Ciberseguridad7 min de lectura2026-02-25
BOLA en APIs: el fallo de autorización que más encontramos en auditorías
Carlos Mendoza
Security Engineer
Broken Object Level Authorization aparece en casi todas las APIs que auditamos. No es un bug exótico: es un patrón que se instala solo cuando la autorización se añade después del diseño.
BOLA (Broken Object Level Authorization) es el fallo más común que encontramos en auditorías de APIs internas. El problema no es técnico en el sentido clásico: el código funciona, los tests pasan, pero cualquier usuario autenticado puede acceder a recursos de otro usuario cambiando un ID en la URL. En este artículo explicamos por qué ocurre, cómo detectarlo con pruebas automatizadas, y cómo estructurar la validación de autorización a nivel de objeto para que el patrón sea difícil de omitir...