Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Español
Entry № 267

Cross-Site Request Forgery (CSRF)

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Cross-Site Request Forgery (CSRF)?

Cross-Site Request Forgery (CSRF)Ataque web que fuerza al navegador de un usuario autenticado a enviar peticiones no deseadas a un sitio vulnerable, ejecutando acciones sin su consentimiento.

El Cross-Site Request Forgery (CSRF) aprovecha que los navegadores adjuntan automáticamente cookies y otras credenciales a las peticiones salientes. La víctima, ya autenticada en el sitio objetivo, es engañada para cargar una página maliciosa que envía formularios o llamadas a la API en segundo plano, provocando acciones como cambiar la contraseña, transferir dinero o modificar la cuenta — todas en nombre del usuario legítimo. Las defensas incluyen tokens sincronizadores (tokens anti-CSRF), cookies SameSite (Lax o Strict), patrones double-submit, exigir reautenticación para acciones críticas, validar las cabeceras Origin/Referer y usar credenciales fuera de la cookie, como tokens bearer en memoria.

Ejemplos

  1. 01

    Un usuario autenticado abre una página del atacante que envía silenciosamente un POST a /transfer y mueve fondos de su banco.

  2. 02

    Un administrador hace clic en un enlace que envía un formulario oculto a /users/promote y otorga privilegios al atacante.

Preguntas frecuentes

¿Qué es Cross-Site Request Forgery (CSRF)?

Ataque web que fuerza al navegador de un usuario autenticado a enviar peticiones no deseadas a un sitio vulnerable, ejecutando acciones sin su consentimiento. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

¿Qué significa Cross-Site Request Forgery (CSRF)?

Ataque web que fuerza al navegador de un usuario autenticado a enviar peticiones no deseadas a un sitio vulnerable, ejecutando acciones sin su consentimiento.

¿Cómo defenderse de Cross-Site Request Forgery (CSRF)?

Las defensas contra Cross-Site Request Forgery (CSRF) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Cross-Site Request Forgery (CSRF)?

Nombres alternativos comunes: CSRF, Session riding.

Términos relacionados

Véase también