Herramientas de seguridad - AI Security Hub

🔎 Herramientas de pruebas dinámicas de seguridad de aplicaciones (DAST)

Herramientas que envían solicitudes a API en funcionamiento para detectar vulnerabilidades.

Burp Suite Edición comercial / gratuita disponible

La herramienta estándar del sector para pruebas de seguridad de aplicaciones web y API. Capacidades de interceptación y exploración basadas en proxy.

Interceptar y modificar peticiones/respuestas HTTP
Escaneo automatizado (SQL Injection, XSS, etc.)
Intruso: Fuzzing de parámetros
Repetidor: Repetición y verificación manual de solicitudes
Amplio ecosistema de extensiones (BApp Store)

Consejos para probar la API

Importe una definición OpenAPI/Swagger para rastrear y probar automáticamente todos los puntos finales.

OWASP ZAP Libre / OSS

Una herramienta de pruebas de seguridad de código abierto desarrollada por OWASP. Fácil de integrar en procesos CI/CD.

Exploración activa / Exploración pasiva
Importar definiciones de API (OpenAPI, GraphQL)
Integración CI/CD (GitHub Actions, Jenkins)
Ejecución Headless compatible con Docker
Pruebas personalizadas mediante secuencias de comandos

BashEscaneado de API con ZAP Docker

docker run -t ghcr.io/zaproxy/zaproxy:stable zap-api-scan.py \
  -t https://api.example.com/openapi.json \
  -f openapi \
  -r report.html

🧪 Herramientas de desarrollo y pruebas de API

Cartero Gratuito / Comercial

La herramienta de referencia para el desarrollo y las pruebas de API. También es útil para pruebas de seguridad.

Organice los casos de prueba con la función Colecciones
Cambiar entre puesta en escena/producción con variables de entorno
Adquisición automática de tokens con scripts de solicitud previa
Automatizar la validación de respuestas en la pestaña Pruebas
Ejecutar desde CI/CD con Newman (CLI)

JavaScriptEjemplo de script de prueba Postman

// Validación del código de estado
pm.test("Status is 200", () => {
  pm.response.to.have.status(200);
});

// Validación del encabezado de seguridad
pm.test("Security headers present", () => {
  pm.response.to.have.header("X-Content-Type-Options");
  pm.response.to.have.header("Strict-Transport-Security");
});

// Comprobar la exposición de datos sensibles
pm.test("No sensitive data exposed", () => {
  const body = pm.response.json();
  pm.expect(body).to.not.have.property("password");
  pm.expect(body).to.not.have.property("password_hash");
  pm.expect(body).to.not.have.property("secret");
});

curl + jq Libre / CLI

Pruebas rápidas de API desde la línea de comandos. Fácil de programar y automatizar.

Disponible en cualquier entorno
Automatización con shell scripts
Analizar respuestas JSON con jq
Inspección detallada de cabeceras HTTP

BashComprobación de la cabecera de seguridad

# Check response headers
curl -s -D - -o /dev/null https://api.example.com/health

# Intento de acceso sin autenticación
curl -s -w "%{http_code}" https://api.example.com/api/users

# Prueba BOLA (acceso al recurso de otro usuario)
curl -s -H "Authorization: Bearer $TOKEN" \
  https://api.example.com/api/users/OTHER_USER_ID

📊 Análisis estático (SAST) y análisis de composición de software (SCA)

Semgrep Libre / OSS

Una herramienta de análisis estático basada en patrones. Fácil de crear reglas personalizadas.

Soporte multilingüe (JS, Python, Go, Java, etc.)
Reglas de seguridad integradas
Fácil integración CI/CD
Definir reglas personalizadas en YAML

Snyk Nivel gratuito disponible

Exploración de vulnerabilidades de dependencia y análisis de código.

Exploración de dependencias para npm, pip, Maven, etc.
Detección automática de CVE conocidas
Generación automática de PRs fijos
Escaneado de imágenes de contenedores

npm audit / Trivy Gratis

Comprobación de vulnerabilidades para gestores de paquetes y contenedores.

npm audit: Paquetes Node.js
auditoría python: Paquetes Python
Trivy: Contenedores, IaC y sistemas de archivos
Ideal para CI/CD

BashComprobación de la vulnerabilidad a la dependencia

# Comprueba las dependencias de Node.js
npm audit --production

# Escaneo de seguridad con Semgrep
semgrep --config=p/security-audit ./src

# Escaneo de contenedores con Trivy
trivy image --severity HIGH,CRITICAL myapp:latest

📝 Especificación de API y gestión de documentación

Swagger / OpenAPI Especificación estándar

Definir las especificaciones de la API en un formato legible por máquina. También se utiliza como entrada para las pruebas de seguridad.

Definición exhaustiva de criterios de valoración, parámetros y respuestas
Esquemas de seguridad explícitos (OAuth, API Key, etc.)
Importación a ZAP/Burp para automatizar las pruebas
Generación interactiva de documentación con Swagger UI

Spectral Libre / OSS

Herramienta de linter para las especificaciones OpenAPI. Comprueba el cumplimiento de las mejores prácticas de seguridad.

Comprobar la presencia de definiciones de esquemas de seguridad
Detectar puntos finales no autenticados
Aplique políticas internas con reglas personalizadas
Portal de calidad para especificaciones API en CI/CD

📡 Herramientas de supervisión y registro

Pasarela API

Kong, AWS API Gateway, Apigee y otros.

Autenticación y autorización centralizadas
Aplicación de la limitación de velocidad
Solicitud de agregación de registros
Alertas de detección de anomalías

WAF

AWS WAF, Cloudflare, ModSecurity y otros.

Bloquear patrones de ataque como SQLi/XSS
Control de acceso basado en GeoIP
Mitigación de bots
Definiciones de reglas personalizadas

SIEM / Análisis de registros

ELK Stack, Splunk, Datadog y otros.

Agregación y visualización de registros de API
Detección de patrones anómalos
Apoyo a la respuesta a incidentes
Auditoría de conformidad

🤖 AI Security Testing Tools

Specialized tools for testing and securing LLMs, AI agents, and ML pipelines.

Garak Free / OSS

LLM vulnerability scanner that probes for prompt injection, data leakage, hallucination, and other LLM-specific weaknesses.

Automated prompt injection and jailbreak testing
Data leakage and memorization detection
Plugin-based architecture for custom probes
Supports OpenAI, Hugging Face, and local models

BashLLM Vulnerability Scan with Garak

# Install garak
pip install garak

# Run prompt injection probes against an OpenAI model
garak --model_type openai --model_name gpt-4 \
  --probes promptinject

# Run all probes and generate report
garak --model_type openai --model_name gpt-4 \
  --probes all --report_prefix my_audit

OWASP Reference

Addresses: LLM01: Prompt Injection, LLM06: Excessive Agency

Rebuff Free / OSS

Prompt injection detection framework with multi-layer defense: heuristics, LLM-based analysis, and vector similarity.

Multi-layered detection (heuristic + AI + vector DB)
Canary token injection for leak detection
Easy integration as middleware
Configurable sensitivity thresholds

OWASP Reference

Addresses: LLM01: Prompt Injection

NeMo Guardrails Free / OSS (NVIDIA)

Runtime guardrails framework for LLM applications. Define conversation boundaries using Colang rules.

Topic boundary enforcement (prevent off-topic responses)
Fact-checking and hallucination reduction rails
Sensitive data detection and PII redaction
Moderation and toxicity filtering

OWASP Reference

Addresses: LLM02: Insecure Output Handling, ASI07: Inadequate Guardrails

PyRIT Free / OSS (Microsoft)

Python Risk Identification Tool for generative AI. Automates red-teaming with multi-turn attack strategies.

Automated multi-turn red-teaming conversations
Attack strategy orchestration (crescendo, PAIR, etc.)
Scoring engine for response evaluation
Supports Azure OpenAI, Hugging Face, and local models

OWASP Reference

Addresses: LLM01: Prompt Injection, LLM07: Insecure Plugin Design

🗺 Guía de selección de herramientas

Propósito	Herramienta recomendada	Cronometraje
Comprobación de seguridad de la especificación API	Spectral	Fase de diseño / especificación
Análisis de seguridad del código	Semgrep	Desarrollo / Relaciones públicas
Comprobación de la vulnerabilidad de las dependencias	Snyk / npm audit	Tiempo de construcción / Periódico
Pruebas de seguridad manuales	Burp Suite / Postman	Fase de pruebas / control de calidad
Análisis automatizado (CI/CD)	OWASP ZAP	Antes del despliegue
Protección del entorno de producción	WAF + API Gateway	En funcionamiento
Supervisión de registros y detección de anomalías	SIEM (ELK / Datadog)	En funcionamiento / Continuo
LLM vulnerability scanning	Garak / PyRIT	Pre-deployment / Periodic
Prompt injection detection	Rebuff	Runtime / Integration
LLM runtime guardrails	NeMo Guardrails	Runtime / Continuous
AI red-teaming automation	PyRIT	Testing / QA phase
AI model supply chain verification	Semgrep / ModelScan	Build time / Pre-deployment

Herramientas de seguridad de la API

🔎 Herramientas de pruebas dinámicas de seguridad de aplicaciones (DAST)

Burp Suite Edición comercial / gratuita disponible

OWASP ZAP Libre / OSS

🧪 Herramientas de desarrollo y pruebas de API

Cartero Gratuito / Comercial

curl + jq Libre / CLI

📊 Análisis estático (SAST) y análisis de composición de software (SCA)

Semgrep Libre / OSS

Snyk Nivel gratuito disponible

npm audit / Trivy Gratis

📝 Especificación de API y gestión de documentación

Swagger / OpenAPI Especificación estándar

Spectral Libre / OSS

📡 Herramientas de supervisión y registro

Pasarela API

WAF

SIEM / Análisis de registros

🤖 AI Security Testing Tools

Garak Free / OSS

Rebuff Free / OSS

NeMo Guardrails Free / OSS (NVIDIA)

PyRIT Free / OSS (Microsoft)

🗺 Guía de selección de herramientas