Una API expone directamente la lógica y los datos de tu negocio. Si no se protege bien, es una vía de acceso limpia y silenciosa. El OWASP API Security Top 10 recoge los fallos más habituales; estos son los que más impacto tienen.
Autorización a nivel de objeto (BOLA)
El equivalente al IDOR en APIs, y el fallo número uno: la API no comprueba que el objeto que pides es realmente tuyo. Cambias un identificador y accedes a datos de otro usuario. Es devastador y muy común.
Autenticación rota
Tokens mal validados, sesiones que no expiran, endpoints sensibles sin protección. Si la autenticación falla, todo lo demás da igual.
Exposición excesiva de datos
La API devuelve más información de la que la interfaz muestra, confiando en que el cliente "solo use lo que necesita". Un atacante lee la respuesta completa.
Por qué los escáneres no bastan
Estos fallos dependen de la lógica de tu negocio: qué usuario puede ver qué. Un escáner no sabe si el pedido 8412 debería ser visible para ti. Solo alguien que entiende el flujo y prueba manualmente cada permiso lo detecta. Por eso auditamos las APIs a mano, endpoint por endpoint y rol por rol.