Cómo le hice reverse engineering a la API de Skool (y terminé publicando una extensión de Chrome)

por
Extensión de Chrome para reverse engineering de APIs - visualización synthwave

Cómo le hice reverse engineering a la API de Skool (y terminé publicando una extensión de Chrome)

Skool no tiene API pública.

Punto.

Y cuando necesitas automatizar algo en una plataforma que no la tiene, tienes tres opciones: usas Selenium para simular clics como si fuera 2015, aceptas que no se puede hacer, o te pones creativo.

Yo elegí la tercera.

El problema real

Tengo una comunidad en Skool — Cágala, Aprende, Repite. Quería automatizar ciertas tareas: detectar posts nuevos sin respuesta, responder desde telegram, publicarlas sin que yo tuviera que estar frente a la pantalla.

El problema: Skool no ofrece API oficial. Todo lo que hace su app pasa por llamadas internas que nunca documentaron.

La solución obvia para un desarrollador: ver qué pasa en el DevTools de Chrome cuando usas Skool como usuario normal. Cada clic, cada scroll, cada acción dispara requests HTTP. Esos requests tienen endpoints, headers, payloads. Eso es la API que necesitas — solo que nadie la escribió en Swagger.

El problema con el DevTools: es manual, incómodo, y tienes que copiar cada request a mano. Para algo simple está bien. Para mapear 30-40 endpoints de una plataforma compleja, es una pesadilla.

Lo que construí

Construí una extensión de Chrome que hace exactamente eso, pero automáticamente.

API Reverse Engineer — la instalas, haces clic en «Start», usas el sitio como siempre, y cuando terminas te descarga un JSON limpio con todos los endpoints capturados: URL, método, headers, request body, response body, status code, timing.

Todo lo que necesitas para replicar esas llamadas desde tu propio código.

El flujo completo es así:

  1. Instala la extensión
  2. Entra a Skool (o cualquier sitio que quieras analizar)
  3. Filtra por dominio si no quieres ruido (ej: api2.skool.com)
  4. Haz las acciones que quieres automatizar
  5. Descarga el JSON

El output se ve así:

{
  "meta": {
    "capturedAt": "2026-02-20T14:32:00.000Z",
    "total": 47,
    "uniqueEndpoints": 23,
    "site": "www.skool.com"
  },
  "endpoints": [
    {
      "method": "POST",
      "url": "https://api2.skool.com/posts",
      "requestBody": {
        "title": "Mi post",
        "body": "Contenido del post"
      },
      "status": 200,
      "responseBody": { "id": "abc123" },
      "duration": 142
    }
  ]
}

Con ese JSON, ya tienes todo lo que necesitas para llamar a esa API desde Python, n8n, OpenClaw, o lo que uses.

El obstáculo que no esperaba

Skool tiene una Content Security Policy bastante estricta. La primera versión de la extensión no funcionaba ahí — el navegador bloqueaba la inyección de scripts que necesitaba para interceptar el fetch nativo.

Tuve que cambiar el approach: en vez de inyectar código inline, la extensión ahora usa chrome.scripting.executeScript con world: 'MAIN', que corre en el contexto real de la página y bypasea el CSP sin violar las políticas de la Chrome Store.

No fue obvio. Me tomó algunas iteraciones. Pero ahora funciona en cualquier sitio, sin importar qué tan estricto sea el CSP.

El resultado

Con los endpoints capturados, armé mi propio cliente de la API de Skool. Ahora Nyx (mi agente de IA que vive en el VPS) puede:

  • Detectar posts nuevos en la comunidad sin respuesta
  • Generar respuestas con IA
  • Publicarlas directamente, sin abrir el browser

Lo publiqué también como actor en Apify para quien quiera usarlo sin necesidad de armar la infraestructura.

Y la extensión la publiqué en la Chrome Store porque si me sirvió a mí, le sirve a alguien más.

Por qué esto importa más allá de Skool

El reverse engineering de APIs es una habilidad subestimada.

La mayoría de los servicios web que usamos — plataformas de gestión, CRMs, herramientas de marketing — no tienen APIs públicas o tienen APIs incompletas. Pero todos tienen una app web que funciona. Y esa app web se comunica con sus servidores de alguna manera.

Con esta extensión, cualquier desarrollador puede documentar esos endpoints en minutos y construir integraciones que antes parecían imposibles.

No reemplaza tener una API oficial. Pero mientras esperas que la plataforma la construya — o si nunca lo hace — esta es la alternativa real.

Instala la extensión desde la Chrome Store | Código fuente en GitHub

¿Tienes dudas sobre automatización o integraciones? Únete a mi comunidad de emprendedores en Cágala, Aprende, Repite — ahí podemos ayudarte entre todos.

Publicaciones relacionadas:

Default ThumbnailComo establecer GMail como el correo predefinido en Chrome Api Gateway Private EndpointAPI Privada con Serverless Framework, AWS y VPCs. Default ThumbnailIntroducción a Serverless, Amazon Lambda, Express, Node.js y DynamoDB Default ThumbnailPrivacy Policy – API Reverse Engineer

Suscríbete a mi Newsletter

Estrategias de automatización, AI y startups que funcionan. Análisis semanal directo a tu inbox. (Sin spam, prometo intentarlo.)

Cristian TALA

Tecnología, Startups e Inversión.
Ex-founder Pago Fácil · Inversionista ángel · Mentor Startup Chile

in 𝕏 📷

Contenido

Tecnología Startups IA y Automatización Negocios Personal

Recursos

Comunidad Skool Newsletter Libros Podcast

Links

Sobre Mí Contacto Recursos En Medios Ecosistema Startup Es la Hora de Aprender Brand Manual
© 2026 Cristian Tala Sánchez. Todos los derechos reservados.