OWASP Top 10 2023 de Seguridad en APIs: Guía Completa

Name: OWASP Top 10 2023 de Seguridad en APIs: Guía Completa
Rating: 4.3 (45 reviews)

Domina la seguridad en APIs con OWASP Top 10 2023. Aprende vulnerabilidades, mejores prácticas y cómo mitigarlas

Highest Rated

Created byAndrii Piatakha

Last updated 2/2025

Spanish

What you'll learn

Comprender los 10 principales riesgos de seguridad en APIs según OWASP (2023) y su impacto en las aplicaciones modernas
Aprender cómo los atacantes explotan las vulnerabilidades en APIs y cómo prevenir amenazas comunes
Analizar casos reales de brechas de seguridad en APIs y las lecciones aprendidas
Implementar mecanismos sólidos de autenticación y autorización para proteger las APIs
Prevenir ataques de inyección, exposición excesiva de datos y configuraciones de seguridad incorrectas
Aplicar limitación de tasa y control de tráfico para prevenir abusos y ataques de denegación de servicio
Proteger endpoints de APIs con cifrado, autenticación basada en tokens y mejores prácticas de seguridad
Explorar OAuth 2.0, JWT y claves de API para gestionar el acceso seguro a las APIs
Entender las políticas CORS, la validación de entradas y la seguridad en gateways de APIs
Aprender a realizar pruebas de penetración en APIs para identificar y mitigar vulnerabilidades
Utilizar registros y monitoreo para detectar y responder a incidentes de seguridad en APIs
Aplicar principios de codificación segura para evitar errores comunes de seguridad en el desarrollo de APIs
Comprender los requisitos de cumplimiento como GDPR, HIPAA y estándares de seguridad de la industria
Obtener experiencia práctica con herramientas como Postman, OWASP ZAP y Burp Suite para pruebas de seguridad en APIs
Desarrollar una mentalidad enfocada en la seguridad para construir APIs resistentes a amenazas emergentes

Course content

3 sections • 40 lectures • 12h 21m total length

Plan de Comunicación4:40
Dónde hacer preguntas
Cuándo hacer preguntas
Canales de comunicación:
Comentarios debajo del video
LinkedIn
Facebook
Instagram
Canal de Telegram
Consejos para Mejorar tu Experiencia al Tomar el Curso0:44

API1:2023 Autorización Rota a Nivel de Objeto - Parte 116:47
Definición de la Autorización a Nivel de Objeto y su Importancia
Explicación de las Vulnerabilidades BOLA y su Prevalencia en las APIs
Conexión con OWASP Top 10: Control de Acceso Roto
Ejemplos del mundo real de filtraciones de datos debido a BOLA
Consecuencias para organizaciones y usuarios por no seguir las mejores prácticas de BOLA
Prácticas de Codificación Inseguras que Conducen a BOLA
API1:2023 Autorización Rota a Nivel de Objeto - Parte 2 (Práctica)12:24
Demostración de ejemplos de código: Problema y Solución - Ejemplo de Tienda Online
API1:2023 Autorización Rota a Nivel de Objeto - Parte 3 (Zero-Trust, UUIDs)21:58
Aplicación de mecanismos de autorización robustos
Pruebas continuas y validación de la lógica de autorización
Uso de Identificadores Únicos Universales Aleatorios (UUIDs)
Consideraciones de implementación al integrar UUIDs en ecosistemas de API
Protección de la Capa de Lógica de Negocio
Implementación del Modelo de Seguridad Zero-Trust
Cómo los principios de Zero-Trust mitigan las vulnerabilidades BOLA
API2:2023 Autenticación Rota - Parte 1 (Conceptos Básicos, Impacto, Tipos de Ata18:51
Comprensión de la Autenticación Rota - Definición
Conceptos Erróneos Comunes sobre la Autenticación en APIs
Mecanismos de Autenticación y sus Vulnerabilidades
Facilidad de detección de problemas de autenticación con metodologías actuales
Conexión con OWASP Top 10: Control de Acceso Roto
Diferencia entre Autenticación y Control de Acceso
Cómo la Autenticación Rota Puede Conducir a un Control de Acceso Roto
Ejemplos de Vulnerabilidades y Explotaciones Interconectadas
Causas de la Autenticación Rota
Tipos de Ataques
Factores Técnicos que Contribuyen a las Vulnerabilidades
Ataques Automatizados
Estándares y Prácticas Deficientes
Falta de Mecanismos de Protección
Mala Implementación de los Mecanismos de Autenticación
API2:2023 Autenticación Rota - Parte 2 (Casos de Estudio, OAuth, OpenID)21:38
Casos de Estudio
Lecciones Aprendidas de los Casos de Estudio
Impacto y Consecuencias de las Vulnerabilidades de Autenticación Rota
Mejores Prácticas para Mitigar la Autenticación Rota
OAuth VS OpenID
API2:2023 Autenticación Rota - Parte 3 (Práctica, Tokens JWT, Ataques de Tiempo)28:20
Ejemplo de Código en la Vida Real - Demostración del Problema y Solución
Ataques de Tiempo y Cómo Evitarlos
API3:2023 Autorización Rota a Nivel de Propiedad de Objeto - Parte 122:14
Definición de Autorización Rota a Nivel de Propiedad de Objeto
Importancia en la seguridad de las APIs
Agentes de Amenaza y Vectores de Ataque
Debilidades de Seguridad y sus Impactos
Consecuencias Reales de las Vulnerabilidades
Revisión de Ejemplo - Escenario #1: Seguimiento de Entrenamientos en una
Aplicación de Fitness
Revisión de Ejemplo - Escenario #2: Envío de Cuestionarios en una Plataforma de
Aprendizaje en Línea
Medidas de Prevención
Implementación de controles de acceso
Minimización de la exposición de datos
Uso de validación basada en esquemas
Evitar la dependencia de filtrado del lado del cliente
Conceptos Relacionados
Exposición Excesiva de Datos (OWASP API3:2019)
Asignación Masiva (OWASP API6:2019)
API3:2023 Autorización Rota a Nivel de Propiedad de Objeto - Parte 2 (Práctica)17:12
Tienda Online: Revisión del Código Fuente de un Ejemplo Práctico
API4:2023 Consumo Ilimitado de Recursos - Parte 130:25
Definición de Consumo Ilimitado de Recursos
Agentes de Amenaza y Vectores de Ataque
Errores de diseño típicos y problemas de configuración
Análisis del Impacto Técnico
Análisis del Impacto Empresarial
Ejemplos del Mundo Real de Consumo Ilimitado de Recursos
Abuso de SMS que Conduce a Pérdidas Financieras (NordVPN)
Aumento de Costos de Almacenamiento en la Nube (Servicio de Descarga de Archivos)
Ataque DDoS al Portal Fiscal de Polonia
CWE-770: Asignación de Recursos sin Límites ni Regulación
CWE-400: Consumo Incontrolado de Recursos
CWE-799: Control Inadecuado de la Frecuencia de Interacción
Detección de Consumo Ilimitado de Recursos
Estrategias de Prevención
Mejores Prácticas
API4:2023 Consumo Ilimitado de Recursos - Parte 2 (Práctica)11:09
Revisión del Código Fuente de un Ejemplo Práctico - Problema y Solución
API5:2023 Autorización Rota a Nivel de Función - Parte 120:16
Definición y explicación de BFLA
Diferencia entre BFLA y Autorización Rota a Nivel de Objeto
Causas Raíz de BFLA
Escenarios de Ataque y Ejemplos
Consecuencias Potenciales de BFLA
Cómo Detectar BFLA
Técnicas de Prevención para BFLA
API5:2023 Autorización Rota a Nivel de Función - Parte 2 (Práctica)9:02
Revisión del Código Fuente de un Ejemplo Práctico - Problema y Solución
API6:2023 Acceso Ilimitado a Flujos de Negocio Sensibles - Parte 121:57
Definición de Acceso Ilimitado a Flujos de Negocio Sensibles
Importancia de comprender esta vulnerabilidad
Diferencias entre UASBF y otras vulnerabilidades de API
Cómo los atacantes explotan UASBF
Escenarios comunes y ejemplos
Ejemplos de Abuso de Lógica de Negocio
Desafíos en la detección y protección
Cómo abordar estos desafíos
API6:2023 Acceso Ilimitado a Flujos de Negocio Sensibles - Parte 228:01
Impactos potenciales en las empresas
Análisis de casos de estudio
Ejemplo del mundo real: Abuso en la emisión de boletos de aerolíneas
Prevención y mitigación - Capa de negocio
Prevención y mitigación - Capa de ingeniería
Pruebas para UASBF
Mejores prácticas
API6:2023 Acceso Ilimitado a Flujos de Negocio Sensibles - Parte 3 (Práctica)10:25
Revisión del Código Fuente de un Ejemplo Práctico - Problema y Solución
API7:2023 - Falsificación de Solicitudes del Lado del Servidor (SSRF)3:44
Introducción a SSRF
Similitudes entre API7:2023 y A10:2021
Diferencias entre API7:2023 y A10:2021
Escenarios de Ataque en API7:2023
Estrategias de Prevención
Resumen y Conclusión
API8:2023 - Mala Configuración de Seguridad2:21
Introducción a la Mala Configuración de Seguridad
Similitudes entre API8:2023 y A05:2021
Diferencias entre API8:2023 y A05:2021
Escenarios de Ataque en API8:2023
Estrategias de Prevención
Resumen y Conclusión
API9:2023 Gestión Inadecuada del Inventario - Parte 129:10
Definición e importancia de la gestión del inventario de APIs
Desafíos comunes en el mantenimiento de inventarios de APIs
El papel de una gestión adecuada del inventario en la seguridad de las APIs
Discusión de Riesgos Claves:
Explotación de Vulnerabilidades
Amplificación de Riesgos
Problemas de Compatibilidad Cruzada
Ejemplos del Mundo Real de Brechas de Seguridad Debidas a una Mala Gestión del Inventario
APIs Legadas y sus Desafíos
El Equilibrio entre Compatibilidad Retrospectiva y Seguridad
Estrategias para una Gestión Eficaz del Inventario de APIs
API9:2023 Gestión Inadecuada del Inventario - Parte 2 (Práctica)12:22
Revisión del Código Fuente de un Ejemplo Práctico - Problema y Solución
API10:2023 Consumo No Seguro de APIs - Parte 132:58
Definición e Importancia
Conceptos Erróneos Comunes sobre la Seguridad en APIs
Por qué las APIs son Vulnerables
Principales Vulnerabilidades en el Consumo No Seguro de APIs
Riesgos Claves Asociados con el Consumo No Seguro de APIs
Ejemplos del Mundo Real y Casos de Estudio
Cómo Detectar Vulnerabilidades en el Consumo No Seguro de APIs
Estrategias de Mitigación
Mejores Prácticas
API10:2023 Consumo No Seguro de APIs - Parte 2 (Práctica)10:14
Revisión del Código Fuente de un Ejemplo Práctico - Problema y Solución

OWASP Top 10: Visión General18:59
Qué es OWASP
Qué es OWASP Top 10
Por qué OWASP Top 10 es importante
OWASP Top 10 2021
Qué es Common Weakness Enumeration (CWE)
Qué son Common Vulnerabilities and Exposures (CVE)
Qué es el Common Vulnerability Scoring System (CVSS)
OWASP Top 10 2017 VS OWASP 2021
Control de Acceso Roto35:21
Qué es el Control de Acceso
Autorización VS Autenticación
Tipos de Control de Acceso
OAuth (Visión General)
JWT (Visión General)
Qué es el Control de Acceso Roto
Impacto
Vulnerabilidad de ID Inseguro
Vulnerabilidad de Recorrido de Directorios (Path Traversal)
Ataque Poison Null Bytes
Safelisting
Vulnerabilidad de Caché en el Cliente
Violación del principio de privilegio mínimo
Elevación de privilegios
Revisión del Enfoque de Gestión de Roles
Cómo prevenir (incluyendo soluciones de diseño)
Ejemplo de Escenarios de Ataque
Fallos Criptográficos (Teoría, Datos Sensibles, Fuga de Datos, Tipos de Fallos)12:46
Visión General de los Fallos Criptográficos
Las causas raíz más comunes
Análisis comparativo entre OWASP Top 10 2017 y 2021
Enumeraciones de Debilidades Comunes Notables
Tipos de fallos criptográficos
Datos personales VS Datos sensibles
Tipos de datos sensibles
Fallo criptográfico vs. Fuga de datos
Qué provoca fallos criptográficos
Fallos Criptográficos (Ejemplos Prácticos, Inyecciones SQL, TLS/SSL, HTTPS)20:07
Ejemplo de escenarios de ataque
Inyecciones SQL
TLS y SSL
HTTPS VS HTTP
Habilitación de HTTPS en el servidor web Tomcat
Fallos Criptográficos (Ejemplos, Cifrado de Contraseñas, Hashing, Salting)17:38
Ejemplo de escenarios de ataque
Ejercicio práctico de cifrado de contraseñas
Hashing de contraseñas
Contraseñas con sal (Salted passwords)
Algoritmos de hashing (MD5, SHA, PBKDF2, BCrypt y SCrypt)
Cómo prevenir fallos criptográficos
Inyección (Visión General, Fuzzing, CWEs, Impacto, Tipos de Inyección)16:02
Categoría de Riesgo de Inyección: Visión General
Fuzzing
Enumeraciones de Debilidades Comunes Notables (CWEs)
Impacto
Comparación de la Inyección en OWASP Top 10 2021 y 2017
Tipos de Inyección
Inyección de Comandos
Inyección (Cross Site Scripting, Tipos de XSS, Inyecciones SQL, JPA, NoSQL)16:14
Cross Site Scripting
Tipos de Cross Site Scripting
Inyección SQL
Inyección JPA
Inyección NoSQL
Inyección (Inyección XPath, Inyección de Registros, Validación de Entrada)15:42
XML: Inyección XPath
Inyección de Registros
Cómo prevenir vulnerabilidades de inyección
Validación de Entrada: Objetivos
Validación de Entrada: Estrategias
Validación de Entrada: Técnicas
Diseño Inseguro (Visión General, CWEs, Shift Left Security)20:06
Visión General del Diseño Inseguro
Diseño Inseguro VS Implementación Insegura
Enfoque de seguridad Shift Left
CWEs Notables
Qué es el diseño seguro
Modelado de Amenazas
Objetivo del Modelado de Amenazas
Manifiesto de Modelado de Amenazas: Visión General
Manifiesto de Modelado de Amenazas: Valores
Manifiesto de Modelado de Amenazas: Principios
Diseño Inseguro (Proceso de Diseño Seguro, Controles de Seguridad, Métricas)23:20
Construcción de un proceso de diseño seguro
Análisis de impacto empresarial
Trabajo con el registro de amenazas
Controles de seguridad
Documento de diseño de seguridad
Métricas del Proceso de Diseño Seguro
Ejemplo de Ataques
Cómo prevenir
Mala Configuración de Seguridad (Visión General, CWEs, Tipos)18:32
Visión General
Impacto Potencial
CWEs Notables
Mala Configuración de Seguridad en OWASP Top 10 2021 VS 2017
Tipos de mala configuración de seguridad
Ejemplos de ataques en la vida real
Arquitectura Federada
Mala Configuración de Seguridad (Endurecimiento, Zero Trust)26:37
Endurecimiento de Seguridad
Modelo de Seguridad Zero Trust
NIST 800-207
Defensa en Profundidad
NIST 800-123
Mejores Prácticas para el Endurecimiento del Sistema
Ejemplo de Ataques - Demostración
Cómo prevenir
Componentes Vulnerables y Obsoletos22:19
Visión General
Factores de Riesgo
Por qué es difícil actualizar componentes obsoletos
CWEs Notables
Cómo los atacantes explotan componentes vulnerables
Ejemplo de la vida real
OWASP Top 10 2021 VS 2017
Demostración del plugin de verificación de dependencias
Escáneres de vulnerabilidades
Cómo prevenir
Fallos de Identificación y Autenticación31:35
Visión General
Impacto Potencial
CWEs Notables
OWASP Top 10 2017 VS 2021
Cómo los atacantes explotan fallos de autenticación
Fijación de Sesión
Cross-Site Request Forgery (CSRF)
Ejecución Después de Redirección (EAR)
Factores de Riesgo
Autenticación Multifactor (MFA)
Revisión de diferentes factores
Entropía del ID de Sesión
Ejemplos de Ataques
Credential Stuffing
Acceso por Fuerza Bruta
Secuestro de Sesión
Cómo Prevenir
Fallos de Integridad en Software y Datos16:08
Visión General
Revisión del Impacto Potencial
Enumeraciones de Debilidades Comunes
OWASP Top 10 2017 VS 2021
Ejemplos de Ataques
Cómo Prevenir
Fallos en el Registro y Monitoreo de Seguridad21:14
Qué es el registro y los logs
Visión General de la Categoría de Fallos en el Registro y Monitoreo de Seguridad
Impacto Potencial
Factores de Riesgo
Desafíos
Herramientas de Gestión de Logs
Librerías para Registro en Java
Enumeraciones de Debilidades Comunes Notables
OWASP Top 10 2017 VS 2021
Ejemplos de Ataques
Cómo Prevenir
Falsificación de Solicitudes del Lado del Servidor (SSRF)21:48
Visión General
Relaciones de Confianza
Factores de Riesgo
Impacto Potencial
Tipos de SSRF
OWASP Top 10 2017 VS 2021
Incidente de Capital One: Visión General
Ejemplo de SSRF en Java
Ejemplos de Ataques
Cómo Prevenir

Requirements

Conocimientos básicos sobre APIs y su funcionamiento
Familiaridad con conceptos de desarrollo web, incluyendo métodos HTTP, estructura de solicitudes/respuestas y mecanismos de autenticación.
Interés en aprender sobre vulnerabilidades de seguridad y cómo proteger las APIs contra ataques
Curiosidad e interés en la seguridad de aplicaciones web y APIs ante amenazas reales

Description

Las APIs son fundamentales para el desarrollo de software moderno, permitiendo la comunicación entre aplicaciones y servicios. Sin embargo, también representan un punto crítico de vulnerabilidad si no se protegen adecuadamente. La seguridad en APIs es un aspecto esencial para desarrolladores, arquitectos de software y profesionales de ciberseguridad.

Este curso ofrece un análisis completo de los 10 principales riesgos de seguridad en APIs según OWASP (versión 2023). A través de explicaciones detalladas, ejemplos prácticos y estrategias efectivas, aprenderás a identificar y mitigar las vulnerabilidades más comunes en el diseño, desarrollo e implementación de APIs.

Lo que aprenderás en este curso:

Una comprensión profunda de las principales amenazas de seguridad en APIs y su impacto en las aplicaciones modernas.
Cómo funcionan los ataques más frecuentes, incluyendo inyección de datos, autenticación rota y exposición excesiva de datos.
Casos reales de incidentes de seguridad en APIs y cómo pudieron haberse prevenido.
Aplicación de mejores prácticas para el desarrollo seguro de APIs, incluyendo autenticación robusta, control de acceso, validación de entradas y gestión de tokens.
Uso de herramientas y metodologías para probar la seguridad de APIs y detectar vulnerabilidades antes de su explotación.

Este curso está diseñado tanto para desarrolladores y arquitectos de software, como para profesionales de seguridad que buscan mejorar sus conocimientos en protección de APIs. No solo obtendrás teoría, sino también ejercicios prácticos que te permitirán aplicar los conceptos en escenarios reales.

Al finalizar el curso, serás capaz de diseñar, implementar y proteger APIs de manera efectiva, reduciendo riesgos y asegurando el cumplimiento de estándares de seguridad en la industria.

Who this course is for:

Desarrolladores que crean o mantienen APIs y desean mejorar sus conocimientos en seguridad
Profesionales de seguridad que buscan comprender y mitigar amenazas específicas de APIs
Ingenieros DevOps responsables de la seguridad de APIs en entornos de nube y producción
Arquitectos de software que diseñan infraestructuras de APIs seguras e integraciones
Pentesters y hackers éticos interesados en la evaluación de seguridad de APIs
Administradores de TI que gestionan el acceso a APIs, autenticación y políticas de seguridad
Estudiantes y entusiastas de la ciberseguridad que desean adquirir experiencia práctica en seguridad de APIs
Gerentes de producto técnico que supervisan aplicaciones basadas en APIs y garantizan el cumplimiento de estándares de seguridad

OWASP Top 10 2023 de Seguridad en APIs: Guía Completa

What you'll learn

Explore related topics

Course content

Introduction2 lectures • 5min

OWASP Top 10: 202321 lectures • 6hr 21min

Anexo - OWASP Top 10: 202117 lectures • 5hr 54min

Requirements

Description

Who this course is for: