Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

A01:2025 – Broken Access Control

owasp

Broken Access Control ocurre cuando la aplicación no hace cumplir la política de permisos, permitiendo que un usuario actúe fuera de lo que le corresponde. Esto suele terminar en acceso no autorizado a información, cambios indebidos o ejecución de funciones de negocio fuera del límite del usuario.

Origen del problema

  • Se viola el principio “deny by default”: se permite acceso por defecto y se bloquea “solo lo obvio”.

  • Se pueden evadir controles alterando rutas, parámetros o estados del cliente.

  • Falta control por propiedad del recurso (IDOR): se accede a recursos ajenos con identificadores.

  • Endpoints con controles incompletos, especialmente en acciones de escritura (crear/editar/eliminar).

  • Se confía en metadatos manipulables (tokens, cookies, campos ocultos) para autorizar.

Ejemplo de escenario de ataque

Paso 1 – Contexto del sistema
Una app permite consultar el detalle de órdenes. Cada usuario solo debería ver sus propias órdenes.

Paso 2 – Acción general del atacante
Un usuario autenticado solicita el detalle de otra orden cambiando el identificador del recurso. La app no valida la propiedad.

Paso 3 – Resultado o impacto
La app devuelve información de otra persona: datos privados y detalles de compra, abriendo la puerta a exposición masiva y abuso.

Impacto real si no se gestiona

  • Divulgación de información sensible a usuarios no autorizados.

  • Modificación o eliminación indebida de datos.

  • Ejecución de funciones críticas fuera del rol permitido.

  • Escalada de privilegios (accesos de “admin” o equivalentes).

  • Fraude y daño directo a procesos del negocio.

Conclusión

Si el control de acceso falla, la aplicación deja de decidir “quién puede” y pasa a decidir “quién se atreve”. Y eso no es una brecha: es una pérdida total de confianza operativa.

¿Quieres dominar el nuevo OWASP Top 10 2025 de manera práctica?

Tengo disponible mi Taller: Practical OWASP Top 10:2025 (Actualizado), donde aprenderás desde cero a identificar, prevenir y probar con laboratorios prácticos los riesgos más críticos en aplicaciones web.

👉 Accede al taller aquí: Practical OWASP TOP 10 2025

Nos vemos en la siguiente entrada

Fernando Conislla

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing