32.499 solicitudes en cinco años: los hackers usan documentación pública de las APIs para detectar vulnerabilidades
Un swagger.json expuesto facilita enormemente el trabajo de los atacantes.
Un archivo que describe una interfaz de programación puede parecer un detalle técnico habitual, pero para los atacantes ese archivo a menudo se convierte en un mapa útil del servicio ajeno.
El centro de internet SANS informó, que los atacantes siguen escaneando masivamente archivos swagger.json. Ese archivo se usa en Swagger, o OpenAPI, para describir el funcionamiento de la interfaz de programación, las funciones disponibles y las reglas para acceder a ellas. Para los desarrolladores, swagger.json ayuda a conectarse más rápido al servicio, pero si se publica descuidadamente proporciona demasiada información a terceros.
Desde el punto de vista de la seguridad de las aplicaciones web swagger.json se parece a un índice abierto de secciones de la interfaz de programación. Por sí solo, ese archivo no hace vulnerable al sistema y suele ser necesario para los equipos de desarrollo. El problema comienza cuando el documento con la descripción de la interfaz está accesible desde fuera sin control de acceso.
Según SANS, los atacantes buscan esos archivos durante años en direcciones estándar. La ruta más popular sigue siendo /swagger.json, para la que desde finales de 2020 se registraron 32 499 solicitudes. También se comprueban con frecuencia /api/v2/swagger.json, /swagger/v1/swagger.json, /api/swagger.json y /api-docs/swagger.json. Las últimas consultas a algunas de estas direcciones se registraron el 2 y el 3 de junio de 2026.
El interés por swagger.json se explica fácilmente. La descripción de la interfaz de programación puede revelar el conjunto de funciones, la estructura de las solicitudes, nombres internos y otras pistas sobre la aplicación. Con esos datos, los atacantes entienden más rápido qué producto está detrás del servicio y pueden buscar vulnerabilidades conocidas o puntos débiles en la lógica de funcionamiento.
SANS también observó nuevas variantes de direcciones que empezaron a aparecer en 2026. Entre ellas hay rutas codificadas como /%2Fswagger.json y direcciones más largas con los segmentos api-docs y swagger. Todavía hay muchas menos solicitudes a estas, pero la propia actividad muestra que los escáneres automáticos siguen ampliando la lista de rutas comprobadas.
SANS.edu no pide renunciar a swagger.json. La conclusión principal es otra: las organizaciones deberían buscar por sí mismas esos archivos en su infraestructura y comprobar si están publicados donde el acceso debería estar cerrado. Para las empresas con muchos servicios web esa comprobación es especialmente importante. Cuanta más libertad ofrece el enfoque con interfaces de programación, mayor es el riesgo de dejar por error al descubierto un documento que facilita mucho el reconocimiento para los atacantes.