18. Seguridad en diseño: versionado, idempotencia y minimización de exposición

18.1 Introducción

Hay APIs que resultan difíciles de asegurar no porque les falten controles, sino porque fueron diseñadas con demasiada exposición, demasiadas excepciones o demasiada flexibilidad. Cuando la arquitectura publica más recursos de los necesarios, mezcla funciones distintas o mantiene versiones viejas sin criterio, la seguridad se vuelve reactiva y costosa.

En cambio, un diseño más sobrio y deliberado reduce superficie de ataque, simplifica autorización, facilita observabilidad y vuelve más razonable el mantenimiento de políticas a lo largo del tiempo.

Este tema se centra en tres ideas que impactan mucho la seguridad desde el diseño: versionado, idempotencia y minimización de exposición.

18.2 Seguridad en diseño: qué significa

Seguridad en diseño significa tomar decisiones estructurales que limiten riesgo antes de depender de mitigaciones posteriores. No se trata solo de “agregar seguridad temprano”, sino de modelar la API de una forma que haga más difícil cometer ciertos errores y más fácil aplicar controles coherentes.

Esto incluye preguntas como:

• ¿Qué recursos vale la pena exponer y cuáles no?
• ¿Qué operaciones son realmente necesarias?
• ¿Cómo se evolucionará la API sin dejar versiones débiles activas?
• ¿Qué acciones deben poder repetirse y cuáles deben resistir replay?

18.3 Minimización de exposición como principio

Una API segura expone lo necesario y no más. Cada endpoint, cada método, cada parámetro opcional y cada versión adicional amplía superficie de ataque, carga operativa y complejidad de autorización.

Minimizar exposición implica:

• Publicar menos recursos.
• Publicar menos acciones especiales.
• Reducir atributos visibles o editables.
• Evitar endpoints experimentales o legacy en producción.
• Separar claramente interfaces públicas, privadas y administrativas.

18.4 Diseñar menos acciones especiales

Las acciones especiales suelen ser más difíciles de proteger que los recursos claros. Cuando la API acumula endpoints como `recalculate`, `force-sync`, `approveNow`, `doMagicThing` o equivalentes, aparecen funciones con semántica ambigua, alto impacto y reglas difíciles de auditar.

Siempre que sea posible, conviene modelar operaciones como transformaciones controladas de recursos o estados, no como comandos ad hoc difíciles de gobernar.

18.5 Versionado: por qué importa para seguridad

El versionado permite evolucionar la API sin romper clientes, pero también crea riesgo. Cada versión mantenida es una interfaz adicional que necesita autenticación, autorización, monitoreo, parches, documentación y pruebas. Cuantas más versiones conviven, más difícil se vuelve asegurar comportamiento coherente.

Los riesgos más comunes del versionado son:

• Versiones antiguas con controles más débiles.
• Políticas inconsistentes entre v1, v2 y endpoints legacy.
• Documentación desfasada respecto de producción.
• Clientes que dependen de contratos inseguros heredados.

18.6 Estrategia de versionado y retiro

Versionar bien no es solo agregar `/v2/` o un header. También implica definir cómo se retiran versiones viejas, cuánto tiempo conviven y bajo qué condiciones se les siguen aplicando mejoras de seguridad.

Un diseño maduro debería responder:

• ¿Cuánto tiempo vive una versión?
• ¿Qué eventos disparan su retiro?
• ¿Cómo se notifica a los consumidores?
• ¿Qué controles mínimos deben mantenerse incluso en legacy?

18.7 Versionado como deuda de seguridad

Cada versión adicional es una forma de deuda. No solo porque suma mantenimiento, sino porque multiplica caminos que un atacante puede explorar. A veces el mayor problema no es una vulnerabilidad en la versión actual, sino una interfaz olvidada que sigue expuesta con controles de otra época.

Por eso conviene ver el inventario de versiones como parte del inventario de superficie de ataque.

18.8 Idempotencia: concepto

Una operación idempotente es aquella cuyo efecto observable no cambia si se ejecuta varias veces con la misma intención. En APIs, este concepto es importante tanto para resiliencia como para seguridad.

Desde el punto de vista técnico, la idempotencia ayuda a manejar reintentos y fallos de red. Desde el punto de vista de seguridad, ayuda a limitar el impacto de duplicaciones accidentales, replay o automatización sobre ciertas operaciones.

18.9 Por qué la idempotencia importa en seguridad

Muchas acciones sensibles no deberían ejecutarse dos veces con el mismo efecto: pagos, compras, canjes, aprobaciones, cambios de estado críticos o generación de beneficios. Si el sistema no diseña bien esas operaciones, un replay o un simple retry puede provocar fraude, inconsistencias o abuso.

La idempotencia ayuda a responder preguntas como:

• ¿Qué pasa si el cliente reintenta porque no recibió respuesta?
• ¿Qué pasa si un atacante repite una solicitud exitosa?
• ¿Cómo evitamos duplicación de efectos en operaciones sensibles?

18.10 Diseñar operaciones seguras frente a replay

No toda operación puede ser naturalmente idempotente, pero muchas pueden diseñarse para resistir repetición. Algunas estrategias incluyen:

• Usar claves de idempotencia.
• Validar estado previo antes de aplicar el cambio.
• Registrar transacciones o eventos únicos por operación.
• Rechazar repeticiones fuera de contexto esperado.

Esto es especialmente importante en operaciones económicas o de alto impacto funcional.

18.11 Relación entre métodos HTTP e idempotencia

HTTP ya ofrece una semántica aproximada sobre operaciones idempotentes y no idempotentes, pero el diseño de la API debe respetarla de forma coherente. Si una operación de efecto fuerte se expone como `GET`, o si un `POST` crea resultados duplicables sin defensa, el protocolo deja de ayudar y la seguridad se resiente.

Diseñar con semántica clara facilita que caches, clientes, reintentos y herramientas de monitoreo se comporten de manera previsible.

18.12 Recursos públicos, privados y administrativos

Otra decisión de diseño crítica es separar claramente tipos de exposición. No todos los consumidores ni todos los recursos deberían vivir en la misma superficie visible.

Conviene distinguir:

• APIs públicas para terceros o integraciones abiertas.
• APIs privadas para clientes propios o aplicaciones internas.
• APIs administrativas o de soporte con funciones de alto impacto.

Mezclar estos mundos en los mismos dominios, rutas o políticas suele aumentar el riesgo y la complejidad innecesariamente.

18.13 Diseñar para mínimo privilegio

La minimización de exposición también se traduce en diseñar endpoints, respuestas y flujos de modo que cada actor vea y haga solo lo necesario. Es mucho más fácil aplicar mínimo privilegio cuando la interfaz ya fue pensada con esa restricción en mente.

Ejemplos:

• Endpoints distintos para vistas administrativas y de usuario final.
• Respuestas reducidas según contexto.
• Operaciones explícitas en lugar de actualizaciones masivas ambiguas.
• Separación de lectura pública y mutación sensible.

18.14 Flexibilidad excesiva como riesgo

La flexibilidad suele verse como virtud de diseño, pero en seguridad tiene costo. Cuantos más filtros libres, parámetros opcionales, operadores complejos, payloads dinámicos o caminos alternativos se permitan, más difícil resulta validar, autorizar y monitorear.

Una API segura prefiere contratos acotados y claros antes que interfaces excesivamente expresivas que después nadie puede controlar del todo.

18.15 Compatibilidad versus endurecimiento

En APIs reales, muchas decisiones de seguridad compiten con backward compatibility. A veces un comportamiento inseguro se mantiene para no romper clientes existentes. El problema aparece cuando esa compatibilidad se vuelve excusa para no endurecer nunca.

La seguridad en diseño exige una postura más clara:

• Definir qué comportamientos legacy son aceptables temporalmente.
• Establecer planes de migración.
• No perpetuar exposiciones innecesarias por miedo a cambiar.

18.16 Qué debería revisarse en una revisión de diseño

Una revisión de diseño orientada a seguridad puede hacerse antes de implementar o al evolucionar una API. Algunas preguntas útiles:

• ¿Qué recursos se exponen y cuáles podrían quedar internos?
• ¿Hay endpoints o acciones especiales innecesarias?
• ¿Cómo se versionará y retirará la interfaz?
• ¿Qué operaciones deben ser idempotentes o resistentes a replay?
• ¿La separación entre consumo público, privado y administrativo es clara?
• ¿La flexibilidad del contrato está justificada o es deuda futura?

18.17 Errores frecuentes

• Exponer recursos y operaciones “por si acaso”.
• Mantener múltiples versiones sin plan de retiro.
• Diseñar acciones sensibles sin protección frente a replay o duplicación.
• Mezclar funciones administrativas y de cliente final en la misma superficie.
• Confiar en interfaces demasiado flexibles y difíciles de validar.
• Permitir compatibilidad legacy sin revisar su costo en seguridad.
• Tratar el diseño como neutral y dejar toda la seguridad para después.

18.18 Qué debes recordar de este tema

• La seguridad de una API se define en gran parte en el diseño, no solo en controles posteriores.
• Minimizar exposición reduce superficie de ataque y simplifica gobernanza.
• El versionado agrega deuda de seguridad si no tiene retiro y mantenimiento claros.
• La idempotencia y el diseño resistente a replay son claves para operaciones sensibles.
• Una API clara, acotada y bien separada es más fácil de proteger que una interfaz excesivamente flexible.

18.19 Conclusión

La seguridad en diseño consiste en tomar decisiones estructurales que reduzcan riesgo antes de que la API llegue a producción. Versionar con disciplina, diseñar operaciones resistentes a repetición indebida y minimizar exposición no son detalles secundarios: son elecciones que determinan cuánto costará asegurar, operar y evolucionar la interfaz en el tiempo. Diseñar bien es, en gran medida, asegurar antes de implementar.

En el próximo tema estudiaremos API Gateways, WAF, proxies inversos y capas de protección, para analizar cómo ubicar controles perimetrales y de tránsito delante de la API sin perder visibilidad ni coherencia.