Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

A02:2025 – Security Misconfiguration

owasp

Security Misconfiguration es cuando un sistema, aplicación o servicio cloud queda configurado de forma insegura, creando exposiciones evitables: funciones innecesarias activas, permisos incorrectos, cuentas por defecto, headers ausentes o mensajes de error demasiado detallados.

Origen del problema

  • Falta de hardening consistente en toda la pila (app, servidor, cloud).

  • Funciones o servicios innecesarios habilitados (puertos, consolas, páginas, cuentas).

  • Uso de cuentas/contraseñas por defecto sin cambiar.

  • Manejo de errores que expone detalles internos (trazas, versiones, rutas).

  • Configuraciones no estandarizadas por falta de un proceso repetible y automatizado.

Ejemplo de escenario de ataque

Paso 1 – Contexto del sistema
Un servidor en producción conserva aplicaciones de ejemplo y una consola administrativa habilitada.

Paso 2 – Acción general del atacante
El atacante descubre la consola expuesta y prueba credenciales por defecto o acceso abierto.

Paso 3 – Resultado o impacto
Consigue acceso a funciones administrativas y compromete el entorno, alterando configuración o exponiendo datos.

Impacto real si no se gestiona

  • Exposición de paneles o funciones internas no destinadas al público.

  • Filtración de información técnica útil para ataques posteriores.

  • Compromiso del servidor o servicio por accesos triviales.

  • Acceso no autorizado a almacenamiento cloud o recursos compartidos.

  • Interrupciones y costos por remediación urgente de entornos.

Conclusión

Este riesgo suele doler por una razón: casi siempre se descubre tarde y con una frase incómoda — “eso no debía estar habilitado”. La seguridad no se cae por magia; se cae por configuración.

¿Quieres dominar el nuevo OWASP Top 10 2025 de manera práctica?

Tengo disponible mi Taller: Practical OWASP Top 10:2025 (Actualizado), donde aprenderás desde cero a identificar, prevenir y probar con laboratorios prácticos los riesgos más críticos en aplicaciones web.

👉 Accede al taller aquí: Practical OWASP TOP 10 2025

Nos vemos en la siguiente entrada

Fernando Conislla

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing