¿Qué es la omisión de autenticación?
La omisión de autenticación es una vulnerabilidad que permite a un atacante acceder a un sistema, aplicación o recurso sin presentar credenciales válidas. En lugar de romper el cifrado o descifrar contraseñas, el atacante engaña al sistema para que crea que ya está autenticado, o bien omite por completo el mecanismo de autenticación.
La debilidad principal, CWE-287, define la condición central: un producto no implementa correctamente la autenticación, permitiendo que un actor asuma la identidad de otro usuario. Cada sub-tipo específico de omisión se clasifica dentro de esta categoría en la jerarquía MITRE CWE.
La omisión de autenticación ha sido responsable de algunas de las brechas más dañinas en los últimos años. La campaña de ransomware Cl0p que explotó MOVEit Transfer en 2023 afectó a muchas organizaciones e individuos, según SecurityWeek. Afiliados de LockBit 3.0 utilizaron la vulnerabilidad "Citrix Bleed" para establecer sesiones sin nombre de usuario, contraseña ni token MFA, según un aviso de CISA.
El OWASP WSTG describe la mecánica principal: a menudo es posible omitir la autenticación manipulando solicitudes y engañando a la aplicación para que piense que el usuario ya está autenticado. Los atacantes logran esto modificando parámetros de URL, manipulando formularios o falsificando sesiones.
Si comprende cómo funcionan estas omisiones, puede detenerlas de manera más efectiva.
¿Cómo funciona la omisión de autenticación?
La omisión de autenticación explota debilidades en la forma en que un sistema verifica la identidad. En lugar de enfrentar directamente la puerta de autenticación, los atacantes encuentran formas de rodearla, atravesarla o evadirla.
La mecánica principal
Todo sistema de autenticación sigue un flujo básico: un usuario presenta credenciales, el sistema las valida y el sistema emite un token de sesión o concede acceso. La omisión de autenticación apunta a uno o más pasos de este flujo:
- Omitir la autenticación por completo. El atacante accede a una función, punto final de API o interfaz alternativa que no tiene puerta de autenticación. Una API REST o un puerto de depuración sin comprobaciones de credenciales permite a cualquiera acceder directamente a recursos críticos.
- Manipulación de entradas de autenticación. El atacante modifica datos del lado del cliente que el sistema confía como prueba de identidad. Establecer el valor de una cookie en "LOGGEDIN" o cambiar un campo oculto de formulario a "admin=true" puede engañar a sistemas mal diseñados para conceder acceso.
- Explotación de fallos lógicos. El código de autenticación utiliza lógica booleana incorrecta, evalúa condiciones en orden erróneo o no maneja casos límite. Un operador incorrecto en una condicional de autenticación puede hacer que la comprobación pase cuando debería fallar (CWE-303).
- Secuestro de sesiones válidas. El atacante intercepta o reproduce un token de sesión legítimo. Si el sistema carece de validación de nonce, comprobaciones de marca de tiempo o prevención de repetición, un token capturado otorga el mismo acceso que el usuario original.
- Abuso de mecanismos de recuperación. Flujos de restablecimiento de contraseña sin limitación, con preguntas de seguridad predecibles o que no verifican la identidad a través de un segundo canal permiten a los atacantes tomar el control de cuentas sin conocer la contraseña original.
Cada una de estas mecánicas ha aparecido en compromisos documentados en el mundo real. El siguiente ejemplo rastrea uno de los patrones más comunes a través de un escenario concreto.
Un flujo de ataque paso a paso
Considere una aplicación web con una interfaz administrativa protegida por autenticación robusta. Un punto final de API interno en /api/v2/admin/config, creado para una herramienta de desarrollo, nunca fue protegido por la misma puerta de autenticación.
El atacante encuentra este punto final mediante enumeración de directorios, envía una solicitud HTTP manipulada y el servidor devuelve datos de configuración y otorga acceso administrativo. La página de inicio de sesión nunca fue tocada.
Este patrón, mapeado a CWE-306, aparece repetidamente en exploits reales. Saber qué tipo de omisión está presente determina tanto la ruta de ataque como el control adecuado para detenerlo.
Tipos de omisión de autenticación
La omisión de autenticación no es una sola vulnerabilidad, sino una familia de debilidades agrupadas bajo CWE-287. Cada tipo explota un punto diferente en el flujo de autenticación y cada uno requiere un control defensivo distinto para abordarlo.
| Tipo | CWE | Cómo funciona |
| Falta de autenticación | CWE-306 | Una función o punto final crítico se entrega sin puerta de autenticación. Cualquiera con acceso a la red al recurso puede acceder directamente. |
| Omisión por ruta alternativa | CWE-288 | Un canal secundario, como un puerto de depuración, API interna o interfaz administrativa, omite los controles de autenticación aplicados a la ruta principal. |
| Omisión de lógica de autenticación | CWE-303 | Operadores booleanos incorrectos o evaluación condicional fuera de orden hacen que la comprobación de autenticación pase cuando debería fallar. |
| Omisión por confianza en el lado del cliente | CWE-302 | El sistema acepta cookies manipuladas, campos ocultos de formularios o parámetros de URL como prueba de identidad autenticada en lugar de validar del lado del servidor. |
| Fijación de sesión | CWE-384 | El atacante preestablece un ID de sesión conocido antes de que la víctima se autentique. Tras el inicio de sesión, ese ID transporta la sesión privilegiada de la víctima. |
| Captura y repetición | CWE-294 | Un token de sesión válido es interceptado y reutilizado. Sin validación de nonce o comprobaciones de marca de tiempo, el servidor trata el token repetido como una solicitud legítima. |
| Credenciales predeterminadas o codificadas | CWE-798 | Credenciales incrustadas en firmware, código fuente o configuración de fábrica crean una omisión permanente que sobrevive a actualizaciones y parches. |
| Omisión por recuperación defectuosa | CWE-640 | Flujos de restablecimiento de contraseña sin limitación, preguntas de seguridad predecibles o sin verificación por segundo canal permiten a los atacantes restablecer credenciales sin autorización. |
Estos tipos no son mutuamente excluyentes. Un solo sistema puede contener múltiples variantes simultáneamente y los exploits encadenados suelen combinar dos o más de ellas. Comprender qué tipo está presente es el primer paso para construir un modelo de amenazas preciso.
Causas comunes de la omisión de autenticación
La omisión de autenticación no proviene de un solo fallo. Surge de una variedad de fallos de diseño, implementación y operación que crean brechas en la verificación de identidad de los sistemas.
Puertas de autenticación ausentes o incompletas
Funciones críticas se entregan sin requerimiento de autenticación: APIs REST, consolas administrativas, puertos de depuración e interfaces UART de IoT. CWE-306 documenta ejemplos reales: una API de flujo de trabajo sin autenticación (CVE-2020-13927, listada en el catálogo de vulnerabilidades explotadas conocidas de CISA) y ejecución remota de código en VMware mediante carga de archivos sin autenticación (CVE-2021-21972, también en CISA KEV).
Exposición por ruta alternativa
Un sistema requiere autenticación en su interfaz principal pero tiene una ruta secundaria que no aplica los mismos controles. CWE-288 captura este patrón, y sigue siendo una de las causas raíz más explotables en software empresarial en producción.
Confianza en datos del lado del cliente
Sistemas que confían en cookies, campos ocultos de formularios o parámetros de URL como evidencia de autenticación son trivialmente omitidos. CWE-302 define esta debilidad.
Credenciales codificadas y predeterminadas
Credenciales incrustadas en firmware, código fuente o valores predeterminados de fábrica crean puertas traseras permanentes. CWE-798 aparece en el CWE Top 25 Most Dangerous Software Weaknesses (2024). La campaña Stuxnet explotó credenciales codificadas en sistemas SCADA (CVE-2010-2772), y las contraseñas predeterminadas en firmware de routers siguen siendo un punto de entrada persistente.
Fallos en la gestión de sesiones
Cuando los IDs de sesión no se regeneran tras el inicio de sesión, los atacantes pueden explotar la fijación de sesión (CWE-384). El atacante establece un ID de sesión conocido antes de que la víctima se autentique. Tras el inicio de sesión, el ID preestablecido transporta la sesión autenticada de la víctima.
Controles criptográficos débiles
Sistemas que no implementan validación de nonce, comprobaciones de marca de tiempo o mecanismos de desafío-respuesta son vulnerables a ataques de captura y repetición (CWE-294). Un token de autenticación interceptado puede ser reutilizado indefinidamente.
Mecanismos de recuperación defectuosos
Flujos de restablecimiento de contraseña sin limitación, vulnerabilidades de redirección de correo electrónico o preguntas de seguridad respondibles desde perfiles de redes sociales permiten a los atacantes restablecer credenciales sin autorización (CWE-640).
Estas causas raíz producen consecuencias que van mucho más allá del acceso no autorizado.
Impacto y riesgo de la omisión de autenticación
La omisión de autenticación no es una vulnerabilidad aislada. Es el punto de entrada para una cadena de ataque documentada que conduce a robo de credenciales, movimiento lateral, exfiltración de datos y despliegue de ransomware.
Los datos sobre su impacto real son consistentes en los principales informes de la industria:
- Las credenciales robadas siguen siendo un método de acceso inicial altamente prevalente en comparación con otros vectores, según el 2025 DBIR.
- El informe de IBM sitúa el coste promedio global de una brecha en millones de dólares.
- Las VPN y dispositivos perimetrales continuaron recibiendo atención significativa de atacantes en el mismo periodo, según el 2025 DBIR.
- Los sistemas comprometidos donde se encontraron credenciales corporativas también incluyeron endpoints BYOD (Bring Your Own Device) no gestionados que están fuera de los flujos estándar de parcheo y monitoreo empresarial, según el 2025 DBIR.
Si comprende las técnicas de los atacantes, puede construir defensas más sólidas contra ellas.
Cómo los atacantes explotan la omisión de autenticación
Los atacantes utilizan la omisión de autenticación mediante múltiples técnicas documentadas, mapeadas al marco ATT&CK. La explotación moderna rara vez implica un solo CVE. El encadenamiento de múltiples CVE es común.
Modificación de procesos de autenticación (T1556)
T1556 cubre técnicas que subvierten directamente un mecanismo de autenticación en lugar de explotar credenciales. En entornos empresariales, tres sub-técnicas aparecen con mayor frecuencia:
- Ataques Skeleton Key (T1556.001): Modificación de LSASS (Local Security Authority Subsystem Service) en un controlador de dominio con credenciales controladas por el adversario, permitiendo autenticación como cualquier usuario de dominio hasta el próximo reinicio.
- Omisión de MFA (T1556.006): Redirección de llamadas MFA a localhost mediante modificación del archivo hosts para que MFA falle silenciosamente mientras la autenticación continúa.
- Abuso de identidad híbrida (T1556.007): Registro de un nuevo agente de Autenticación de Paso Directo mediante una cuenta Entra ID Global Administrator comprometida para recolectar credenciales.
Estas sub-técnicas son especialmente efectivas contra entornos de identidad híbrida donde las decisiones de autenticación se distribuyen entre sistemas locales y en la nube.
Explotación de cuentas válidas (T1078)
Los atacantes obtienen y abusan de credenciales de cuentas existentes. Esto se relaciona directamente con CWE-798 (credenciales codificadas) y CWE-1392 (credenciales predeterminadas). Cuando los sistemas se entregan con credenciales de fábrica sin cambios, los atacantes obtienen acceso sin explotar vulnerabilidades a nivel de código.
Fuerza bruta y password spraying (T1110)
Tres tipos de ataque distintos requieren enfoques defensivos diferentes:
- Fuerza bruta: Se prueban múltiples contraseñas contra una sola cuenta. El bloqueo por cuenta detecta esto.
- Credential stuffing: Pares de usuario y contraseña de datos de brechas se prueban en varias cuentas.
- Password spraying: Una sola contraseña débil se prueba en muchas cuentas. Este patrón evade completamente los umbrales de bloqueo por cuenta, como señala la guía de autenticación OWASP.
Defenderse de los tres requiere controles independientes. Una política de bloqueo que detiene la fuerza bruta no detectará un password spraying de bajo volumen distribuido en miles de cuentas, y ninguno de los dos detecta credential stuffing cuando las credenciales son válidas.
Falsificación de credenciales web (T1606)
Los adversarios generan credenciales falsificadas, como tokens de API en la nube o claves de pre-autenticación, que omiten MFA y otras protecciones de autenticación.
Encadenamiento de múltiples CVE en la práctica
Varias de las campañas recientes más impactantes utilizaron cadenas explícitas de CVE:
- Cisco IOS XE (2023): CVE-2023-20198 otorgó acceso inicial y ejecución de comandos con privilegio 15, luego CVE-2023-20273 elevó a root e instaló una puerta trasera basada en Lua.
- Ivanti Connect Secure (2024): Una cadena de cuatro CVE (CVE-2023-46805, CVE-2024-21887, CVE-2024-21893, CVE-2024-22024) logró ejecución de comandos sin autenticación, con atacantes manipulando el verificador de integridad de Ivanti para evadir la detección.
- APT ruso (2020): CVE-2018-13379 extrajo credenciales en texto claro de Fortinet SSL VPN, encadenado con CVE-2020-1472 (Netlogon) para escalada de privilegios de dominio, según aviso de CISA.
Para los equipos de SOC, esto significa que la gestión de alertas para CVE de omisión de autenticación debe activar inmediatamente consultas de correlación para explotación de vulnerabilidades compañeras, no una respuesta aislada a CVE. Saber quién enfrenta estos ataques le ayuda a priorizar sus defensas.
¿Quiénes se ven afectados por la omisión de autenticación?
Algunas industrias y tipos de aplicaciones enfrentan un riesgo desproporcionado.
Industrias con mayor riesgo
Los datos de brechas a nivel industrial muestran patrones consistentes en varios ciclos de informes. Algunos sectores enfrentan una exposición elevada año tras año debido a su dependencia de servicios expuestos a Internet, flujos de trabajo con muchas credenciales y almacenes de datos de alto valor.
| Industria | Hallazgo clave | Fuente |
| Alto volumen de incidentes y brechas, con credenciales comprometidas en una proporción notable de brechas en manufactura. | ||
| Salud | Las brechas confirmadas siguen siendo altas, con una proporción significativa vinculada a actores internos. | |
| Gobierno | El ransomware aparece en brechas gubernamentales en niveles significativos. | |
| Finanzas y seguros | Costos de brecha por encima del promedio según el informe IBM 2024. | |
| Infraestructura crítica | CISA confirmó actores estatales intermediando acceso para afiliados de ransomware. |
Tipos de aplicaciones más atacadas
Más allá de industrias específicas, ciertas categorías de aplicaciones e infraestructura presentan exposición desproporcionada sin importar el sector. Las siguientes aparecen con mayor frecuencia en conjuntos de datos de brechas y avisos de CISA:
- VPN y dispositivos perimetrales: La explotación dirigida aumentó significativamente año tras año.
- Aplicaciones web: Fuerza bruta y ataques basados en credenciales mostraron actividad constante año tras año, según el 2025 DBIR.
- Active Directory e infraestructura de identidad: El abuso de proveedores de identidad es una superficie de ataque creciente en compromisos de cadena de suministro, según ENISA 2024.
- Servicios en la nube y APIs: CISA documenta omisión de autenticación en IoT y OT en PLCs basados en TCP sin autenticación y puertos UART de depuración Bluetooth (interfaz serie).
- Endpoints BYOD no gestionados: Dispositivos personales comprometidos pueden quedar completamente fuera de la visibilidad empresarial.
Estas categorías de aplicaciones aparecen en la lista de Vulnerabilidades Explotadas Conocidas de CISA año tras año. Los incidentes a continuación muestran cómo es la explotación cuando los atacantes logran acceder a ellas.
Ejemplos reales de omisión de autenticación
Los siguientes incidentes abarcan múltiples industrias, grupos de ataque y tipos de omisión. Cada uno ilustra cómo los mecanismos descritos anteriormente se traducen en impacto organizacional confirmado.
Citrix Bleed (CVE-2023-4966)
Una solicitud HTTP GET manipulada con un encabezado Host malicioso provocó que los dispositivos Citrix NetScaler ADC y Gateway devolvieran memoria del sistema que contenía cookies de sesión válidas. Afiliados de LockBit 3.0 y otros grupos de amenazas usaron esto para establecer sesiones autenticadas sin nombre de usuario, contraseña ni token MFA. La explotación comenzó antes de que Citrix publicara un parche. Según aviso de CISA, GreyNoise observó actividad de explotación masiva continua.
MOVEit Transfer (CVE-2023-34362)
El grupo Cl0p ransomware, rastreado como TA505 por CISA, explotó una vulnerabilidad de inyección SQL no autenticada en Progress MOVEit Transfer semanas antes de su divulgación pública. La campaña finalmente impactó a muchas organizaciones e individuos, según SecurityWeek.
Barracuda ESG (CVE-2023-2868)
UNC4841, un grupo sospechoso de estar patrocinado por el estado chino atribuido por Mandiant, explotó una vulnerabilidad zero-day en dispositivos Barracuda Email Security Gateway durante meses antes de su descubrimiento. Barracuda requirió el reemplazo físico de los dispositivos afectados, según BleepingComputer.
Fortinet FortiOS (CVE-2022-40684)
Un atacante no autenticado podía realizar operaciones en la interfaz administrativa mediante solicitudes HTTP/HTTPS especialmente diseñadas. Fortinet confirmó explotación activa en el momento de la divulgación pública de la vulnerabilidad, según Hacker News. Las configuraciones de muchos firewalls se filtraron posteriormente a través de este CVE.
Estos incidentes muestran cómo la omisión de autenticación ha evolucionado a lo largo del tiempo.
Omisión de autenticación: una línea de tiempo
La omisión de autenticación ha sido explotada activamente en cada año mostrado a continuación, con herramientas de los atacantes y selección de objetivos adaptándose más rápido de lo que muchas organizaciones pueden aplicar parches. La línea de tiempo rastrea los eventos principales que definen cómo esta clase de amenaza se ha desarrollado desde 2010.
| Año | Evento |
| 2010 | Stuxnet explota credenciales codificadas (CVE-2010-2772) en sistemas SCADA, demostrando la omisión de autenticación como arma en operaciones cibernéticas patrocinadas por estados. |
| 2018 | Se divulga CVE-2018-13379 (Fortinet FortiOS SSL VPN). Se convierte en una de las vulnerabilidades más explotadas de los siguientes cinco años, apareciendo en las listas de CISA anualmente hasta 2023 y utilizada en campañas APT y de ransomware a nivel global. |
| 2019 | Se divulgan CVE-2019-11510 (Ivanti Pulse Connect Secure) y CVE-2019-19781 (Citrix ADC/Gateway). Ambas se convierten en habituales en las listas de CISA durante años y se usan activamente en campañas de ransomware dirigidas a gobiernos e infraestructura crítica. |
| 2021 | CVE-2021-22893 obtiene CVSS 10.0 por ejecución remota de código no autenticada en gateways Pulse Connect Secure. CISA e Ivanti asisten a múltiples entidades tras explotación confirmada. |
| 2022 | CISA emite la Directiva de Emergencia ED 22-03 para omisión de autenticación en VMware Workspace ONE Access (CVE-2022-22972). CVE-2022-40684 de Fortinet ve explotación el día de su divulgación. |
| 2023 | Citrix Bleed, MOVEit, Barracuda ESG y zero-days de Cisco IOS XE afectan colectivamente a muchas organizaciones en diversos sectores. |
| 2024 | La cadena de cuatro CVE de Ivanti Connect Secure lleva a CISA a declarar "riesgo inaceptable" para agencias federales mediante la Directiva de Emergencia ED 24-01. CVE-2024-3400 (PAN-OS GlobalProtect) obtiene CVSS 10.0 como zero-day. |
| 2025 | NIST SP 800-63-4 reemplaza a SP 800-63-3 (1 de agosto de 2025), actualizando los niveles de garantía de autenticación y controles de federación NIST 63B-4. OWASP Top 10 designa A07:2025 Fallos de Autenticación. CISA BOD 25-01 establece configuraciones base de seguridad en la nube. |
| 2026 | CWE-288 (omisión por ruta alternativa) sigue apareciendo en nuevas adiciones KEV de CISA, incluidas vulnerabilidades explotadas confirmadas en productos de mensajería empresarial, SD-WAN y gestión de endpoints. |
El patrón a lo largo de esta línea de tiempo es consistente: la omisión de autenticación sigue creciendo en alcance y gravedad a medida que los atacantes aplican técnicas conocidas a nuevos productos y plataformas. La defensa efectiva requiere enfoques en capas.
Cómo detectar la omisión de autenticación
Encontrar estas omisiones requiere múltiples métodos porque ningún enfoque único detecta todas las variantes. Debe ejecutar estos métodos simultáneamente.
Reconocimiento de patrones de ataque
Necesita lógica de identificación separada para cada tipo de ataque. Una sola política de bloqueo por cuenta detecta fuerza bruta pero no encontrará password spraying:
- Fuerza bruta: Alto volumen de fallos contra una sola cuenta.
- Credential stuffing: Fallos distribuidos en muchas cuentas que coinciden con datos de brechas conocidas.
- Password spraying: Fallos de bajo volumen distribuidos en muchas cuentas usando una sola contraseña débil. Esto evade completamente los umbrales de bloqueo por cuenta.
Mantener lógica de detección separada para cada patrón es lo mínimo. Confiar en un solo umbral significa que cualquier tipo de ataque fuera de ese umbral pasará desapercibido.
Análisis de comportamiento y señales de riesgo
La autenticación adaptativa ajusta los requisitos dinámicamente según el contexto de inicio de sesión. La guía MFA de OWASP recomienda monitorear señales de riesgo como geolocalización, reputación de IP, huella digital del dispositivo, hora de acceso y credenciales comprometidas conocidas en el flujo de autenticación. Estas señales deben alimentar decisiones de control de acceso en tiempo real, activando autenticación reforzada en lugar de solo generar alertas posteriores.
Monitoreo de tokens de sesión
Vigile los indicadores documentados en la guía de sesiones OWASP:
- Reutilización de token de sesión desde una IP diferente a la de la autenticación original
- Sesiones activas concurrentes desde endpoints distintos para la misma cuenta
- Actividad de sesión que continúa tras cierre de sesión o expiración esperada
- Cambios de contraseña o correo electrónico sin un evento de reautenticación previo
Estas señales son más útiles cuando se correlacionan entre sesiones en lugar de evaluarse de forma aislada. Un cambio de IP de sesión es rutinario en un entorno móvil; un cambio de IP de sesión combinado con un intento de escalada de privilegios en la misma sesión no lo es.
Monitoreo de brechas de reautenticación
Monitoree los registros de la aplicación para eventos de alto riesgo que se completen sin una entrada de reautenticación previa en la misma sesión. Esto incluye modificaciones de factores MFA sin reautenticación, nuevos inicios de sesión de dispositivos sin desafíos adicionales y flujos de recuperación de cuenta que se completan sin verificación reforzada.
Escaneo de vulnerabilidades mapeado a CWE de omisión de autenticación
Suscríbase a los boletines de CISA y mapee cada CVE de omisión de autenticación publicado, CWE-287, CWE-288, CWE-302, CWE-303 y CWE-306, contra su inventario de activos para priorizar el parcheo.
Pruebas de penetración estructuradas
El OWASP WSTG 4.4 define casos de prueba estructurados de autenticación. Debe hacer que WSTG 4.4.4, omisión de esquema de autenticación, WSTG 4.4.11, omisión de MFA, y WSTG 4.4.10, autenticación débil en canales alternativos, sean elementos obligatorios en toda evaluación de seguridad.
Encontrar estas vulnerabilidades por sí solo no es suficiente. Debe evitar que estas omisiones existan desde el principio.
Cómo prevenir la omisión de autenticación
La prevención requiere controles en cada capa: cumplimiento de estándares, arquitectura de autenticación, codificación segura, gestión de sesiones y validación continua.
Adopte MFA resistente a phishing
Implemente tokens hardware FIDO2/WebAuthn o passkeys como su mecanismo principal de MFA. La guía MFA de OWASP recomienda bloquear protocolos de autenticación heredados, aplicar OAuth2 o SAML modernos y requerir reautenticación con un factor inscrito existente antes de permitir cualquier cambio de factor MFA. Nunca confíe únicamente en la sesión activa para cambios de factor, ya que la sesión misma puede estar secuestrada.
Alinee con NIST SP 800-63-4
El conjunto SP 800-63 fue reemplazado por SP 800-63-4 a partir del 1 de agosto de 2025 NIST 63B-4. NIST 63B-4 define los Niveles de Garantía de Autenticación actualizados:
- AAL1: Autenticación de un solo factor.
- AAL2: Dos factores con técnicas criptográficas aprobadas.
- AAL3: Autenticadores sincronizables prohibidos NIST 63B-4.
Las organizaciones sujetas a estándares federales deben alinear sus implementaciones de autenticación al nivel de garantía apropiado antes de evaluar los controles técnicos a continuación.
Implemente prácticas de codificación segura
La guía de codificación OWASP especifica controles que previenen directamente la omisión de autenticación:
- Centralice la lógica de autenticación. Sepárela del recurso solicitado para evitar omisión por ruta alternativa (CWE-288).
- Diseñe para fallar de forma segura. Todos los controles de autenticación deben denegar el acceso ante fallos, no concederlo.
- Exija paridad en funciones administrativas. Las interfaces de administración deben ser al menos tan seguras como la autenticación principal.
- Normalice las respuestas de error. Los mensajes de fallo de autenticación no deben indicar qué campo fue incorrecto, previniendo la enumeración de cuentas.
Estos controles abordan la puerta de autenticación en sí. La siguiente sección cubre lo que ocurre inmediatamente después de que un usuario la atraviesa: la gestión de sesiones.
Refuerce la gestión de sesiones
Implemente controles de la guía de sesiones OWASP:
- Utilice cookies no persistentes para la gestión de sesiones.
- Emita diferentes IDs de sesión antes y después de la autenticación para evitar fijación de sesión (CWE-384).
- Implemente tiempos de espera de inicio de sesión que fuercen la renovación del ID de sesión.
- Requiera reautenticación para cambios de contraseña, correo electrónico, nuevos dispositivos y flujos de recuperación de cuenta.
Refuerzar la capa de sesión detiene variantes de omisión post-autenticación como fijación de sesión y repetición de tokens. La siguiente capa de defensa va más allá: tratar cada sesión autenticada como no confiable por defecto.
Implemente autenticación Zero Trust
Derivado de NIST 800-207 y la Guía ZTA de GSA:
- Validación continua: Rechace la suposición de que un usuario autenticado puede ser confiable durante toda la sesión.
- Postura de asunción de compromiso: Diseñe sistemas asumiendo que un actor de amenazas ya está en la red.
Ambos principios aplican directamente a entornos de identidad federada, donde la confianza de autenticación se extiende entre organizaciones y requiere salvaguardas técnicas adicionales para mantenerse sólida.
Asegure las aserciones de federación
NIST 63C-4 exige presentación de aserciones por canal secundario, valores de vinculación de sesión imposibles de adivinar, autenticación RP-IdP y aplicación de umbrales mínimos de nivel de garantía. Estos son requisitos normativos "shall", no controles opcionales.
La prevención y la detección funcionan mejor cuando se apoyan en herramientas diseñadas para tal fin.
Herramientas para detección y prevención
Detener la omisión de autenticación requiere herramientas que cubran toda la superficie de ataque: endpoints, infraestructura de identidad, bordes de red y servicios en la nube.
Escaneo y evaluación de vulnerabilidades
Escanee regularmente su entorno contra las entradas KEV de CISA y mapee los CVE de omisión de autenticación a su inventario de activos.
Detección y respuesta a amenazas de identidad (ITDR)
Soluciones dedicadas de ITDR monitorean Active Directory, Entra ID y registros de proveedores de identidad para detectar uso indebido de credenciales, viajes imposibles, escalada de privilegios y anomalías de sesión. Correlacionar eventos de autenticación con actividad de endpoint y red le brinda visibilidad cruzada para encontrar omisiones por debajo de la capa MFA.
Detección y respuesta extendida (XDR)
Los ataques de omisión de autenticación atraviesan múltiples capas: robo de credenciales en el endpoint, movimiento lateral en la red y acceso a recursos en la nube. Las plataformas XDR que unifican estas fuentes de telemetría en una sola consola de investigación eliminan la brecha entre donde se origina una omisión y donde causa daño.
Investigación y respuesta impulsadas por IA
IA conductual que analiza patrones de autenticación, comportamiento de identidad y anomalías de acceso en tiempo real detecta el compromiso de credenciales más rápido que la revisión manual de registros. Capacidades de respuesta autónoma, como aislar identidades comprometidas, revocar sesiones activas y detener el movimiento lateral sin intervención humana, reducen el tiempo de permanencia del atacante.
Vulnerabilidades relacionadas
La omisión de autenticación comparte causas raíz, cadenas de ataque y patrones de explotación con varias clases de vulnerabilidades relacionadas:
- Control de acceso roto (OWASP A01:2025): La navegación forzada y variantes de manipulación de parámetros de la omisión de autenticación se superponen con fallos de control de acceso. La diferencia es que la omisión de autenticación salta la verificación de identidad, mientras que el control de acceso roto omite los chequeos de autorización tras establecer la identidad.
- Inyección SQL: La inyección SQL no autenticada, como demostró la campaña MOVEit Transfer (CVE-2023-34362), puede omitir la autenticación por completo manipulando consultas de base de datos que controlan la lógica de inicio de sesión.
- Server-Side Request Forgery (SSRF): CVE-2024-21893 en la cadena de Ivanti Connect Secure fue un SSRF en el componente SAML, utilizado junto con la omisión de autenticación para lograr compromiso total.
- Path Traversal: CVE-2018-13379 (Fortinet FortiOS) utilizó path traversal para descargar credenciales en texto claro, permitiendo la omisión de autenticación como efecto secundario.
- Secuestro de sesión: La fijación de sesión (CWE-384) y la repetición de tokens (CWE-294) son sub-tipos de omisión de autenticación que explotan la capa de sesión post-autenticación en lugar del proceso de inicio de sesión en sí.
- Escalada de privilegios: La omisión de autenticación frecuentemente se encadena con la escalada de privilegios. El ataque a Cisco IOS XE (CVE-2023-20198 + CVE-2023-20273) pasó de omisión de autenticación a acceso root e instalación de puerta trasera en una sola cadena.
Comprender estas relaciones es útil tanto durante el modelado de amenazas como en la respuesta activa a incidentes. Cuando se confirma la omisión de autenticación en un entorno, las clases de vulnerabilidad anteriores deben evaluarse como posibles co-explotaciones y no tratarse como problemas separados o no relacionados.
CVE relacionados
| ID CVE | Descripción | Severidad | Producto afectado | Año |
| Omisión de autenticación vía ruta alternativa en Ivanti Endpoint Manager permite a atacantes remotos no autenticados filtrar datos de credenciales almacenadas. (CISA KEV 2026-03-09) | Crítica (CWE-288) | Ivanti Endpoint Manager | 2026 | |
| Omisión de autenticación por proceso incorrecto en tiempo de arranque en la interfaz web de Cisco Secure Firewall Management Center permite a atacantes remotos no autenticados ejecutar scripts y obtener acceso root en los dispositivos afectados. | Crítica (CWE-288) | Cisco Secure Firewall Management Center | 2026 | |
| Falta de autenticación para función crítica en la interfaz de gestión de Palo Alto Networks PAN-OS permite a atacantes no autenticados invocar scripts PHP y afectar la integridad y confidencialidad del sistema. (CISA KEV) | Crítica (CWE-306) | Palo Alto Networks PAN-OS | 2025 | |
| Omisión de autenticación mediante solicitudes proxy CSF en Fortinet FortiOS/FortiProxy puede permitir a atacantes remotos no autenticados con conocimiento de los números de serie del dispositivo obtener privilegios de superadministrador. (CISA KEV, vinculado a ransomware) | Crítica (CWE-288) | Fortinet FortiOS / FortiProxy | 2025 | |
| Omisión de autenticación vía ruta alternativa en Juniper Networks Session Smart Router permite a atacantes basados en red omitir la autenticación y obtener control administrativo del dispositivo. | 9.8 Crítica (CWE-288) | Juniper Networks Session Smart Router | 2025 | |
| Omisión de autenticación en el componente API de Ivanti EPMM 12.5.0.0 y anteriores; explotada en campo encadenada con CVE-2025-4428 para lograr RCE previa a la autenticación. (CISA KEV) | 5.3 Media (CWE-288) | Ivanti Endpoint Manager Mobile | 2025 | |
| Falta de autenticación para función crítica en la interfaz de gestión de Palo Alto Networks PAN-OS permite a atacantes no autenticados con acceso a red obtener privilegios de administrador (Operación Lunar Peek). (CISA KEV, vinculado a ransomware) | Crítica (CWE-306) | Palo Alto Networks PAN-OS | 2024 | |
| Falta de autenticación para función crítica en Fortinet FortiManager permite a atacantes no autenticados ejecutar código o comandos arbitrarios mediante solicitudes especialmente diseñadas. (CISA KEV, vinculado a ransomware) | 9.8 Crítica (CWE-306) | Fortinet FortiManager | 2024 | |
| Omisión de autenticación mediante el módulo WebSocket de Node.js en Fortinet FortiOS/FortiProxy permite a atacantes remotos obtener privilegios de superadministrador mediante solicitudes manipuladas. (CISA KEV, vinculado a ransomware) | 9.8 Crítica (CWE-288) | Fortinet FortiOS / FortiProxy | 2024 | |
| Autenticación incorrecta en el mecanismo de autenticación SSLVPN de SonicWall SonicOS permite a atacantes remotos omitir la autenticación. (CISA KEV, vinculado a ransomware) | 9.8 Crítica (CWE-287) | SonicWall SonicOS SSLVPN | 2024 | |
| Omisión de autenticación vía ruta alternativa en JetBrains TeamCity antes de 2023.11.4 permite a atacantes no autenticados realizar acciones administrativas. (CISA KEV) | 9.8 Crítica (CWE-288) | JetBrains TeamCity | 2024 | |
| Canal alternativo sin protección en la interfaz web de Cisco IOS XE Software permite a atacantes remotos no autenticados crear cuentas privilegiadas y tomar control total de los dispositivos afectados; explotado activamente como zero-day al momento de la divulgación. (CISA KEV) | 10.0 Crítica (CWE-420) | Cisco IOS XE Software | 2023 | |
| Falta de autenticación en F5 BIG-IP Configuration Utility permite a atacantes con acceso a red al puerto de gestión ejecutar comandos arbitrarios del sistema. (CISA KEV) | 9.8 Crítica (CWE-306) | F5 Networks BIG-IP | 2023 | |
| Omisión de autenticación vía ruta alternativa en el servidor CI/CD JetBrains TeamCity permite acceso no autorizado; listado en las Vulnerabilidades Más Explotadas de CISA 2023. (CISA KEV) | Crítica (CWE-288) | JetBrains TeamCity | 2023 | |
| Implementación incorrecta del algoritmo de autenticación en Microsoft SharePoint Server permite omisión de autenticación; confirmado como vinculado a ransomware en CISA KEV. (CISA KEV, vinculado a ransomware) | Crítica (CWE-303) | Microsoft SharePoint Server | 2023 | |
| Omisión de autenticación vía ruta alternativa en Fortinet FortiOS, FortiProxy y FortiSwitchManager permite a atacantes remotos no autenticados realizar operaciones administrativas mediante solicitudes HTTP/HTTPS manipuladas. (CISA KEV) | 9.8 Crítica (CWE-288) | Fortinet FortiOS / FortiProxy / FortiSwitchManager | 2022 | |
| Falta de autenticación en F5 BIG-IP iControl REST permite a atacantes no autenticados con acceso a red ejecutar comandos arbitrarios con privilegios elevados. (CISA KEV) | 9.8 Crítica (CWE-306) | F5 Networks BIG-IP | 2022 | |
| Autenticación incorrecta en VMware Workspace ONE Access, Identity Manager y vRealize Automation permite a un atacante con acceso a red obtener acceso administrativo sin credenciales. (CISA KEV) | 9.8 Crítica (CWE-287) | VMware Workspace ONE Access / Identity Manager | 2022 | |
| Falta de autenticación para función crítica en Oracle E-Business Suite Web Applications Desktop Integrator permite a atacantes de red no autenticados comprometer completamente el sistema afectado. (CISA KEV) | 9.8 Crítica (CWE-306) | Oracle E-Business Suite | 2022 | |
CVE-2021-20021 | Falta de autenticación en SonicWall Email Security 10.0.9.x permite a atacantes crear una cuenta administrativa mediante una solicitud HTTP manipulada. (CISA KEV, vinculado a ransomware) | 9.8 Crítica (CWE-306) | SonicWall Email Security | 2021 |
| Omisión de autenticación en la API REST de Zoho ManageEngine ADSelfService Plus versión 6113 y anteriores permite ejecución remota de código; CISA KEV titulada "Authentication Bypass Vulnerability." (CISA KEV, vinculado a ransomware) | 9.8 Crítica | Zoho ManageEngine ADSelfService Plus | 2021 | |
| Vulnerabilidad fácilmente explotable en Oracle Access Manager permite a atacantes no autenticados con acceso HTTP comprometer completamente Oracle Access Manager. (CISA KEV) | 9.8 Crítica (CWE-306) | Oracle Access Manager | 2021 | |
| Use-after-free en Ivanti Pulse Connect Secure permite a atacantes remotos no autenticados ejecutar código mediante servicios de licencia; explotado contra redes del sector de defensa de EE. UU. (CISA KEV, vinculado a ransomware) | 10.0 Crítica (CWE-416/287) | Ivanti Pulse Connect Secure | 2021 | |
CVE-2021-37415 | Falta de autenticación para función crítica en Zoho ManageEngine ServiceDesk Plus antes de 11302 permite acceder a endpoints REST API sin autenticación. (CISA KEV) | 9.8 Crítica (CWE-306) | Zoho ManageEngine ServiceDesk Plus | 2021 |
| SAP NetWeaver AS Java LM Configuration Wizard no realiza una comprobación de autenticación, permitiendo a atacantes no autenticados crear usuarios administrativos ("RECON" vulnerability). (CISA KEV) | 10.0 Crítica (CWE-306) | SAP NetWeaver Application Server Java | 2020 | |
| Omisión de autenticación en la API de SolarWinds Orion permite a atacantes remotos no autenticados ejecutar comandos API, lo que puede resultar en el compromiso total de la instancia Orion. (CISA KEV) | 9.8 Crítica (CWE-306/288) | SolarWinds Orion Platform | 2020 | |
| Autenticación incorrecta en Fortinet FortiOS SSL VPN permite a los usuarios omitir la autenticación multifactor (FortiToken) cambiando el caso de su nombre de usuario. (CISA KEV) | 9.8 Crítica (CWE-287) | Fortinet FortiOS SSL VPN | 2020 | |
| Falta de autenticación en SAP Solution Manager User Experience Monitoring resulta en el compromiso total de todos los SMDAgents conectados al Solution Manager. (CISA KEV) | 9.8 Crítica (CWE-306) | SAP Solution Manager | 2020 | |
| La configuración predeterminada de la API Experimental de Apache Airflow permite todas las solicitudes API sin autenticación, habilitando el acceso remoto no autenticado a funciones críticas de flujo de trabajo. (CISA KEV) | 9.8 Crítica (CWE-306) | Apache Airflow | 2020 | |
CVE-2019-11510 | Lectura arbitraria de archivos previa a la autenticación en Ivanti Pulse Connect Secure VPN permite a atacantes remotos no autenticados leer archivos de credenciales de sesión. (CISA KEV) | 10.0 Crítica (CWE-22) | Ivanti Pulse Connect Secure | 2019 |
CVE-2018-13379 | Path traversal en el portal web de Fortinet FortiOS SSL VPN permite a atacantes no autenticados descargar archivos del sistema incluyendo almacenes de credenciales VPN. (CISA KEV, vinculado a ransomware) | 9.8 Crítica (CWE-22) | Fortinet FortiOS SSL VPN | 2018 |
Conclusión
La omisión de autenticación elimina la comprobación de identidad entre externos y usuarios de confianza. Una vez que los atacantes cruzan ese límite, pueden tomar el control de cuentas, obtener acceso administrativo, moverse lateralmente, robar datos y desplegar ransomware. Usted reduce ese riesgo reforzando los flujos de autenticación, asegurando las sesiones, validando cada ruta de acceso y utilizando herramientas que conectan identidad, endpoint y actividad de red.
Preguntas frecuentes
El bypass de autenticación es una falla que permite a un atacante acceder a un sistema sin credenciales válidas. En la práctica, la aplicación puede omitir una comprobación de inicio de sesión, confiar en datos manipulados del lado del cliente, aceptar una sesión robada o exponer una ruta alternativa que nunca estuvo protegida.
Comúnmente se agrupa bajo CWE-287 y debilidades relacionadas como autenticación ausente, bypass por ruta alternativa y fijación de sesión.
Sí. El bypass de autenticación se asocia principalmente con A07:2025. Algunas variantes, como forced browsing o manipulación de parámetros, también pueden superponerse con el control de acceso roto. Si un usuario puede acceder a funcionalidades protegidas sin las comprobaciones de identidad previstas, el problema pertenece a la categoría de fallos de autenticación de OWASP.
Sí. Muchos casos de alta gravedad son explotables de forma remota en sistemas expuestos a internet, como VPN, aplicaciones web e interfaces de administración.
Si la vulnerabilidad se encuentra en un flujo de inicio de sesión accesible por red, API u otro canal alternativo, un atacante puede no necesitar más que la capacidad de alcanzar el servicio. Por eso los dispositivos perimetrales y las plataformas de acceso remoto aparecen con tanta frecuencia en campañas de explotación importantes.
La mayor exposición suele estar en servicios expuestos a internet: VPN, dispositivos perimetrales, aplicaciones web, servicios en la nube, API e infraestructura de identidad. Las interfaces administrativas y canales secundarios son especialmente riesgosos porque a menudo se agregan posteriormente y pueden no heredar los mismos controles que la ruta principal de inicio de sesión.
Los dispositivos no gestionados también generan puntos ciegos cuando se involucran credenciales comprometidas.
Los atacantes suelen buscar inconsistencias. Enumeran directorios y API, prueban rutas alternativas, testean el comportamiento de las sesiones y comparan cómo diferentes interfaces aplican la autenticación. Las divulgaciones públicas de CVE también les ayudan a centrarse en productos y patrones específicos.
En otros casos, se utilizan credenciales o tokens previamente robados para comprobar si se pueden abusar mecanismos débiles de recuperación o gestión de sesiones.
Las señales de advertencia comunes incluyen cambios de contraseña o correo electrónico sin reautenticación, reutilización de sesión desde una IP diferente, sesiones concurrentes para la misma cuenta, inicios de sesión desde nuevos dispositivos sin verificación adicional y cambios de factores MFA sin una comprobación de identidad reciente.
Los fallos de bajo volumen distribuidos en muchas cuentas también pueden indicar password spraying en lugar de errores normales de inicio de sesión.
Es una de las clases de vulnerabilidad más impactantes porque puede eliminar el control que separa a los usuarios externos de los usuarios de confianza. Una vez que esa barrera falla, los atacantes pueden pasar directamente a la toma de cuentas, acceso administrativo, movimiento lateral y actividad de ransomware.
Los ejemplos en este artículo muestran que el bypass de autenticación aparece regularmente en CVE críticos y cadenas de explotación de alto impacto.
Sí. El bypass de autenticación suele ser el primer eslabón en una cadena de ataque mayor. Tras el acceso inicial, los atacantes pueden recolectar credenciales, escalar privilegios, moverse lateralmente, exfiltrar datos o desplegar ransomware.
En campañas encadenadas, el bypass en sí no es el objetivo final; es el atajo que da al atacante un punto de partida de confianza dentro del entorno.
No siempre. Las fallas conocidas de autenticación ausente y los endpoints expuestos suelen identificarse con escáneres, pero los fallos lógicos, rutas alternativas y abuso de sesiones pueden ser más difíciles de detectar automáticamente.
Por eso es importante el análisis en capas: el escaneo de vulnerabilidades, el análisis de comportamiento, la monitorización de sesiones y las pruebas estructuradas detectan diferentes partes del problema.
Manufactura, salud, gobierno, finanzas e infraestructura crítica enfrentan un riesgo elevado según los informes citados aquí. El factor común es la dependencia de servicios expuestos a internet, sistemas de identidad y continuidad operativa.
Donde los atacantes pueden convertir un bypass en robo de datos, interrupción o acceso a ransomware, el impacto para el negocio se vuelve especialmente grave.
