Saltar al contenido
Lección 4 de 8

Autenticación y Sesiones Rotas

4 min read

El Problema de la Identidad

La autenticación es el proceso de verificar que un usuario es quien dice ser. La gestión de sesiones es lo que mantiene esa identidad a lo largo de las peticiones. Cuando cualquiera de las dos falla, un atacante puede hacerse pasar por otro usuario, y todo el resto de los controles de seguridad se vuelven irrelevantes. El OWASP Top 10 agrupa estos fallos bajo A07:2021 — Identification and Authentication Failures (anteriormente "Broken Authentication").

Estos fallos son especialmente peligrosos porque atacan directamente la frontera de confianza de la aplicación. No importa cuán bien protegidos estén tus datos si un atacante puede simplemente iniciar sesión como un usuario legítimo, o peor, como un administrador. Por eso la autenticación y la gestión de sesiones merecen un diseño cuidadoso y una revisión constante.

Fuerza Bruta y Credential Stuffing

El ataque más directo contra la autenticación es la fuerza bruta: probar muchas combinaciones de usuario y contraseña hasta acertar. Una variante más eficiente es el ataque de diccionario, que prueba contraseñas comunes y conocidas en lugar de todas las combinaciones posibles. Si la aplicación no limita los intentos, un atacante automatizado puede probar millones de contraseñas.

El credential stuffing es hoy una de las amenazas más prevalentes. Aprovecha el hecho de que las personas reutilizan contraseñas: el atacante toma listas de credenciales filtradas en otras brechas y las prueba masivamente contra tu aplicación. Como las credenciales son válidas en algún sitio, una fracción funcionará también en el tuyo. Para defenderte necesitas rate limiting (limitar la tasa de intentos), bloqueo temporal de cuentas tras varios fallos, CAPTCHA ante comportamiento sospechoso y detección de credenciales conocidas como comprometidas.

Manejo Seguro de Sesiones

Una vez que el usuario se autentica, la aplicación emite un identificador de sesión. Si ese identificador se ve comprometido, el atacante secuestra la sesión sin necesidad de la contraseña. Hay varios errores clásicos que evitar. La fijación de sesión ocurre cuando la aplicación no genera un nuevo identificador tras el login, permitiendo a un atacante fijar un valor conocido antes de que la víctima inicie sesión.

Para un manejo seguro: genera identificadores de sesión largos y aleatorios con un generador criptográficamente seguro, regenera el identificador después de cada autenticación, transmítelo siempre sobre HTTPS, y configura las cookies con los atributos HttpOnly, Secure y SameSite. Implementa expiración de sesión por inactividad y un cierre de sesión que invalide realmente la sesión en el servidor, no solo en el navegador. Estos detalles, descritos en la lección 1, son la diferencia entre una sesión robusta y una trivialmente secuestrable.

Almacenamiento de Credenciales y MFA

Las contraseñas nunca deben almacenarse en texto plano ni con cifrado reversible. Deben guardarse usando una función de hash diseñada para contraseñas como bcrypt, scrypt o Argon2, que son lentas a propósito y resistentes a ataques con hardware especializado. Cada contraseña debe llevar un salt único para impedir el uso de tablas precalculadas (rainbow tables). Usar hashes rápidos como MD5 o SHA-1 para contraseñas es un error grave y frecuente.

La medida más efectiva para reducir el impacto de credenciales robadas es la autenticación multifactor (MFA). Al exigir un segundo factor (una aplicación de códigos TOTP, una llave de seguridad FIDO2 o similar) además de la contraseña, incluso una contraseña comprometida resulta insuficiente para entrar. La MFA neutraliza por sí sola la mayoría de los ataques de credential stuffing y phishing de contraseñas, y debería ser obligatoria para todas las cuentas administrativas.

Diseñando una Autenticación Robusta

Construir autenticación segura desde cero es difícil y propenso a errores, por lo que la recomendación general es apoyarse en soluciones probadas: frameworks de autenticación maduros, proveedores de identidad y estándares como OAuth 2.0 y OpenID Connect, en lugar de inventar tu propio esquema. Estos sistemas ya resuelven correctamente la gestión de tokens, la expiración y la rotación.

Complementa el diseño con buenas políticas: exige contraseñas suficientemente largas en lugar de reglas de complejidad arbitrarias, compara las contraseñas nuevas contra listas de contraseñas filtradas, ofrece recuperación de cuenta segura que no revele si un usuario existe, y registra y monitorea los intentos de login fallidos para detectar ataques en curso. Para validar tus defensas, usa herramientas como Burp Suite para analizar el flujo de login y la gestión de sesiones, y revisa la guía de autenticación de OWASP como referencia. La autenticación es la puerta de entrada: vale la pena protegerla con rigor.