Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 009

Enumeración de cuentas

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Enumeración de cuentas?

Enumeración de cuentasAtaque que abusa de las respuestas de una aplicación para determinar qué cuentas, correos o teléfonos existen en el sistema objetivo.


La enumeración de cuentas explota diferencias en cómo se comporta una aplicación cuando una cuenta existe frente a cuando no: mensajes de error distintos en los flujos de inicio de sesión, registro o restablecimiento de contraseña, variaciones de tiempo o códigos de estado HTTP diferentes. Probando muchos identificadores candidatos, el atacante construye una lista de cuentas válidas que después puede atacar mediante phishing, credential stuffing o password spraying.

La vulnerabilidad es habitual en los formularios de inicio de sesión ("usuario desconocido" frente a "contraseña incorrecta"), en el restablecimiento de contraseña ("revise su correo" frente a "cuenta no encontrada") y en el registro ("el correo ya está registrado"). Rara vez es el objetivo final: la enumeración es un paso de reconocimiento que afina ataques posteriores al eliminar las conjeturas. Un ejemplo reciente y concreto es CVE-2025-69413 en Gitea (corregido en 1.25.2): el endpoint /api/v1/user devolvía respuestas distinguibles para nombres de usuario válidos e inválidos, lo que permitía a los atacantes mapear cuentas reales antes de un credential stuffing o un spear-phishing.

Incluso cuando los mensajes de error son uniformes, el tiempo puede filtrar información: los sistemas que solo calculan el hash de la contraseña suministrada cuando el usuario existe responden de forma medible más rápido para cuentas desconocidas. Por ello, las defensas robustas combinan mensajes genéricos e idénticos; rutas de código en tiempo constante (ejecutar siempre un hash ficticio); notificaciones genéricas de restablecimiento de contraseña y de registro; rate limiting por IP y por cuenta; CAPTCHA ante el abuso; y MFA para mitigar los ataques posteriores. El caso de prueba WSTG-IDNT-04 de OWASP codifica cómo comprobarlo.

flowchart TD
  A[El atacante envía un identificador candidato] --> B{¿Existe la cuenta?}
  B -->|Sí| C["Señal distinta:<br/>contraseña incorrecta / hash lento / 200"]
  B -->|No| D["Señal distinta:<br/>usuario desconocido / respuesta rápida / 404"]
  C --> E[Marcar identificador VÁLIDO]
  D --> F[Marcar identificador inválido]
  E --> G[Construir lista de cuentas válidas]
  G --> H[Credential stuffing / phishing / password spraying]
  C -.mensaje uniforme + tiempo constante.-> I[Señales idénticas: enumeración bloqueada]
  D -.mensaje uniforme + tiempo constante.-> I

Ejemplos

  1. 01

    Un registro que indica 'este correo ya está en uso', lo que permite cosechar correos válidos.

  2. 02

    Diferentes tiempos de respuesta en /login para usuarios conocidos y desconocidos, usados para construir una lista.

Preguntas frecuentes

¿Qué es Enumeración de cuentas?

Ataque que abusa de las respuestas de una aplicación para determinar qué cuentas, correos o teléfonos existen en el sistema objetivo. Pertenece a la categoría de Identidad y acceso en ciberseguridad.

¿Qué significa Enumeración de cuentas?

Ataque que abusa de las respuestas de una aplicación para determinar qué cuentas, correos o teléfonos existen en el sistema objetivo.

¿Cómo defenderse de Enumeración de cuentas?

Las defensas contra Enumeración de cuentas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Enumeración de cuentas?

Nombres alternativos comunes: Enumeración de usuarios, Enumeración de identificadores.

Términos relacionados