⌘K
ENES
GitHub
conceptSeguridad Web~2 min de lecturaActualizado Apr 29, 2026#cybersecurity#web-security#sessions

Gestión de sesiones

Definición

La gestión de sesiones es el conjunto de mecanismos que una aplicación usa para mantener el estado autenticado a través de las requests. Esto incluye la creación, rotación, expiración e invalidación de sesiones, y cómo se transportan y protegen los identificadores de sesión.

Por qué importa

Incluso cuando la autenticación es correcta, una gestión de sesiones débil puede socavar todo el modelo de seguridad. Las sesiones se sientan en la intersección del comportamiento del navegador, las cookies, la lógica de auth y la confianza del lado del servidor.

Esta nota es sobre mantener el estado autenticado de forma segura después de que la identidad fue establecida. Fallas de autenticación cubre las fallas de login y prueba de identidad, mientras que Ataques a JWT cubre las fallas de estado y validación específicas de tokens.

Perspectiva del atacante

Los atacantes buscan:

  • identificadores de sesión predecibles o reusables
  • falta de rotación tras el login o cambio de privilegio
  • comportamiento de logout débil
  • oportunidades de fixation
  • cookies con atributos inseguros
  • fuga de sesión a través de URLs o logs

Perspectiva del defensor

Los defensores deberían:

  • rotar los identificadores de sesión en las transiciones de confianza significativas
  • expirar las sesiones apropiadamente
  • invalidar el estado del lado del servidor correctamente
  • mantener los identificadores de sesión fuera de las URLs
  • aplicar atributos de cookie seguros y chequeos consistentes del lado del servidor

Ejemplos prácticos

  • Un usuario se loguea pero mantiene el mismo identificador de sesión de antes de la autenticación.
  • El logout borra la cookie del navegador pero deja la sesión del lado del servidor válida.
  • Las sesiones sobreviven a cambios de contraseña o transiciones de rol sin revalidación.

Notas relacionadas

Referencias

  • Foundational: OWASP WSTG session management testing — https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/
  • Foundational: OWASP Cheat Sheet Series — https://cheatsheetseries.owasp.org/
  • Foundational: MDN Set-Cookie header — https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Set-Cookie

Notas relacionadas

Seguridad WebFallas de autenticaciónLas fallas de autenticación son debilidades en cómo una aplicación verifica la identidad. Incluyen lógica de login débil, enumeración de usuarios, flujos de MFA rotos, debilidades en el reset de contraseña, exposición a credential stuffing y supuestos defectuosos alrededor de la emisión de sesiones/tokens. Seguridad WebBot Detection SignalsLas señales de detección de bots son atributos observables de requests HTTP, sesiones de navegador y patrones de comportamiento que diferencian el tráfico automatizado del tráfico humano legítimo. No existe una señal única suficiente — la detección efectiva puntúa múltiples familias de señales en conjunto. Seguridad WebControl de acceso rotoEl control de acceso roto (broken access control) ocurre cuando una aplicación no logra imponer a qué puede acceder o qué puede hacer un llamante. Seguridad WebFronteras de seguridad del navegadorLas "fronteras de seguridad del navegador" son el stack en capas de fronteras de aislamiento que un navegador moderno impone entre contenido web — no una sola regla sino cinco fronteras que operan a distintas granularidades: origen (acceso de script), sitio (estado), proceso (memoria), agent cluster (APIs poderosas) y partición de almacenamiento (estado cross-site). La política del mismo origen es la más interna de estas; las otras se agregaron (mayormente 2019–2025, aceleradas por Spectre y por el trabajo de privacidad) porque el aislamiento a nivel de origen por sí solo ya no aguanta contra los canales laterales especulativos y el tracking cross-site. Un "bypass de seguridad del navegador" es casi siempre encontrar la única capa de este stack que no aguantó. Seguridad WebBusiness Logic VulnerabilitiesLas vulnerabilidades de lógica de negocio son fallas en el flujo de trabajo previsto, suposiciones, invariantes o diseño de reglas de una aplicación, donde el sistema se comporta como fue codificado pero no de forma segura según la intención. Seguridad WebClickjackingClickjacking es un ataque de redirección de UI donde un atacante embebe una página objetivo en un frame y engaña al usuario para que haga clic o escriba en la UI real del objetivo mientras cree que está interactuando con otra página.