Diseño de una Metodología de Pentesting para APIs Modernas: Aplicación a RESTful y GraphQL

Abstract

El presente trabajo propone una redefinición del enfoque tradicional aplicado al pentesting de interfaces de programación de aplicaciones (APIs), específicamente en entornos RESTful y GraphQL. Se plantea una estrategia metodológica innovadora orientada a contextos de red teaming y auditorías de seguridad, tanto internas como externas, con el fin de optimizar la detección y explotación controlada de vulnerabilidades. A través de un análisis comparativo entre ambos paradigmas de APIs, se desarrollan lineamientos prácticos que permiten a los profesionales de ciberseguridad incorporar procedimientos modernos y efectivos en sus evaluaciones. Esta investigación busca aportar a la disciplina un marco actualizado de pentesting ofensivo, con una visión estratégica que refuerce la relevancia del uso de metodologías adaptadas a los desafíos contemporáneos en seguridad informática. This paper proposes a redefinition of the traditional approach to penetration testing of application programming interfaces (APIs), specifically in RESTful and GraphQL environments. It presents an innovative methodological strategy geared towards red teaming contexts and internal and external security audits, with the aim of optimizing the detection and controlled exploitation of vulnerabilities. Through a comparative analysis of both API paradigms, practical guidelines are developed that allow cybersecurity professionals to incorporate modern and effective procedures into their assessments. This research seeks to contribute to the discipline with an updated framework for offensive pentesting, with a strategic vision that reinforces the relevance of using methodologies adapted to contemporary challenges in information security.