Programas / Seguridad ofensiva / Curso de Hacking de APIs REST y GraphQL

Hacking de APIs REST y GraphQL

Audita la puerta de los datos: del BOLA en REST al abuso de introspección en GraphQL.

Duración

70 Horas

Módulos

10 Módulos

Dificultad

Curso

Modalidad

Online

apihack@isecd:~/rest-graphql

# Auditoría de API — descubrimiento

$ffuf -u https://api.cliente.com/FUZZ -w api.txt

✓ 52 endpoints — /graphql y /v2 expuestos

# Fase 1 — GraphQL introspection

$graphql → query __schema

→ esquema completo · mutaciones administrativas

# Fase 2 — BOLA en REST

$GET /v2/orders/{id} (otro usuario)

⚠ acceso a pedidos y datos de otras cuentas

# Fase 3 — Impacto

$mutation updateRole(admin)

→ escalada a administrador vía GraphQL

✓ API comprometida y documentadaBOLA · GRAPHQL

Hacking de APIs aplicado a plataformas reales

FORMACIÓN PROFESIONAL

Domina el hacking de APIs REST y GraphQL

Seis pilares que estructuran una auditoría de APIs de nivel profesional.

El Curso de Hacking de APIs REST y GraphQL es una formación de 70 horas diseñada para auditar las APIs que hoy sostienen apps y plataformas. Combina OWASP API Security Top 10, explotación de BOLA, BFLA e IDOR y hacking de GraphQL para que demuestres cómo una API expone datos y funciones que deberían estar protegidos, desde el primer día.

No te formamos con la web clásica, sino con las APIs: donde de verdad se exponen hoy los datos y donde fallan los controles de autorización.

Cuatro pasos para comenzar tu formación

Un proceso claro y sin complicaciones diseñado para profesionales que valoran su tiempo. En cuatro pasos sencillos pasas de la primera consulta a empezar a estudiar.

Solicita información

Formaliza tu matrícula

Accede al campus virtual

Comienza tu formación

COMPETENCIAS DEL PROGRAMA

Qué dominarás al finalizar el programa

Cada barra refleja el nivel de dominio real que alcanzarás. Habilidades concretas, niveles honestos.

Auditar APIs REST con el OWASP API Security Top 10

Avanzado 90%

Explotar BOLA, BFLA e IDOR en APIs

Experto 88%

Hackear APIs GraphQL

Avanzado 84%

Detectar fallos de lógica y de rate limiting

Avanzado 80%

Documentar hallazgos de auditoría de API

Intermedio 76%

¿TIENES DUDAS?

Habla con un asesor especializado

Te ayudamos a valorar si este programa encaja con tu perfil profesional y tus objetivos. Resolvemos dudas sobre el contenido, la dedicación necesaria y las salidas profesionales, sin compromiso.

Hacking de APIs aplicado a las plataformas reales del sector

No te formamos con la web clásica, sino con las APIs: descubres endpoints ocultos, explotas un BOLA que expone los datos de todos los usuarios y abusas de la introspección de GraphQL.

Contactanos

Email: contacto@isecd.com

Donde de verdad falla la autorización

Las APIs concentran hoy los fallos de control de acceso más graves. Aprendes a encontrarlos y explotarlos, justo donde más datos se exponen.

REST y GraphQL, las herramientas reales

Burp Suite, Postman y herramientas de GraphQL sobre el OWASP API Security Top 10, lo que se usa de verdad en una auditoría de APIs.

Las APIs están en todas partes

Apps móviles, e-commerce y SaaS funcionan sobre APIs. Auditarlas es una de las competencias web más demandadas y peor cubiertas del sector.

Aprende auditando APIs reales, no solo teorizando

La seguridad de APIs no se domina leyendo el OWASP API Top 10. Por eso cada módulo combina contenido técnico, laboratorios de auditoría guiados y casos reales del sector para que adquieras competencia aplicable desde el primer día.

Contenido técnico estructurado

Vídeos cortos, lecturas dirigidas y material descargable para asimilar los conceptos clave de cada bloque sin perder tiempo en relleno académico.

Laboratorios de APIs vulnerables

APIs REST y GraphQL con fallos reales donde descubres endpoints, explotas BOLA e inyecciones y abusas de la lógica de negocio, en un entorno seguro y controlado.

Casos reales del sector

Escenarios basados en APIs de apps de e-commerce, SaaS y clínicas: endpoints de usuario, pedidos y datos personales como los que auditarás en un encargo real.

Temario del Curso de Hacking de APIs REST y GraphQL

Módulo 01 — Fundamentos de APIs y su superficie de ataque

1.1 Qué es una API y cómo se comunica
1.2 REST frente a GraphQL
1.3 Superficie de ataque de una API

Módulo 02 — OWASP API Security Top 10

2.1 Las 10 categorías de riesgo en APIs
2.2 Diferencias con el OWASP web
2.3 Priorización de hallazgos

Módulo 03 — Reconocimiento y descubrimiento de APIs

3.1 Descubrimiento de endpoints
3.2 Documentación, Swagger y colecciones
3.3 Mapeo de la superficie de la API

Módulo 04 — Autenticación y autorización en APIs

4.1 Mecanismos de autenticación de API
4.2 Tokens, claves y OAuth
4.3 Fallos de autenticación

Módulo 05 — BOLA, BFLA e IDOR en APIs

5.1 Broken Object Level Authorization
5.2 Broken Function Level Authorization
5.3 Acceso a objetos y funciones ajenos

Módulo 06 — Inyecciones y validación de entrada

6.1 Inyecciones en endpoints de API
6.2 Validación de entrada deficiente
6.3 Explotación y validación de impacto

Módulo 07 — Hacking de APIs GraphQL

7.1 Introspección del esquema
7.2 Abuso de queries y mutaciones
7.3 Ataques de complejidad y de batching

Módulo 08 — Rate limiting, abuso y lógica de negocio

8.1 Ausencia de rate limiting
8.2 Abuso de funcionalidades
8.3 Fallos de lógica de negocio en APIs

Módulo 09 — Reporting de auditoría de APIs

9.1 Estructura del informe de API
9.2 Pruebas de concepto reproducibles
9.3 Recomendaciones de remediación

Módulo 10 — Caso final integrador

10.1 Auditoría completa de una API REST y GraphQL
10.2 Encadenado de BOLA, inyección y lógica
10.3 Elaboración y defensa del informe

¿Listo para dar el siguiente paso?

Has llegado hasta aquí porque la formación te interesa de verdad. Cuéntanos sobre tu perfil profesional y un asesor especializado te contactará en menos de 24 horas.

Solicita mas información

Programas destacados de Seguridad ofensiva

Cursos especializados en pentesting, hacking ético y análisis de vulnerabilidades en entornos reales. Cada programa combina técnica ofensiva avanzada con la mentalidad del atacante para fortalecer cualquier sistema.

Seguridad ofensiva

Máster en Ingeniería inversa y exploit development

PREGUNTAS FRECUENTES

Resolvemos tus dudas sobre el programa

¿Necesito conocimientos previos?

Te recomendamos entender HTTP y JSON a nivel básico. No necesitas experiencia previa con APIs ofensivas: partimos de su superficie de ataque y avanzamos hasta GraphQL de forma progresiva.

¿Hay práctica real o solo teoría?

Cada módulo incluye laboratorios sobre APIs vulnerables reales. Descubres endpoints, explotas BOLA y abusas de GraphQL en un entorno preparado y legal.

¿Qué herramientas voy a aprender?

Burp Suite, Postman y herramientas específicas de GraphQL, todo enmarcado en el OWASP API Security Top 10, el estándar de la auditoría de APIs.

¿Cuánto tiempo tengo que dedicarle?

El curso son 70 horas de formación. Con una dedicación de entre 8 y 10 horas semanales lo completas en unas 8 semanas, aunque al ser online y sin horarios fijos marcas tú el ritmo.

¿Encaja con mi sector?

Si auditas o desarrollas APIs para apps de e-commerce, SaaS o clínicas, este curso te enseña a encontrar los fallos de autorización que exponen los datos de sus usuarios.

¿Tendré apoyo de un tutor?

Sí. Cuentas con un tutor especializado que resuelve tus dudas técnicas, revisa tu progreso en los laboratorios y te orienta cuando un ejercicio se atasca. No estudias en solitario.

¿Qué titulación obtengo?

Al superar el curso recibes el título de Especialista en Hacking de APIs REST y GraphQL, que acredita las 70 horas de formación y las competencias prácticas adquiridas.

¿Puedo pagar en cuotas?

Sí. Ofrecemos pago fraccionado sin intereses para que distribuyas el importe de la matrícula en cómodas mensualidades. Tu asesor te explica las opciones disponibles según tu caso.