⌘K
ENES
GitHub
conceptSeguridad Web~2 min de lecturaActualizado Apr 29, 2026#cybersecurity#web-security#access-control

Control de acceso roto

Definición

El control de acceso roto (broken access control) ocurre cuando una aplicación no logra imponer a qué puede acceder o qué puede hacer un llamante.

Por qué importa

Esta es una de las clases de mayor impacto en aplicaciones reales porque a menudo lleva directamente a:

  • acceso no autorizado a datos
  • acciones no autorizadas
  • escalada de privilegios
  • abuso de workflow
  • exposición del plano de admin/control

Es más amplia que cualquier subtipo individual. Es el área de riesgo paraguas que incluye:

  • fallas a nivel de objeto
  • fallas a nivel de función
  • fallas a nivel de propiedad
  • exposición de funciones ocultas
  • enforcement débil de tenant o de propiedad

Cómo funciona

El mecanismo es:

  1. la aplicación autentica a un llamante
  2. el sistema expone datos o funcionalidad
  3. el servidor no logra verificar si ese llamante tiene permitido acceder a ese recurso o acción en ese contexto

La distinción importante es:

  • la autenticación responde quién sos
  • la autorización responde qué podés hacer / acceder

Técnicas / patrones

Los atacantes normalmente testean cambiando:

  • identificadores de objeto
  • rutas y familias de rutas
  • métodos
  • parámetros ocultos
  • roles y scopes
  • etapa / estado del workflow
  • superficies específicas del cliente
  • valores a nivel de campo que no deberían ser escribibles

Variantes y bypasses

Falla de autorización a nivel de objeto

Notas relacionadas: IDOR, Broken Object-Level Authorization

Falla de autorización a nivel de función

Notas relacionadas: Broken Function-Level Authorization

Falla de autorización a nivel de propiedad

Notas relacionadas: Broken Object-Property-Level Authorization, Mass assignment, Exposición excesiva de datos

Falla de UI oculta

El frontend oculta la capacidad, pero el backend la acepta.

Deriva cross-versión o cross-cliente

Un cliente o versión impone el acceso correctamente, otro no.

Falla de frontera de tenant / propiedad

El sistema confía en referencias o estado sin imponer correctamente la propiedad o la separación de tenants.

Impacto

Impacto típico:

  • leer los datos de otro usuario
  • modificar los recursos de otro usuario
  • invocar acciones solo-de-admin o solo-de-staff
  • cambiar el estado de un workflow protegido
  • colapso de la frontera multi-tenant
  • escalada de privilegios

Detección y defensa

Ordenado por efectividad:

  1. Tratá la autorización como un sistema del lado del servidor de primera clase
  2. Imponé autorización en cada camino de acceso
  3. Separá los chequeos de objeto, función y propiedad
  4. Negá por defecto
  5. Testeá múltiples identidades y roles
  6. Logueá los intentos de acceso negados y sospechosos
  7. Revisá la deriva entre versiones y clientes

Ejemplos prácticos

  • un usuario normal lee la factura de otro usuario
  • un endpoint mobile permite un bypass de control de acceso no presente en la UI web
  • una acción de admin es invocable directamente
  • un campo JSON escribible deja a un usuario escalar propiedad o rol
  • una ruta legacy preserva reglas de autorización más débiles

Notas relacionadas

Notas atómicas futuras sugeridas

  • Fallas de frontera de tenant
  • Deriva de autorización entre clientes

Referencias

  • Foundational: OWASP Top 10 Broken Access Control — https://owasp.org/Top10/2021/A01_2021-Broken_Access_Control/
  • Foundational: OWASP WSTG authorization testing — https://owasp.org/www-project-web-security-testing-guide/latest/
  • Testing / Lab: PortSwigger access control topic — https://portswigger.net/web-security/access-control

Notas relacionadas

Seguridad WebInsecure Direct Object Reference (IDOR)IDOR es una clase de falla de autorización donde un atacante puede acceder o actuar sobre un objeto manipulando una referencia directa como un ID, nombre de archivo, clave o path. Seguridad WebFallas de autenticaciónLas fallas de autenticación son debilidades en cómo una aplicación verifica la identidad. Incluyen lógica de login débil, enumeración de usuarios, flujos de MFA rotos, debilidades en el reset de contraseña, exposición a credential stuffing y supuestos defectuosos alrededor de la emisión de sesiones/tokens. Seguridad WebBot Detection SignalsLas señales de detección de bots son atributos observables de requests HTTP, sesiones de navegador y patrones de comportamiento que diferencian el tráfico automatizado del tráfico humano legítimo. No existe una señal única suficiente — la detección efectiva puntúa múltiples familias de señales en conjunto. Seguridad WebFronteras de seguridad del navegadorLas "fronteras de seguridad del navegador" son el stack en capas de fronteras de aislamiento que un navegador moderno impone entre contenido web — no una sola regla sino cinco fronteras que operan a distintas granularidades: origen (acceso de script), sitio (estado), proceso (memoria), agent cluster (APIs poderosas) y partición de almacenamiento (estado cross-site). La política del mismo origen es la más interna de estas; las otras se agregaron (mayormente 2019–2025, aceleradas por Spectre y por el trabajo de privacidad) porque el aislamiento a nivel de origen por sí solo ya no aguanta contra los canales laterales especulativos y el tracking cross-site. Un "bypass de seguridad del navegador" es casi siempre encontrar la única capa de este stack que no aguantó. Seguridad WebBusiness Logic VulnerabilitiesLas vulnerabilidades de lógica de negocio son fallas en el flujo de trabajo previsto, suposiciones, invariantes o diseño de reglas de una aplicación, donde el sistema se comporta como fue codificado pero no de forma segura según la intención. Seguridad WebClickjackingClickjacking es un ataque de redirección de UI donde un atacante embebe una página objetivo en un frame y engaña al usuario para que haga clic o escriba en la UI real del objetivo mientras cree que está interactuando con otra página.