Autenticación rota
¿Qué es Autenticación rota?
Autenticación rotaCategoría de vulnerabilidades en la que fallos de autenticación o gestión de sesión permiten al atacante suplantar a usuarios legítimos o tomar cuentas.
La autenticación rota engloba cualquier fallo que permita eludir o subvertir la verificación de identidad de una aplicación: contraseñas débiles aceptadas, falta de protección contra fuerza bruta, tokens de sesión predecibles o sin caducidad, flujos inseguros de restablecimiento, ausencia de MFA, defectos en la firma de JWT o almacenamiento de credenciales en claro. Aparece de forma recurrente en el OWASP Top 10 y es la base del credential stuffing y la toma de cuentas. Las defensas incluyen contraseñas únicas y robustas, MFA, limitación de tasa y bloqueo, almacenamiento seguro (Argon2/bcrypt con sal), tokens de sesión firmados de vida corta y flujos de recuperación auditados.
● Ejemplos
- 01
App que emite IDs de sesión en la URL y no los rota tras el login.
- 02
Restablecimiento de contraseña con un token numérico de 4 dígitos enviado por correo.
● Preguntas frecuentes
¿Qué es Autenticación rota?
Categoría de vulnerabilidades en la que fallos de autenticación o gestión de sesión permiten al atacante suplantar a usuarios legítimos o tomar cuentas. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa Autenticación rota?
Categoría de vulnerabilidades en la que fallos de autenticación o gestión de sesión permiten al atacante suplantar a usuarios legítimos o tomar cuentas.
¿Cómo defenderse de Autenticación rota?
Las defensas contra Autenticación rota combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Autenticación rota?
Nombres alternativos comunes: Fallas de identificación y autenticación, Bypass de autenticación.