A07:2025 – Authentication Failures

Authentication Failures ocurre cuando el sistema reconoce como legítimo a quien no debería: por debilidades en login, recuperación, MFA, manejo de sesiones o validación del uso previsto de credenciales/tokens.

Origen del problema

• No se bloquean ataques automatizados (credential stuffing, brute force, sprays).

• Se permiten contraseñas débiles, por defecto o credenciales ya filtradas.

• Procesos de recuperación de cuenta inseguros o fáciles de abusar.

• MFA ausente o con “alternativas” débiles que anulan su propósito.

• Sesiones/tokens mal gestionados (exposición, reutilización, expiración/invalidación deficiente).

Ejemplo de escenario de ataque

Paso 1 – Contexto del sistema
Una aplicación usa solo contraseña y permite intentos repetidos de login.

Paso 2 – Acción general del atacante
El atacante prueba credenciales reutilizadas filtradas en incidentes anteriores, de forma automatizada.

Paso 3 – Resultado o impacto
Consigue acceso a cuentas reales, toma control de perfiles y opera como el usuario legítimo.

Impacto real si no se gestiona

• Toma de cuentas y acceso a información privada.

• Fraude y acciones no autorizadas bajo identidad real.

• Costos por soporte, resets, incidentes y pérdida de usuarios.

• Daño reputacional por “cuentas comprometidas” a escala.

• Incidentes encadenados (una cuenta comprometida habilita más abuso).

Conclusión

Cuando falla la autenticación, el atacante no necesita vulnerar tu sistema: le basta con “entrar como alguien”. Y eso es el peor tipo de acceso: el que parece legítimo.

¿Quieres dominar el nuevo OWASP Top 10 2025 de manera práctica?

Tengo disponible mi Taller: Practical OWASP Top 10:2025 (Actualizado), donde aprenderás desde cero a identificar, prevenir y probar con laboratorios prácticos los riesgos más críticos en aplicaciones web.

👉 Accede al taller aquí: Practical OWASP TOP 10 2025

Nos vemos en la siguiente entrada

Fernando Conislla