 – Acción general del atacante

Un usuario legítimo repite el flujo de aplicación del cupón varias veces o lo ejecuta fuera del orden esperado. La API no valida correctamente el estado del pedido ni limita la repetición del proceso.

Paso 3 – Resultado o impacto

El sistema aplica múltiples descuentos indebidos o permite compras a precio cero. Esto genera pérdidas económicas y desbalance en el sistema de ventas.

Impacto real si no se gestiona

  • Pérdidas económicas directas (descuentos indebidos, reembolsos abusivos).
  • Fraude de negocio sin necesidad de vulnerar datos técnicos.
  • Distorsión de métricas (ventas, conversión, ingresos).
  • Costes operativos por correcciones manuales y soporte.
  • Daño reputacional al percibirse fallas en procesos clave.

Conclusión

Este es el riesgo que más duele porque golpea directo al negocio: descuentos, reembolsos, canjes, límites. Si el flujo se puede repetir, acelerar o forzar sin fricción, el atacante no necesita “hackear”: solo necesita aprovechar.

¿Quieres profundizar en el OWASP API Top 10:2023?

Domina los 10 riesgos más críticos de las APIs de forma práctica con mi curso OWASP API Top 10:2023, actualizado a la última versión.

Accede aqui al curso

Nos vemos en la siguiente entrada

Fernando Conislla

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing