Las APIs GraphQL han supuesto un antes y un después en la comunicación cliente-servidor. Sin embargo, en la práctica he observado que esa misma flexibilidad introduce vectores de ataque que los equipos de desarrollo tienden a subestimar. Este TFM nace para solucionar un problema real y práctico: la ausencia de una guía de referencia para securizar APIs GraphQL sobre un stack tecnológico tan potente y actual como es Quarkus. El proyecto se centra en aplicar el paradigma Secure by Design no como un concepto teórico, sino como una guía de implementación. Para ello, se desarrolla una API prototipo donde se implementan y validan contramedidas contra amenazas críticas como la introspección abusiva, ataques de denegación de servicio por complejidad de consulta y la fuga de datos por una autorización granular inadecuada. El resultado final no es solo una API funcional, sino un conjunto de pruebas de seguridad automatizadas y una guía de buenas prácticas replicable, diseñada para que otros desarrolladores puedan construir servicios GraphQL robustos y seguros desde el inicio.