⌘K
ENES
GitHub
conceptSeguridad Web~2 min de lecturaActualizado Apr 29, 2026#cybersecurity#web-security#authentication

Fallas de autenticación

Definición

Las fallas de autenticación son debilidades en cómo una aplicación verifica la identidad. Incluyen lógica de login débil, enumeración de usuarios, flujos de MFA rotos, debilidades en el reset de contraseña, exposición a credential stuffing y supuestos defectuosos alrededor de la emisión de sesiones/tokens.

Por qué importa

La autenticación es la puerta de entrada a la app. Cuando falla, los atacantes a menudo obtienen acceso antes de necesitar algo más avanzado. Estas fallas también amplían la superficie de ataque para la escalada de privilegios y el account takeover.

Esta nota es sobre probar la identidad correctamente. Gestión de sesiones cubre lo que pasa después de que el login tiene éxito, y Ataques a JWT cubre los modos de falla específicos de tokens en vez del flujo de auth más amplio.

Perspectiva del atacante

Los atacantes testean:

  • el comportamiento de error del login
  • las protecciones contra fuerza bruta
  • los huecos de enforcement de MFA
  • los flujos de reset y recuperación de contraseña
  • la emisión de tokens tras validación parcial
  • la enumeración de usuarios a través de timing o mensajes

Perspectiva del defensor

Los defensores deberían:

  • hacer los flujos de autenticación explícitos y testeables
  • limitar el impacto de la fuerza bruta y el credential stuffing
  • endurecer el reset y la recuperación de contraseña
  • tratar el MFA como un control con casos borde, no como una capa mágica
  • evitar filtrar la existencia de cuentas o el estado de auth

Ejemplos prácticos

  • La app revela si un email existe en el login.
  • Los tokens de reset de contraseña son débiles o nunca expiran.
  • El MFA se impone en la UI pero no en una llamada de API directa.

Notas relacionadas

Referencias

  • Foundational: OWASP Authentication Cheat Sheet — https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
  • Foundational: OWASP WSTG authentication testing — https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/
  • Testing / Lab: PortSwigger authentication vulnerabilities — https://portswigger.net/web-security/authentication

Notas relacionadas

Seguridad WebEvilginx and Reverse Proxy PhishingEl phishing con reverse proxy (también llamado AiTM — Adversary-in-The-Middle) es una técnica donde el atacante pone un proxy inverso entre la víctima y el sitio legítimo. El proxy retransmite el tráfico en tiempo real — incluyendo credenciales, respuestas MFA de un solo uso, y cookies de sesión — permitiendo al atacante capturar sesiones autenticadas incluso cuando MFA está habilitado. Seguridad WebResistencia al phishing del MFALa resistencia al phishing del MFA es la propiedad de que un método de autenticación no puede producir un secreto reusable ni un resultado de autenticación válido para un origen impostor, aunque se engañe al usuario para que interactúe con ese impostor. Seguridad WebOAuth SecurityOAuth security es el conjunto de controles que evitan que los flujos de autorización OAuth/OIDC filtren códigos de autorización, tokens, claims de identidad, o confianza en la redirección hacia el cliente equivocado o hacia un destino controlado por el atacante. Seguridad WebBot Detection SignalsLas señales de detección de bots son atributos observables de requests HTTP, sesiones de navegador y patrones de comportamiento que diferencian el tráfico automatizado del tráfico humano legítimo. No existe una señal única suficiente — la detección efectiva puntúa múltiples familias de señales en conjunto. Seguridad WebControl de acceso rotoEl control de acceso roto (broken access control) ocurre cuando una aplicación no logra imponer a qué puede acceder o qué puede hacer un llamante. Seguridad WebFronteras de seguridad del navegadorLas "fronteras de seguridad del navegador" son el stack en capas de fronteras de aislamiento que un navegador moderno impone entre contenido web — no una sola regla sino cinco fronteras que operan a distintas granularidades: origen (acceso de script), sitio (estado), proceso (memoria), agent cluster (APIs poderosas) y partición de almacenamiento (estado cross-site). La política del mismo origen es la más interna de estas; las otras se agregaron (mayormente 2019–2025, aceleradas por Spectre y por el trabajo de privacidad) porque el aislamiento a nivel de origen por sí solo ya no aguanta contra los canales laterales especulativos y el tracking cross-site. Un "bypass de seguridad del navegador" es casi siempre encontrar la única capa de este stack que no aguantó.