¿Qué es la autenticación rota?
La autenticación rota es una clase de vulnerabilidad que permite a los atacantes comprometer identidades de usuario explotando debilidades en la forma en que las aplicaciones verifican quién eres y mantienen ese estado verificado. Cuando los mecanismos de inicio de sesión, la gestión de sesiones o los procesos de recuperación de credenciales contienen fallos, los atacantes pueden suplantar a usuarios legítimos, escalar privilegios y acceder a sistemas sin autorización.
Esta vulnerabilidad ha aparecido en todas las listas de OWASP desde las primeras ediciones del proyecto. OWASP ha renombrado y refinado la categoría con el tiempo, reflejando una cobertura más amplia de debilidades relacionadas con la autenticación en lugar de una pérdida de importancia.
El alcance de la autenticación rota va mucho más allá de simples intentos de adivinanza de contraseñas. Incluye relleno de credenciales, fijación de sesión, evasión de MFA, falsificación de tokens, credenciales codificadas y ausencia de autenticación en funciones críticas. El CWE raíz para toda la categoría es CWE-287, con un amplio conjunto de CWEs relacionados mapeados en la categoría en las clasificaciones más recientes de OWASP.
Según el informe DBIR, el abuso de credenciales sigue siendo un método principal de acceso inicial en incidentes de seguridad. Si comprendes cómo funciona la autenticación rota, puedes detenerla de manera más efectiva.
.jpg)
¿Cómo funciona la autenticación rota?
La autenticación rota explota fallos en dos dominios de fallo distintos: autenticación, que cubre cómo las aplicaciones verifican quién eres, y gestión de sesiones, que cubre cómo mantienen esa identidad verificada durante tu visita. Cada dominio presenta diferentes superficies de ataque, pero ambos conducen al mismo resultado: acceso no autorizado.
Fallos de autenticación
Cuando una aplicación no verifica correctamente la identidad del usuario, los atacantes obtienen acceso por la puerta principal. Un ataque de relleno de credenciales envía pares de nombre de usuario y contraseña robados contra tu punto de inicio de sesión. Si tu aplicación carece de limitación de tasa o bloqueo de cuentas, el atacante puede probar credenciales a escala hasta encontrar pares válidos.
El flujo del ataque es directo. El atacante obtiene volcados de credenciales de brechas anteriores. Alimenta esos pares en herramientas automatizadas dirigidas a tu página de inicio de sesión. La aplicación acepta cada intento sin limitación, bloqueo ni CAPTCHA. Cuando un par válido coincide, el atacante obtiene acceso completo a la cuenta.
Fuerza bruta sigue un patrón similar pero genera combinaciones de contraseñas en lugar de reutilizar credenciales conocidas. Password spraying adopta el enfoque inverso: prueba una contraseña común contra muchas cuentas al mismo tiempo para evitar los umbrales de bloqueo por cuenta.
Fallos en la gestión de sesiones
Incluso después de autenticarte correctamente, los fallos en el manejo de sesiones pueden entregar ese estado autenticado a un atacante. En un ataque de fijación de sesión (CWE-384), el atacante establece un ID de sesión conocido antes de que inicies sesión. Si tu aplicación no regenera el ID de sesión tras la autenticación exitosa, el atacante usa el ID preestablecido para acceder a tu sesión autenticada.
La exposición del token de sesión crea otra vía. Cuando los IDs de sesión aparecen en URLs, se registran en los logs de acceso del servidor, el historial del navegador y los encabezados HTTP referrer. Un atacante que obtiene la URL obtiene la sesión. La expiración insuficiente de la sesión (CWE-613) agrava el problema: si cierras una pestaña del navegador sin cerrar sesión, alguien que use el mismo navegador después puede encontrar tu sesión aún activa.
Evasión de MFA
La autenticación multifactor añade una segunda capa de verificación, pero los atacantes han desarrollado técnicas confiables de evasión. El cansancio de MFA, a veces llamado bombardeo de notificaciones, inunda el dispositivo del usuario con notificaciones push hasta que aprueba una para detener las interrupciones. La brecha de Uber se cita a menudo como ejemplo de cómo credenciales robadas, repetidas solicitudes de MFA y ingeniería social pueden encadenarse para obtener acceso a sistemas internos.
Estos mecanismos funcionan porque la autenticación rota rara vez es un solo fallo. Es una cadena de debilidades, desde credenciales débiles hasta ausencia de límites de tasa y mala gestión de sesiones, que los atacantes explotan en secuencia.
Tipos de autenticación rota
La autenticación rota no es una sola vulnerabilidad, sino una categoría que abarca seis tipos de fallos distintos. Cada uno apunta a una capa diferente de la pila de autenticación y requiere controles diferentes para detenerlo.
| Tipo | Qué falla | Métodos de ataque comunes | CWEs principales |
| Ataques basados en credenciales | Política de contraseñas, limitación de tasa | Relleno de credenciales, fuerza bruta, password spraying | CWE-307, CWE-521 |
| Fallos en la gestión de sesiones | Ciclo de vida y almacenamiento del ID de sesión | Fijación de sesión, secuestro de sesión, robo de cookies | CWE-384, CWE-613 |
| Evasión de MFA | Implementación del segundo factor | Cansancio de MFA, retransmisión TOTP, intercambio de SIM | CWE-308 |
| Falsificación de tokens | Protección de claves criptográficas | Falsificación de aserciones SAML, manipulación de JWT, robo de tokens OAuth | CWE-347, CWE-345 |
| Credenciales codificadas | Gestión de credenciales en el código | Extracción de credenciales estáticas de archivos fuente o de configuración | CWE-798 |
| Falta de autenticación | Aplicación de autenticación en funciones críticas | Acceso directo a objetos, evasión de endpoints API, acceso por rutas alternativas | CWE-306, CWE-288 |
Comprender qué tipo está presente en una aplicación determinada determina qué controles aplicar y qué evidencia forense buscar. El relleno de credenciales requiere limitación de tasa y MFA; la ausencia de autenticación en una API de administración requiere una respuesta fundamentalmente diferente.
Causas de la autenticación rota
La autenticación rota no surge de un solo error de diseño. Emerge de debilidades acumuladas en cuatro categorías que la guía de OWASP identifica como interconectadas con otros riesgos del Top 10, incluyendo controles de acceso rotos, fallos criptográficos y bibliotecas desactualizadas.
Fallos en la política de credenciales
Permitir contraseñas débiles, predeterminadas o ampliamente conocidas sigue siendo la causa más fundamental. Cuando tu aplicación acepta contraseñas predeterminadas comunes sin aplicar controles, facilitas la entrada a los atacantes (CWE-521). NIST 63B-4 exige que los verificadores comprueben las nuevas contraseñas contra listas de contraseñas comprometidas, pero muchas aplicaciones aún omiten este paso.
La reutilización de contraseñas amplifica el problema. El informe DBIR destaca que la reutilización de contraseñas entre servicios sigue siendo común, lo que hace que las credenciales robadas sean mucho más útiles para los atacantes.
Fallos en el diseño del flujo de autenticación
La ausencia de MFA (CWE-308) deja las cuentas protegidas por un solo factor que puede ser robado, adivinado o suplantado. Los mecanismos débiles de recuperación de credenciales que dependen de respuestas basadas en conocimiento crean una vía paralela de autenticación fácilmente adivinable. La ausencia de limitación de tasa en los intentos de inicio de sesión (CWE-307) permite a los atacantes probar grandes cantidades de combinaciones sin consecuencias.
Las credenciales codificadas en el código fuente o archivos de configuración (CWE-798) representan un fallo de diseño completo. Esta debilidad aparece en los rankings recientes del CWE Top 25 y ha sido confirmada por una alerta de CISA en explotación activa de sistemas de control industrial.
Fallos en la gestión del ciclo de vida de la sesión
Tres fallos en el ciclo de vida de la sesión crean vías directas de explotación:
- No regenerar los IDs de sesión tras el inicio de sesión habilita ataques de fijación de sesión
- Permitir que las sesiones persistan sin tiempos de espera por inactividad o absolutos amplía la ventana para el secuestro de sesión
- Incrustar tokens de sesión en URLs en lugar de cookies seguras filtra credenciales a través de cualquier sistema que registre o almacene en caché la URL
Cada uno de estos fallos incrementa el riesgo de forma independiente; combinados, ofrecen a los atacantes múltiples opciones para mantener el acceso no autorizado.
Fallos criptográficos y de transporte
Almacenar contraseñas en texto plano, usar cifrado reversible o aplicar algoritmos de hashing débiles significa que cualquier brecha en la base de datos expone directamente las credenciales. Fallos de transporte como la validación incorrecta de certificados (CWE-295) permiten a los atacantes interceptar el tráfico de autenticación. Estas causas a menudo se superponen con OWASP A02:2021 Fallos Criptográficos, demostrando cómo la autenticación rota se cruza con otras categorías de vulnerabilidad.
Estas cuatro categorías rara vez aparecen de forma aislada. Una política de credenciales débil hace posible el relleno de credenciales; la ausencia de limitación de tasa lo hace práctico; una mala gestión de sesiones amplía la ventana del atacante una vez dentro. Comprender qué causas están presentes en tu sistema determina tanto la gravedad del riesgo como dónde debe comenzar la remediación.
Impacto y riesgo de la autenticación rota
Las consecuencias de la autenticación rota van desde el compromiso de cuentas individuales hasta brechas a nivel organizacional con repercusiones regulatorias, financieras y operativas.
Prevalencia de brechas
Los fallos de autenticación se encuentran entre las vías de acceso inicial más explotadas. El informe DBIR confirma que el abuso de credenciales sigue siendo un factor principal en las brechas. Dentro de los ataques básicos a aplicaciones web, las credenciales robadas son especialmente prominentes en servicios financieros.
Consecuencias financieras
El informe de IBM encontró que el costo promedio global de una brecha de datos alcanzó los 4,88 millones de dólares en 2024, un aumento del 10% respecto al año anterior. Las organizaciones de servicios financieros promediaron 6,08 millones por brecha, un 22% por encima de la cifra global. Más allá de los gastos directos, el 70% de las organizaciones afectadas reportaron una interrupción operativa significativa o moderada.
Efectos empresariales en cascada
La autenticación rota rara vez permanece contenida. Una credencial comprometida se convierte en un punto de pivote para movimiento lateral, escalada de privilegios, exfiltración de datos y despliegue de ransomware. El informe DBIR de Verizon encontró una correlación entre la victimización por ransomware y la presencia de dominios de víctimas en volcados de credenciales, vinculando directamente la debilidad de autenticación con el riesgo de ransomware.
La autenticación rota no es una preocupación abstracta de seguridad de aplicaciones. Es un mecanismo principal por el cual comienzan las brechas.
Cómo los atacantes explotan la autenticación rota
Los atacantes eligen su enfoque según la debilidad específica de autenticación que descubren. Estas son las principales técnicas de explotación, mapeadas a los CWEs que apuntan.
Cansancio de MFA e ingeniería social
Cuando el MFA bloquea un intento de relleno de credenciales, los atacantes escalan a la ingeniería social. El cansancio de MFA envía notificaciones push repetidas al usuario legítimo hasta que aprueba una. El aviso de CISA documentó una técnica relacionada: tras forzar una contraseña débil en una cuenta inactiva, los atacantes inscribieron un nuevo dispositivo MFA porque la configuración predeterminada de Duo permitía la reinscripción para cuentas inactivas, obteniendo acceso a la red.
Falsificación de tokens SAML
En la campaña SolarWinds/SUNBURST, los atacantes extrajeron claves privadas de cifrado de contenedores de Active Directory Federation Services y luego falsificaron aserciones SAML que parecían válidas para cualquier parte confiable. Según el aviso de CISA, esta técnica Golden SAML eludió completamente la autenticación sin poseer credenciales legítimas, otorgando acceso a entornos en la nube de múltiples agencias federales de EE. UU.
Secuestro de sesión mediante divulgación de tokens
CVE-2023-4966, conocido como Citrix Bleed, permitió a los atacantes extraer tokens de sesión válidos de dispositivos de acceso remoto. Con un token de sesión robado, el atacante suplanta a un usuario ya autenticado, eludiendo tanto la contraseña como las capas de MFA. CISA confirmó explotación activa de día cero antes de que hubiera un parche disponible [cite-19].
Evasión de autenticación mediante ruta alternativa
Algunas vulnerabilidades eliminan por completo los requisitos de autenticación. Una falla en un dispositivo de red permitió acceso superadministrador no autenticado a través de un websocket Node.js y recibió una calificación de severidad crítica [cite-20]. Otra falla en la interfaz de administración permitió la escalada de privilegios de administrador sin autenticación a través de la interfaz web de gestión. El problema de la interfaz de administración representa CWE-306: la ausencia total de autenticación en una función crítica, mientras que el problema del websocket corresponde a CWE-288: evasión de autenticación usando una ruta o canal alternativo.
Ataques de captura y reproducción
Los atacantes interceptan tokens de autenticación o credenciales en tránsito y los reproducen para obtener acceso (CWE-294). Sin tokens restringidos al remitente como especifica RFC 9700, las implementaciones OAuth siguen siendo vulnerables a esta técnica.
Cada una de estas técnicas produce diferentes firmas forenses, lo que determina cómo detectarlas y responder.
¿Quiénes se ven afectados por la autenticación rota?
La autenticación rota afecta a toda organización que depende de la identidad del usuario para el control de acceso. Sin embargo, ciertos sectores y tipos de sistemas presentan un riesgo elevado.
Aplicaciones web y APIs
Cualquier aplicación que gestione su propia autenticación está directamente expuesta. OWASP aborda explícitamente la autenticación rota específica de API en el proyecto OWASP API Security, señalando que los endpoints de autenticación requieren protecciones contra fuerza bruta más estrictas que la limitación de tasa estándar de API.
Plataformas cloud y SaaS
La campaña Snowflake/UNC5537 demostró que las plataformas en la nube con autenticación de un solo factor son objetivos de alto valor, con muchas organizaciones comprometidas porque las cuentas afectadas carecían de MFA. Las plataformas cloud que delegan la autenticación a proveedores de identidad heredan las debilidades del IdP.
Servicios financieros
Las instituciones financieras enfrentan un riesgo desproporcionado. El resumen financiero de Verizon encontró que las credenciales robadas dominan las brechas básicas de aplicaciones web en servicios financieros. El incidente de relleno de credenciales en PayPal resultó en un acuerdo regulatorio y MFA obligatorio para cuentas de clientes en EE. UU.
Infraestructura crítica y dispositivos de red
Las puertas de enlace VPN, firewalls e interfaces de gestión de red son objetivos principales. CVE-2019-11510, CVE-2024-55591 y CVE-2024-53704 representan vulnerabilidades de evasión de autenticación en dispositivos perimetrales que CISA añadió a su catálogo de Vulnerabilidades Conocidas Explotadas.
Salud y gobierno
Las organizaciones que manejan datos personales sensibles enfrentan tanto riesgo de brecha como consecuencias regulatorias, con CISA documentando que la autenticación débil figura consistentemente entre sus principales hallazgos según la evaluación de autenticación de CISA para sistemas federales de alto valor.
Las siguientes brechas muestran cómo estos riesgos se materializan en diferentes industrias.
Ejemplos reales de autenticación rota
Estas brechas ilustran cómo la autenticación rota se manifiesta en diferentes industrias, técnicas de ataque y escalas de impacto.
23andMe: Relleno de credenciales y exposición masiva de datos
Los atacantes usaron relleno de credenciales para acceder a un pequeño subconjunto de cuentas de usuarios de 23andMe cuyas contraseñas coincidían con las de brechas anteriores. A través de la función DNA Relatives, ese acceso inicial se amplió a un conjunto mucho mayor de datos de perfil expuestos. Según los informes de la SEC de 23andMe, la empresa incurrió en gastos relacionados con el incidente. El MFA no era obligatorio en el momento de la brecha.
Snowflake/UNC5537: Credenciales de infostealer usadas posteriormente
El actor de amenazas UNC5537 utilizó robo de credenciales mediante malware infostealer para comprometer organizaciones a través de cuentas de Snowflake en la nube. Según la investigación de Mandiant, ninguna de las cuentas afectadas tenía MFA habilitado. Las víctimas incluyeron Ticketmaster, Santander Bank y Advance Auto Parts.
SolarWinds/SUNBURST: Falsificación de tokens SAML
Actores estatales rusos comprometieron el proceso de compilación de SolarWinds y usaron el acceso resultante para robar claves privadas de cifrado de ADFS. Según el informe de CISA, falsificaron tokens de autenticación SAML confiables para acceder a entornos cloud de múltiples agencias gubernamentales de EE. UU. sin poseer credenciales legítimas.
PayPal: Relleno de credenciales con consecuencias regulatorias
Los atacantes usaron relleno de credenciales para acceder a cuentas de clientes, exponiendo datos altamente sensibles. El DFS de Nueva York impuso un acuerdo regulatorio y requirió MFA obligatorio para cuentas de clientes en EE. UU.
GoDaddy: Compromiso de credenciales durante varios años
Una contraseña administrativa comprometida dio a los atacantes acceso al entorno Managed WordPress de GoDaddy, según los informes de la brecha de GoDaddy. La brecha afectó a un gran conjunto de clientes actuales e inactivos de Managed WordPress, con robo de credenciales de administrador de WordPress, cuentas FTP y direcciones de correo electrónico. Los atacantes también instalaron malware y obtuvieron código fuente.
Yahoo: Falsificación de cookies a gran escala
La brecha de Yahoo afectó finalmente a los 3 mil millones de cuentas de usuario, según cobertura de The New York Times. Los atacantes usaron cookies de autenticación falsificadas para acceder a cuentas sin contraseñas. Una brecha posterior involucró spear-phishing para credenciales administrativas, con la falsificación de cookies vinculada a un actor patrocinado por un estado.
Estos incidentes forman parte de un patrón histórico más amplio que se remonta a dos décadas.
Autenticación rota: una línea de tiempo
La historia de la autenticación rota sigue la evolución de la seguridad web, desde los primeros fallos en la gestión de sesiones hasta los ataques actuales a la capa de identidad.
| Año | Hito |
| 2004 | Se publica el primer OWASP Top 10; "Broken Authentication and Session Management" aparece como A3. |
| 2012 | La brecha de LinkedIn expone un conjunto masivo de credenciales mediante hashing SHA-1 sin sal. |
| 2013 | La brecha de Yahoo afecta a todas las cuentas de usuario; código malicioso elude controles de cuenta. OWASP clasifica la autenticación rota como A2. |
| 2017 | OWASP Top 10 mantiene la autenticación rota en A2 y destaca la disponibilidad de grandes colecciones de credenciales para relleno. |
| 2019 | CVE-2019-11510, Pulse Connect Secure, se añade al CISA KEV. |
| 2020 | SolarWinds/SUNBURST: la falsificación de tokens SAML compromete agencias federales de EE. UU. |
| 2021 | CISA documenta actores estatales rusos eludiendo Duo MFA mediante reinscripción de cuentas inactivas. OWASP reclasifica la categoría como A07. |
| 2022 | Uber es comprometido mediante cansancio de MFA. El relleno de credenciales en PayPal lleva a un acuerdo regulatorio. |
| 2023 | El relleno de credenciales en 23andMe expone millones de perfiles. Citrix Bleed permite secuestro de sesión. |
| 2024 | La campaña Snowflake/UNC5537 compromete muchas organizaciones sin MFA. |
| 2025 | OWASP Top 10:2025 amplía aún más la categoría. CVE-2024-55591 recibe atención crítica y el informe DBIR de Verizon confirma el abuso de credenciales como vía principal de acceso inicial. |
La autenticación rota ha pasado de ser un fallo en aplicaciones web a un problema de seguridad de identidad de pila completa que abarca aplicaciones, infraestructura y entornos cloud.
Cómo detectar la autenticación rota
Detectar la autenticación rota requiere un enfoque en capas que cubra fallos de diseño de la aplicación, abuso de credenciales en tiempo de ejecución y anomalías de comportamiento posteriores a la autenticación.
Análisis de logs y sesiones
La hoja de referencia de autenticación de OWASP especifica que debes registrar y revisar todos los fallos de autenticación, fallos de contraseña y bloqueos de cuentas. Busca patrones que indiquen relleno de credenciales: altos volúmenes de inicios de sesión fallidos en diferentes cuentas desde el mismo rango de IP, o inicios de sesión fallidos contra una sola cuenta desde ubicaciones geográficas diversas.
La hoja de referencia de gestión de sesiones de OWASP identifica eventos de sesión que deben activar desafíos de reautenticación: inicios de sesión desde IPs nuevas o sospechosas, intentos de cambio de contraseña y flujos completos de recuperación de cuenta. Distingue entre gestión de sesiones permisiva, que acepta cualquier ID de sesión establecido por el usuario y es vulnerable, y gestión estricta, que solo acepta IDs generados por el servidor.
Pruebas dinámicas de seguridad de aplicaciones (DAST)
La Guía de Pruebas de OWASP define procedimientos de prueba específicos de autenticación en la serie WSTG-ATHN. Estos cubren pruebas de credenciales predeterminadas, mecanismos de bloqueo débiles, evasión de esquemas de autenticación, flujos de restablecimiento de contraseña vulnerables, preguntas de seguridad débiles y fallos en la implementación de MFA. Herramientas como escáneres DAST y utilidades de prueba de contraseñas ejecutan estas pruebas contra aplicaciones en funcionamiento.
Análisis estático para credenciales codificadas
Las herramientas de análisis estático de seguridad de aplicaciones (SAST) escanean el código fuente antes del despliegue para encontrar contraseñas codificadas (CWE-798), implementaciones criptográficas débiles y lógica de sesión insegura. Esto detecta fallos en la gestión de credenciales que DAST no puede alcanzar porque existen en rutas de código no expuestas a través de la interfaz externa de la aplicación.
Identificación y respuesta a amenazas de identidad (ITDR)
Los atacantes que usan credenciales robadas válidas evaden tanto la seguridad de red como la de endpoints porque su tráfico parece legítimo y no implica malware. Los sistemas ITDR monitorizan específicamente la capa de identidad, comparando eventos de autenticación contra líneas base de comportamiento. Las desviaciones detectadas incluyen inicios de sesión desde ubicaciones geográficas inusuales, movimiento lateral entre conjuntos de datos no relacionados y solicitudes inusuales de escalada de privilegios. La arquitectura XDR amplía esto correlacionando anomalías de autenticación con movimiento lateral a nivel de red, revelando toda la cadena de ataque que las herramientas aisladas no detectan.
Cómo prevenir la autenticación rota
La prevención se relaciona directamente con las causas raíz. Cada control a continuación aborda subtipos específicos de autenticación rota con referencias a estándares aplicables.
Implementa MFA resistente al phishing
La guía de CISA identifica FIDO2/WebAuthn y tarjetas inteligentes PIV/CAC como el estándar de oro para MFA resistente al phishing. El MFA basado en push es vulnerable a ataques de cansancio y phishing en tiempo real que solicitan códigos de un solo uso. NIST SP 800-63B requiere MFA aprobado en niveles de garantía más altos.
Aplica políticas modernas de credenciales
Alinea con los requisitos de NIST 63B-4: verifica nuevas contraseñas contra listas de contraseñas comprometidas, permite todos los tipos de caracteres incluyendo Unicode y espacios en blanco, aplica una longitud mínima y no requiere rotación periódica. La hoja de referencia de autenticación de OWASP recomienda incluir un medidor de fortaleza de contraseñas y rotar credenciales solo cuando se confirme una filtración.
Para el almacenamiento, la hoja de referencia de almacenamiento de contraseñas recomienda Argon2id como algoritmo de hashing principal, con scrypt, bcrypt y PBKDF2 como alternativas aceptables. Incluye salting, peppering y configuración de factor de trabajo adecuados, con rutas de actualización para hashes heredados.
Implementa limitación de tasa y bloqueo de cuentas
Aplica protecciones contra fuerza bruta en los endpoints de autenticación que sean más estrictas que la limitación de tasa estándar de API. El proyecto OWASP API Security 2023 especifica implementar bloqueo de cuentas, CAPTCHA y retrasos progresivos. La Guía de Pruebas de OWASP también describe los umbrales de bloqueo típicos usados en la práctica.
Una vez que un usuario se autentica correctamente, la sesión en sí misma se convierte en la nueva superficie de ataque. Proteger cómo se emite, almacena y expira esa sesión es un control separado e igualmente importante.
Gestiona las sesiones de forma segura
Utiliza IDs de sesión generados por el servidor con alta entropía de un generador de números aleatorios criptográficamente seguro. Regenera los IDs de sesión tras cada inicio de sesión exitoso. Establece tiempos de espera por inactividad y absolutos. Nunca incrustes tokens de sesión en URLs. La hoja de referencia de gestión de sesiones de OWASP recomienda usar frameworks de gestión de sesiones integrados, J2EE, ASP.NET, PHP, en lugar de implementaciones personalizadas.
Refuerza la enumeración y recuperación de cuentas
Utiliza mensajes de respuesta idénticos para todos los resultados de autenticación para que los atacantes no puedan distinguir entre nombres de usuario válidos e inválidos. La hoja de referencia de olvido de contraseña especifica que las preguntas de seguridad no deben ser el único mecanismo de recuperación y que los endpoints de recuperación de credenciales requieren las mismas protecciones contra fuerza bruta que los de inicio de sesión.
Elimina credenciales predeterminadas
OWASP A07 lo indica directamente: "No distribuyas ni despliegues con credenciales predeterminadas, especialmente para usuarios administradores." Incluye comprobaciones de credenciales predeterminadas como parte de tu lista de verificación de despliegue.
Para aplicaciones que usan OAuth y OIDC, las credenciales fuertes y la higiene de sesiones no son suficientes por sí solas. Los controles a nivel de token previenen los ataques de reproducción y falsificación que operan por encima de la capa de credenciales.
Aplica seguridad de tokens para OAuth/OIDC
RFC 9700 requiere tokens de acceso restringidos al remitente, rotación de tokens de actualización para clientes públicos y Mutual TLS según RFC 8705 para prevenir ataques de reproducción de tokens.
Implementar estos controles requiere las herramientas adecuadas en múltiples capas de seguridad.
Herramientas para detección y prevención
Detener la autenticación rota requiere cobertura en múltiples categorías de herramientas porque ninguna categoría aborda toda la superficie de ataque.
| Categoría de herramienta | Función principal | Ataques de autenticación abordados |
| Herramientas DAST | Pruebas de flujo de autenticación en tiempo de ejecución | Evasión, bloqueo débil, exposición de tokens de sesión, credenciales predeterminadas |
| Herramientas SAST | Análisis de código fuente previo al despliegue | Credenciales codificadas, criptografía débil, lógica de sesión insegura |
| ITDR | Monitorización de comportamiento en la capa de identidad | Relleno de credenciales, movimiento lateral post-compromiso, escalada de privilegios |
| XDR con correlación de identidad | Telemetría entre capas: endpoint, red, nube, identidad | Movimiento lateral post-autenticación, viaje imposible, reconstrucción completa de la cadena de ataque |
| IA de comportamiento / UEBA | Análisis estadístico de anomalías en flujos de eventos de autenticación | Abuso de credenciales, actividad anómala de cuentas de servicio |
Ninguna herramienta cubre toda la superficie de ataque por sí sola. Una cobertura efectiva combina pruebas previas al despliegue, monitorización de comportamiento en tiempo de ejecución y correlación en la capa de identidad en todas las fuentes. A continuación se describe cómo SentinelOne aborda esa pila de extremo a extremo.
¿Cómo puede ayudar SentinelOne?
Cuando los atacantes roban credenciales, actúan rápido. SentinelOne te ayuda a detectar y detener ataques basados en identidad en todo tu entorno en tiempo real. Así es como nuestras soluciones trabajan juntas y te ayudan.
Singularity™ AI SIEM: Obtén visibilidad amplia de amenazas
Comienza con Singularity™ AI SIEM. Ingiera telemetría de autenticación de endpoints, redes, servicios cloud y proveedores de identidad, y luego correlaciona todo en un solo lugar. Sus análisis de comportamiento detectan patrones de viaje imposible (el mismo token en Nueva York y Tokio con minutos de diferencia), anomalías de sesión concurrente y escalada de privilegios mediante manipulación de tokens. En las Evaluaciones MITRE ATT&CK 2024, la plataforma Singularity detectó el 100% de los pasos de ataque sin retrasos y con un 88% menos de alertas que la mediana, para que tu equipo no se vea abrumado por el ruido.
Singularity™ Identity: Detecta puntos débiles antes que tus atacantes
Singularity™ Identity te ofrece detección y respuesta continua a amenazas de identidad (ITDR). Escanea credenciales débiles, expuestas o comprometidas en Active Directory local y proveedores de identidad cloud como Entra ID, Okta, Ping, Duo y SecureAuth. Verás picos inusuales en inicios de sesión fallidos, accesos desde ubicaciones extrañas e intentos de Kerberosting contra cuentas de servicio. También incluye gestión de postura de seguridad de identidad (ISPM), para que obtengas evaluaciones continuas de tu postura de seguridad de identidad, no solo auditorías puntuales.
Purple AI: Haz preguntas en lenguaje natural y obtén respuestas rápidas
Cuando se genera una alerta, Purple AI acelera la investigación. Solo pregunta en lenguaje natural, por ejemplo: “muéstrame todos los sistemas a los que accedió esta cuenta comprometida en las últimas 72 horas”. Recibes resultados correlacionados con contexto de tácticas MITRE ATT&CK. Según un estudio de IDC Business Value, los equipos de seguridad que usan Purple AI identifican amenazas un 63% más rápido y remedian un 55% más rápido.
Utiliza Singularity™ Data Lake y Storyline™
Todos los datos de eventos se almacenan en el Singularity™ Data Lake, normalizados en el Open Cybersecurity Schema Framework (OCSF). Las consultas se ejecutan hasta 100 veces más rápido que en SIEMs tradicionales. La tecnología Storyline luego reconstruye toda la cadena de ataque, vinculando el robo inicial de credenciales con cada movimiento lateral, escalada de privilegios y acceso a datos, para que veas toda la línea de tiempo sin correlación manual.
Solicita una demostración de SentinelOne para ver Singularity AI SIEM y Singularity Identity en acción.
Reduzca el riesgo de identidad en toda su organización
Detecte y responda a los ataques en tiempo real con soluciones integrales para Active Directory y Entra ID.
DemostraciónVulnerabilidades relacionadas
La autenticación rota se cruza y habilita varias otras clases de vulnerabilidades:
- Control de acceso roto (OWASP A01:2021): La autenticación verifica quién eres; el control de acceso verifica qué puedes hacer. Un fallo de autenticación que otorga acceso a cualquier cuenta válida hereda los permisos de esa cuenta, haciendo irrelevante el control de acceso.
- Fallos criptográficos (OWASP A02:2021): Hashing de contraseñas débil, almacenamiento de credenciales en texto plano y validación incorrecta de certificados son fallos criptográficos que permiten directamente el compromiso de la autenticación.
- Configuración de seguridad incorrecta (OWASP A05:2021): Credenciales predeterminadas, configuraciones permisivas de reinscripción de MFA y tiempos de sesión excesivamente largos son fallos de configuración que crean debilidades de autenticación.
- Server-Side Request Forgery (SSRF): SSRF puede combinarse con evasión de autenticación para acceder a servicios internos que confían en solicitudes del servidor comprometido.
- Vulnerabilidades de inyección: La inyección SQL contra consultas de autenticación puede eludir la lógica de inicio de sesión por completo manipulando la consulta que valida las credenciales.
- Robo de credenciales (MITRE ATT&CK T1078 Valid Accounts): El uso de cuentas válidas obtenidas por cualquier mecanismo de robo se corresponde directamente con la fase de post-explotación de la autenticación rota.
Abordar la autenticación rota no solo reduce el riesgo de identidad de forma aislada. Políticas de credenciales más sólidas, MFA obligatorio y controles reforzados de sesión reducen la superficie de ataque compartida de la que dependen el control de acceso roto, los fallos criptográficos y la mala configuración.
CVEs relacionados
| ID CVE | Descripción | Severidad | Producto afectado | Año |
| La evasión de autenticación de API en la plataforma de gestión de dispositivos móviles permite el acceso no autenticado a funcionalidades restringidas | ALTA | Ivanti Endpoint Manager Mobile | 2025 | |
| La ausencia de autenticación en el endpoint de ejecución de código permite la inyección remota de código sin autenticación | CRÍTICA | Langflow AI workflow platform | 2025 | |
| La ausencia de autenticación en la interfaz web de gestión permite acceso administrativo no autenticado | ALTA | Palo Alto PAN-OS | 2025 | |
| La autenticación incorrecta en el componente SSLVPN permite a los atacantes secuestrar sesiones VPN activas | ALTA | SonicWall SonicOS | 2024 | |
| La evasión de autenticación en la consola de administración permite a atacantes remotos obtener acceso administrativo completo sin autenticación | CRÍTICA | Ivanti Cloud Services Appliance | 2024 | |
| La evasión de autenticación mediante ruta alternativa permite la toma de control completa y no autenticada de la plataforma de soporte remoto | CRÍTICA | ConnectWise ScreenConnect | 2024 | |
| La divulgación de tokens de sesión desde memoria permite a los atacantes secuestrar sesiones autenticadas y eludir MFA (Citrix Bleed) | CRÍTICA | Citrix NetScaler ADC and Gateway | 2023 | |
| La evasión de autenticación en endpoints API críticos permite la ejecución remota de código no autenticada en el servidor CI/CD | CRÍTICA | JetBrains TeamCity | 2023 | |
| La evasión de autenticación de API permite el acceso no autenticado a endpoints restringidos y datos sensibles | CRÍTICA | Ivanti Endpoint Manager Mobile | 2023 | |
| La evasión de autenticación SAML mediante biblioteca Apache xmlsec desactualizada permite la ejecución remota de código sin autenticación | CRÍTICA | Zoho ManageEngine (20+ productos) | 2022 | |
| La evasión de autenticación mediante ruta o canal alternativo permite a atacantes no autenticados realizar operaciones privilegiadas | CRÍTICA | Fortinet FortiOS / FortiProxy / FortiSwitchManager | 2022 | |
| La ausencia de autenticación en la API iControl REST permite a atacantes no autenticados ejecutar comandos arbitrarios del sistema | CRÍTICA | F5 BIG-IP | 2022 | |
| La ausencia de autenticación en el componente OpenSSO Agent permite la toma de control completa del sistema vía HTTP sin autenticación | CRÍTICA | Oracle Access Manager (Fusion Middleware) | 2021 | |
| La vulnerabilidad SSRF permite evasión de autenticación previa y ejecución remota de código sin autenticación (ProxyLogon) | CRÍTICA | Microsoft Exchange Server | 2021 | |
| La evasión de autenticación mediante funciones de explorador de archivos y colaboración de Windows permite RCE no autenticada | CRÍTICA | Ivanti Connect Secure (Pulse Connect Secure) | 2021 | |
| Una cuenta codificada no documentada con contraseña inalterable otorga acceso administrativo completo vía SSH y web UI sin autenticación | CRÍTICA | Zyxel USG / ATP / VPN firmware | 2020 | |
| La ausencia de autenticación en la API Experimental permite acceso remoto no autenticado y ejecución arbitraria de código | CRÍTICA | Apache Airflow | 2020 | |
| El manejo incorrecto de mayúsculas en nombres de usuario permite a los atacantes eludir la autenticación de dos factores en SSL VPN sin FortiToken | CRÍTICA | Fortinet FortiOS SSL VPN | 2020 | |
| La evasión de autenticación en el endpoint wsdReadForm permite la recuperación y descifrado de todas las credenciales de usuario mediante clave XOR codificada | MEDIA | eWON Firmware 12.2–13.0 | 2019 | |
| La inyección SQL en el endpoint de inicio de sesión elude completamente la autenticación, otorgando acceso no autenticado al panel | CRÍTICA | E Learning Script 1.0 | 2019 | |
| La inyección SQL mediante parámetro POST permite evasión de autenticación y acceso no autorizado a la base de datos | ALTA | Simplejobscript | 2019 |
Conclusión
La autenticación rota sigue siendo una de las vías de acceso inicial más explotadas en brechas empresariales. Si tus controles de autenticación fallan, los atacantes pueden convertir contraseñas débiles, sesiones frágiles, evasión de MFA o controles ausentes en un compromiso total de cuentas.
Reduces ese riesgo con MFA resistente al phishing, políticas modernas de credenciales, gestión segura de sesiones y visibilidad en la capa de identidad que muestra cómo se están utilizando las credenciales robadas.
Preguntas frecuentes
La autenticación rota es una falla de confianza en la identidad. Ocurre cuando una aplicación no puede verificar de manera confiable quién es un usuario o no puede mantener esa identidad de forma segura después del inicio de sesión.
En la práctica, esto incluye comprobaciones débiles de credenciales, flujos de recuperación frágiles y fallos en el manejo de sesiones que permiten a los atacantes actuar como usuarios legítimos.
Sí. OWASP ha incluido esta categoría desde que comenzó el Top 10 en 2004. Los cambios de nombre son importantes: el cambio de "Broken Authentication" a "Identification and Authentication Failures" y luego a "Authentication Failures" muestra que el riesgo ahora abarca contraseñas, MFA, estado de sesión, federación y rutas de acceso alternativas.
Por lo general, sí. El límite de confianza suele estar en un inicio de sesión expuesto a Internet, API, gateway VPN, cuenta SaaS o interfaz de administración.
Los atacantes pueden reutilizar credenciales válidas, abusar de rutas de autenticación expuestas o secuestrar sesiones, lo que puede hacer que la actividad parezca acceso normal en lugar de un exploit tradicional.
Los sistemas de mayor riesgo son aquellos que toman decisiones de identidad para otros sistemas: aplicaciones web, APIs, consolas cloud, servicios conectados por SSO y dispositivos perimetrales.
Se aplica una regla simple: cuanto más ampliamente puede pivotar una cuenta después del inicio de sesión, más dañina se vuelve una falla de autenticación.
Normalmente combinan pruebas con reutilización. Las pruebas revelan bloqueos débiles, fallos de recuperación, MFA o comportamiento de sesión. La reutilización aplica credenciales robadas, tokens o CVEs conocidos que ya funcionan.
Eso hace que el descubrimiento sea relativamente económico porque los atacantes a menudo no necesitan un exploit novedoso para acceder.
Los primeros signos suelen ser patrones, no alertas individuales. Los indicadores comunes incluyen fallos de inicio de sesión distribuidos, viajes imposibles, actividad de recuperación inusual, repetidos avisos de MFA y nuevo comportamiento de sesión tras un inicio de sesión exitoso.
La señal clave es una secuencia que cruza eventos de autenticación, sesión y privilegios.
Es grave porque rompe el control que protege a todos los demás controles. Cuando falla la autenticación, un atacante puede heredar acceso de usuario normal, acceso privilegiado o confianza federada en sistemas posteriores.
Ese mayor radio de impacto es la razón por la que el abuso de credenciales y los fallos de elusión de autenticación están vinculados a brechas de alto impacto.
Sí. La falla de autenticación suele ser el punto de entrada, no el estado final. Una vez dentro, los atacantes pueden moverse lateralmente, escalar privilegios, acceder a recursos cloud o persistir a través de canales de identidad confiables.
Una sola cuenta comprometida puede convertirse rápidamente en un problema de acceso a nivel organizacional.
Sólo en parte. Las pruebas automatizadas son útiles para encontrar bloqueos débiles, fallos de recuperación, controles ausentes y credenciales codificadas. Son menos efectivas cuando los atacantes usan credenciales válidas o tokens robados, ya que esas acciones pueden parecer legítimas.
Por eso es importante el monitoreo de identidad y la correlación entre capas.
Las industrias más expuestas son aquellas donde el acceso autenticado conduce directamente a datos regulados, movimiento de dinero, control administrativo u operaciones críticas. Servicios financieros, gobierno, salud, empresas con alta carga cloud y operadores de infraestructura encajan en ese patrón.
El factor de riesgo compartido es el valor y alcance de lo que una cuenta confiable puede desbloquear.
