Los endpoints públicos son necesarios para captar y operar, pero también son la puerta de entrada del abuso automatizado.
Protección mínima recomendada: validación estricta, límites por IP y por ventana temporal, bloqueo progresivo y trazabilidad de eventos.
En APIs, conviene separar límites por tipo de endpoint. No requiere el mismo umbral un healthcheck que un endpoint de creación de leads.
También ayuda incorporar señales de riesgo: frecuencia, patrones repetidos y campos anómalos.
La clave es combinar seguridad y UX: reducir abuso sin crear barreras excesivas para usuarios válidos.
Cuando esta capa está bien resuelta, baja el ruido operativo y mejora la calidad de datos que entra al negocio.
