{"id":86100,"date":"2026-04-30T21:41:41","date_gmt":"2026-05-01T02:41:41","guid":{"rendered":"https:\/\/niixer.com\/?p=86100"},"modified":"2026-04-30T21:41:43","modified_gmt":"2026-05-01T02:41:43","slug":"pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10","status":"publish","type":"post","link":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/","title":{"rendered":"Pentesting web: c\u00f3mo auditar la seguridad de una aplicaci\u00f3n real con OWASP Top 10"},"content":{"rendered":"\n

\u00bfQu\u00e9 es el pentesting web y por qu\u00e9 importa m\u00e1s que nunca?<\/strong><\/h2>\n\n\n\n

El pentesting web<\/strong> <\/a>es hoy una de las pr\u00e1cticas m\u00e1s importantes para proteger aplicaciones en l\u00ednea. La superficie de ataque crece de forma sostenida y cada a\u00f1o miles de sitios son comprometidos no por t\u00e9cnicas sofisticadas de intrusi\u00f3n, sino por configuraciones deficientes, componentes desactualizados o errores de dise\u00f1o que pudieron haberse detectado antes de que un atacante los aprovechara.<\/p>\n\n\n\n

El pentesting web \u2014o prueba de penetraci\u00f3n sobre aplicaciones web\u2014 es precisamente la disciplina que permite identificar esas debilidades de forma controlada, documentada y con prop\u00f3sito correctivo.
A diferencia de lo que el imaginario popular suele representar, un an\u00e1lisis de seguridad profesional no comienza rompiendo contrase\u00f1as ni ejecutando exploits. Comienza observando: recopilando informaci\u00f3n p\u00fablica disponible, analizando la infraestructura que soporta el sistema y construyendo un mapa detallado del entorno antes de interactuar activamente con \u00e9l.<\/p>\n\n\n\n

Este art\u00edculo documenta ese proceso completo aplicado sobre una aplicaci\u00f3n web real basada en WordPress<\/a>, siguiendo la metodolog\u00eda OWASP Top 10 (2021)<\/a> como marco de referencia.
Todo el an\u00e1lisis fue desarrollado con fines acad\u00e9micos en un entorno autorizado, cumpliendo con los principios del hacking \u00e9tico.<\/p>\n\n\n\n

Reconocimiento de red: la primera capa del pentesting web<\/strong><\/h2>\n\n\n\n

En todo ejercicio de pentesting web, el reconocimiento de red es la fase inicial de cualquier auditor\u00eda de seguridad. Su objetivo no es atacar, sino entender: \u00bfqu\u00e9 hay ah\u00ed afuera? \u00bfC\u00f3mo est\u00e1 organizado? \u00bfQu\u00e9 expone el sistema al mundo exterior?<\/p>\n\n\n\n

Para el dominio analizado \u2014www.smartzone.page.gd<\/code>, alojado en InfinityFree sobre infraestructura de iFastNet\u2014 se aplicaron herramientas b\u00e1sicas disponibles en cualquier sistema operativo Windows: ping<\/code>, tracert<\/code> y nslookup<\/code>.<\/p>\n\n\n\n

Verificaci\u00f3n ICMP y comportamiento del firewall<\/strong><\/h3>\n\n\n\n

El primer paso fue ejecutar un ping<\/code> al dominio. El resultado fue una p\u00e9rdida de paquetes del 100 %, lo que en principio podr\u00eda parecer que el servidor est\u00e1 ca\u00eddo. Sin embargo, la interpretaci\u00f3n t\u00e9cnica es distinta: el host est\u00e1 activo, pero el proveedor de hosting bloquea deliberadamente las respuestas ICMP.
Esta pol\u00edtica es est\u00e1ndar en entornos de hosting compartido, donde permitir respuestas ICMP facilitar\u00eda tareas de reconocimiento como la identificaci\u00f3n de hosts activos o el an\u00e1lisis de latencia.<\/p>\n\n\n\n

\"Resultado<\/figure>\n\n\n\n

Este comportamiento ya revela informaci\u00f3n valiosa: el sistema no est\u00e1 aislado; est\u00e1 protegido. Y esa diferencia es importante para un analista de seguridad.<\/p>\n\n\n\n

Trazado de ruta con Traceroute<\/strong><\/h3>\n\n\n\n

La ejecuci\u00f3n del comando tracert<\/code> permiti\u00f3 reconstruir el camino que siguen los paquetes desde el equipo del analista hasta el servidor objetivo. Se identificaron nueve saltos visibles que atraviesan la red local del analista, la infraestructura del ISP (Claro Colombia), nodos de backbone internacional operados por Level3, y finalmente llegan a la red de iFastNet en Reino Unido. A partir del d\u00e9cimo salto, los nodos dejan de responder: otra pr\u00e1ctica de seguridad deliberada para ocultar la topolog\u00eda interna de la red.<\/p>\n\n\n\n

\"Trazado<\/figure>\n\n\n\n

Con una sola herramienta pasiva fue posible inferir la ubicaci\u00f3n geogr\u00e1fica del servidor, los proveedores de red involucrados y el car\u00e1cter compartido de la infraestructura. Todo esto sin interactuar directamente con el servidor objetivo.<\/p>\n\n\n\n

Resoluci\u00f3n DNS y an\u00e1lisis de la IP p\u00fablica<\/strong><\/h3>\n\n\n\n
\"Resultado<\/figure>\n\n\n\n

La consulta nslookup<\/code> confirm\u00f3 que el dominio resuelve a la direcci\u00f3n IP 185.27.134.115<\/code>, perteneciente a iFastNet. La respuesta fue catalogada como “no autoritativa”, lo que indica que fue entregada desde la cach\u00e9 del ISP y no directamente desde los servidores DNS del dominio. Este detalle evidencia el funcionamiento distribuido y jer\u00e1rquico del sistema DNS: las consultas no viajan directamente a la fuente, sino que pasan por intermediarios que almacenan respuestas en cach\u00e9 para optimizar los tiempos de resoluci\u00f3n.<\/p>\n\n\n\n


Escaneo de puertos en el pentesting web<\/strong>: identificando la superficie de exposici\u00f3n<\/strong><\/h2>\n\n\n\n

Este paso es estandar en cualquier pentest web profesional. Con la IP identificada, el siguiente paso fue determinar qu\u00e9 servicios est\u00e1n expuestos p\u00fablicamente. Para esto se utiliz\u00f3 Nmap, una de las herramientas de an\u00e1lisis de red m\u00e1s utilizadas en auditor\u00edas de seguridad.

El escaneo general revel\u00f3 que de los m\u00e1s de 1.000 puertos analizados, 776 estaban filtrados y 221 cerrados. Solo tres permanec\u00edan abiertos: el puerto 80 (HTTP), el 443 (HTTPS) y el 2049 (NFS). Esta distribuci\u00f3n refleja una superficie de exposici\u00f3n deliberadamente reducida, coherente con buenas pr\u00e1cticas de administraci\u00f3n de servidores.<\/p>\n\n\n\n

\"Escaneo<\/figure>\n\n\n\n

El escaneo de versiones identific\u00f3 que los puertos 80 y 443 est\u00e1n gestionados por OpenResty<\/strong>, una plataforma basada en Nginx <\/a>dise\u00f1ada para manejar m\u00faltiples aplicaciones web con control avanzado de tr\u00e1fico. El puerto 2049, por su parte, corresponde a NFS (Network File System), utilizado para la sincronizaci\u00f3n de archivos entre servidores. Su presencia p\u00fablica representa un vector de ataque potencial si no est\u00e1 correctamente restringido a nivel de red.<\/p>\n\n\n\n

\"Detecci\u00f3n<\/figure>\n\n\n\n


An\u00e1lisis DNS, WHOIS y certificados SSL\/TLS<\/strong> en el pentesting web<\/strong><\/h3>\n\n\n\n

El an\u00e1lisis de la capa de informaci\u00f3n p\u00fablica \u2014registros DNS, datos WHOIS y certificados digitales\u2014 permite comprender c\u00f3mo est\u00e1 organizada la infraestructura y qu\u00e9 nivel de control tiene el propietario del sitio sobre ella.<\/p>\n\n\n\n

Estructura DNS y dependencia del proveedor<\/strong><\/h4>\n\n\n\n

Las consultas DNS revelaron que smartzone.page.gd<\/code> no es un dominio independiente, sino un subdominio dentro de la zona administrada por el proveedor page.gd<\/code>. Esto significa que el usuario del sitio no tiene control sobre sus propios servidores de nombres: toda la gesti\u00f3n DNS depende de ByetHost \/ InfinityFree. En consecuencia, no es posible configurar registros MX propios para gestionar correo electr\u00f3nico, ni establecer pol\u00edticas SPF o DKIM bajo este subdominio.<\/p>\n\n\n\n

\"Nslookup<\/figure>\n\n\n\n


WHOIS y registro del dominio base<\/strong><\/h4>\n\n\n\n

El an\u00e1lisis WHOIS <\/a>sobre el dominio base page.gd<\/code> confirm\u00f3 que est\u00e1 registrado a trav\u00e9s de Key Systems GmbH<\/strong>, un registrador internacional acreditado. El dominio se encuentra activo, con fechas de registro, actualizaci\u00f3n y expiraci\u00f3n vigentes.<\/p>\n\n\n\n

\"Registro<\/figure>\n\n\n\n


Evaluaci\u00f3n del certificado SSL\/TLS<\/strong><\/h4>\n\n\n\n

El certificado del sitio fue emitido por ZeroSSL<\/strong> (Sectigo), utiliza cifrado EC de 256 bits con firma SHA384withECDSA y obtuvo una calificaci\u00f3n general de A<\/strong> en Qualys SSL Labs, lo que indica una configuraci\u00f3n criptogr\u00e1fica s\u00f3lida.<\/p>\n\n\n\n

\"Calificaci\u00f3n<\/figure>\n\n\n\n

Sin embargo, se identific\u00f3 un problema relevante: el certificado fue emitido para el dominio base page.gd<\/code> y no espec\u00edficamente para el subdominio smartzone.page.gd<\/code>. Esto genera un Name Mismatch<\/strong> que, si bien no compromete el cifrado en tr\u00e1nsito, s\u00ed debilita la autenticaci\u00f3n de la identidad del sitio. Este hallazgo ilustra un principio fundamental: la presencia del candado HTTPS en el navegador no equivale a seguridad total.<\/p>\n\n\n\n

\"Registros<\/figure>\n\n\n\n


Pentesting web con OWASP Top 10 (2021): auditor\u00eda de vulnerabilidades en WordPress<\/strong><\/h2>\n\n\n\n

Con el mapa de infraestructura construido, el an\u00e1lisis se enfoc\u00f3 en la aplicaci\u00f3n web: un sitio WordPress con WooCommerce<\/a>. El marco metodol\u00f3gico utilizado fue el OWASP Top 10 (2021)<\/strong>, el est\u00e1ndar internacional de referencia para la clasificaci\u00f3n de riesgos en aplicaciones web. Es necesario tener presente que el pentesting web sobre WordPress requiere un enfoque metodol\u00f3gico.<\/p>\n\n\n\n

A01 \u2013 Control de acceso deficiente: primer hallazgo del pentesting web<\/strong><\/h3>\n\n\n\n

La vulnerabilidad m\u00e1s cr\u00edtica encontrada fue la exposici\u00f3n p\u00fablica de la lista completa de usuarios registrados a trav\u00e9s de la API REST de WordPress. Accediendo al endpoint \/wp-json\/wp\/v2\/users<\/code> sin ninguna credencial, el servidor respondi\u00f3 con nombres de usuario, IDs, slugs de inicio de sesi\u00f3n y el atributo is_super_admin: true<\/code> para ambas cuentas. Este es uno de los hallazgos m\u00e1s criticos en este pentest web.
<\/p>\n\n\n\n

\"Enumeraci\u00f3n<\/figure>\n\n\n\n

El impacto de esta exposici\u00f3n es cr\u00edtico: un atacante puede utilizar los nombres de usuario obtenidos para lanzar ataques de fuerza bruta contra el panel de administraci\u00f3n, reduciendo el problema a encontrar \u00fanicamente la contrase\u00f1a correcta.
Mitigaci\u00f3n recomendada:<\/strong> Deshabilitar la enumeraci\u00f3n de usuarios en la API REST mediante c\u00f3digo en functions.php<\/code> o mediante plugins como Wordfence o iThemes Security. Implementar autenticaci\u00f3n obligatoria para el acceso a endpoints sensibles.<\/p>\n\n\n\n

A02 \u2013 Fallos criptogr\u00e1ficos: HTTPS funcional pero con observaciones<\/strong><\/h3>\n\n\n\n

El an\u00e1lisis del certificado SSL\/TLS, documentado en la secci\u00f3n anterior, arroj\u00f3 una calificaci\u00f3n positiva. No obstante, se identificaron tres aspectos de mejora: el certificado es de tipo DV (Domain Validation), el nivel m\u00e1s b\u00e1sico; la extensi\u00f3n OCSP Must-Staple no est\u00e1 habilitada; y el certificado venc\u00eda el 22 de junio de 2026, con renovaci\u00f3n autom\u00e1tica no confirmada.<\/p>\n\n\n\n

\"Detalles<\/figure>\n\n\n\n


Mitigaci\u00f3n recomendada:<\/strong> Verificar que la renovaci\u00f3n autom\u00e1tica est\u00e9 configurada, habilitar OCSP Stapling y activar HSTS para forzar el uso de HTTPS a nivel de cabecera HTTP.<\/p>\n\n\n\n

A03 \u2013 Inyecci\u00f3n: vectores de XSS identificados<\/strong><\/h3>\n\n\n\n

Se realiz\u00f3 una prueba de Cross-Site Scripting<\/a> (XSS) inyectando el payload <script>alert('XSS')<\/script><\/code> en el buscador del sitio. El n\u00facleo de WordPress escap\u00f3 correctamente el script, impidiendo su ejecuci\u00f3n. Sin embargo, el contenido ingresado s\u00ed se reflej\u00f3 en el t\u00edtulo de resultados y en la URL, confirmando la existencia del vector XSS reflejado.<\/p>\n\n\n\n

\"Vector<\/figure>\n\n\n\n

Adicionalmente, se identific\u00f3 que la secci\u00f3n de comentarios del blog estaba activa y sin moderaci\u00f3n obligatoria, lo que constituye un vector cl\u00e1sico de XSS almacenado<\/a><\/strong>: un atacante podr\u00eda inyectar c\u00f3digo JavaScript en un comentario que quedar\u00eda persistido en la base de datos y se ejecutar\u00eda en el navegador de cualquier visitante.<\/p>\n\n\n\n

\"Post<\/figure>\n\n\n\n

Mitigaci\u00f3n recomendada:<\/strong> Activar moderaci\u00f3n obligatoria de comentarios, instalar el plugin Really Simple SSL para resolver el contenido mixto detectado, y eliminar el post “\u00a1Hola mundo!” predeterminado que revela el estado de configuraci\u00f3n inicial del sitio.<\/p>\n\n\n\n

A04 \u2013 Dise\u00f1o inseguro: el panel de administraci\u00f3n, expuesto sin protecci\u00f3n adicional<\/strong><\/h3>\n\n\n\n

El panel de administraci\u00f3n de WordPress (\/wp-login.php<\/code>) es accesible p\u00fablicamente desde cualquier navegador, sin ninguna capa de protecci\u00f3n previa: sin restricci\u00f3n por IP, sin autenticaci\u00f3n HTTP adicional y sin limitaci\u00f3n de intentos fallidos. Combinado con la exposici\u00f3n de usuarios documentada en A01, esto configura un escenario de riesgo compuesto: el atacante ya conoce los nombres de usuario v\u00e1lidos y tiene acceso irrestricto al formulario de autenticaci\u00f3n. En terminos de pentesting web, esto configura un riesgo compuesto sobre la infraestructura del sitio web.<\/p>\n\n\n\n

\"Panel<\/figure>\n\n\n\n

Mitigaci\u00f3n recomendada:<\/strong> Cambiar la URL del inicio de sesi\u00f3n mediante plugins como WPS Hide Login, implementar limitaci\u00f3n de intentos con Limit Login Attempts Reloaded y agregar CAPTCHA al formulario de acceso.<\/p>\n\n\n\n

A05 \u2013 Configuraci\u00f3n de seguridad incorrecta: el stack tecnol\u00f3gico al descubierto<\/strong><\/h3>\n\n\n\n

La inspecci\u00f3n del c\u00f3digo fuente HTML de la p\u00e1gina principal revel\u00f3 etiquetas <meta name=\"generator\"><\/code> que exponen p\u00fablicamente las versiones exactas de todo el stack tecnol\u00f3gico instalado: WordPress 6.9.4, WooCommerce 10.6.2, Everest Forms 3.4.4, Contact Form 7 6.1.5 y GlotPress 4.0.3.<\/p>\n\n\n\n

\"C\u00f3digo<\/figure>\n\n\n\n

Esta informaci\u00f3n permite a cualquier atacante cruzar las versiones identificadas con bases de datos p\u00fablicas de vulnerabilidades como el National Vulnerability Database (NVD) o el repositorio de WPScan, obteniendo una lista de exploits aplicables directamente a la instalaci\u00f3n sin necesidad de acceso privilegiado.

Mitigaci\u00f3n recomendada:<\/strong> Eliminar las etiquetas <meta name=\"generator\"><\/code> mediante c\u00f3digo en functions.php<\/code> o con plugins de hardening como Wordfence, y remover los par\u00e1metros de versi\u00f3n ?ver=<\/code> de los recursos est\u00e1ticos.<\/p>\n\n\n\n

A06 \u2013 Componentes vulnerables y obsoletos: historial cr\u00edtico en plugins instalados<\/strong><\/h3>\n\n\n\n

El plugin Everest Forms<\/strong> (versi\u00f3n instalada: 3.4.4) presenta un historial de vulnerabilidades cr\u00edticas en versiones anteriores, incluyendo subida arbitraria de archivos sin autenticaci\u00f3n (CVSS 9.8) e inyecci\u00f3n de objetos PHP (CVSS 8.1). La versi\u00f3n instalada es posterior a todas las correcciones, pero la exposici\u00f3n p\u00fablica de las versiones exactas mantiene el riesgo latente: cualquier vulnerabilidad de d\u00eda cero a\u00fan no publicada har\u00eda al sitio inmediatamente identificable como objetivo.

Mitigaci\u00f3n recomendada:<\/strong> Suscribir alertas de seguridad de WPScan, habilitar actualizaciones autom\u00e1ticas de plugins desde el panel de WordPress y eliminar todos los complementos inactivos que ampl\u00edan la superficie de ataque sin aportar funcionalidad.<\/p>\n\n\n\n

A07 \u2013 Fallos de identificaci\u00f3n y autenticaci\u00f3n: enumeraci\u00f3n por mensajes de error<\/strong><\/h3>\n\n\n\n

Se identific\u00f3 una segunda v\u00eda de enumeraci\u00f3n de usuarios a trav\u00e9s de los mensajes de error del formulario de login. Al introducir un usuario existente con contrase\u00f1a incorrecta, el sistema responde: “la contrase\u00f1a que has introducido para el nombre de usuario admin no es correcta”<\/em>. Al intentar con un usuario inexistente, responde: “El nombre de usuario no est\u00e1 registrado en este sitio”<\/em>.<\/p>\n\n\n\n

\"Filtraci\u00f3n<\/figure>\n\n\n\n

Esta diferencia en los mensajes permite a un atacante construir una lista de usuarios v\u00e1lidos mediante ensayo y error, sin autenticaci\u00f3n exitosa. Adem\u00e1s, el formulario no implementa ning\u00fan bloqueo temporal tras intentos fallidos ni autenticaci\u00f3n multifactor.<\/p>\n\n\n\n

\"Pruebas<\/figure>\n\n\n\n

Mitigaci\u00f3n recomendada:<\/strong> Estandarizar los mensajes de error de autenticaci\u00f3n con un texto gen\u00e9rico, implementar bloqueo por IP tras intentos fallidos y habilitar autenticaci\u00f3n de dos factores (2FA) para cuentas con rol de administrador.<\/p>\n\n\n\n

A08 \u2013 Fallos en la integridad del software y los datos: wp-cron con 71 acciones vencidas<\/strong><\/h3>\n\n\n\n

Se identific\u00f3 un hallazgo positivo: todos los plugins instalados provienen del repositorio oficial de WordPress.org<\/a>, que aplica revisi\u00f3n de c\u00f3digo y firma criptogr\u00e1fica de paquetes antes de su publicaci\u00f3n. Sin embargo, el sistema report\u00f3 la advertencia de 71 acciones vencidas en el Action Scheduler<\/strong>, el sistema de tareas en cola utilizado por WooCommerce. Esto indica que el sistema wp-cron<\/code> de WordPress no est\u00e1 funcionando correctamente, posiblemente por una restricci\u00f3n de red del hosting que impide las solicitudes de loopback.<\/p>\n\n\n\n

\"Plugins<\/figure>\n\n\n\n

Mitigaci\u00f3n recomendada:<\/strong> Investigar la causa ra\u00edz del fallo en wp-cron<\/code> con el proveedor de hosting y configurar un cron real del sistema operativo como alternativa si InfinityFree lo permite.<\/p>\n\n\n\n

A09 \u2013 Fallos en el registro y la monitorizaci\u00f3n de seguridad: sin visibilidad ante ataques<\/strong> <\/h3>\n\n\n\n

La aplicaci\u00f3n no tiene instalado ning\u00fan plugin de seguridad con capacidades de registro y monitoreo. Esto significa que no existe ning\u00fan mecanismo que genere una alerta ante un ataque de diccionario automatizado contra \/wp-login.php<\/code>, ante la creaci\u00f3n de un nuevo administrador o ante cambios en archivos del sistema.

La herramienta de diagn\u00f3stico integrada de WordPress identific\u00f3 de forma aut\u00f3noma 7 mejoras pendientes<\/strong>, incluyendo dos alertas de seguridad directa: eliminar complementos inactivos y eliminar temas inactivos. Ambos representan c\u00f3digo ejecutable en el servidor que ampl\u00eda la superficie de ataque sin aportar funcionalidad activa.<\/p>\n\n\n\n

\"Estado<\/figure>\n\n\n\n

Mitigaci\u00f3n recomendada:<\/strong> Instalar Wordfence Security, que incluye firewall de aplicaciones web, esc\u00e1ner de malware y registro de intentos de autenticaci\u00f3n. Complementar con WP Activity Log para auditar todas las acciones realizadas en el panel de administraci\u00f3n.<\/p>\n\n\n\n

A10 \u2013 SSRF: la API REST como superficie de reconocimiento y vector potencial<\/strong><\/h3>\n\n\n\n

Accediendo al endpoint \/wp-json\/wp\/v2\/<\/code> sin autenticaci\u00f3n, se obtuvo el mapa completo de rutas disponibles en la API REST de WordPress, incluyendo endpoints para gesti\u00f3n de entradas, p\u00e1ginas, medios, revisiones y elementos de men\u00fa. Esta visibilidad total de la arquitectura interna facilita el reconocimiento previo a cualquier exploit.<\/p>\n\n\n\n

\"API<\/figure>\n\n\n\n

Dentro de ese mapa se identific\u00f3 el endpoint POST \/wp\/v2\/media\/{id}\/edit<\/code>, que acepta un par\u00e1metro src<\/code> con formato URI. Si no valida correctamente el origen de la URL proporcionada, podr\u00eda ser utilizado para forzar al servidor a realizar solicitudes hacia recursos internos de la infraestructura. Adicionalmente, la Biblioteca de Medios permite cargar im\u00e1genes mediante URL externas, lo que instruye al servidor a ejecutar una solicitud HTTP GET hacia el destino indicado.<\/p>\n\n\n\n

Conclusiones del pentesting web: resumen de hallazgos y mitigaciones<\/strong><\/h2>\n\n\n\n

El an\u00e1lisis completo de pentesting web, que combina t\u00e9cnicas de reconocimiento pasivo con una auditor\u00eda estructurada bajo OWASP Top 10 (2021), permiti\u00f3 construir una imagen detallada del estado de seguridad de la aplicaci\u00f3n. De las diez categor\u00edas evaluadas, cuatro presentan vulnerabilidades cr\u00edticas o altas confirmadas (A01, A04, A07, A09), cuatro tienen riesgos medios o parcialmente mitigados (A02, A03, A05, A06), una muestra controles positivos con observaciones (A08) y una expone una superficie de riesgo condicionada a otros vectores (A10).

Lo m\u00e1s relevante de este ejercicio no est\u00e1 en la lista de hallazgos individuales, sino en la relaci\u00f3n entre ellos. La exposici\u00f3n de usuarios por API (A01) alimenta directamente la viabilidad de ataques de fuerza bruta (A04 y A07). La exposici\u00f3n de versiones de software (A05) habilita la b\u00fasqueda de exploits aplicables a los componentes instalados (A06). La ausencia de monitoreo (A09) hace que todos los vectores anteriores sean silenciosos: un ataque exitoso podr\u00eda estar ocurriendo en este momento sin que el administrador lo sepa.
Este es el valor del pentesting web: no encontrar el error m\u00e1s espectacular, sino entender c\u00f3mo los errores se conectan entre s\u00ed para construir escenarios de riesgo que ninguno de ellos, por separado, har\u00eda evidente. Y m\u00e1s importante a\u00fan, proponer medidas de mitigaci\u00f3n concretas que puedan implementarse antes de que lo haga alguien con intenciones distintas a las de un an\u00e1lisis \u00e9tico.

La diferencia entre un atacante y un profesional de seguridad no radica en las herramientas que usan \u2014suelen ser las mismas\u2014, sino en la intenci\u00f3n, el marco metodol\u00f3gico y la responsabilidad con la que se ejecuta el an\u00e1lisis.<\/p>\n\n\n\n

Este an\u00e1lisis fue desarrollado en el marco de la asignatura de Hacking \u00c9tico de la Universidad Central (Bogot\u00e1, Colombia), sobre un entorno autorizado por los propios estudiantes. Todas las pruebas se realizaron con prop\u00f3sito exclusivamente acad\u00e9mico.<\/em><\/p>\n\n\n\n

Cr\u00e9ditos: <\/strong><\/h3>\n\n\n\n

Autores<\/strong>: Andr\u00e9s Camilo Corchuelo Poveda<\/a>, Maria Paula G\u00f3mez Vanegas<\/a>, Sergio Vergara Vega<\/a><\/p>\n\n\n\n

Editor: <\/strong>Carlos Iv\u00e1n Pinz\u00f3n Romero<\/a><\/p>\n\n\n\n

C\u00f3digo<\/strong>: UCHEG1-1<\/a> <\/p>\n\n\n\n

Universidad: <\/strong>Universidad Central<\/a><\/p>\n\n\n\n

Fuentes<\/strong><\/h2>\n\n\n\n
Fundaci\u00f3n OWASP. (2021). OWASP Top 10 : 2021 \u2013 Los diez riesgos de seguridad m\u00e1s cr\u00edticos para aplicaciones web . Proyecto Abierto Mundial de Seguridad de Aplicaciones. https:\/\/owasp.org\/Top10\/2021\/

Fundaci\u00f3n OWASP. (24 de septiembre de 2021). Introducci\u00f3n \u2013 OWASP Top 10 :2021 . Proyecto Abierto Mundial de Seguridad de Aplicaciones. https:\/\/owasp.org\/Top10\/2021\/A00_2021_Introduction\/

Fundaci\u00f3n OWASP. (sf). Acerca de la Fundaci\u00f3n OWASP . Proyecto Abierto Mundial de Seguridad de Aplicaciones. https:\/\/owasp.org\/about\/

Fundaci\u00f3n OWASP. (2020). Gu\u00eda de pruebas de seguridad web de OWASP v4.2 . Proyecto Abierto Mundial de Seguridad de Aplicaciones. https:\/\/owasp.org\/www-project-web-security-testing-guide\/v42\/

Fundaci\u00f3n OWASP. (sf). Los diez principales riesgos de seguridad de las aplicaciones web seg\u00fan OWASP . Proyecto Abierto Mundial de Seguridad de Aplicaciones. https:\/\/owasp.org\/www-project-top-ten\/

WPScan. (sf). Base de datos de vulnerabilidades de WordPress . WPScan SAS. https:\/\/wpscan.com\/<\/pre>\n","protected":false},"excerpt":{"rendered":"
\u00bfQu\u00e9 es el pentesting web y por qu\u00e9 importa m\u00e1s que nunca? El pentesting web es hoy una de las pr\u00e1cticas m\u00e1s importantes para proteger aplicaciones en l\u00ednea. La superficie de ataque crece de forma sostenida y cada a\u00f1o miles de sitios son comprometidos no por t\u00e9cnicas sofisticadas de intrusi\u00f3n,Seguir Leyendo<\/p>\n","protected":false},"author":2083,"featured_media":86193,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4557,30],"tags":[3568,2600,4561,364,247,4564],"class_list":["post-86100","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hacking-etico","category-niixer","tag-ejecucion-2","tag-hacking","tag-owasp-top-10","tag-paginas-web-2","tag-seguridad","tag-wordpress"],"yoast_head":"\nPentesting web con OWASP Top 10: auditor\u00eda paso a paso<\/title>\n<meta name=\"description\" content=\"Pentesting web paso a paso: Ejecutalo aplicando OWASP: desde el reconocimiento de red hasta la identificaci\u00f3n de vulnerabilidades cr\u00edticas.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Pentesting web con OWASP Top 10: auditor\u00eda paso a paso\" \/>\n<meta property=\"og:description\" content=\"Pentesting web paso a paso: Ejecutalo aplicando OWASP: desde el reconocimiento de red hasta la identificaci\u00f3n de vulnerabilidades cr\u00edticas.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/\" \/>\n<meta property=\"og:site_name\" content=\"Portal de noticias de tecnolog\u00eda, Realidad Virtual, Aumentada y Mixta, Videojuegos\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/niixer\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-05-01T02:41:41+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-01T02:41:43+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-5.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1280\" \/>\n\t<meta property=\"og:image:height\" content=\"720\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Andres Corchuelo\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Andres Corchuelo\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"17 minutos\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Pentesting web con OWASP Top 10: auditor\u00eda paso a paso","description":"Pentesting web paso a paso: Ejecutalo aplicando OWASP: desde el reconocimiento de red hasta la identificaci\u00f3n de vulnerabilidades cr\u00edticas.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/","og_locale":"es_ES","og_type":"article","og_title":"Pentesting web con OWASP Top 10: auditor\u00eda paso a paso","og_description":"Pentesting web paso a paso: Ejecutalo aplicando OWASP: desde el reconocimiento de red hasta la identificaci\u00f3n de vulnerabilidades cr\u00edticas.","og_url":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/","og_site_name":"Portal de noticias de tecnolog\u00eda, Realidad Virtual, Aumentada y Mixta, Videojuegos","article_publisher":"https:\/\/www.facebook.com\/niixer\/","article_published_time":"2026-05-01T02:41:41+00:00","article_modified_time":"2026-05-01T02:41:43+00:00","og_image":[{"width":1280,"height":720,"url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-5.webp","type":"image\/webp"}],"author":"Andres Corchuelo","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Andres Corchuelo","Tiempo de lectura":"17 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/#article","isPartOf":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/"},"author":{"name":"Andres Corchuelo","@id":"https:\/\/niixer.com\/#\/schema\/person\/15dacae0b515490097d1ffc052ef45e1"},"headline":"Pentesting web: c\u00f3mo auditar la seguridad de una aplicaci\u00f3n real con OWASP Top 10","datePublished":"2026-05-01T02:41:41+00:00","dateModified":"2026-05-01T02:41:43+00:00","mainEntityOfPage":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/"},"wordCount":2895,"publisher":{"@id":"https:\/\/niixer.com\/#organization"},"image":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/#primaryimage"},"thumbnailUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-5.webp","keywords":["Ejecuci\u00f3n","Hacking","OWASP Top 10","Paginas web","Seguridad","WordPress"],"articleSection":["Hacking \u00c9tico","Niixer"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/","url":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/","name":"Pentesting web con OWASP Top 10: auditor\u00eda paso a paso","isPartOf":{"@id":"https:\/\/niixer.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/#primaryimage"},"image":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/#primaryimage"},"thumbnailUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-5.webp","datePublished":"2026-05-01T02:41:41+00:00","dateModified":"2026-05-01T02:41:43+00:00","description":"Pentesting web paso a paso: Ejecutalo aplicando OWASP: desde el reconocimiento de red hasta la identificaci\u00f3n de vulnerabilidades cr\u00edticas.","breadcrumb":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/#primaryimage","url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-5.webp","contentUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-5.webp","width":1280,"height":720,"caption":"Portada del articulo"},{"@type":"BreadcrumbList","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/niixer.com\/"},{"@type":"ListItem","position":2,"name":"Pentesting web: c\u00f3mo auditar la seguridad de una aplicaci\u00f3n real con OWASP Top 10"}]},{"@type":"WebSite","@id":"https:\/\/niixer.com\/#website","url":"https:\/\/niixer.com\/","name":"Portal de noticias de tecnolog\u00eda, ciencia, Android, iOS, Realidad Virtual, Aumentada y Mixta, Videojuegos, computadores, todo lo mas reciente en tecnolog\u00eda","description":"Portal de noticias de tecnolog\u00eda","publisher":{"@id":"https:\/\/niixer.com\/#organization"},"alternateName":"Niixer","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/niixer.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/niixer.com\/#organization","name":"Niixer","alternateName":"Niixer.com","url":"https:\/\/niixer.com\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/niixer.com\/#\/schema\/logo\/image\/","url":"https:\/\/niixer.com\/wp-content\/uploads\/2022\/08\/logo-niixer-sin-fondo-1.png","contentUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2022\/08\/logo-niixer-sin-fondo-1.png","width":140,"height":140,"caption":"Niixer"},"image":{"@id":"https:\/\/niixer.com\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/niixer\/","https:\/\/www.instagram.com\/niixer.tecnologia\/"]},{"@type":"Person","@id":"https:\/\/niixer.com\/#\/schema\/person\/15dacae0b515490097d1ffc052ef45e1","name":"Andres Corchuelo","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/secure.gravatar.com\/avatar\/7ca5db38affd3c8c3a1ac64a124b0f503eb2bda6a5d50839b246bb3e407c3356?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/7ca5db38affd3c8c3a1ac64a124b0f503eb2bda6a5d50839b246bb3e407c3356?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/7ca5db38affd3c8c3a1ac64a124b0f503eb2bda6a5d50839b246bb3e407c3356?s=96&d=mm&r=g","caption":"Andres Corchuelo"},"url":"https:\/\/niixer.com\/index.php\/author\/andres-corchuelo\/"}]}},"jetpack_featured_media_url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Portada-5.webp","_links":{"self":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/86100","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/users\/2083"}],"replies":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/comments?post=86100"}],"version-history":[{"count":26,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/86100\/revisions"}],"predecessor-version":[{"id":86202,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/86100\/revisions\/86202"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/media\/86193"}],"wp:attachment":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/media?parent=86100"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/categories?post=86100"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/tags?post=86100"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}