Google Dorking: cómo encontrar APIs expuestas (guía para pentesters)

Reciban un saludo. Hoy quiero mostrarles algo que a muchos les va a volar la cabeza: Google no solo indexa páginas, también indexa APIs, paneles y configuraciones expuestas que nadie debería poder encontrar. Y la técnica para sacarlas a la luz se llama Google Dorking. Es de las primeras armas de cualquier pentester o bug bounty hunter. Vamos a verla aplicada a encontrar APIs expuestas.

Uso ético: usa esto solo sobre objetivos donde tengas autorización o un programa de bug bounty activo. Acceder a datos de terceros sin permiso es ilegal; repórtalos de forma responsable.

¿Qué es el Google Dorking?

El Google Dorking consiste en usar los operadores de búsqueda avanzados de Google para encontrar información que está indexada pero no debería ser pública. Ojo: no explota ninguna vulnerabilidad de Google; simplemente aprovecha que muchos servidores exponen archivos y endpoints sensibles que el buscador rastrea.

Los operadores que tienes que dominar

  • site: — limita a un dominio: site:ejemplo.com
  • inurl: — término en la URL: inurl:api
  • intitle: — término en el título.
  • filetype: / ext: — tipo de archivo: filetype:json
  • intext: — término en el cuerpo. Y combina con comillas "..." y el menos -.

Dorks para encontrar APIs expuestas

Aquí van algunos que uso (cambia ejemplo.com por tu objetivo autorizado):

site:ejemplo.com inurl:api
site:ejemplo.com inurl:"/api/v1"
site:ejemplo.com intitle:"swagger ui"
site:ejemplo.com inurl:swagger.json
site:ejemplo.com filetype:json intext:api_key
site:ejemplo.com inurl:wp-json

Estos dorks te revelan documentación de APIs (Swagger/OpenAPI), endpoints versionados, claves filtradas en JSON y APIs de WordPress. Para un bug bounty hunter, encontrar un swagger abierto suele ser la puerta de entrada a decenas de endpoints sin documentar.

La Google Hacking Database

Y no tienes que inventar los dorks: la Google Hacking Database (GHDB) de Exploit-DB tiene miles de dorks categorizados. Échale un ojo, es una mina.

Cómo proteger tus APIs

  • No expongas Swagger/OpenAPI en producción sin autenticación.
  • Usa robots.txt y X-Robots-Tag: noindex en endpoints sensibles.
  • Nunca dejes claves o secretos en respuestas o ficheros accesibles.
  • Audita cada cierto tiempo qué tiene Google indexado de tu dominio.

Conclusión

El Google Dorking demuestra que muchas brechas no necesitan exploits sofisticados: basta con saber buscar. Es reconocimiento esencial —y un recordatorio de lo fácil que es exponer una API por accidente—.

👉 ¿Quieres dominar el recon, el bug bounty y la seguridad de APIs? Te espero en los cursos de Academia SecPro. ¡Nos vemos en el próximo!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *