Bienvenido a nuestro blog.

Entremos en el ataque a la cadena de suministro de tj-actions/changed-files. Sigue leyendo para conocer el TL;DR, lo que debes hacer, lo que ocurrió y más información.

TL;DR

- La tj-actions/archivos modificados GitHub Action, que se utiliza actualmente en más de 23.000 repositorios, se ha visto comprometido, filtrando secretos a través de los registros de flujo de trabajo y afectando a miles de canalizaciones de CI.

- Todas las versiones etiquetadas fueron modificadas, lo que hace que el anclaje basado en etiquetas sea inseguro. Los repositorios públicos son los de mayor riesgo, pero los privados también deben verificar su exposición.

- Las medidas inmediatas incluyen la identificación de los flujos de trabajo afectados, la eliminación de todas las referencias a la acción comprometida, la rotación de secretos y la comprobación de los registros en busca de actividad sospechosa.

Respuesta de Aikido: Hemos lanzado una nueva regla SAST que marca cualquier uso con gravedad crítica (Puntuación 100). Aikido puede marcar automáticamente tus acciones de Github para evitar este tipo de exploits en el futuro.

En primer lugar, ¿qué debe hacer?

Compruebe si le afecta el j-actions/archivos modificados ataque a la cadena de suministro:

A) Buscar tj-actions en su código base

B) Utiliza esta consulta de Github para encontrar referencias a la acción de GitHub afectada en los repositorios de tu organización (sustituye [tu-organ] por el nombre de tu organización).

Deje de utilizar tj-actions/archivos modificados lo antes posible y elimine todas las referencias a la acción comprometida.

Rota los secretos de los pipelines afectados y comprueba los logs de tus servicios (de terceros) en busca de usos sospechosos de los tokens expuestos; céntrate primero en los repos con logs de CI runner de acceso público.

Entremos en el ataque: ¿Qué pasó?

Un incidente de seguridad relacionado con el tj-actions/archivos modificados GitHub Action se identificó a mediados de marzo de 2025. Los atacantes introdujeron código malicioso que exponía secretos de CI/CD a través de registros de flujos de trabajo. Reportado por primera vez por Step Security, al incidente se le ha asignado CVE-2025-30066.

Aunque sigue sin estar claro qué ocurrió y cómo se distribuyó el código, la mayoría de los informes indican que el atacante comprometió un Token de Acceso Personal (PAT) de GitHub vinculado a la cuenta tj-actions-bot, lo que le permitió realizar modificaciones no autorizadas, inyectar código malicioso y manipular etiquetas de versión.

Cronología de los hechos:

Antes del 14 de marzo de 2025: El código malicioso comenzó a afectar a los repositorios afectados, provocando la filtración de secretos a los registros públicos.

14 de marzo de 2025: Los investigadores de seguridad identificaron el compromiso y aumentaron la concienciación.

15 de marzo de 2025: El script malicioso alojado en GitHub Gist fue eliminado. El repositorio comprometido se desconectó brevemente para revertir los cambios maliciosos y posteriormente se restauró sin los commits dañinos.

15 de marzo de 2025: El repositorio vuelve a estar en línea con una declaración sobre el ataque; el mantenedor también ha comentado el ataque.

Aunque la amenaza inmediata se ha abordado, las versiones en caché de la acción comprometida aún podrían suponer un riesgo. La mitigación proactiva es necesaria para asegurar las credenciales sensibles.

¿Cuál es el impacto del ataque tj-actions/changed-files?

Repositorios que utilizan tj-actions/archivos modificadosespecialmente las públicas, corren el riesgo de filtrar los secretos utilizados en sus canalizaciones. Estos secretos fueron expuestos en los registros de flujo de trabajo por el código malicioso del actor de la amenaza. Aunque no se ha confirmado ninguna filtración externa de datos, los actores maliciosos podrían acceder a los registros de los repositorios públicos. Los repositorios privados están menos afectados, pero deben evaluar su exposición y rotar los secretos si se ven afectados.

Repositorios públicos: Alto riesgo debido a la exposición pública de registros de flujo de trabajo que contienen secretos.

Repositorios privados: Menor riesgo, pero tener secretos activos expuestos en los registros de tu flujo de trabajo sigue siendo un riesgo importante.

Usuarios de acciones en caché: Los flujos de trabajo que almacenaron en caché la acción comprometida pueden seguir estando en riesgo hasta que se purguen las cachés.

¿Cómo puede ayudar el Aikido?

Hemos publicado un nueva norma SAST que marca cualquier tj-actions/archivos modificados uso con gravedad crítica (Puntuación 100). Si ya utilizas Aikido, estás cubierto. Si usted no tiene una cuenta de Aikido, puede conectarse y escanear su configuración en unos pocos segundos.

Más allá de este ataque, Aikido también bloquea automáticamente tus acciones de Github para evitar este tipo de exploits en el futuro.

Y nuestro feed de amenazas de malware propietario - Aikido Intel - detecta malware en 3 minutos después de su publicación en npm, pypi, y se extenderá a las acciones de Github en breve.

Se lo ponemos fácil a su cadena de suministro de software y le avisamos lo antes posible de nuevos riesgos y ataques.

Más información sobre el ataque:

- Un desglose sobre "Comprensión y Recreación del Ataque a la Cadena de Suministro tj-actions/changed-files" por el Analista de Latio, James Berthoty. James también muestra cómo recrear el ataque en su propio entorno para probar su sensor (tenga cuidado).

- Step Security, que informó en primer lugar del ataque, publicó un análisis de la investigación, "Detección de Harden-Runner: la acción tj-actions/changed-files está comprometida"

- Ver CVE-2023-51664

¿Por qué estás aquí?

Quieres saber la respuesta real a dos preguntas sobre la seguridad de Docker:

¿Es seguro Docker para su uso en producción?

‍Síy no. Docker utiliza un modelo de seguridad que se basa en espacios de nombres y aislamiento de recursos, por lo que los procesos dentro de más seguro de ataques específicos que la ejecución de sus aplicaciones directamente desde una nube VM o sistema de metal desnudo.A pesar de esa capa, todavía hay un montón de maneras para que los atacantes accedan a su contenedor, lo que les permite leer información confidencial, ejecutar ataques de denegación de servicio (DoS), o incluso obtener acceso root al sistema host.

¿Cómo puedo mejorar mi seguridad en Docker (de una forma no terriblemente dolorosa)?

‍Teguiaremos a través de las vulnerabilidades más comunes y graves de Docker, saltándonos las recomendaciones básicas que encontrarás por todo Google, como usar imágenes oficiales y mantener tu host actualizado.En su lugar, te llevaremos directamente a nuevas opciones de Docker y líneas de Dockerfile que harán que tu nuevo despliegue de contenedores Docker por defecto sea mucho más seguro que nunca.

La lista de comprobación de seguridad Docker no BS

Hacer que los sistemas de archivos dentro del contenedor sean de sólo lectura

¿Qué ganas?

Evita que un atacante edite el entorno de ejecución de su contenedor Docker, lo que podría permitirle recopilar información útil sobre su infraestructura, recopilar datos de usuarios o realizar directamente un ataque DOS o ransomware.

¿Cómo se fija?

Tiene dos opciones, en tiempo de ejecución o dentro de la configuración de Docker Compose.

En tiempo de ejecución: docker run --read-only tu-app:v1.0.1

En su archivo Docker Compose:

servicios:
webapp:
image: your-app:v1.0.1read_only: true
...

Escalada de privilegios de bloqueo

¿Qué ganas?

Evita que tu contenedor Docker -o un atacante que esté jugando dentro de dicho contenedor- habilite nuevos privilegios, incluso de nivel raíz, con setuid o setgid. Con un acceso más permisivo a tu contenedor, un atacante podría acceder a credenciales en forma de contraseñas o claves de partes conectadas de tu despliegue, como una base de datos.

¿Cómo se fija?

Una vez más, en tiempo de ejecución o dentro de la configuración de Docker Compose.

En tiempo de ejecución: docker run --security-opt=no-new-privileges tu-app:v1.0.1

En su archivo Docker Compose:

servicios: 
	webapp:    
		image: your-app:v1.0.1    
		security_opt:      
			- no-new-privileges:true    
...

Aísle sus redes de contenedor a contenedor

¿Qué ganas?

Por defecto, Docker permite que todos los contenedores se comuniquen a través de la red docker0, lo que podría permitir a un atacante moverse lateralmente de un contenedor comprometido a otro. Si tienes servicios discretos A y B en contenedores Y y Zy no necesitan comunicarse directamente, aislar sus redes proporciona la misma experiencia al usuario final al tiempo que evita el movimiento lateral para mejorar la seguridad de Docker.

¿Cómo se fija?

Puedes especificar redes Docker en tiempo de ejecución o dentro de tu configuración Docker Compose. Sin embargo, primero debe crear la red:

docker network create tu-red-aislada

En tiempo de ejecución, añada el --opción de redn: docker run --network tu-red-aislada tu-app:v1.0.1

O la opción equivalente en su archivo Docker Compose:

servicios: 
	webapp:    
    	 image: your-app:v1.0.1    
        networks:     
        	- tu-red-aislada    
		...

Establecer un usuario no root adecuado

¿Qué ganas?

El usuario por defecto dentro de un contenedor es raízcon un uid de 0. Al especificar un usuario distinto, evitas que un atacante escale sus privilegios a otro usuario que pueda realizar acciones sin restricciones, como root, lo que anularía cualquier otra medida de seguridad de Docker que te hayas esforzado en implementar.

¿Cómo se fija?

Crea tu usuario durante el proceso de compilación o en tiempo de ejecución. En tiempo de ejecución, puede crear el usuario por primera vez o anular la opción USUARIO que ya configuraste al construir.

Durante el proceso de compilación, en su Dockerfile:

...
RUN groupadd -r tu-usuario
RUN useradd -r -g tu-usuario tu-usuario
USUARIO myuser
...

‍

En tiempo de ejecución: docker run -u tu-usuario tu-app:v1.0.1

Reducir las capacidades del núcleo Linux

¿Qué ganas?

Por defecto, los contenedores Docker pueden utilizar un conjunto restringido de capacidades del kernel de Linux. Podrías pensar que la gente de Docker creó ese conjunto restringido para ser completamente seguros, pero muchas capacidades existen por compatibilidad y simplicidad. Por ejemplo, los contenedores predeterminados pueden cambiar arbitrariamente la propiedad de los archivos, cambiar su directorio raíz, manipular los UID de los procesos y leer sockets. Al eliminar algunas o todas estas capacidades, se minimiza el número de vectores de ataque.

¿Cómo se fija?

Puedes eliminar capacidades y establecer otras nuevas en tiempo de ejecución. Por ejemplo, puedes eliminar todas las capacidades del kernel y permitir a tu contenedor sólo la capacidad de cambiar la propiedad de los archivos existentes.

docker run --cap-drop ALL --cap-add CHOWN tu-app:v1.0.1

‍

O para Docker Compose:

servicios:
	webapp:
    	 image: your-app:v1.0.1
        cap_drop: 
        	- ALL
        cap_add: 
        	- CHOWN
        ...

Evitar las bombas de tenedor

¿Qué ganas?

Las bombas de bifurcación son un tipo de ataque DoS que replica infinitamente un proceso existente. En primer lugar, reducen el rendimiento y restringen los recursos, lo que inevitablemente aumenta los costes y, en última instancia, puede colapsar tus contenedores o el sistema anfitrión. Una vez que una bomba de bifurcación se ha iniciado, no hay otra forma de detenerla que reiniciando el contenedor o el host.

¿Cómo se fija?

En tiempo de ejecución, puedes limitar el número de procesos (PIDs) que tu contenedor puede crear.

docker run --pids-limit 99 tu-app:v1.0.1

‍

O con Docker Compose:

servicios:
	webapp:
		image: tu-app:v1.0.1
deploy
			límites:
				pids: 99

‍

Mejore la seguridad de Docker supervisando sus dependencias de código abierto

¿Qué ganas?

Es probable que las aplicaciones que ha puesto en contenedores para su despliegue con Docker tengan un amplio árbol de dependencias.

¿Cómo se fija?

La forma más "no BS" es con el escaneo de dependencias de código abierto de Aikido. Nuestra monitorización continua escanea proyectos escritos en más de una docena de lenguajes basándose en la presencia de archivos de bloqueo dentro de su aplicación y ofrece una visión general instantánea de vulnerabilidades y malware. Con el triaje automático que filtra los falsos positivos, Aikido le da consejos de remediación con los que puede empezar a trabajar de inmediato... no sólo después de leer una docena de otros documentos de referencia y temas de GitHub.

En Aikido, nos encantan los proyectos de código abierto establecidos como Trivy, Syft y Grype. También sabemos por experiencia que utilizarlos de forma aislada no es una experiencia particularmente buena para los desarrolladores. Bajo el capó, Aikido mejora estos proyectos con reglas personalizadas para cerrar las brechas y revelar los fallos de seguridad que no sería capaz de encontrar de otra manera. A diferencia de encadenar varias herramientas de código abierto, Aikido te libera de tener que construir un script de escaneo o crear un trabajo personalizado en tu CI/CD.

Utilice sólo imágenes de confianza para la seguridad de Docker

¿Qué ganas?

Docker Content Trust (DCT) es un sistema para firmar y validar el contenido y la integridad de las imágenes oficiales que se extraen de registros de Docker como Docker Hub. Si solo extrae imágenes firmadas por el autor, tendrá más garantías de que no han sido manipuladas para crear vulnerabilidades en su despliegue.

¿Cómo se fija?

La forma más sencilla es establecer la variable de entorno en su shell, lo que impide que usted o cualquier otra persona trabaje con imágenes no fiables.

exportDOCKER_CONTENT_TRUST=1
docker run ...

O bien, puede establecer la variable de entorno cada vez que ejecute Docker:

DOCKER_CONTENT_TRUST=1 docker run ...

Actualizar los tiempos de ejecución al final de su vida útil (EOL)

¿Qué ganas?

Una recomendación común para la seguridad de los contenedores Docker es fijar imágenes y dependencias a una versión específica en lugar de última. En teoría, eso evita que utilices sin saberlo nuevas imágenes, incluso manipuladas, que introducen nuevas vulnerabilidades.

¿Cómo se fija?

Tienes a tu disposición algunos proyectos de código abierto que te ayudarán a descubrir las fechas de caducidad y a prepararte mejor. El proyecto endoflife. date(repositorio GitHub) realiza un seguimiento de más de 300 productos agregando datos de múltiples fuentes y poniéndolos a disposición a través de una API pública. Con endoflife.date y proyectos similares tienes varias opciones:

• Compruebe manualmente en el proyecto las actualizaciones de las dependencias de las que dependen sus aplicaciones y cree tickets o incidencias para las actualizaciones necesarias.
• Escribe un script (Bash, Python, etc.) para obtener las fechas EOL de las dependencias de la API y ejecútalo regularmente, como una tarea cron.
• Incorpore la API pública, o esa secuencia de comandos personalizada, en su plataforma CI para que no se produzcan compilaciones que utilicen un proyecto que esté a punto de alcanzar el fin de su vida útil o lo haya alcanzado.

Como desarrollador, entendemos que su tiempo es valioso y a menudo limitado. Aquí es donde Aikido puede proporcionar una sensación de seguridad: nuestra función de escaneo EOL rastrea su código y contenedores, priorizando los tiempos de ejecución con mayor impacto y exposición, como Node.js o un servidor web Nginx. Como de costumbre, no sólo automatizamos la recopilación de información, sino que emitimos alertas con la gravedad adecuada para informarle, no para abrumarle.

Limitar el uso de recursos del contenedor

¿Qué ganas?

Por defecto, los contenedores no tienen restricciones de recursos y utilizarán tanta memoria o CPU como el programador del host. Limitar el uso de recursos de un contenedor específico puede minimizar el impacto de un ataque DoS. En lugar de colapsar su contenedor o sistema anfitrión debido a una Excepción de Memoria Agotada, el ataque DoS en curso "sólo" impactará negativamente en la experiencia del usuario final.

¿Cómo se fija?

En tiempo de ejecución, puede utilizar la función --memoria y --cpus para establecer límites de uso de memoria y CPU, respectivamente. La opción de memoria toma números con g para gigabytes y m para megabytes, mientras que la opción de CPU refleja el límite de CPUs dedicadas disponibles para el contenedor y sus procesos.

docker run --memory="1g" --cpus="2" tu-app:v1.0.1

Esto también funciona con Docker Compose:

servicios:
	webapp:
    	 image: your-app:v1.0.1
        deploy: 
            limits:
            	 cpus: '2'
                memoria: 1G 
         ...

Su comando final y las opciones de Compose para la seguridad de Docker

Por ahora has visto bastantes consejos de seguridad de Docker y las opciones CLI relevantes o la configuración para ir junto con ellos, lo que significa que estás bastante entusiasmado para ponerlos en práctica o abrumado con la forma de juntarlos todos. A continuación, hemos reunido todas las recomendaciones en un único comando o plantilla de configuración, que te ayudará a empezar a desplegar contenedores Docker más seguros de inmediato.

Obviamente, querrás cambiar algunas de las opciones -como el nombre de usuario no root, las capacidades del kernel, los límites de recursos- en función de las necesidades de tu aplicación.

exportDOCKER_CONTENT_TRUST=1
docker run \ 
    --read-only \ 
   --security-opt=no-new-privileges\ 
    --network your-isolated-network \ 
    --cap-drop ALL 
    --cap-add CHOWN \ 
    --pids-limit99 
    --memory="1g" --cpus="2" \ 
    --user=su-usuario \ 
    ...                 # OTRAS OPCIONES  
    tu-app:v1.0.1

Puede que incluso quieras crear un alias drun con el shell de tu host que puedas invocar sin tener que recordar todos esos detalles.

function drun  { 
docker run   
    	--read-only \ 
       --security-opt=no-new-privileges\ 
        --network your-isolated-network \ 
        --cap-drop ALL 
        --cap-add CHOWN \ 
        --pids-limit99 
        --memory="1g" --cpus="2" \ 
        --user=su-usuario    
       $1 \ 
       $2
}

A continuación, ejecuta tu alias de la siguiente manera, con tus opciones y el nombre de la imagen: drun -it tu-app:v1.0.1

Si eres de los que utilizan Docker Compose, puedes adaptar todas las mismas opciones en una nueva plantilla básica de Docker Compose con la que podrás trabajar en el futuro:

servicios:
	webapp:
    	 image: your-app:v1.0.1
        read_only: true
        security_opt:
           - no-new-privileges:true
        networks: 
           - your-isolated-network
        cap_drop: 
           - ALL
        cap_add: 
           - CHOWN
        deploy: 
        	limits:
        		 pids: 9
        		 cpus: '2'
        		memoria: 1G 
        ...               # OTRAS OPCIONES VAN AQUÍ

Bonificación: Ejecute Docker con contenedores sin raíz

Cuando instalas Docker en cualquier sistema, su demonio opera con privilegios de nivel raíz. Incluso si activas todas las opciones anteriores y evitas la escalada de privilegios dentro de un contenedor Docker, el resto del tiempo de ejecución del contenedor en tu sistema anfitrión sigue teniendo privilegios de root. Eso inevitablemente amplía tu superficie de ataque.

La solución son los contenedores sin raíz, que un usuario sin privilegios puede crear y gestionar. La ausencia de privilegios de root implica muchos menos problemas de seguridad para el sistema anfitrión.

Nos gustaría poder ayudarte a utilizar contenedores sin raíz con una sola opción o comando, pero no es tan sencillo. Puedes encontrar instrucciones detalladas en el sitio web de Rootless Containers, incluida una guía práctica para Docker.

¿Qué sigue para la seguridad de Docker?

‍

Si has aprendido algo de esta experiencia, es que la seguridad de los contenedores es una operación a largo plazo. Siempre hay más listas de comprobación y artículos de profundización que leer sobre cómo bloquear los contenedores en Docker o en su primo más antiguo y a menudo incomprendido, Kubernetes. No es posible aspirar a una seguridad de los contenedores impecable, pero dedicar tiempo en su apretado calendario de desarrollo a abordar la seguridad y, a continuación, realizar mejoras graduales basadas en el impacto y la gravedad, dará sus frutos con el paso del tiempo.

Para ayudarle a maximizar ese proceso continuo y priorizar las correcciones que mejorarán significativamente la seguridad de su aplicación, existe Aikido. Acabamos de recaudar 17 millones de dólares para nuestra plataforma de seguridad para desarrolladores "no BS", y nos encantaría que te unieras a nosotros.

¿Por qué estás aquí?

Ya ha oído hablar de los ataques de inyección SQL en JavaScript, pero no está del todo seguro de cómo son en la naturaleza o de si debe preocuparse por ellos en primer lugar. Tal vez estás tratando de averiguar lo malo que podría ser.

En resumen, si estás creando aplicaciones que utilizan bases de datos SQL, como MySQL y PostgreSQL, estás en riesgo: no estás a salvo de los métodos de ataque que han asolado a los desarrolladores y sus bases de datos durante décadas. Como desarrollador, tienes la responsabilidad de implementar barandillas que protejan los datos de los usuarios y garanticen que tu infraestructura subyacente nunca sea invadida, explorada o requisada.

Todas las nuevas herramientas dicen que te ayudan, pero sólo hacen que el desarrollo sea más complejo.

Puede añadir un mapeador objeto-relacional (ORM) como Sequelize y TypeORM para simplificar el trabajo con bases de datos SQL como MySQL y PostgreSQL, pero no le eximen completamente del riesgo. Los cortafuegos de aplicaciones web (WAF) ayudan a bloquear los ataques a nivel de red, pero requieren una infraestructura costosa y un mantenimiento constante. Los escáneres de código pueden ayudarle a identificar fallos evidentes, pero hacen mucho menos por los desconocidos y las técnicas de día cero que acechan.

Le presentaremos una imagen clara de cómo son los ataques de inyección SQL, el riesgo que conllevan y los errores de desarrollo que los hacen posibles. A continuación, le guiaremos a través de la instalación de una revisión global para que sepa, con certeza, que sus aplicaciones son seguras.

Ataques de inyección SQL: ejemplos e implicaciones

La definición más básica de un ataque de inyección SQL es cuando una aplicación permite que una entrada de usuario no validada y no saneada ejecute consultas a la base de datos, lo que permite a un atacante leer la base de datos SQL, modificar registros o eliminarlos a su antojo.

Como de costumbre, XKCD ilustra el peligro de SQL mejor que la mayoría de los escenarios sombríos que podríamos soñar:

¿Qué aspecto tiene una aplicación JavaScript vulnerable?

Empecemos con un sencillo ejemplo de pseudocódigo: una aplicación JavaScript con un elemento de entrada que permite a los usuarios buscar en una base de datos de gatos. En el siguiente ejemplo de código JavaScript, la aplicación responde a solicitudes POST en la ruta /cats para extraer la entrada del usuario del cuerpo de la solicitud y se conecta a la base de datos con una consulta para devolver todos los gatos con un id coincidente. A continuación, la aplicación muestra el gato utilizando la respuesta JSON.

app.post("/cats", (request, response) => {
	const query = `SELECT * FROM cats WHERE id = ${request.body.id}`;
	connection.query(query, (err, rows) => {
    	if(err) throw err;
        response.json({
        	data: rows
		});  
	});
});

Aunque este ejemplo puede parecer inocuo para quienes no están familiarizados con los ataques de inyección SQL, es extremadamente vulnerable. En particular, la aplicación no intenta validar o desinfectar la entrada del usuario de cadenas potencialmente peligrosas o métodos de codificación, yconcatenala entrada del usuario directamente en la consulta SQL, lo que permite a los atacantes múltiples oportunidades para atacar utilizando métodos de ataque de inyección SQL comunes que han existido durante décadas.

Ejemplo de carga útil de ataque JavaScript SQL

La inyección SQL consiste en engañar a tu base de datos MySQL o PostgreSQL para que realice una acción o responda con datos fuera del ámbito esperado debido a la forma en que tu aplicación genera las consultas SQL.

En 1=1 siempre es cierto ataque puede devolver toda la tabla de gatos con trucos como apóstrofes o comillas, porque 1=1 es siempre VERDADERO:

• El usuario introduce: MESAS BOBBY' O 1='1
• La base de datos ejecuta la consulta SQL: SELECT * FROM Usuarios WHERE Cat = BOBBY TABLES OR 1=1;

Del mismo modo, los atacantes pueden explotar una = siempre es verdad ataque para devolver todos los gatos, porque ""="" es siempre VERDADERO:

• El usuario introduce: " OR ""="
• La base de datos ejecuta la consulta SQL: SELECT * FROM Gatos WHERE CatId ="" o ""="";

Los atacantes suelen aprovecharse de la forma en que las bases de datos gestionan los comentarios en línea, e insertando comentarios (/* ... */) en una consulta, pueden ofuscar su intención o eludir los filtros.

• El usuario introduce: DR/*hello world*/OP/*sneak attack*/ TABLE Cats;
• La base de datos ejecuta la consulta SQL: DROP TABLE Gatos;

Otra estrategia común de inyección SQL en JavaScript es el apilamiento de consultas, que permite a los atacantes comenzar con una cadena inocua y, a continuación, utilizar un punto y coma (;) para terminar esa sentencia y comenzar otra que contenga su inyección. Los atacantes suelen utilizar el apilamiento de consultas para eliminar bases de datos enteras de un solo golpe con un comando DROP TABLE:

• El usuario introduce: Bobby; DROP TABLE Gatos --
• La aplicación crea su consulta SQL: const query = "SELECT * FROM Gatos WHERE CatId = " + input;
• La base de datos ejecuta la consulta SQL: SELECT * FROM Cats WHERE CatId = BOBBY; DROP TABLE Cats;

¿Qué ocurre con los ataques de inyección NoSQL?

Los ataques de inyección NoSQL son igual de peligrosos para la seguridad de tu aplicación y los datos de los usuarios, pero solo afectan a las pilas tecnológicas que utilizan bases de datos como MongoDB. La principal diferencia son los ataques de estilo, ya que las consultas SQL y NoSQL utilizan una sintaxis totalmente única que no se traslada de una categoría a otra.

Si utiliza una base de datos SQL, no corre el riesgo de sufrir ataques de inyección NoSQL, y viceversa.

El camino básico: corregir manualmente todas las vulnerabilidades de inyección SQL

Llegados a este punto, puede que estés menos interesado en cómo son todos los posibles trucos de inyección y más interesado en cómo proteger los datos que tienes en MySQL o PostgreSQL.

• Utilizar consultas parametrizadas: SQL tiene una funcionalidad para desconectar la ejecución de consultas y valores, protegiendo la base de datos de ataques de inyección.Con el ejemplo de JavaScript/Node.js de arriba, puedes emplear un marcador de posición en tu consulta SQL con un signo de interrogación (?). En connection.query() toma entonces el parámetro en su segundo argumento, proporcionando los mismos resultados en un método a prueba de inyecciones.

app.post("/cats", (request, response) => {  
	const query = `SELECT * FROM Cats WHERE id = ?`;  
    const value = request.body.id;  
    connection.query(query, value, (err, rows) => {    
    	if(err) throw err;    
        response.json({      
        	data: rows    
		});  
	});
});

‍

• Validar y desinfectar la entrada del usuario: Mientras que las consultas parametrizadas pueden ayudar a proteger su base de datos SQL de intrusiones y ataques, también puede evitar que los usuarios introduzcan cadenas potencialmente peligrosas en su aplicación.
  
  Una opción es añadir a tu aplicación bibliotecas de código abierto para el saneamiento y la validación. Por ejemplo, puede utilizar validador.js en el ecosistema JavaScript/Node.js para comprobar que un usuario está intentando introducir una dirección de correo electrónico real -y no un ataque de inyección SQL- en su formulario de registro.
  
  También puedes desarrollar validadores personalizados basados en regex para realizar un trabajo similar, pero tendrás por delante un camino enormemente largo y complejo con investigación y toneladas de pruebas manuales. Además, ¿realmente puedes interpretar este ejemplo de regex para la validación de correo electrónico?
  
  const re = /^(([^<>()[\]\\.,;:\s@"]+(\.[^<>()[\]\\.,;:\s@"]+)*)|(".+"))@((\[[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\])|(([a-zA-Z\-0-9]+\.)+[a-zA-Z]{2,}))$/;
  
  La misma idea se aplica para evitar cadenas como ...' O 1-'1. Puedes intentar investigar y cerrar todas estas oportunidades tú mismo, pero probablemente prefieras dedicar tu tiempo a crear nuevas funciones.

‍

• Implantar WAF o plataformas de seguridad basadas en agentes: Aunque estas soluciones pueden bloquear los ataques SQL incluso antes de que lleguen a tu aplicación, o al menos notificarte en tiempo real cuando se producen los ataques, vienen con algunas advertencias.
  
  En primer lugar, a menudo son caras y requieren que pongas en marcha una nueva infraestructura en las instalaciones o en la nube, que a menudo es mucho más compleja de lo que contrataste como desarrollador que solo quiere enviar a producción. En segundo lugar, requieren más mantenimiento manual para actualizar el conjunto de reglas, lo que le distrae de otras intervenciones manuales contra la inyección SQL. Por último, a menudo añaden más carga computacional, o redirigen todas las solicitudes a través de su plataforma para el análisis, añadiendo latencia y perjudicando la experiencia del usuario final.

El gran problema es que las oportunidades para los ataques de inyección SQL son como las malas hierbas: puedes cortarlas todas una vez utilizando estas herramientas, pero debes estar constantemente atento a toda tu base de código para asegurarte de que no vuelvan a brotar.

Un camino alternativo para resolver los ataques de inyección SQL en JavaScript: Firewall Aikido

Aikido Security acaba de lanzar Firewall, un motor de seguridad gratuito y de código abierto que le proyecta de forma autónoma frente a ataques de inyección SQL, y mucho más.

Si no utiliza Node.js, sepa que empezaremos a dar soporte a otros lenguajes y frameworks en el futuro. Siempre puede suscribirse a nuestro boletín de productos para saber exactamente cuándo Firewall se expande más allá del mundo JavaScript o enviarnos un correo electrónico a hello@aikido.dev si desea lanzar un lenguaje específico.

Probar una aplicación vulnerable a la inyección SQL de JavaScipt

Vamos a utilizar una aplicación de ejemplo que viene con el repositorio de código abierto para mostrar cómo funciona Aikido Firewall. También necesitarás Docker/DockerCompose para desplegar una base de datos MySQL local.

Empieza por hacer un fork del repositorio firewall-node y clona dicho fork en tu estación de trabajo local.

git clone https://github.com/<YOUR-GITHUB-USERNAME>/firewall-node.gitcd firewall-node

Utiliza Docker para desplegar una base de datos MySQL local en el puerto 27015. Este archivo docker-compose.yml también crea contenedores s3mock, MongoDB y PostgreSQL, ya que fue creado para ayudar al equipo de Aikido a probar cómo Firewall bloquea varios ataques.

docker-compose -f sample-apps/docker-compose.yml up -d

A continuación, inicie la aplicación de ejemplo:

node sample-apps/express-mysql2/app.js

Abrir http://localhost:4000 en tu navegador para echar un vistazo a esta sencilla aplicación para gatos. En el área de texto, escriba algunos nombres de gatos y haga clic en el botón Añadir botón . Para probar la inyección SQL, puede hacer clic en el botón Inyección de prueba o escriba lo siguiente en el área de texto: Kitty'); DELETE FROM gatos;-- H y haga clic en Añadir de nuevo. En cualquier caso, la aplicación te permite apilar varias consultas utilizando algunos comentarios de consulta engañosos, borrando toda la base de datos de gatos.

¿Cómo ocurre esto? Como hemos advertido antes, esta aplicación simplemente añade cualquier entrada del usuario al final de la consulta SQL, lo que es intrínsecamente inseguro.

const query = `INSERT INTO cats(petname) VALUES ('${name}');`

Las consecuencias pueden ser pequeñas en este caso, pero no es difícil imaginar cómo este error a menudo honesto puede tener consecuencias desastrosas para su aplicación de producción.

Bloqueo de la inyección SQL de JavaScript con Aikido Firewall

Veamos ahora con qué rapidez nuestro motor de seguridad de código abierto bloquea los ataques de inyección SQL de JavaScript sin tener que arreglar manualmente cada interacción con la base de datos en su código.

Si aún no tienes una cuenta de Aikido, adelante. haga uno gratis. Si ya tiene uno, inicie sesión y conecta tu cuenta de GitHub. Durante ese proceso, conceda a Aikido acceso para leer su bifurcación del nodo cortafuegos proyecto.

Ir a la Panel del cortafuegos y haz clic en Añadir servicio. Dé un nombre a su servicio y, una vez más, elija su horquilla para el nodo cortafuegos proyecto.

Aikido te instruye sobre cómo instalar e implementar Aikido Firewall. Dado que estamos utilizando la aplicación de ejemplo, ese trabajo ya está hecho para ti, pero es una referencia útil para saber cómo llevar nuestro motor de seguridad de código abierto a todas tus aplicaciones Node.js que podrían ser vulnerables a ataques de inyección SQL de JavaScript.

Haga clic en el botón Generar token para crear un token que permita a Aikido Firewall pasar de forma segura información sobre ataques de inyección SQL bloqueados a la plataforma de seguridad Aikido. Copie el token generado, que empieza por AIK_RUNTIME...y vuelva a su terminal para volver a ejecutar la aplicación de ejemplo, sólo que ahora con el Firewall totalmente activado en modo de bloqueo:

AIKIDO_TOKEN=<YOUR-AIKIDO-TOKEN> AIKIDO_DEBUG=true AIKIDO_BLOCKING=true node sample-apps/express-mysql2/app.js

Abrir localhost:4000 y una vez más invocar el ataque de inyección SQL incluido. Esta vez, Aikido lo bloqueará en el navegador, lo enviará a los registros de tu servidor web local y generará un nuevo evento. Haz clic en él para ver los detalles completos sobre el intento de inyección SQL, incluyendo la carga útil y dónde generó tu aplicación la peligrosa consulta SQL.

En lugar de preocuparse por proteger siempre sus aplicaciones contra los ataques de inyección SQL de JavaScript, tanto los críticos como los que aún no se han visto, Aikido Firewall ofrece un bloqueo completo y una capacidad de observación sofisticada que le mantiene informado sobre las fuentes de ataque, las cargas útiles comunes y los puntos débiles potenciales.

¿Y ahora qué?

Puede instalar e implementar Aikido Firewall en todas sus aplicaciones basadas en Node.js de forma gratuita. Nuestro motor de seguridad embebido de código abierto protege tu infraestructura y datos de usuario contra ataques de inyección SQL de JavaScript, inyección de comandos, contaminación de prototipos, path traversal, y más que vendrán en breve.

No estamos diciendo que Firewall deba reemplazar las mejores prácticas de desarrollo para la protección contra la inyección SQL, como el uso de consultas parametrizadas o no confiar nunca en la entrada del usuario, pero también sabemos por experiencia personal que ningún desarrollador es perfecto. Ninguna base de código es impecable, y los errores honestos ocurren todo el tiempo.

Piense en Firewall como un hotfix global para la inyección SQL. A diferencia de los regex desarrollados a medida, los WAF que inducen latencia o los complejos agentes de seguridad que cuestan un ojo de la cara, hace este trabajo extraordinariamente bien y con un impacto insignificante, totalmente gratis.

Si te gusta lo que has visto, echa un vistazo a nuestra hoja de ruta y dale una estrella a nuestro repositorio de GitHub(https://github.com/AikidoSec/firewall-node). ⭐

Introducción

Imagina que estás creando una aplicación web de blogging con Prisma. Escribes una consulta sencilla para autenticar a los usuarios basándote en su correo electrónico y contraseña:

1const user = await prisma.user.findFirst({
2  where: { email, password },
3});

Parece inofensivo, ¿verdad? Pero ¿y si un atacante envía password = { "not": "" }? En lugar de devolver el objeto Usuario sólo cuando coinciden el correo electrónico y la contraseña, la consulta siempre devuelve el Usuario cuando sólo coincide el correo electrónico proporcionado.

Esta vulnerabilidad se conoce como inyección de operador, pero se conoce más comúnmente como inyección NoSQL. Lo que muchos desarrolladores no saben es que, a pesar de los estrictos esquemas de modelos , algunos ORM son vulnerables a la inyección de operadores incluso cuando se utilizan con una base de datos relacional como PostgreSQL, lo que lo convierte en un riesgo más extendido de lo esperado.

En este post, exploraremos cómo funciona la inyección de operadores, demostraremos exploits en Prisma ORM y discutiremos cómo prevenirlos.

Entender la inyección de operadores

Para entender la inyección de operadores en los ORM, es interesante fijarse primero en la inyección NoSQL. MongoDB introdujo a los desarrolladores una API para consultar datos utilizando operadores como $eq, $lt y $ne. Cuando la entrada del usuario se pasa ciegamente a las funciones de consulta de MongoDB, existe un riesgo de inyección NoSQL.

Las librerías ORM populares para JavaScript empezaron a ofrecer una API similar para consultar datos y ahora casi todos los ORM importantes soportan alguna variación de los operadores de consulta, incluso cuando no soportan MongoDB. Prisma, Sequelize y TypeORM han implementado soporte para operadores de consulta para bases de datos relacionales como PostgreSQL.

Explotación de la inyección de operadores en Prisma

Las funciones de consulta de Prisma que operan sobre más de un registro suelen soportar operadores de consulta y son vulnerables a la inyección. Algunos ejemplos de funciones son encontrarPrimero, findMany, updateMany y deleteMany. Aunque Prisma valida los campos del modelo a los que se hace referencia en la consulta en tiempo de ejecución, los operadores son una entrada válida para estas funciones y, por lo tanto, no son rechazados por la validación.

Una razón por la que la inyección de operadores es fácil de explotar en Prisma, son los operadores basados en cadenas que ofrece la API de Prisma. Algunas librerías ORM han eliminado el soporte para operadores de consulta basados en cadenas porque son muy fáciles de pasar por alto por los desarrolladores y fáciles de explotar. En su lugar, obligan a los desarrolladores a hacer referencia a objetos personalizados para los operadores. Como estos objetos no pueden ser fácilmente de-serializados a partir de la entrada del usuario, el riesgo de inyección de operaciones se reduce en gran medida en estas bibliotecas.

No todas las funciones de consulta en Prisma son vulnerables a la inyección de operadores. Las funciones que seleccionan o modifican un único registro de la base de datos normalmente no admiten operadores y arrojan un error de ejecución cuando se proporciona un objeto. Aparte de findUnique, las funciones Prisma update, delete y upsert tampoco aceptan operadores en su filtro where.

1  // This query throws a runtime error:
2  // Argument `email`: Invalid value provided. Expected String, provided Object.
3  const user = await prisma.user.findUnique({
4    where: { email: { not: "" } },
5  });

‍

Buenas prácticas para evitar la inyección de operadores

1. Convertir entradas de usuario en tipos de datos primitivos

Normalmente, para evitar que los atacantes inyecten objetos, basta con convertir la entrada a tipos de datos primitivos como cadenas o números. En el ejemplo original, la conversión sería la siguiente:

1  const user = await prisma.user.findFirst({
2    where: { email: email.toString(), password: password.toString() },
3  });

2. Validar la entrada del usuario

Aunque el casting es eficaz, es posible que desee validar la entrada del usuario, para asegurarse de que la entrada cumple con sus requisitos de lógica de negocio.

Hay muchas librerías para la validación del lado del servidor de la entrada del usuario, como class-validator, zod y joi. Si estás desarrollando para un framework de aplicaciones web como NestJS o NextJS, es probable que recomienden métodos específicos para la validación de la entrada del usuario en el controlador.

En el ejemplo original, la validación de zod podría tener el siguiente aspecto:

1import { z } from "zod";
2
3const authInputSchema = z.object({
4  email: z.string().email(),
5  password: z.string().min(8)
6});
7
8const { email, password } = authInputSchema.parse({email: req.params.email, password: req.params.password});
9
10const user = await prisma.user.findFirst({
11  where: { email, password },
12});

3. Mantenga actualizado su ORM

Manténgase actualizado para beneficiarse de las mejoras y correcciones de seguridad. Por ejemplo, Sequelize desactivó los alias de cadena para los operadores de consulta a partir de la versión 4.12, lo que reduce significativamente la susceptibilidad a la inyección de operadores.

Conclusión

La inyección de operadores es una amenaza real para las aplicaciones que utilizan ORM modernos. La vulnerabilidad proviene del diseño de la API del ORM y no está relacionada con el tipo de base de datos utilizado. De hecho, incluso Prisma combinado con PostgreSQL puede ser vulnerable a la inyección de operadores. Aunque Prisma ofrece cierta protección integrada contra la inyección de operadores, los desarrolladores deben seguir practicando la validación y el saneamiento de entradas para garantizar la seguridad de la aplicación.

Apéndice: Esquema Prisma para el modelo de usuario

1// This is your Prisma schema file,
2// learn more about it in the docs: https://pris.ly/d/prisma-schema
3
4generator client {
5  provider = "prisma-client-js"
6}
7
8datasource db {
9  provider = "postgresql"
10  url      = env("DATABASE_URL")
11}
12
13// ...
14
15model User {
16  id       Int      @id @default(autoincrement())
17  email    String   @unique
18  password String
19  name     String?
20  posts    Post[]
21  profile  Profile?
22}

Las aplicaciones modernas se envían rápido, y eso a menudo significa que los errores de seguridad se cuelan en la producción. En esta guía, explicamos qué son las pruebas dinámicas de seguridad de aplicaciones (DAST), por qué son importantes en 2025 y cómo elegir la herramienta DAST adecuada para tu equipo, tanto si eres un desarrollador en solitario como si diriges la seguridad de una empresa.

No todos los lectores necesitan profundizar en las más de 15 herramientas. Si estás aquí con un caso de uso específico en mente -digamos que estás buscando el mejor DAST para desarrolladores, startups, o API Security- siéntete libre de saltar directamente a las sublistas adaptadas a tu escenario.

Dicho esto, te recomendamos que eches un vistazo al desglose completo de herramientas más abajo. Incluso una rápida ojeada a la lista principal puede hacer que aparezca una herramienta que no habías tenido en cuenta o ayudarte a entender por qué algunas opciones ocupan sistemáticamente los primeros puestos en todas las categorías.

¿Qué es DAST?

Dynamic Application Security Testing (DAST) es un método de pruebas de seguridad que evalúa una aplicación en ejecución desde fuera hacia dentro, de forma similar a como lo haría un atacante. Una herramienta DAST interactúa con una aplicación web a través de su front-end (peticiones HTTP, interfaces web, API) sin necesidad de acceder al código fuente. Este enfoque de "caja negra" consiste en simular entradas maliciosas y analizar las respuestas de la aplicación para identificar vulnerabilidades como inyección SQL, Cross-Site Scripting (XSS), fallos de autenticación, configuraciones erróneas y otros problemas en tiempo de ejecución. En esencia, DAST se comporta como un hacker automatizado que sondea las defensas de su aplicación.

Las soluciones DAST se distinguen de las herramientas de análisis estático (SAST) porque prueban la aplicación en ejecución en un entorno realista. Mientras que SAST escanea el código fuente en busca de errores, DAST lanza realmente ataques a una aplicación desplegada para ver si esas vulnerabilidades pueden explotarse en tiempo real. Esto significa que DAST puede encontrar problemas que sólo se manifiestan cuando todo el sistema se está ejecutando, por ejemplo, errores de configuración, controles de acceso rotos o valores predeterminados inseguros que no serían evidentes con sólo leer el código. El DAST se utiliza a menudo en las últimas fases de las pruebas (control de calidad, puesta en escena o incluso producción con precaución) como una comprobación final para detectar cualquier problema que no se haya detectado antes.

En 2025, DAST sigue siendo crucial porque las aplicaciones web modernas son cada vez más complejas (aplicaciones de una sola página, microservicios, API, etc.). Las herramientas DAST han evolucionado para hacer frente a estos retos: rastrear interfaces ricas, seguir redireccionamientos, gestionar flujos de autenticación y probar API REST/GraphQL, todo ello sin necesidad de ver el interior de la aplicación. Muchas organizaciones adoptan una estrategia combinada de SAST y DAST para obtener una cobertura completa a lo largo del ciclo de vida de desarrollo del software. (Para una comparación más profunda, consulte nuestra guía sobre el uso conjunto de SAST y DAST).

Por qué necesita herramientas DAST

Hoy en día, las aplicaciones están expuestas a Internet 24 horas al día, 7 días a la semana, y los atacantes descubren constantemente nuevos exploits. He aquí por qué el uso de herramientas DAST es imprescindible en 2025:

• Cobertura del mundo real: Las herramientas DAST detectan vulnerabilidades desde una perspectiva externa, mostrando exactamente lo que un atacante podría explotar en una aplicación en ejecución. Pueden descubrir problemas en el entorno (configuraciones del servidor, componentes de terceros, API) que las comprobaciones de código estático podrían pasar por alto.
• Lenguaje y plataforma agnósticos: Dado que DAST interactúa con la aplicación a través de HTTP y la interfaz de usuario, no importa en qué lenguaje o framework esté escrita la aplicación. Un escáner DAST puede probar Java, Python, Node o cualquier plataforma web, lo que resulta ideal para entornos políglotas.
• Detecta errores críticos en tiempo de ejecución: DAST destaca en la detección de problemas como servidores mal configurados, flujos de autenticación rotos, cookies inseguras y otros problemas de despliegue que sólo aparecen cuando la aplicación está en funcionamiento. A menudo se trata de vulnerabilidades de gran repercusión (por ejemplo, un portal de administración abierto o una contraseña predeterminada) que pasan desapercibidas en las revisiones del código.
• Pocos falsos positivos (en muchos casos): Las soluciones DAST modernas utilizan técnicas como la verificación de ataques (por ejemplo, pruebas de explotación) para confirmar las vulnerabilidades y reducir el ruido. A diferencia de SAST, que puede señalar problemas teóricos, DAST suele mostrar pruebas concretas (como "he podido volcar su base de datos mediante inyección SQL"), lo que facilita que los desarrolladores confíen en los resultados.
• Cumplimiento y tranquilidad: Muchas normas y reglamentos de seguridad (PCI DSS, OWASP Top 10, etc.) recomiendan o exigen pruebas dinámicas de las aplicaciones web. El uso de una herramienta DAST ayuda a comprobar estos requisitos mediante la elaboración de informes comprensibles para los auditores (por ejemplo, la cobertura de los 10 principales problemas de OWASP) y garantiza que no se han dejado agujeros en la aplicación antes de su puesta en marcha.

En resumen, DAST añade una capa esencial de seguridad al atacar su aplicación del mismo modo que lo harían las amenazas reales, para que pueda corregir los puntos débiles antes de que los malos actores los exploten.

Cómo elegir una herramienta DAST

No todos los escáneres DAST son iguales. Al evaluar las herramientas de pruebas dinámicas de seguridad de aplicaciones, tenga en cuenta los siguientes criterios para encontrar la más adecuada:

• Cobertura de tecnologías: Asegúrese de que la herramienta puede gestionar la pila tecnológica de sus aplicaciones: ¿es compatible con frontends modernos con JavaScript (aplicaciones de página única), backends móviles y API (REST, SOAP, GraphQL)? Herramientas como HCL AppScan e Invicti admiten una amplia gama de tipos de aplicaciones.
• Precisión y profundidad: Busque altos índices de detección de vulnerabilidades con un mínimo de falsos positivos. Características como los escaneos de confirmación o la generación de pruebas de concepto (por ejemplo, el escaneo basado en pruebas de Invicti) son valiosas para validar automáticamente los hallazgos. Lo que busca es una herramienta que descubra problemas críticos pero que no le abrume con ruido.
• Facilidad de uso e integración: Un buen DAST se adapta a su flujo de trabajo. Considere herramientas que ofrezcan una configuración sencilla (opciones basadas en la nube o gestionadas), integración CI/CD para DevSecOps (Aikido, StackHawk, etc.) e integraciones con gestores de incidencias (Jira, GitHub) o flujos de trabajo. Si sus desarrolladores pueden activar escaneos desde pipelines y obtener resultados en sus herramientas, la adopción será más fluida.
• Autenticación y gestión de la complejidad: Muchas aplicaciones no son totalmente públicas: compruebe que el DAST admite el escaneado autenticado (inicio de sesión con una cuenta/sesión de usuario) y puede gestionar cosas como formularios de varios pasos o flujos complejos. Los escáneres de nivel empresarial como Burp Suite, AppScan y otros permiten grabar secuencias de inicio de sesión o scripts de autenticación.
• Informes y comentarios de los desarrolladores: Los resultados deben ser fáciles de entender para los desarrolladores. Busque descripciones claras de las vulnerabilidades, orientación para su corrección e informes de cumplimiento si es necesario (por ejemplo, informes asignados a OWASP Top 10, PCI, etc.). Algunas plataformas (como Aikido's DAST) incluso proporcionan sugerencias de correcciones automáticas o parches de código para acelerar la remediación.
• Escalabilidad y rendimiento: Si necesita escanear docenas o cientos de aplicaciones, tenga en cuenta cómo se escala la herramienta. Los servicios DAST basados en la nube (Qualys WAS, Rapid7 InsightAppSec, Tenable.io, etc.) pueden ejecutar análisis en paralelo y gestionar la programación. Las herramientas locales deben permitir múltiples motores o agentes de escaneado para escalar. Evalúe también la velocidad de escaneado: algunas herramientas ofrecen un escaneado incremental u optimización para volver a realizar pruebas más rápidamente.
• Asistencia y mantenimiento: Por último, una herramienta es tan buena como su última actualización. Evalúe la frecuencia con la que el proveedor actualiza las comprobaciones de vulnerabilidades del escáner. El soporte activo de la comunidad o del proveedor es crucial, especialmente para las opciones de código abierto. Un DAST anticuado (o sin soporte) puede pasar por alto nuevas amenazas o fallar en aplicaciones modernas.

Tenga en cuenta estos criterios al revisar el panorama de las soluciones DAST. A continuación, analicemos las principales herramientas disponibles en 2025 y veamos en qué se diferencian.

Las mejores herramientas DAST para 2025

En esta sección, enumeramos las mejores herramientas de pruebas de seguridad de aplicaciones dinámicas de 2025. Entre ellas se incluye una mezcla de opciones comerciales y de código abierto, cada una con puntos fuertes únicos. Hemos proporcionado una lista alfabética de las principales herramientas, junto con sus características clave, casos de uso ideales, información de precios e incluso algunos fragmentos de reseñas de usuarios. Tanto si eres un desarrollador en una startup como un responsable de seguridad en una empresa, encontrarás una solución DAST que se adapte a tus necesidades.

En primer lugar, he aquí una comparación de las 5 mejores herramientas DAST en general, basada en características como el escaneo de API, la integración CI/CD y la precisión. Estas herramientas son las mejores de su clase para una amplia gama de necesidades, desde desarrolladores hasta equipos empresariales.

Acunetix de Invicti

Acunetix de Invicti es un potente escáner de vulnerabilidades web centrado en DAST y diseñado para pequeñas y medianas empresas. Ofrece un escaneado rápido y automatizado de sitios web y API, con un énfasis en la facilidad de uso y una rápida implementación. Acunetix se originó como producto independiente y ahora forma parte de la familia de productos de Invicti Security (complementando al escáner Invicti para empresas). Constituye un excelente punto de partida para los equipos que inician su programa de seguridad de aplicaciones.

Características principales:

• Sólida cobertura de vulnerabilidades: Analiza más de 7.000 vulnerabilidades web conocidas, incluidos los 10 problemas principales de OWASP, con comprobaciones de SQLi, XSS, configuraciones erróneas, contraseñas débiles, etc.
• Escaneado basado en pruebas: Utiliza la tecnología proof-of-exploit propiedad de Invicti para verificar automáticamente muchos hallazgos, reduciendo los falsos positivos. Por ejemplo, puede confirmar con seguridad inyecciones SQL demostrando un extracto de datos de muestra.
• Escaneo de API y SPA: Acunetix puede manejar aplicaciones modernas: rastrea aplicaciones HTML5 de una sola página y puede probar API REST y GraphQL. También admite la importación de definiciones Swagger/OpenAPI para garantizar una cobertura completa de las API.
• Integraciones y CI/CD: Ofrece integraciones integradas con gestores de incidencias (como Jira) y canalizaciones CI/CD (Jenkins, GitLab CI, etc.) para permitir la automatización en DevSecOps. Las exploraciones pueden activarse en nuevas compilaciones y los resultados pueden exportarse como tickets de desarrollador para bucles de solución rápida.
• Cumplimiento e informes: Proporciona informes de cumplimiento listos para usar para estándares como OWASP Top 10, PCI DSS, HIPAA, ISO 27001 y más, útiles para auditorías y para demostrar las pruebas de seguridad a las partes interesadas.

Lo mejor para: Pequeñas y medianas empresas que buscan una herramienta DAST rápida y fácil de usar con un motor de escaneado de nivel empresarial. El precio de Acunetix es más asequible que el de algunas herramientas para grandes empresas (licencias anuales, con opciones para on-prem o en la nube).

‍Modelo de precios: Comercial, con ediciones basadas en el número de objetivos; hay disponible una prueba gratuita de 14 días.

Opinión destacada: "Acunetix tiene una interfaz de usuario fácil de usar, es fácil de configurar y ejecutar, y produce resultados fiables. El modelo de licencias no es todo lo granular que podría ser, lo que significa que es necesario planificar la ampliación o reducción". (Fuente: G2)

Aikido Seguridad

Aikido Security es una plataforma de seguridad de aplicaciones todo en uno centrada en el desarrollador que incluye un escáner DAST junto con otras herramientas. El DAST de Aikido (llamado Surface Monitoring) simula ataques de caja negra en su aplicación web para encontrar vulnerabilidades en tiempo real. Lo que diferencia a Aikido es su enfoque unificado: reúne DAST, SAST, escaneado de seguridad de API, comprobaciones de configuración en la nube y mucho más en una sola interfaz, proporcionando una experiencia sin fisuras tanto a los desarrolladores como a los equipos de seguridad. La plataforma está basada en la nube, con un generoso nivel gratuito, lo que hace que la seguridad de nivel empresarial sea accesible tanto para las startups como para las grandes empresas.

Características principales:

• SAST + DAST unificados: Aikido combina pruebas estáticas y dinámicas: puede detectar problemas en una fase temprana con SAST y verificarlos en aplicaciones en ejecución con DAST. Todos los resultados se canalizan en un panel para obtener una visibilidad integral de AppSec (caso de uso conjunto de SAST y DAST).
• Flujo de trabajo sencillo para desarrolladores: Diseñado para ser "seguridad sin sentido para desarrolladores". Aikido se integra con las herramientas de desarrollo (IDEs, CI/CD pipelines, GitHub/GitLab, alertas de Slack). Los desarrolladores obtienen información inmediata: por ejemplo, los hallazgos de DAST pueden aparecer como comentarios de solicitud de extracción o resultados de canalización, con enlaces a sugerencias de solución. Un usuario dijo: "Con Aikido, la seguridad es ahora parte de nuestra forma de trabajar. Es rápido, integrado y realmente útil para los desarrolladores".
• Detección y análisis automatizados de API: El motor DAST incluye el descubrimiento automatizado de puntos finales de API (REST y GraphQL) y los analiza en busca de vulnerabilidades. Esto es crucial, ya que las API suelen acompañar a las aplicaciones web modernas. Aikido también puede iniciar sesión y probar áreas autenticadas, aumentando la cobertura de la superficie de ataque de su aplicación.
• Autocorrección mediante IA: Una característica destacada: la plataforma de Aikido puede generar correcciones con un solo clic para ciertos hallazgos utilizando IA. Por ejemplo, si el DAST encuentra un XSS reflejado, la plataforma puede sugerir un parche de código o un cambio de configuración. Esto convierte los hallazgos de seguridad en tareas procesables que los desarrolladores pueden resolver en cuestión de segundos.
• Escalabilidad e integración en la nube: Al ser un servicio en la nube, Aikido escala para escanear muchas aplicaciones de forma continua. Es adecuado para la escala empresarial (acceso basado en roles, tableros de equipo para uso empresarial, etc.), pero también es muy accesible para equipos pequeños. La plataforma se puede ejecutar en su CI, o puede activar escaneos bajo demanda a través de una sencilla interfaz de usuario web o API.

Lo mejorpara: Equipos de desarrollo que desean una solución de seguridad integrada y centrada en el desarrollador. Aikido es ideal si desea integrar DAST en el ciclo de vida de desarrollo sin muchos gastos generales. Es utilizado tanto por startups (ofrece planes especiales para startups) como por empresas (ver características para empresas).

Modelo de precios: Nivel gratuito para siempre (que incluye DAST, SAST y otros escáneres básicos para proyectos pequeños), y planes de pago con tarifa plana para usuarios adicionales o funciones avanzadas. Puedes empezar gratis sin tarjeta de crédito, lo que facilita la evaluación.

Reseña destacada: "Con Aikido, podemos solucionar un problema en sólo 30 segundos: pulsamos un botón, fusionamos el RP y listo". (Comentarios de los usuarios sobre la corrección automática)

Arachni

Arachni es un marco de escáner de seguridad de aplicaciones web de código abierto escrito en Ruby. Se trata de una herramienta DAST repleta de funciones que ha ganado popularidad por su arquitectura modular y sus completas capacidades de escaneado. Arachni se puede utilizar como un escáner independiente a través de su CLI o interfaz de usuario web, y también es un marco que permite a los probadores de penetración escribir módulos de escaneo personalizados. Aunque Arachni no está en desarrollo activo (la última actualización importante fue en 2017), sigue siendo una opción poderosa para aquellos dispuestos a trabajar con un proyecto de código abierto y potencialmente extenderlo.

Características principales:

• Amplias pruebas de vulnerabilidad: Arachni cubre todas las vulnerabilidades web críticas - Inyección SQL (incluyendo técnicas ciegas), XSS (reflejado y almacenado), inclusión de archivos, inyección de comandos OS, XXE, CSRF, y más. Realiza comprobaciones activas (atacando entradas) y pasivas (buscando fugas de información, problemas de configuración, etc.).
• Modular y ampliable: El escáner es altamente modular. Docenas de módulos pre-construidos manejan diferentes tipos de pruebas, y usted puede escribir los suyos propios en Ruby. Esta modularidad se extiende a la configuración del perfil e incluso a la capacidad de distribuir escaneos. Para los usuarios avanzados, Arachni puede ser un conjunto de herramientas de pruebas de penetración, no sólo un escáner de botón.
• Opciones GUI y CLI: Arachni ofrece una interfaz de línea de comandos para la automatización y una interfaz gráfica de usuario basada en navegador para un uso más sencillo. Los usuarios menos experimentados pueden utilizar la interfaz de usuario web para configurar los análisis y ver los informes, mientras que los usuarios avanzados pueden integrar la CLI en scripts o canalizaciones de CI.
• Informes detallados: La herramienta genera informes HTML detallados con gráficos interactivos y desgloses de vulnerabilidades. Los informes explican cada problema, a menudo haciendo referencia a las descripciones de OWASP, e incluyen pasos para reproducirlo y sugerencias para remediarlo. Estos informes se consideran uno de los puntos fuertes de Arachni.
• Rendimiento y automatización: Admite el escaneado multihilo e incluso puede configurarse de forma distribuida para acelerar los escaneados de aplicaciones de gran tamaño. Puede pausar y reanudar las exploraciones, y adaptar el alcance de las exploraciones a dominios o páginas específicos, lo que resulta útil en escenarios de automatización.

Lo mejor para: Investigadores de seguridad y pen-testers que quieran un framework DAST gratuito y de código abierto con el que jugar. Arachni también es educativo para aquellos que aprenden cómo funcionan los escáneres bajo el capó. Sin embargo, ten en cuenta: el desarrollador de Arachni detuvo el desarrollo activo, y el proyecto no ha visto actualizaciones importantes desde 2017. Todavía funciona para muchos casos de uso (gracias a los ajustes de la comunidad) y puede encontrar muchas vulnerabilidades, pero puede que no maneje algunas tecnologías modernas (como los nuevos frameworks de JavaScript) con la misma fluidez.

‍Modelo de precios: Gratuito y de código abierto (GPLv2). Los usuarios deben prever una curva de aprendizaje debido al mínimo soporte oficial y a la necesidad de actualizar posiblemente los módulos para la tecnología de vanguardia.

Reseña destacada: "Progresa a través de todas las pruebas críticas para el Top 10 de OWASP... Impresionante salida de informes con explicaciones perspicaces. Contras: No se ha actualizado desde 2017, no hay soporte, el proyecto ha sido abandonado." (Reseña de Comparitech)

Suite Eructo

Burp Suite de PortSwigger es una herramienta legendaria en el mundo de la seguridad web. Es una plataforma integrada que soporta pruebas de seguridad de aplicaciones web tanto manuales como automatizadas. Burp Suite es ampliamente utilizado por los probadores de penetración, cazadores de recompensas por errores y profesionales de la seguridad. Funciona como un proxy de intercepción (que permite modificar el tráfico) e incluye un escáner automatizado (Burp Scanner) para DAST. Las herramientas modulares de la suite (Proxy, Scanner, Intruder, Repeater, etc.) proporcionan un completo conjunto de herramientas de hacking. Burp Suite dispone de una versión gratuita Community Edition y de una versión de pago Professional Edition (con muchas más funciones y velocidad).

Características principales:

• Proxy interceptor: En el núcleo de Burp hay un proxy que intercepta las peticiones y respuestas HTTP/S. Esto permite a los probadores inspeccionar y modificar el tráfico sobre la marcha. Es inestimable para las pruebas manuales: puede manipular parámetros, cabeceras, etc., y luego enviar solicitudes a otras herramientas Burp para realizar más pruebas.
• Escáner automatizado: El escáner DAST de Burp puede rastrear automáticamente una aplicación y buscar vulnerabilidades. Reconoce más de 300 tipos de vulnerabilidades desde el principio, incluidas SQLi, XSS, CSRF, inyección de comandos y otras. Con más de 2500 casos de prueba y patrones, es bastante exhaustivo. Los hallazgos del escáner incluyen pruebas y orientación para la corrección.
• Extensibilidad (BApp Store): Burp cuenta con un amplio ecosistema de plugins. La BApp Store ofrece extensiones desarrolladas por la comunidad que añaden funciones, desde comprobaciones de vulnerabilidades hasta integración con otras herramientas. Esto significa que usted puede extender Burp para escanear en busca de amenazas emergentes o integrarse con pipelines de desarrollo (incluso hay un plugin Burp CI, y Burp Enterprise es un producto separado para la automatización).
• Herramientas de pruebas manuales: Más allá del escaneo, Burp Suite brilla con herramientas como Intruder (para fuzzing/fuerza bruta automatizada), Repeater (para crear y reproducir peticiones individuales), Sequencer (para análisis de tokens) y Decoder/Comparer. Estas herramientas permiten a los probadores expertos profundizar en problemas específicos que el análisis automatizado detecta.
• Integración CI/CD: Para DevSecOps, PortSwigger ofrece Burp Suite Enterprise (una edición separada) que está diseñada para ejecutar escaneos en CI y a escala. Pero incluso Burp Pro puede utilizarse en scripts a través de la línea de comandos o la API. Esto permite a los equipos incluir escaneos Burp como parte de su pipeline (a menudo para aplicaciones críticas o para comprobar otros escáneres).

Lo mejor para: Probadores de penetración y organizaciones con expertos dedicados a AppSec. Gracias a su flexibilidad y profundidad, Burp Suite Professional suele ser la herramienta más utilizada para las pruebas de seguridad prácticas. Para un equipo de desarrolladores, Burp puede utilizarse para verificar problemas específicos o durante el modelado de amenazas y la depuración de correcciones de seguridad. La edición Community es gratuita, pero tiene limitaciones (exploración más lenta, sin estado de guardado). La licencia Pro cuesta unos 449 dólares anuales por usuario. "Merece la pena para los probadores serios", como señaló un usuario de Reddit: "Es la herramienta más barata y mejor de su clase. Merece la pena". El escáner de Burp es potente, pero hay que tener en cuenta que a veces pasa por alto problemas muy específicos de la lógica empresarial: la experiencia humana es su complemento previsto.

Reseña destacada: "Una de las mejores herramientas proxy para bug bounty hunters y penetration testers. No hay nada que disguste; a todos los profesionales les encanta". (Reseña de G2)

HCL AppScan Estándar

HCL AppScan Standard (antes IBM AppScan) es una herramienta DAST de escritorio para usuarios empresariales. Ofrece un amplio conjunto de funciones para analizar aplicaciones web, servicios web e incluso algunos backends de aplicaciones móviles en busca de vulnerabilidades de seguridad. AppScan Standard forma parte de la cartera más amplia de HCL AppScan (que también incluye AppScan Enterprise, AppScan on Cloud, herramientas SAST, etc.). Es conocido por sus capacidades de análisis en profundidad y lo utilizan a menudo los auditores de seguridad y los equipos de control de calidad de las grandes organizaciones.

Características principales:

• Completo motor de análisis: AppScan Standard emplea algoritmos avanzados de rastreo y comprobación para maximizar la cobertura de aplicaciones complejas. Su escaneado "basado en acciones" puede gestionar aplicaciones de una sola página y código enriquecido del lado del cliente. También cuenta con decenas de miles de casos de prueba incorporados que cubren todo, desde SQLi y XSS hasta fallos lógicos. Está diseñado para abordar las aplicaciones web más complejas con secuencias de inicio de sesión, flujos de trabajo de varios pasos, etc.
• Pruebas de API y backend móvil: Más allá de las aplicaciones web tradicionales, puede probar API web (SOAP, REST) y backends móviles. Puede introducir definiciones de API o registrar el tráfico móvil para auditar los puntos finales. Esto hace que AppScan sea útil para empresas con aplicaciones móviles que se comunican con servicios JSON/REST.
• Exploraciones incrementales y optimizadas: Para una mayor eficiencia, AppScan permite el escaneo incremental - volviendo a probar sólo las partes nuevas o modificadas de una aplicación, lo que ahorra tiempo en las pruebas de regresión. También puede ajustar la velocidad de exploración frente a la configuración de cobertura para adaptarse a las exploraciones rápidas de desarrollo o auditorías en profundidad.
• Informes y cumplimiento: AppScan Standard cuenta con sólidas funciones de generación de informes. Puede generar una gran variedad de informes, incluidos los centrados en el desarrollador, con recomendaciones de correcciones y resúmenes ejecutivos. En particular, ofrece informes de conformidad y estándares del sector (PCI, HIPAA, OWASP Top 10, DISA STIGs, etc.), lo que facilita la demostración del cumplimiento de los requisitos de seguridad.
• Integración empresarial: Aunque AppScan Standard es un cliente independiente, puede integrarse con AppScan Enterprise (para escalar los escaneos en un equipo) y con los pipelines CI/CD a través de la ejecución de línea de comandos o APIs. HCL también proporciona plugins para herramientas como Jenkins. Además, admite la exploración autenticada con varios mecanismos (Basic, NTLM, autenticación de formularios, etc.) y puede funcionar fácilmente detrás del cortafuegos corporativo, ya que se ejecuta in situ.

Lo mejor para: Empresas y equipos de seguridad que necesitan una potente solución DAST local con amplias opciones de configuración. Si necesita un control detallado de los análisis, probar aplicaciones en un entorno seguro sin conexión o cumplir con la normativa, AppScan es un buen candidato.

Modelo de precios: Comercial (precios para empresas). Normalmente, se licencia por usuario o por instalación. HCL también lo ofrece como parte de las suscripciones a AppScan on Cloud. Su precio es más elevado por su conjunto de funciones empresariales; se recomienda formación para sacarle el máximo partido.

Contexto de la revisión: La longevidad de AppScan en el mercado (desde los tiempos de IBM) significa que está probado y comprobado. Los usuarios suelen elogiar su profundidad, pero señalan que la interfaz de usuario y la configuración pueden ser complejas. Si invierte tiempo, encontrará vulnerabilidades de forma fiable y generará los informes que necesita para satisfacer a los auditores.

Micro Focus Fortify WebInspect

Micro Focus Fortify WebInspect (ahora bajo OpenText, que adquirió Micro Focus) es una herramienta DAST de nivel empresarial conocida por su uso en evaluaciones de seguridad profundas y su integración con la suite Fortify. WebInspect proporciona escaneado dinámico automatizado para aplicaciones y servicios web, y a menudo se utiliza junto con las herramientas de análisis estático (SAST) de Fortify para cubrir ambos ángulos. Esta herramienta tiene una larga historia en AppSec y es la favorita de las organizaciones que requieren escaneado in situ e integración con programas de gestión de vulnerabilidades más amplios.

Características principales:

• Análisis automatizado exhaustivo: WebInspect realiza escaneos rigurosos que pueden identificar una amplia gama de vulnerabilidades en aplicaciones web y API. Incluye comprobaciones de OWASP Top 10, fallos de lógica empresarial y problemas de configuración del servidor. El escáner utiliza una combinación de enfoques heurísticos y de firmas para descubrir CVE conocidos, así como problemas de día cero (como casos extremos de gestión de entradas inusuales).
• JavaScript y análisis del lado del cliente: En versiones recientes, Fortify WebInspect ha mejorado en el análisis sintáctico y el análisis de código del lado del cliente. Puede ejecutar JavaScript, gestionar aplicaciones con mucho AJAX e incluso capturar la comunicación web socket durante los análisis (a partir de las actualizaciones de 2024). Esto significa que las SPA y los frameworks web modernos pueden auditarse con mayor eficacia.
• Integración del flujo de trabajo empresarial: WebInspect se integra con el ecosistema de Fortify; por ejemplo, los resultados pueden fluir hacia Fortify Software Security Center (SSC) para la gestión central, la correlación con los resultados de SAST y la asignación de desarrolladores. También dispone de API y es compatible con la automatización, por lo que puede conectarse a procesos CI o sistemas de orquestación de la seguridad. Muchas grandes organizaciones lo utilizan en flujos de trabajo de análisis programados para una supervisión continua.
• Escaneos autenticados y con estado: La herramienta admite diversos métodos de autenticación (incluidas técnicas multifactor, macros de inicio de sesión y autenticación basada en OAuth/token). Puede mantener el estado durante el escaneado, lo cual es crucial para aplicaciones que requieren inicio de sesión y tienen flujos de usuario complejos. WebInspect también permite la grabación de macros para recorrer secuencias específicas (como añadir artículos a un carrito y, a continuación, pasar por caja), lo que garantiza la comprobación de esas áreas.
• Informes y cumplimiento: Fortify WebInspect proporciona conclusiones técnicas detalladas para los desarrolladores e informes resumidos para la dirección. Alinea los hallazgos con las normas e incluye informes de cumplimiento. Dado que se utiliza a menudo en sectores regulados, ofrece informes para satisfacer PCI DSS, DISA STIG, OWASP y otras directrices de forma inmediata.

Lo mejor para: Grandes empresas y organizaciones gubernamentales con estrictos requisitos de seguridad e implementaciones existentes de Fortify. WebInspect es potente, pero está dirigido a expertos en seguridad, por lo que puede resultar excesivo para un equipo pequeño. Sobresale cuando se integra en un programa AppSec maduro (especialmente si Fortify SAST también está en uso, creando una imagen completa).

‍Modelo de precios: Comercial. Normalmente se vende como parte de la suite de productos Fortify (licencias bloqueadas por nodo o concurrentes). Los contratos de asistencia garantizan actualizaciones periódicas de las firmas de vulnerabilidades y mejoras del producto.

Nota: Tras la adquisición de OpenText, Fortify WebInspect se encuentra ahora bajo la cartera de OpenText Cybersecurity. A veces se denomina simplemente "OpenText Dynamic Application Security Testing (DAST)". El producto principal es el mismo, continuando la tradición de WebInspect. Los usuarios han señalado que WebInspect puede consumir muchos recursos y puede requerir ajustes para evitar saturar algunas aplicaciones, pero es muy eficaz para descubrir problemas complejos.

Nessus

Nessus de Tenable es uno de los escáneres de vulnerabilidades más reconocidos del sector. Aunque a menudo se piensa en Nessus como un escáner de red, también realiza escaneos de aplicaciones web (principalmente buscando vulnerabilidades conocidas de aplicaciones web, malas configuraciones y debilidades comunes). No es un rastreador web completo como las herramientas DAST dedicadas, pero se incluye aquí porque muchos equipos utilizan Nessus para cubrir la seguridad básica de las aplicaciones web además de los análisis de red y del sistema. Nessus ofrece una amplia cobertura con una enorme base de datos de plugins de comprobación de vulnerabilidades.

Características principales:

• Biblioteca masiva de vulnerabilidades: Nessus tiene más de 99.000 CVE en su cobertura y más de 250.000 comprobaciones de plugins. Para aplicaciones web, puede detectar cosas como versiones obsoletas de CMS (WordPress, Joomla, etc.), vulnerabilidades conocidas en frameworks web, configuraciones inseguras, y la presencia de archivos por defecto o copias de seguridad. Es excelente para detectar problemas conocidos.
• Pruebas de aplicaciones web: Nessus incluye pruebas específicas de la Web, como inyección SQL, XSS, inclusión de archivos locales y cruce de directorios, pero en general se trata de pruebas basadas en firmas o simples fuzzes. Por ejemplo, puede probar algunas cargas útiles de inyección SQL genéricas o URL de administración comunes. También comprueba OWASP Top 10 de forma genérica. Sin embargo, no está tan adaptado a la lógica de cada aplicación como una herramienta DAST dedicada.
• Facilidad de uso: Nessus es conocido por su facilidad de uso. Puede escanear una IP o URL con unos pocos clics o a través de la línea de comandos. Los informes son sencillos y las vulnerabilidades se clasifican por gravedad. Para un generalista de TI o un ingeniero de DevOps, Nessus proporciona una forma unificada de escanear tanto servidores como las aplicaciones web que contienen.
• Integración con la plataforma Tenable: Nessus puede utilizarse de forma independiente (Nessus Professional) o como parte de Tenable.io o Tenable.sc (Security Center) para la gestión empresarial. Cuando se integran, los resultados del escaneo de aplicaciones web pasan a formar parte de su panel general de gestión de vulnerabilidades, correlacionándose con las vulnerabilidades de la red. Tenable.io Web App Scanning (producto independiente, véase más abajo) utiliza en realidad un motor diferente, pero el propio Nessus también tiene plugins web.
• Actualizaciones continuas: Nessus recibe actualizaciones de plugins semanalmente (o más rápido para problemas críticos) del equipo de investigación de Tenable. Esto significa que es rápido obtener comprobaciones de los últimos CVE (por ejemplo, si aparece un nuevo RCE de Apache Struts, Nessus suele tener un complemento para detectarlo en cuestión de días). Este rápido ciclo de actualización es una gran ventaja para mantenerse al día de las amenazas emergentes.

Lo mejor para: Complementar otras herramientas para garantizar una cobertura completa. Nessus es una excelente herramienta de "primera pasada", ya que encuentra rápidamente las debilidades comunes y los problemas conocidos. Las organizaciones más pequeñas a veces confían únicamente en Nessus para el análisis de aplicaciones web, pero su profundidad es limitada en comparación con DAST especializados. Lo ideal es ejecutar Nessus junto con un escáner centrado en la Web (como los anteriores) para detectarlo todo.

‍Modelo de precios: Nessus Essentials es una versión gratuita (limita a 16 IPs, buena para pequeños proyectos o aprendizaje). Nessus Professional es una suscripción anual de pago (unos 2.790 dólares al año para un escaneado ilimitado de IP). Tenable.io (en la nube) y Security Center (on-prem) incluyen escáneres Nessus como parte de esas plataformas, con licencia por activo. Nessus es rentable porque no solo cubre aplicaciones web.

Reseña destacada: "Nessus cuenta con una de las mayores bibliotecas de comprobaciones de vulnerabilidades y configuraciones, que cubre una amplia gama de sistemas, dispositivos y aplicaciones. Aunque Nessus es conocido por sus completas capacidades de escaneo de vulnerabilidades, a veces puede producir falsos positivos...". (En la práctica, los falsos positivos suelen ser bajos si Nessus está bien configurado, pero como se indica en la cita, es posible que tenga que verificar manualmente algunos hallazgos).

Netsparker (Invicti)

Netsparker (ahora conocido como Invicti) es uno de los principales escáneres automatizados de seguridad de aplicaciones web para entornos empresariales. Netsparker pasó a llamarse Invicti en los últimos años, después de que Invicti Security unificara los productos Netsparker y Acunetix bajo un mismo techo. Invicti (Netsparker) es famoso por su precisión, en particular por su uso del escaneado basado en pruebas para eliminar prácticamente los falsos positivos mediante la confirmación real de las vulnerabilidades. Es un DAST completo que también incorpora algunos elementos de prueba interactivos para un análisis más profundo.

Características principales:

• Exploración basada en pruebas: Invicti intenta confirmar automáticamente las vulnerabilidades explotándolas de forma segura. Por ejemplo, si encuentra una inyección SQL, ejecutará una carga útil benigna que extrae una muestra de datos para demostrar el problema. De este modo, se obtiene una precisión del 99,98%, por lo que puede confiar en los resultados y dedicar menos tiempo a verificar manualmente los hallazgos.
• Amplio soporte tecnológico: Invicti puede escanear aplicaciones web tradicionales, SPAs con JavaScript pesado, y todo tipo de APIs (REST, SOAP, GraphQL, gRPC). Maneja eficazmente frameworks modernos e incluye soporte para escanear tecnologías empresariales (puede navegar a través de autenticación personalizada, manejar tokens OAuth, etc.). También tiene la capacidad de probar los cuerpos de las peticiones JSON y los sobres SOAP en busca de fallos de inyección.
• Capacidades híbridas IAST: Invicti combina DAST con IAST (Interactive Application Security Testing) a través de su tecnología de agente. Si puede desplegar un agente ligero junto a su aplicación, el escáner puede instrumentar la aplicación durante el tiempo de ejecución para obtener información adicional (como confirmar la línea exacta de código de una vulnerabilidad). Este enfoque híbrido puede aumentar la cobertura y el detalle sin necesidad de acceder al código fuente completo.
• CI/CD e integración: Construido con la automatización en mente, Invicti proporciona opciones de integración robustas - plugins para tuberías CI (Jenkins, Azure DevOps, GitLab CI, etc.), integración con gestión de proyectos y ticketing (Jira, Azure Boards), e incluso vinculación con WAFs para parcheo virtual instantáneo. Esto lo hace adecuado para flujos de trabajo DevSecOps donde se necesita un escaneo continuo.
• Escalabilidad y gestión: La plataforma puede escalarse para escanear miles de aplicaciones con programación, priorización y control de acceso basado en roles para la colaboración en equipo. Invicti también ofrece un panel de control multiusuario y funciones de descubrimiento de activos (puede descubrir nuevas aplicaciones web en su entorno para garantizar que se analizan). A menudo se utiliza como columna vertebral para la gestión de la vulnerabilidad empresarial de las aplicaciones web.

Ideal para: Empresas medianas y grandes que necesitan una solución DAST altamente precisa y escalable. Los equipos de seguridad que se sienten frustrados por los falsos positivos o que necesitan convencer a los desarrolladores para que solucionen los problemas encuentran muy útiles los resultados validados ("el escáner ha demostrado que esto es real"). Invicti (Netsparker) también es la mejor opción para organizaciones con cientos de activos web que deben escanear de forma rutinaria.

‍Modelo de precios: Comercial - normalmente suscripción anual por sitio web o aplicación escaneada (uso ilimitado del escáner). Se encuentra en el extremo superior del espectro de precios, lo que refleja su enfoque empresarial. Se puede solicitar una demostración o prueba para evaluarlo en sus aplicaciones.

Reseña destacada: "Invicti, que es Netsparker, me proporcionó una importante base de datos de vulnerabilidades para encontrar vulnerabilidades de ejecución remota, invalidación de dominios y muchos parches de vulnerabilidades... El escaneo recurrente me permite buscar archivos a nivel de integridad". (Reseña de G2). En términos sencillos: los usuarios aprecian la profundidad de la cobertura de vulnerabilidades y la posibilidad de programar exploraciones repetidas para detectar regresiones. Algunos señalan que la amplitud de las pruebas de Invicti (más de 1400 pruebas únicas) es enorme, aunque algunas funciones avanzadas podrían requerir ajustes.

Nikto

Nikto es un clásico escáner de servidores web de código abierto. Es una herramienta sencilla pero eficaz que realiza comprobaciones exhaustivas de miles de problemas potenciales en los servidores web. Nikto es una herramienta de línea de comandos basada en Perl y mantenida por CIRT.net, y ha sido un elemento básico en la caja de herramientas de seguridad durante años. Aunque Nikto carece de la interfaz pulida o la lógica compleja de los escáneres modernos, es muy útil para identificar rápidamente vulnerabilidades conocidas y configuraciones inseguras.

Características principales:

• Amplia base de datos de cheques: Nikto puede realizar pruebas para más de 7.000 archivos/CGI potencialmente peligrosos y configuraciones en un servidor web. Esto incluye comprobaciones de archivos predeterminados (como páginas de administración, scripts de instalación), aplicaciones de ejemplo, copias de seguridad de la configuración (*.old, *.bak archivos), y otros artefactos que suelen buscar los atacantes. También detecta versiones obsoletas de más de 1.250 servidores y componentes de software, junto con problemas específicos de versión para más de 270 productos de servidor.
• Comprobación de la configuración del servidor: Nikto no sólo busca vulnerabilidades en las aplicaciones web, sino que examina la información del servidor. Por ejemplo, informará si la indexación de directorios está habilitada, si los métodos HTTP como PUT o DELETE están permitidos (lo que podría permitir el hackeo de carga de archivos), o si ciertas cabeceras HTTP inseguras están presentes o ausentes. Es una gran auditoría rápida de endurecimiento del servidor web.
• Rápido y sin complicaciones: Nikto no es sigiloso - está diseñado para funcionar lo más rápido posible y será ruidoso en los registros. Esto está bien para el escaneo autorizado. Se ejecuta desde la línea de comandos, por lo que puedes introducirle una lista de hosts o utilizarlo en scripts fácilmente. Ejecutando nikto -h <hostname> mostrará una lista de problemas identificados en texto sin formato.
• Opciones de salida: Puede guardar los resultados en varios formatos (texto sin formato, XML, HTML, NBE, CSV, JSON), lo que resulta útil si desea introducir los resultados en otras herramientas o sistemas de generación de informes. Muchas personas utilizan Nikto como parte de un conjunto de herramientas más amplio, analizando sus resultados para señalar determinados hallazgos.
• Extensibilidad: Aunque no es tan modular como otros, puedes personalizar el comportamiento de Nikto. Soporta plugins (su base de datos de comprobaciones es esencialmente un conjunto de plugins). Puedes actualizar sus firmas, y es frecuentemente actualizado por la comunidad con nuevas comprobaciones. Además, soporta las técnicas anti-IDS de LibWhisker si intentas pasar desapercibido (aunque por defecto es ruidoso).

Lo mejor para: Escaneos rápidos para encontrar problemas conocidos y como complemento a escáneres más profundos. Nikto es amado por muchos probadores de penetración para un reconocimiento inicial de un servidor web de destino. Si usted es un desarrollador o administrador de sistemas, puede ejecutar Nikto en su sitio para detectar problemas obvios (y a menudo es revelador). Sin embargo, no encontrará fallos lógicos complejos ni nada que requiera rastrear JavaScript: no es ese tipo de herramienta. Piense en Nikto como una lista de comprobación automatizada de vulnerabilidades y errores de configuración comunes en la Web.

‍Modelo de precios: Gratuito, de código abierto (GPL). Se incluye en distribuciones de seguridad como Kali Linux y puede utilizarse sin restricciones de plataforma (script Perl). El soporte está basado en la comunidad (foros, GitHub).

Consejo profesional: Como Nikto es pasivo en términos de lógica (sin inicio de sesión, sin rastreo pesado), es muy rápido. Puedes integrar Nikto en un proceso CI para realizar un barrido rápido de cada compilación (para asegurarte, por ejemplo, de que no se ha desplegado accidentalmente ningún endpoint de depuración). Si bien puede reportar algunos hallazgos a nivel de "información" que no son verdaderas vulnerabilidades, proporciona la tranquilidad de que no has dejado algo obvio por ahí.

OWASP ZAP

OWASP ZAP (Zed Attack Proxy) es una herramienta DAST gratuita y de código abierto mantenida bajo el proyecto OWASP. Es una de las herramientas DAST más populares debido a su coste (gratuita), comunidad abierta y rica funcionalidad. ZAP es tanto un proxy para pruebas manuales como un escáner automatizado. A menudo se considera la alternativa de código abierto a Burp Suite para aquellos con un presupuesto, y es una opción fantástica para los desarrolladores y las pequeñas empresas para iniciar las pruebas de seguridad sin obstáculos de adquisición.

Características principales:

• Exploración activa y pasiva: ZAP realiza un escaneo pasivo observando el tráfico que pasa por él (a través de su proxy o araña) y marcando los problemas, y un escaneo activo en el que inyecta ataques activamente una vez que descubre las páginas. El modo pasivo es genial para un inicio suave (no modificará nada, solo vigilará cosas como fugas de información o cabeceras de seguridad), mientras que el escaneo activo encontrará los errores reales (SQLi, XSS, etc.) atacando la aplicación.
• Proxy y herramientas de prueba manual: Al igual que Burp, ZAP puede funcionar como proxy interceptor. También tiene un montón de herramientas: un proxy interceptor HTTP, una araña para rastrear contenido, un fuzzer para atacar entradas y una consola de scripting (con soporte para escribir scripts en Python, Ruby, etc. para extender ZAP). El modo Heads-Up Display (HUD) te permite incluso superponer información de escaneo en la parte superior de tu navegador mientras navegas - muy útil para desarrolladores aprendiendo seguridad.
• Automatización y API: ZAP fue construido con la automatización en mente para la integración de control de calidad. Dispone de una potente API (REST y Java API) que permite controlar todos los aspectos de ZAP. Muchos equipos utilizan la API de ZAP en los procesos de control de calidad, por ejemplo, iniciando ZAP en modo demonio, rastreando un objetivo, ejecutando un análisis activo y extrayendo los resultados, todo automatizado. Existen incluso acciones de GitHub y plugins de Jenkins para ZAP. Esto hace que sea una buena opción para DevSecOps con un presupuesto reducido.
• Extensibilidad mediante complementos: ZAP dispone de un mercado de complementos (ZAP Marketplace) donde se pueden instalar complementos oficiales y de la comunidad. Estos incluyen reglas de escaneo especializadas (para JSON, XML, SOAP, WebSockets, etc.), integraciones, o características de conveniencia. La comunidad actualiza constantemente las reglas de escaneo, incluyendo reglas alfa/beta para tipos de vulnerabilidades emergentes. Esto hace que las capacidades de escaneo de ZAP sigan evolucionando.
• Comunidad y soporte: Al ser OWASP, tiene una fuerte comunidad de usuarios. Existe mucha documentación, vídeos de formación gratuitos y foros activos. Si bien no se obtiene soporte comercial (a menos que se utilicen consultores externos), el conocimiento que existe a menudo rivaliza con el soporte de los proveedores. ZAP también se actualiza regularmente por sus líderes de proyecto y colaboradores.

Ideal para: Equipos de desarrollo, organizaciones preocupadas por el presupuesto y como herramienta de aprendizaje. OWASP ZAP es ideal para que los desarrolladores se inicien en las pruebas de seguridad ("shift-left"). También lo utilizan los profesionales junto con Burp para obtener una perspectiva adicional. Si eres una startup, ZAP te ofrece una capacidad DAST sin coste de licencia, lo que supone una gran ventaja.

Reseña destacada: "La herramienta OWASP es gratuita, lo que supone una gran ventaja, sobre todo para que las empresas más pequeñas puedan hacer uso de ella" peerspot.com. Esta opinión es común: ZAP reduce la barrera de entrada a la seguridad web. Puede que no cuente con las funciones premium de algunos escáneres comerciales, pero para muchos casos de uso, hace el trabajo con eficacia.

Escáner de aplicaciones web de Qualys (WAS)

Qualys Web Application Scanning (WAS) es una oferta DAST basada en la nube de Qualys, integrada en su QualysGuard Security and Compliance Suite. Qualys WAS aprovecha la plataforma en la nube de Qualys para ofrecer un servicio de escaneado bajo demanda de aplicaciones web y API. Resulta especialmente atractivo para las empresas que ya utilizan Qualys para el análisis de vulnerabilidades de red o el cumplimiento de normativas, ya que amplía ese único panel de visión a las aplicaciones web. Qualys WAS es conocido por su escalabilidad (escaneado de miles de sitios) y su facilidad de uso a través de un modelo SaaS.

Características principales:

• Basado en la nube y escalable: Qualys WAS se entrega como un servicio - usted ejecuta escaneos desde la Nube de Qualys contra sus objetivos (con la opción de usar dispositivos de escaneo distribuidos para aplicaciones internas). Esto significa que no hay gastos de mantenimiento para la propia herramienta y la capacidad de ejecutar muchas exploraciones en paralelo. La plataforma ha descubierto y escaneado más de 370.000 aplicaciones web y API, lo que demuestra su uso generalizado.
• Amplia cobertura de vulnerabilidades: Detecta vulnerabilidades, incluidas las OWASP Top 10 (SQLi, XSS, CSRF, etc.), configuraciones erróneas, exposición de datos sensibles (por ejemplo, números de tarjetas de crédito en páginas) e incluso infección de malware en sitios web. También comprueba cosas como la exposición inadvertida de PII o secretos en páginas web. Qualys utiliza algo de IA/ML (aprendizaje automático) en sus análisis para mejorar la detección de problemas complejos y reducir los falsos positivos (según su marketing).
• Pruebas de seguridad de API: Qualys WAS también cubre el Top 10 de API de OWASP. Puede importar archivos OpenAPI/Swagger o colecciones Postman y probar API REST a fondo. Supervisa la "desviación" de las especificaciones de la API, lo que significa que si su implementación no coincide con el archivo Swagger (lo que podría indicar puntos finales no documentados), Qualys puede marcarlo. Esto es genial para gestionar la seguridad de la API.
• Integración y DevOps: Qualys proporciona una amplia API para todos sus productos, incluido WAS. Puede automatizar escaneos, extraer informes e incluso integrar resultados en rastreadores de defectos. También tienen un complemento de Chrome (Qualys Browser Recorder) para grabar secuencias de autenticación o flujos de trabajo de usuario que se pueden cargar en Qualys WAS para escanear las partes de una aplicación que requieren inicio de sesión. Además, los resultados de Qualys WAS pueden alimentar su WAF (si utiliza Qualys WAF) para una rápida aplicación de parches virtuales.
• Cumplimiento e informes: Dado que Qualys es grande en el cumplimiento, WAS es capaz de generar los informes necesarios para cumplir con PCI DSS 6.6 (aplicación web vuln escaneo requisito) y otras políticas. Todos los hallazgos se consolidan en la interfaz de Qualys, que puede compartirse con otros módulos como sus herramientas de gestión de vulnerabilidades o de gestión de riesgos. Este informe unificado es una ventaja para la dirección.

Lo mejor para: Empresas que utilizan una plataforma de seguridad basada en la nube y desean consolidar el escaneado. Si ya utiliza Qualys para otros escaneos de seguridad, añadir WAS es una obviedad para cubrir las aplicaciones web. También es una buena opción si desea una solución totalmente gestionada (SaaS) y no desea ejecutar escáneres in situ. Como Qualys se encarga de las actualizaciones, siempre dispondrá de las últimas mejoras de escaneado sin mover un dedo.

Modelo de precios: Qualys WAS se basa en suscripciones, normalmente con licencia por aplicación web (con niveles basados en el número de aplicaciones o IP escaneadas). Qualys suele vender paquetes (por ejemplo, un paquete que incluye gestión de vulnerabilidades + WAS). Hay una versión de prueba gratuita disponible, y Qualys tiende a ser orientado a la empresa en los precios (no es el más barato, pero se obtiene una plataforma robusta).

Nota del sector: Qualys WAS fue líder en el Radar GigaOm 2023 para Pruebas de Seguridad de Aplicaciones. Los usuarios destacan su comodidad en la nube y las ventajas de la supervisión continua. Por otro lado, algunos encuentran la interfaz de usuario un poco anticuada y la configuración inicial (como los scripts de autenticación) tiene una curva de aprendizaje. Aún así, es una opción muy sólida con el respaldo de Qualys.

Rapid7 InsightAppSec

Rapid7 InsightAppSec es una solución DAST en la nube que forma parte de la plataforma Insight de Rapid7. InsightAppSec se centra en la facilidad de uso e integración, haciendo que las pruebas dinámicas sean accesibles tanto para los equipos de seguridad como para los desarrolladores. Aprovecha la experiencia que Rapid7 tiene (de productos como Metasploit y sus herramientas de gestión de vulnerabilidades) para proporcionar un escáner que puede manejar aplicaciones web modernas, incluyendo aplicaciones de una sola página y APIs. Como servicio en la nube, elimina la necesidad de gestionar la infraestructura del escáner.

Características principales:

• Cobertura de aplicaciones web modernas: InsightAppSec puede probar aplicaciones web tradicionales así como SPAs construidas sobre frameworks como React o Angular. Tiene la capacidad de ejecutar JavaScript y rastrear contenido generado dinámicamente. También maneja HTML5 y patrones web más recientes. Rapid7 destaca que puede proteger desde formularios HTML heredados hasta aplicaciones modernas del lado del cliente.
• Más de 95 tipos de ataque: El escáner incluye más de 95 tipos de ataque en su repertorio, cubriendo vectores comunes y complejos. Esto incluye los sospechosos habituales (SQLi, XSS) y también cosas como la inyección CRLF, SSRF y otros fallos web menos comunes. Prioriza los hallazgos en función del riesgo para ayudarle a centrarse en lo importante.
• Interfaz de usuario simplificada: InsightAppSec está diseñado con una interfaz de usuario sencilla. Configurar un análisis es sencillo: proporcione una URL, información de inicio de sesión opcional y listo. La interfaz guía a los usuarios menos experimentados a través de la configuración. Una vez finalizado el análisis, se explican los resultados con consejos para remediar la situación e información útil para los desarrolladores. También cuenta con funciones como la repetición de ataques (para verificar un hallazgo reproduciendo la solicitud específica que lo expuso).
• Escaneado paralelo y sin tiempo de inactividad: Al estar basado en la nube, puede ejecutar varios escaneos simultáneamente sin preocuparse por los recursos locales. Esto es ideal para escanear varias aplicaciones o realizar varias tareas a la vez (Rapid7 señala que puede escanear muchos objetivos sin tiempo de inactividad por su parte). Esta escalabilidad es útil para agencias o grandes organizaciones que analizan muchas aplicaciones web.
• Integración y ecosistema: InsightAppSec se integra con la plataforma más amplia Rapid7 Insight. Por ejemplo, puede enviar vulnerabilidades a InsightVM (su gestión de vulnerabilidades) o generar tickets en Jira. También puede integrarse en CI pipelines y tiene una API para la automatización. Además, si utiliza Rapid7 InsightConnect (SOAR), puede automatizar acciones de DAST (como activar un análisis cuando se despliega una nueva aplicación, etc.).

Lo mejor para: Organizaciones que desean un DAST basado en la nube con una interfaz intuitiva y sólidas capacidades de integración. Si ya es cliente de Rapid7 (utiliza InsightIDR, InsightVM, etc.), añadir InsightAppSec le resultará natural y los datos podrán fluir entre los productos. También es una buena opción para los equipos que no cuenten con un experto dedicado a la seguridad de las aplicaciones, ya que la facilidad de uso reduce la barrera de conocimientos para realizar exploraciones.

Modelo de precios: SaaS comercial. Rapid7 suele conceder licencias de InsightAppSec por aplicación u objetivos, a menudo en paquetes. Suelen combinarlo con otros productos para obtener una solución de seguridad más holística. Dispone de una versión de prueba gratuita y ofrece demostraciones guiadas. En los comentarios, algunas pymes mencionan que el precio es razonable para el valor, mientras que el uso muy grande puede ser más caro (típico de SaaS cuando se escala a cientos de aplicaciones).

Reseña destacada: "Hemos utilizado Rapid7 para nuestras pruebas de vulnerabilidad y... Han demostrado ser inestimables a la hora de proporcionar una solución completa y eficaz". Los usuarios a menudo elogian el soporte de Rapid7 y el pulido general de la plataforma. Una posible desventaja mencionada es que a veces la corrección de errores en el producto puede ser lenta, pero las nuevas características y mejoras se despliegan con regularidad.

Análisis de aplicaciones web de Tenable.io

Tenable.io Web App Scanning es la oferta DAST dedicada de Tenable dentro de su plataforma en la nube Tenable.io. Mientras que Nessus (del que ya hemos hablado) puede realizar algunos escaneos web, Tenable.io WAS es una solución creada específicamente para probar aplicaciones web de forma dinámica, y se beneficia de un motor y una interfaz más modernos. Tenable lo posiciona como un escáner fácil de usar pero completo, a menudo atractivo para los clientes que ya utilizan Tenable.io para la gestión de vulnerabilidades.

Características principales:

• Plataforma unificada: Tenable.io WAS convive con otros servicios de Tenable (como Tenable.io Vulnerability Management, Container Security, etc.) para que todos los resultados estén accesibles en un solo panel. Para los equipos de seguridad, este "único panel de vidrio" para vulnerabilidades de infraestructura y web es conveniente. Puede ver las vulnerabilidades de su aplicación web en contexto con las vulnerabilidades de la red, realizar un seguimiento de las puntuaciones de riesgo de los activos y gestionarlo todo junto.
• Facilidad de implantación: Como producto SaaS, puede iniciar un escaneo con unos pocos clics. Tenable.io WAS puede escanear aplicaciones web externas de forma inmediata. Para aplicaciones internas, puede implementar un dispositivo de escaneado de Tenable que realizará el escaneado e informará a la nube. La configuración es sencilla y Tenable proporciona plantillas para escaneos rápidos y escaneos profundos.
• Rastreo y auditoría automáticos: El escáner rastrea automáticamente la aplicación para construir un mapa del sitio y luego audita cada página/formulario que encuentra. Comprueba puntos de inyección y vulnerabilidades comunes. Tenable ha estado mejorando el motor de escaneo para manejar aplicaciones web modernas (como el procesamiento de JS). Aunque no es tan publicitado como algunos competidores, en la práctica cubre la mayoría de las vulnerabilidades estándar y tiene comprobaciones específicas para cosas como DOM XSS y ataques basados en JSON.
• Resultados rápidos y escaneos incrementales: Tenable.io WAS enfatiza el valor rápido - puede entregar resultados procesables en minutos para problemas comunes. También está diseñado para el escaneo continuo: puede programar escaneos semanales o mensuales, y admite el escaneo incremental (solo prueba el contenido nuevo o modificado) para reducir el tiempo de escaneo en ejecuciones posteriores. Esto es útil para entornos de desarrollo ágiles con versiones frecuentes.
• Integración y DevOps: Tenable.io tiene una API, por lo que puede activar escaneos de aplicaciones web mediante programación o integrarse con CI/CD. También hay integraciones para enviar los resultados a sistemas de tickets. Si se utiliza la Infraestructura como Código, incluso se puede crear un entorno de prueba, escanearlo con Tenable.io WAS a través de la API y, a continuación, destruirlo: una puerta de seguridad totalmente automatizada en los procesos CI (algunos usuarios avanzados lo hacen).
• Complementario a Nessus: Tenable a menudo sugiere usar Nessus y WAS juntos - Nessus para la red y comprobaciones web básicas, y WAS para pruebas de aplicaciones web más profundas. Si ya gestionas los escaneos de Nessus en Tenable.io, añadir WAS es muy sencillo. Los paneles pueden mostrar puntuaciones de riesgo combinadas, etc. Los análisis de Tenable (con Tenable Lumin) pueden priorizar los problemas en todos los tipos de activos de forma coherente.

Lo mejor para: Aquellos que quieren DAST en un contexto más amplio de gestión de vulnerabilidades. Si un equipo se encarga de la gestión de vulnerabilidades de AppSec y NetSec, Tenable.io WAS les permite utilizar un conjunto de herramientas. También es adecuado para equipos que desean una solución DAST relativamente sencilla: no es necesario ser un gurú de la seguridad web para utilizarla, ya que está bastante automatizada. Sin embargo, las aplicaciones extremadamente complejas podrían necesitar ajustes y, en esos casos, otras herramientas podrían ofrecer un control más manual.

‍Modelo de precios: Tenable.io WAS se basa en suscripciones, a menudo por aplicación o URL. Tenable podría incluirlo en su licencia de la plataforma Tenable.io. Por ejemplo, si ya es cliente de Tenable.io, es posible que se le incluya un número determinado de objetivos WAS. Su precio suele ser competitivo con el de otras soluciones SaaS DAST para empresas.

Nota: Tenable ha estado invirtiendo en WAS para mantenerse al día con los competidores; en 2024 añadieron soporte para cosas como registrar secuencias de inicio de sesión más fácilmente y mejorar el escaneo de aplicaciones de una sola página. Los usuarios comentan que es "sencillo, escalable y automatizado ", en línea con el mensaje de Tenable de proporcionar un DAST completo sin muchas complicaciones. Es una buena herramienta "todoterreno".

Wapiti

Wapiti es un escáner de vulnerabilidades web gratuito y de código abierto escrito en Python. El nombre Wapiti proviene de una palabra nativa americana que significa alce - muy apropiado, ya que es ágil y poderoso en su dominio. Wapiti funciona como un escáner de "caja negra": no necesita código fuente; sólo analiza su aplicación web a través de peticiones HTTP, como un típico DAST. Es una herramienta de línea de comandos especialmente popular entre los entusiastas del código abierto y es conocida por su mantenimiento activo (con actualizaciones recientes que añaden nuevos módulos de vulnerabilidades).

Características principales:

• Enfoque Black-Box Fuzzing: Wapiti rastrea la aplicación web objetivo para encontrar URLs, formularios y entradas, luego lanza ataques inyectando cargas útiles para probar vulnerabilidades. Cubre una amplia gama de fallos de inyección: Inyección SQL (error, booleana, basada en tiempo), inyección XPath, cross-site scripting (reflejado y almacenado), inclusión de archivos (local y remota), inyección de comandos OS, ataques XML External Entity (XXE), y más. Esencialmente, si hay un campo de entrada, Wapiti intentará romperlo.
• Módulos para diversas vulnerabilidades: Como se indica en su sitio web, los módulos de Wapiti se encargan de todo, desde vulnerabilidades web clásicas hasta comprobaciones como inyección CRLF, redirecciones abiertas, SSRF a través de un servicio externo (puede comprobar si SSRF es posible utilizando un sitio web externo de Wapiti como receptor), detección de HTTP PUT (para ver si WebDAV está habilitado) e incluso comprobaciones de vulnerabilidades como Shellshock en scripts CGI. Esta amplitud es impresionante para una herramienta gratuita.
• Autenticación y alcance: Wapiti soporta el escaneo autenticado a través de varios métodos: Basic, Digest, NTLM y autenticación basada en formulario (puedes proporcionarle credenciales o una cookie). También permite restringir el alcance: por ejemplo, puedes indicarle que se mantenga dentro de un determinado dominio o carpeta, lo que resulta útil para evitar atacar enlaces de terceros o subdominios que no son de tu propiedad. También puedes excluir URL específicas si es necesario.
• Generación de informes: Genera resultados en varios formatos (HTML, XML, JSON, TXT, etc.). El informe HTML es práctico para un vistazo rápido, mientras que JSON es útil si desea analizar o combinar resultados mediante programación. Los informes enumeran cada vulnerabilidad encontrada con detalles como la solicitud HTTP que se utilizó para explotarla, lo que es ideal para que los desarrolladores la reproduzcan y corrijan.
• Facilidad de uso y mantenimiento: Wapiti es fácil de instalar (disponible a través de pip) y ejecutar (wapiti -u <url> inicia una exploración). Es bastante rápido y puedes ajustar el número de peticiones concurrentes. Es importante destacar que Wapiti se mantiene activamente - la última versión (a mediados de 2024) añadió nuevas características y vulnerabilidades. Los mantenedores del proyecto lo mantienen actualizado a medida que surgen nuevos exploits (como CVEs recientes), lo que soluciona un problema común en el que los escáneres de código abierto se quedan atrás. Al ser Python, también es fácil de modificar.

Lo mejor para: Desarrolladores y pentesters que prefieren herramientas de código abierto y control de línea de comandos. Wapiti es una opción sólida para integrar en scripts o CI pipelines para una pila de seguridad de código abierto. Puede requerir un poco más de esfuerzo práctico (sin interfaz gráfica de usuario, instalación manual), pero la recompensa es la ausencia de costes de licencia y la total transparencia sobre lo que está haciendo. También es ligero, por lo que puede ejecutarse en un contenedor Docker o en un trabajo CI sin grandes necesidades de recursos.

‍Modelo de precios: Gratis (GPL v2). El único coste es tu tiempo para aprender y posiblemente contribuir con actualizaciones.

El amor de la comunidad: Puede que Wapiti no sea tan famoso como ZAP, pero los usuarios que lo descubren suelen alabar su eficacia. Es como una joya escondida para el fuzzing automatizado de aplicaciones web. Debido a que no viene con una GUI, es menos intimidante de integrar para aquellos que se sienten cómodos con CLI. Además, sus actualizaciones (como la adición de la detección Log4Shell a finales de 2021) muestran que se adapta a eventos de seguridad importantes. Si estás montando un conjunto de herramientas AppSec de código abierto, Wapiti + ZAP juntos cubren mucho terreno.

w3af

w3af (Web Application Attack and Audit Framework) es un completo marco de código abierto para encontrar y explotar vulnerabilidades de aplicaciones web. A menudo apodado el "Metasploit para aplicaciones web", w3af proporciona capacidades de exploración y explotación de vulnerabilidades en un solo paquete. Está escrito en Python y dispone de interfaces gráficas y de consola. Aunque se trata de un proyecto antiguo, sigue siendo una de las herramientas de seguridad web de código abierto más completas que existen.

Características principales:

• Extenso sistema de plugins: w3af funciona con una arquitectura basada en plugins. Tiene docenas de plugins de auditoría que comprueban vulnerabilidades específicas (SQLi, XSS, CSRF, desbordamientos de búfer, etc.), plugins de rastreo para descubrir páginas (incluyendo uno que analiza JavaScript para encontrar URLs), y plugins de ataque para intentar explotar los problemas encontrados. Puede ajustar exactamente qué complementos ejecutar o simplemente utilizar un perfil que active un conjunto de ellos. Esta modularidad significa que w3af puede configurarse para exploraciones rápidas, auditorías completas o compromisos basados en exploits.
• Exploración y explotación: w3af no sólo encuentra vulnerabilidades, sino que también tiene un componente de explotación. Por ejemplo, si encuentra una inyección SQL, tiene herramientas para aprovecharla (como la extracción de datos, al igual que sqlmap). Si encuentra inclusión de archivos, puede intentar obtener un shell remoto. Esto lo hace útil para los investigadores de seguridad que quieren ir más allá de la mera detección y demostrar realmente el impacto.
• Interfaz gráfica de usuario y consola: Hay una interfaz gráfica de usuario basada en GTK (aunque su aspecto es un poco anticuado) que proporciona una forma más fácil de configurar los escaneos y ver los resultados. La consola es bastante potente y permite acciones de scripting en un entorno pseudo-shell (puedes usar comandos para configurar objetivos, plugins, etc., similar a la consola de Metasploit). Esto satisface tanto a los recién llegados como a los usuarios avanzados.
• Combinación de análisis estático y dinámico: w3af puede realizar algún análisis estático de código si se le da acceso directo (a través de sus plugins de auditoría de código), pero principalmente es dinámico. También tiene plugins de grepping que inspeccionan las respuestas HTTP sin procesar en busca de cosas como números de tarjetas de crédito, números de la seguridad social, mensajes de error - obteniendo información que podría no ser una vulnerabilidad en sí misma pero que es relevante para la seguridad. Este enfoque holístico lo diferencia de los escáneres que sólo se centran en las vulnerabilidades directas.
• Código abierto y extensible: El proyecto es de código abierto bajo licencia GPL. Aunque el ritmo de actualizaciones se ha ralentizado, el conocimiento existente en sus plugins es considerable. Como es Python, los usuarios pueden modificar los plugins o escribir otros nuevos para ampliar sus capacidades. También existe una rica documentación (el sitio w3af docs) e incluso una API para controlarlo, aunque la mayoría utilizará la CLI o la GUI.

Lo mejor para: Profesionales de la seguridad y aficionados que deseen un conjunto de herramientas gratuito que aúne la exploración y la explotación. Es particularmente útil en escenarios de pruebas de penetración - puedes escanear con w3af para encontrar problemas y luego explotarlos sin problemas para confirmar el impacto. Para un equipo de desarrollo puro que busca una exploración rápida, w3af puede parecer un poco pesado o complejo en comparación con ZAP o Wapiti. Pero para aquellos dispuestos a invertir tiempo, puede ser muy gratificante. Modelo de precios: Gratuito, de código abierto. No hay versión comercial.

Nota de precaución: w3af, siendo potente, puede ser potencialmente peligroso - por ejemplo, sus plugins exploit podrían alterar los datos. Es mejor utilizarlo en entornos de prueba o con permiso explícito en producción (y con una cuidadosa selección de plugins). El desarrollador principal del proyecto, Andrés Riancho, se dedicó a otras actividades hace años (es conocido por su contribución a muchas herramientas de seguridad), pero w3af sigue siendo una herramienta a la que recurren muchos hackers. Puede requerir algunos problemas para que funcione en los sistemas operativos modernos (a veces es un infierno de dependencias), pero una vez que está en marcha, tienes una navaja suiza para la seguridad de las aplicaciones web.

Una vez analizadas las principales herramientas de forma individual, vamos a desglosar las recomendaciones por casos de uso específicos. Diferentes equipos tienen diferentes necesidades: un desarrollador puede priorizar la facilidad de integración, mientras que un CISO de empresa puede valorar la escalabilidad y el soporte. Las secciones siguientes ofrecen selecciones a medida para distintos escenarios.

Las mejores herramientas DAST para desarrolladores

Público: Desarrolladores e ingenieros de DevOps que desean detectar errores de seguridad en una fase temprana e integrar las pruebas en su flujo de trabajo. Estos usuarios valoran las herramientas fáciles de usar, que no abrumen con falsos positivos y que se integren con entornos de desarrollo (IDE, CI/CD, etc.). A menudo, es posible que no tengan una gran experiencia en seguridad de aplicaciones, por lo que la herramienta debe proporcionar orientación y automatización.

A la hora de elegir una herramienta DAST como desarrollador, ten en cuenta:

• Integración con CI/CD e IDEs: ¿Se integra la herramienta en su proceso de creación o proporciona un complemento IDE? Las pruebas de seguridad automatizadas en CI ayudan a detectar problemas antes de la fusión. Algunas plataformas (como Aikido's CI/CD security) hacen esto sin problemas.
• Pocos falsos positivos y ruido: Los desarrolladores no tienen tiempo para perseguir fantasmas. Se prefieren las herramientas que validan los hallazgos (p. ej., Invicti) o que tienen una gran precisión para que, cuando se marque un error, merezca la pena solucionarlo.
• Resultados procesables: Busca escáneres que ofrezcan consejos claros para solucionar el problema o incluso ejemplos de código para solucionarlo. Mejor aún, algunas herramientas centradas en el desarrollo proporcionan correcciones automáticas o pull requests (AI Autofix de Aikido, por ejemplo, puede generar parches para ciertos problemas).
• Velocidad y escaneados a petición: En un entorno de desarrollo, las exploraciones más rápidas permiten una retroalimentación rápida. Las herramientas que pueden escanear cambios incrementales o URL específicas (en lugar de toda la aplicación cada vez) ayudan a integrarse en el ciclo de desarrollo iterativo.
• Coste (para individuos o equipos pequeños): Las opciones gratuitas o asequibles son atractivas, especialmente en organizaciones sin un presupuesto dedicado a la seguridad. Las herramientas o servicios de código abierto con niveles gratuitos encajan bien aquí.

Las mejores herramientas para desarrolladores:

• Seguridad de Aikido - Dev-Friendly All-in-One: Aikido está construido pensando en los desarrolladores. Se integra en los flujos de trabajo de código (comprobaciones PR, fallos de canalización en vulnerabilidades altas) para que los desarrolladores obtengan información inmediata. El modelo "Start for Free" de la plataforma y la facilidad de configuración (se ejecuta en la nube, sin infraestructura que gestionar) significa que un desarrollador puede añadir DAST a su proyecto en cuestión de minutos. También consolida los hallazgos con SAST, de modo que se ve todo en un solo lugar, reduciendo el cambio de contexto. Para un desarrollador, disponer de un único panel para ver y solucionar los problemas de seguridad supone un enorme ahorro de tiempo. Además, gracias a las sugerencias de corrección automática, incluso los menos familiarizados con la seguridad pueden abordar los problemas con confianza.
• OWASP ZAP - Código abierto y programable: ZAP es una gran elección para los desarrolladores porque es gratuito y muy flexible. Puedes ejecutarlo en modo demonio en CI, utilizar la API de ZAP para automatizar escaneos, o incluso utilizar el HUD de ZAP para probar interactivamente tu aplicación durante el desarrollo. Muchos equipos de desarrollo configuran escaneos nocturnos de ZAP de su entorno de desarrollo y envían los resultados a Slack o Jira para que los desarrolladores los analicen a la mañana siguiente. La curva de aprendizaje es moderada, pero OWASP ofrece un montón de tutoriales. Y como es gratuito, es fácil experimentar con él. La comunidad de ZAP también significa que si estás atascado, la ayuda está probablemente a una búsqueda en Google.
• Burp Suite (Community/Pro) - Adjunto de Pruebas Manuales: Para la automatización pura, Burp no es la primera opción para los desarrolladores, pero la edición gratuita de la Comunidad es una herramienta útil para tener en ejecución durante el desarrollo. Los desarrolladores pueden proxy su tráfico de aplicación local a través de Burp para ver lo que está pasando bajo el capó. El escáner de Burp en la versión Pro se puede utilizar bajo demanda para volver a comprobar áreas específicas de una aplicación (como "He construido un nuevo inicio de sesión OAuth, déjame escanear sólo esa parte"). También es educativo - el uso de Burp enseña a un desarrollador mucho sobre seguridad web. Si el presupuesto lo permite, el escaneo automatizado de Burp Pro puede ser integrado en CI usando su CLI, dando a los desarrolladores una poderosa puerta de seguridad.
• StackHawk - CI/CD Integrated DAST: (Mención honorífica) StackHawk es una herramienta DAST más reciente dirigida específicamente a desarrolladores y DevOps. Se basa en el motor ZAP, pero empaquetado de una manera que es pipeline listo. Se definen las configuraciones de prueba en un archivo YAML, y se ejecuta sin cabeza en CI. Aunque StackHawk no está en nuestra lista principal, vale la pena mencionarlo para casos de uso de desarrollo debido a su enfoque en ser "CI-friendly". También tiene un nivel gratuito para una sola aplicación, que es ideal para proyectos individuales o aplicaciones de código abierto.
• Wapiti - Comprobaciones rápidas de la CLI: Para los desarrolladores que adoran las herramientas de línea de comandos y tal vez deseen incluir una comprobación de seguridad rápida en su compilación, Wapiti es una buena opción. Puede ejecutar wapiti como parte de su conjunto de pruebas (tal vez contra una instancia de prueba local de la aplicación). No lo detectará todo, pero es rápido y señalará los problemas obvios. Piensa en ello como una herramienta de linting para la seguridad en tu CI: ligera y sin necesidad de GUI.

Por qué éstas: Estas herramientas hacen hincapié en la facilidad de integración, la inmediatez de los resultados y la asequibilidad. Permiten a los desarrolladores "desplazarse a la izquierda" en materia de seguridad, identificando y corrigiendo vulnerabilidades durante el desarrollo, mucho antes de que el código llegue a producción. Gracias a ellas, los desarrolladores pueden mejorar iterativamente la seguridad del mismo modo que mejoran la calidad del código con pruebas unitarias. El aprendizaje obtenido al interactuar con estas herramientas (especialmente las interactivas, como ZAP o Burp) también mejora la mentalidad de los desarrolladores en materia de seguridad, lo que constituye un beneficio oculto pero valioso.

En la tabla siguiente se comparan las herramientas DAST más adecuadas para los desarrolladores que necesitan una respuesta rápida, una integración CI/CD sencilla e informes poco ruidosos.

Las mejores herramientas DAST para empresas

Público: Empresas con grandes carteras de aplicaciones web y equipos de seguridad dedicados. A menudo necesitan herramientas que puedan escalar a cientos de aplicaciones, proporcionar acceso basado en funciones, informes de cumplimiento e integración en los flujos de trabajo de la empresa (sistemas de tickets, gobernanza, etc.). La asistencia y la fiabilidad son fundamentales, y se dispone de presupuesto para soluciones sólidas.

Consideraciones sobre las herramientas DAST para empresas:

• Escalabilidad y gestión: La herramienta debe ser capaz de escanear muchas aplicaciones (posiblemente de forma simultánea), con una gestión centralizada de los programas de escaneado, los resultados y los permisos de usuario. Las consolas empresariales o los entornos multiusuario son importantes (por ejemplo, HCL AppScan Enterprise o la plataforma Invicti).
• Integraciones empresariales: A menudo es necesaria la integración con sistemas como SIEM, plataformas GRC, rastreadores de defectos (Jira, ServiceNow) y gestión de identidades (compatibilidad con SSO). Además, acceso a API para la integración personalizada en la cadena de herramientas DevSecOps de la empresa.
• Cumplimiento e informes: Las empresas a menudo necesitan generar documentación de cumplimiento. Las herramientas que pueden producir informes detallados para PCI, SOC2, ISO27001, etc., y realizar un seguimiento del cumplimiento de las políticas a lo largo del tiempo añaden mucho valor. La capacidad de etiquetar activos (por unidad de negocio, nivel de riesgo, etc.) y obtener análisis (tendencias, acuerdos de nivel de servicio sobre corrección de vulnerabilidades) es útil para la dirección.
• Asistencia y formación: Contar con un proveedor que ofrezca un soporte sólido (ingenieros de soporte dedicados, servicios profesionales) y formación es un factor a tener en cuenta. Las herramientas empresariales vienen con acuerdos de nivel de servicio para los problemas de soporte. En el caso de las herramientas de código abierto, esto supone una laguna, por lo que las grandes empresas se inclinan por las opciones comerciales a pesar del coste.
• Cobertura completa: Las empresas no pueden permitirse pasar cosas por alto. Lo ideal sería que la herramienta cubriera no sólo las vulnerabilidades web estándar, sino también aspectos como las pruebas de lógica empresarial, o que ofreciera formas de ampliar las pruebas. Algunas empresas utilizan varias herramientas DAST para cubrir lagunas, pero es preferible una única herramienta robusta por motivos de eficacia.

Las mejores herramientas para la empresa:

• Invicti (Netsparker) - Precisión y escala: La plataforma de Invicti está hecha a medida para uso empresarial. Ofrece compatibilidad multiusuario, etiquetado de activos y puntuación de riesgos en miles de exploraciones. A las empresas les encanta el escaneado basado en pruebas, que reduce drásticamente los falsos positivos, lo que mejora la relación señal-ruido cuando se tiene un número masivo de hallazgos. Invicti también puede integrarse con la gestión de tickets de la empresa (asignando automáticamente los problemas detectados al equipo de desarrollo adecuado mediante la integración con Jira, por ejemplo). Su panel de control ofrece una visión general de la situación de seguridad de todas las aplicaciones, que la dirección puede utilizar para realizar mediciones. Para una empresa, el coste inicial compensa al disponer de una solución madura y poco ruidosa que puede ser la columna vertebral de su programa AppSec.
• HCL AppScan (Estándar/Empresa) - Potencia heredada de la empresa: Muchas grandes organizaciones (bancos, seguros, gobierno) han utilizado AppScan durante años (desde IBM hasta HCL). AppScan Enterprise permite un servidor de gestión centralizado en el que se pueden orquestar múltiples exploraciones de AppScan Standard y agregar los resultados. Es compatible con el acceso basado en roles, por lo que los equipos de desarrollo pueden iniciar sesión y ver los resultados sólo para sus aplicaciones, mientras que los equipos de seguridad obtienen una vista de pájaro. Los informes de cumplimiento son una gran ventaja. Además, para las empresas preocupadas por la seguridad de los datos, AppScan puede ejecutarse íntegramente in situ (sin dependencia de la nube), lo que a veces no es negociable en sectores como la defensa o la sanidad.
• Micro Focus Fortify WebInspect - Integración profunda con SDLC: Las empresas que ya han invertido en el ecosistema de Fortify (para SAST, etc.) encontrarán que WebInspect encaja de forma natural. Los escaneos de WebInspect pueden publicarse en Fortify SSC, que actúa como un repositorio centralizado de hallazgos estáticos y dinámicos. Esto permite la correlación cruzada y el seguimiento unificado de los esfuerzos de corrección. Fortify también ofrece productos adicionales como Fortify Application Defender (RASP), que puede utilizar los resultados de WebInspect para instrumentar y proteger las aplicaciones en tiempo de ejecución, una sinergia valorada por las empresas que estratifican sus defensas. Además, el proveedor (ahora OpenText) ofrece servicios profesionales y formación certificada para WebInspect, lo que es importante para los equipos grandes.
• Qualys WAS - Escala en la nube y descubrimiento de activos: Las grandes empresas con infraestructura distribuida aprecian Qualys por su facilidad basada en la nube y sus capacidades de descubrimiento de activos. Qualys WAS puede descubrir continuamente nuevas aplicaciones web en un entorno (usando cosas como escaneos de red, enumeración de nombres de dominio, etc.), lo que es genial para las empresas que ni siquiera tienen un inventario completo de sus activos web (un problema común). A continuación, permite incorporar rápidamente al análisis las aplicaciones descubiertas. La escalabilidad de Qualys está demostrada: algunas empresas realizan decenas de miles de análisis al año en su plataforma. El aspecto multi-tenant también funciona para configuraciones empresariales (por ejemplo, unidades de negocio separadas pueden tener vistas separadas).
• Tenable.io WAS - Gestión de riesgos unificada: Para las empresas que desean unificar el riesgo de las aplicaciones y de la red, la integración de Tenable.io de WAS con la gestión de vulnerabilidades es atractiva. Los CISO pueden obtener una única puntuación de riesgo para una aplicación que tenga en cuenta tanto sus vulnerabilidades web (de WAS) como las infra vulnerabilidades del servidor (de Nessus). El enfoque de plataforma también simplifica la gestión de usuarios y la elaboración de informes. El soporte empresarial de Tenable es sólido, y a menudo ayudan a los grandes clientes con la incorporación y el ajuste de los escaneos para minimizar los impactos en el rendimiento (importante cuando se escanean aplicaciones de producción críticas en la empresa).
• Seguridad Aikido - Plataforma DevSecOps empresarial: Aunque Aikido es relativamente nueva en comparación con algunas de las anteriores, ofrece una interesante propuesta de valor para las empresas que desean modernizar la seguridad de las aplicaciones. Dado que combina varias herramientas (SAST, DAST, Cloud config, etc.), puede reducir la proliferación de herramientas en una empresa. La plataforma está basada en la nube, pero ofrece opciones on-prem (para el cumplimiento). Las empresas obtienen funciones como la integración de SSO, la gestión de equipos y la capacidad de gestionar miles de proyectos. Una ventaja es que los desarrolladores realmente disfrutan usándola (por el diseño centrado en el desarrollo), lo que puede aumentar la adopción en entornos empresariales donde conseguir el compromiso de los desarrolladores es la mitad de la batalla. Aikido puede ser una buena opción para las empresas que adoptan DevSecOps en grandes equipos, garantizando que la seguridad se integra en cada etapa (código, construcción, despliegue, monitorización) de una manera unificada.

Por qué estos: Cumplen los requisitos empresariales de escala, soporte e integración. En las grandes organizaciones, una herramienta DAST que pueda escanear 500 aplicaciones y generar un informe ejecutivo que muestre "hemos reducido el recuento de vulnerabilidades OWASP Top 10 en un 20% este trimestre" es oro. Herramientas como Invicti, Qualys, etc., proporcionan este tipo de métricas y roll-ups. Además, las empresas a menudo necesitan escanear aplicaciones internas detrás de cortafuegos, por lo que son necesarias herramientas con motores de escaneado in situ (como los escáneres de Qualys o las instalaciones in situ de WebInspect), que ofrecen todas las opciones anteriores.

‍

‍

Las mejores herramientas DAST para startups

Público: Las empresas de nueva creación y las pequeñas empresas suelen tener un presupuesto y un personal de seguridad limitados. Necesitan herramientas rentables y fáciles de usar que aporten valor rápidamente. A menudo, la atención se centra en lograr un nivel básico de seguridad para satisfacer las preocupaciones de los clientes o inversores (y tal vez cumplir la normativa si tratan con datos sensibles), sin descarrilar el rápido ritmo de desarrollo.

Necesidades clave de las startups en una herramienta DAST:

• Asequibilidad: Lo ideal son soluciones gratuitas o de bajo coste, o herramientas con niveles gratuitos que cubran aplicaciones pequeñas. Las startups también pueden considerar el código abierto para evitar costes recurrentes.
• Simplicidad: Puede que no haya un ingeniero de seguridad dedicado, por lo que los desarrolladores o DevOps realizarán los análisis. La herramienta debe ser fácil de configurar (preferiblemente SaaS para evitar la infraestructura) y de interpretar.
• Ganancias rápidas: Las startups se benefician de herramientas que detectan rápidamente los problemas más críticos (por ejemplo, errores de configuración comunes, vulneraciones evidentes), esencialmente una comprobación de sanidad. Puede que no necesiten el escáner más exhaustivo; algo que detecte los elementos de alto riesgo suele ser suficiente desde el principio.
• Integración con el flujo de trabajo de desarrollo: Las startups suelen tener un desarrollo moderno y ágil. Las herramientas que se integran con GitHub Actions o similares pueden ayudar a automatizar la seguridad sin procesos pesados.
• Escalabilidad (preparación para el futuro): Aunque no es un requisito primordial, una herramienta que pueda crecer con ellos (más aplicaciones, más análisis) es una ventaja, para que no tengan que cambiar de herramienta a medida que crecen. Sin embargo, al principio, el coste puede primar sobre este aspecto.

Las mejores herramientas para startups:

• OWASP ZAP - Gratuito y fiable: Para una startup con poco dinero, es difícil superar la gratuidad. ZAP puede ser el escáner inicial a ejecutar contra tu aplicación web. Muchas startups utilizan ZAP de forma semiautomatizada: por ejemplo, como parte de sus compilaciones nocturnas o simplemente como comprobación mensual por parte de un desarrollador. El hecho de que sea de código abierto también significa que si crecen, su equipo de seguridad puede personalizarlo en profundidad. La inversión en aprendizaje de ZAP sigue dando sus frutos. Pros: sin coste directo, gran comunidad, buena eficacia frente a vulneraciones comunes. Contras: requiere cierto esfuerzo práctico y aprendizaje.
• Seguridad Aikido - Nivel gratuito y todo en uno: Aikido ofrece un plan gratuito para siempre que resulta extremadamente atractivo para las startups. Con él, una startup puede obtener no sólo DAST, sino también SAST y otros escáneres en una sola plataforma - eso es mucho valor sin coste alguno, hasta un cierto uso. Para una empresa joven, el uso de Aikido significa que no tiene que hacer malabarismos con varias herramientas, sino que obtiene un aumento inmediato de la seguridad en toda su pila. Además, el énfasis de Aikido en la automatización y la facilidad significa que incluso sin un especialista en seguridad, los desarrolladores de la startup pueden manejarlo. A medida que la startup crece, pueden actualizar sin problemas dentro de los planes de Aikido, lo que es una buena prueba de futuro.
• Acunetix (de Invicti) - Opción para pymes: Acunetix es comercial, pero se comercializa específicamente para organizaciones más pequeñas y tiene un precio inferior al de las herramientas empresariales. Una empresa emergente con un poco de presupuesto y, tal vez, un requisito de cumplimiento podría optar por Acunetix porque es sencillo y cuenta con soporte. Puede instalarse localmente o ejecutarse desde su nube, y escaneará rápidamente la aplicación y producirá un informe pulido (útil si la startup necesita mostrar un informe a un cliente empresarial como parte de la diligencia debida). Básicamente, se trata de un "dispositivo DAST" que simplemente funciona. Algunas startups utilizan una única licencia de Acunetix en su equipo de desarrollo y realizan escaneos de vez en cuando para asegurarse de que no hay agujeros obvios.
• Nessus Essentials - Escáner de vulnerabilidades gratuito: Una startup puede aprovechar Nessus Essentials (gratuito para 16 objetivos) para escanear el host de su aplicación web. Aunque Nessus no es un comprobador de aplicaciones web específico, detectará problemas de configuración del servidor web (problemas SSL, software obsoleto) y algunas vulnerabilidades web comunes. No es exhaustivo para la aplicación en sí, pero como comprobación rápida, es valioso. Y si el producto de la startup incluye también servicios de red, Nessus los cubre. Esencialmente, es una buena herramienta de "barrido amplio" para la higiene general de la seguridad. Muchas startups utilizan Nessus porque la versión gratuita es suficiente para una aplicación web y unos pocos servidores.
• Burp Suite Comunidad - Aprendizaje y pique manual: Si el equipo fundador tiene inclinaciones técnicas, tener Burp Community a mano para hurgar manualmente en su aplicación puede ser muy educativo. Es gratis, y aunque el escáner está desactivado en la edición de la comunidad, todavía se puede interceptar el tráfico y utilizar el intruso para probar algunas formas. Algunos desarrolladores de startups utilizan Burp para probar funcionalidades críticas (como login, formularios de pago) manualmente. Esto no es automatizado ni escalable, pero para una aplicación pequeña, un par de horas con Burp podrían descubrir errores graves (como comprobaciones de autenticación inadecuadas). Es rentable en el sentido de que es gratis, sólo requiere tiempo.

Por qué éstas: No cuestan nada o se ajustan fácilmente al presupuesto de una startup, y no requieren un especialista a tiempo completo para funcionar. El objetivo de una empresa emergente es evitar ser la fruta que cuelga del árbol: ejecutar estas herramientas puede detectar los problemas más evidentes (credenciales por defecto, puntos finales de administración abiertos, inyecciones SQL, etc.) y aumentar drásticamente la postura de seguridad con una inversión mínima. Además, demostrar que utilizas herramientas reconocidas como OWASP ZAP o Nessus puede aumentar la confianza cuando llegue ese inevitable cuestionario de seguridad de un posible cliente.

‍

‍

Las mejores herramientas DAST gratuitas

Público: Cualquiera que quiera mejorar la seguridad de su aplicación web sin gastar dinero. Esto incluye a desarrolladores aficionados, estudiantes, pequeñas organizaciones o incluso grandes empresas que quieren experimentar antes de comprar una solución. "Libre" en este contexto puede significar completamente de código abierto o versiones de nivel libre de los productos comerciales.

Las opciones DAST gratuitas suelen tener algunas limitaciones (ya sea en funciones, soporte o profundidad de escaneado), pero ofrecen un valor increíble para las necesidades básicas.

Criterios/características de las mejores herramientas gratuitas:

• Sin costes ni condiciones: De uso realmente gratuito (no sólo una breve prueba). Idealmente de código abierto o apoyado por la comunidad.
• Eficacia: Aunque sea gratuita, la herramienta debería encontrar un número significativo de vulnerabilidades. La línea de base cubre los 10 problemas principales de OWASP.
• Apoyo de la comunidad: Las herramientas gratuitas suelen contar con foros comunitarios, documentación y actualizaciones. Una comunidad activa garantiza que la herramienta siga siendo útil.
• Facilidad de uso frente a curva de aprendizaje: Algunas herramientas gratuitas son "llave en mano", mientras que otras requieren habilidad. Enumeraremos una variedad: algunas que "simplemente funcionan" y otras que pueden requerir más experiencia (para quienes estén dispuestos a invertir más tiempo que dinero).

Las mejores herramientas DAST gratuitas:

• OWASP ZAP: Destaca por ser probablemente la herramienta DAST gratuita más completa. Como ya hemos dicho, ZAP puede hacer mucho, y todo gratis. Es efectivamente la sugerencia a la que acudir cuando alguien pregunta: "No tengo presupuesto, ¿cómo hago DAST?". ZAP tiene una comunidad activa e incluso soporte formal de OWASP. Se actualiza continuamente y puede ampliarse. Para una solución gratuita, no hay nada mejor que ZAP en términos de capacidad y tamaño de la comunidad.
• Nikto: Completamente gratuito y abierto, Nikto se centra en los problemas conocidos. Es muy fácil de ejecutar - básicamente un escaneo de un solo comando - lo que lo hace accesible. El valor de Nikto reside en su simplicidad: no hay que configurar mucho, sólo ejecutarlo y obtener resultados. Es ideal para auditorías rápidas realizadas por personas que pueden no ser expertas en seguridad (por ejemplo, un administrador de sistemas puede ejecutar Nikto contra un servidor como parte de una lista de comprobación). Dado que se basa en firmas, puede pasar por alto problemas personalizados, pero como herramienta gratuita proporciona una buena red de seguridad.
• Wapiti: Wapiti es gratuito y de código abierto, y es sorprendentemente potente, rivalizando con algunos escáneres comerciales en pruebas de inyección. Tal vez sea menos conocido en el gran público, pero los miembros de la comunidad de seguridad de código abierto lo respetan. Para alguien dispuesto a usar un terminal y potencialmente hacer scripts a su alrededor, Wapiti proporciona una tremenda capacidad de escaneo sin coste alguno. Su desarrollo activo significa que se mantiene al día con los nuevos tipos de vulnerabilidades, lo que no siempre es el caso de las herramientas gratuitas.
• w3af: También gratuito y de código abierto, w3af es más complejo pero ofrece tanto exploración como explotación. Es como una alternativa gratuita a Burp Suite Pro (más o menos). Sin embargo, los usuarios deben tener en cuenta que no ha estado muy activo últimamente. Aún así, para ser una solución gratuita, w3af puede profundizar e incluso explotar problemas, cosa que otros no hacen. Es la mejor opción para los usuarios con algunos conocimientos de seguridad que quieren un conjunto de herramientas de una sola parada.
• Arachni: Arachni es gratuito (open-source) y fue un peso pesado en su tiempo. Todavía funciona bien en muchos casos. Dado que no se mantiene activamente, uno debe usarlo con precaución en la tecnología de vanguardia, pero como un escáner gratuito, es completo en las tecnologías web más antiguas. Si usted tiene una aplicación que no implica la última SPAs, Arachni puede ser muy eficaz y tiene una interfaz de informes agradable. Por el coste de cero, se obtiene un informe de escaneado de aspecto profesional.
• Burp Suite Edición comunitaria: Aunque el escáner completo no está habilitado en la edición gratuita, lo incluyo porque sí permite el escaneo pasivo y las pruebas manuales. Es gratis y es una gran herramienta de entrenamiento. Muchos entusiastas de la seguridad empiezan con Burp Community para aprender cómo funcionan las vulnerabilidades, interceptar tráfico, etc. Si haces proxy de tu aplicación a través de Burp Community mientras navegas, marcará pasivamente algunos problemas (como la falta de cabeceras de seguridad o valores reflectantes que podrían indicar XSS). Así que técnicamente hace algo de trabajo DAST de forma gratuita, aunque limitada.

Nota: Muchos actores comerciales ofrecen pruebas gratuitas (como 14 días de prueba de Acunetix o un análisis gratuito limitado de Qualys, etc.), pero no son soluciones sostenibles. Por lo tanto, me quedo con las herramientas gratuitas a largo plazo, no limitadas en el tiempo.

Por qué estos: Cubren lo básico (y más) sin ninguna barrera económica. Las herramientas gratuitas son cruciales para democratizar la seguridad: permiten a cualquiera probar sus aplicaciones. Las empresas con presupuesto cero pueden mejorar su postura de seguridad con ellas. A menudo se recomienda utilizar varias herramientas gratuitas combinadas, ya que cada una puede detectar cosas que las demás pasan por alto. Por ejemplo, ejecute Nikto + ZAP + Wapiti a la vez: si las tres coinciden en que una aplicación está "limpia", es probable que haya resuelto los problemas obvios. Todo ello sin gastar un céntimo.

Las mejores herramientas DAST de código abierto

Público: Entusiastas de la seguridad, organizaciones comprometidas con las soluciones de código abierto o quienes desean total transparencia y control sobre la herramienta. Las herramientas de código abierto también gozan del favor de las instituciones educativas y de las empresas con normas de contratación estrictas que prefieren software auditado por la comunidad.

"Código abierto" se solapa con "libre", pero aquí nos referimos específicamente a herramientas cuyo código fuente está disponible y que suelen ser mantenidas por una comunidad (a menudo bajo OWASP u organizaciones similares). La ventaja es que puedes auditar el código del escáner, personalizarlo y confiar en que no hay comportamientos ocultos de caja negra.

Las mejores herramientas DAST de código abierto (con un poco de repetición de las anteriores):

• OWASP ZAP: Campeón del código abierto. El código fuente de ZAP se encuentra en GitHub y cuenta con numerosos colaboradores. Muchas empresas incluso bifurcan ZAP para crear reglas de escaneo personalizadas para sus necesidades específicas. Al estar bajo el gobierno de OWASP, tiene credibilidad y un claro proceso de desarrollo abierto. Si necesitas un DAST OSS, ZAP suele ser la opción número 1.
• w3af: Totalmente de código abierto (GPL). Un usuario puede leer cómo funciona cada plugin, modificarlos o escribir otros nuevos. Esto es genial para los investigadores que quieran añadir una comprobación de una nueva vulnerabilidad de forma global. Es como tener los bloques de construcción de un escáner que puedes reensamblar. La naturaleza de código abierto de w3af también significa que puedes integrarlo en marcos de seguridad de código abierto más amplios.
• Wapiti: Alojado en GitHub y actualizado activamente por sus mantenedores, Wapiti invita a los usuarios a contribuir e informar de errores. Si descubres que tu aplicación desencadena falsos positivos o un nuevo tipo de vulnerabilidad, puedes añadirla a los módulos de Wapiti. El código abierto también significa que puedes integrar Wapiti en otros sistemas abiertos (como conectarlo a un canal CI/CD de código abierto).
• Nikto: Uno de los escáneres web de código abierto más antiguos. Su base de datos de firmas es abiertamente editable, y la gente contribuye frecuentemente con nuevas comprobaciones. Si, por ejemplo, se descubre una nueva vulnerabilidad de una aplicación web en un marco popular, cualquiera puede añadir una prueba Nikto para ello y compartirla. La simplicidad del código de Nikto (en su mayoría scripts Perl) significa que incluso aquellos con modestos conocimientos de programación pueden personalizarlo para su entorno. En ese sentido, está realmente impulsado por la comunidad.
• Arachni: Código abierto (aunque ya no se mantiene). Su código base estaba bien escrito y algunos lo han bifurcado o han reutilizado partes de él en otros proyectos. Como código abierto, también sirve como referencia de aprendizaje: los nuevos desarrolladores de DAST pueden estudiar el diseño de Arachni.
• OWASP ZAP(mención honorífica): Destaco esto porque más allá del núcleo de ZAP, el mercado de complementos está lleno de contribuciones de código abierto. Herramientas como GraphQL Scanner add-on, SOAP scanner add-on, etc., son todas de código abierto. Este ecosistema significa que si ZAP no hace algo hoy, un complemento de código abierto podría aparecer mañana para llenar el vacío. Ninguna herramienta de código cerrado tiene esa agilidad impulsada por una comunidad global.

¿Por qué código abierto? La seguridad es a menudo una cuestión de confianza. Con DAST de código abierto, puedes inspeccionar exactamente qué pruebas se están realizando y cómo se manejan los datos (importante si se analizan aplicaciones sensibles: sabes que la herramienta no está desviando datos, por ejemplo, porque puedes ver el código). También significa que si la herramienta no se ajusta perfectamente a sus necesidades, tiene el poder de cambiarla. Las organizaciones que están dispuestas a invertir esfuerzos de ingeniería en lugar de dinero pueden construir soluciones DAST muy personalizadas a partir de estos proyectos.

Las mejores herramientas DAST para DevSecOps

Público: Equipos que practican DevSecOps, es decir, que integran comprobaciones de seguridad en procesos de integración continua y entrega continua, con un alto grado de automatización y colaboración entre desarrollo, seguridad y operaciones. Estos equipos desean herramientas que puedan ejecutarse de forma autónoma, producir resultados legibles por máquinas y, tal vez, bloquear las compilaciones en función de criterios de seguridad. También suelen estar a favor de herramientas que se puedan "desplazar a la izquierda" (utilizadas al principio por los desarrolladores) y de forma continua en la posproducción.

Factores importantes para DevSecOps DAST:

• Integración CI/CD: La herramienta debe tener una CLI o REST API, e idealmente plugins para sistemas CI populares (Jenkins, GitLab CI, GitHub Actions, Azure DevOps, etc.). Debe ser fácil de poner en marcha como parte de una tubería (las versiones en contenedores ayudan aquí).
• Resultados fáciles de automatizar: Resultados en formatos como JSON o SARIF que pueden ser consumidos por otros sistemas para la toma de decisiones automatizada. Por ejemplo, interrumpir la compilación si se encuentran nuevas vulnerabilidades de alta gravedad, lo que requiere analizar automáticamente la salida del escáner.
• Exploraciones incrementales o rápidas: Los escaneos DAST completos pueden ser lentos, lo que supone un reto para CI. Son útiles las herramientas que ofrecen modos más rápidos o que permiten atacar componentes específicos (tal vez mediante el etiquetado de puntos finales importantes). Otro enfoque es la integración con los conjuntos de pruebas: por ejemplo, atacar la aplicación mientras se ejecutan las pruebas de integración (algunas configuraciones avanzadas lo hacen).
• Flexibilidad del entorno: DevSecOps puede crear entornos de prueba efímeros (por ejemplo, desplegando una rama de una aplicación en un servidor de prueba, escaneándola y desmontándola después). Las herramientas DAST que pueden apuntar fácilmente a URL dinámicas y gestionar entornos cambiantes sin mucha configuración manual destacan aquí.
• Feedback Loops: Un ideal DevSecOps es la retroalimentación inmediata a los desarrolladores. Por lo tanto, una herramienta DAST que pueda comentar una solicitud de extracción, abrir tickets automáticamente o enviar mensajes de chat con resultados fomenta esa cultura de retroalimentación rápida.

Principales herramientas y enfoques para DevSecOps:

• Seguridad Aikido - Automatización de tuberías: Aikido fue diseñado para incrustarse en tuberías CI (con su característica de integración CI/CD). Puede configurar los análisis de Aikido para que se ejecuten en cada fusión o despliegue. Sus resultados pueden ser configurados para fallar construcciones si se cruzan los umbrales de gravedad. El hecho de que también haga SAST significa que los desarrolladores obtienen un doble golpe de análisis estático y dinámico en CI, todo gestionado desde una plataforma. Además, la naturaleza en la nube de Aikido significa que usted no tiene que gestionar la infraestructura de escaneo en sus ejecutores de CI; sólo tiene que llamar al servicio de Aikido. Esto reduce la fricción de añadir DAST a los pipelines.
• OWASP ZAP (Dockerizado) - El caballo de batalla de DevOps: ZAP proporciona una imagen Docker oficial e incluso un script de escaneo de línea de base configurable. Esto se utiliza mucho en DevSecOps. Por ejemplo, puedes tener una acción de GitHub que ejecute owasp/zap-baseline-scan contra un sitio de pruebas desplegado durante 5 minutos e informa de los resultados. La API de ZAP también permite una gran cantidad de automatización personalizada, y la comunidad ha escrito envoltorios (como scripts de Python) que integran ZAP con CI. Como es gratuito, puedes ejecutarlo en tantos pipelines como necesites. Existen muchos tutoriales sobre "ZAP en Jenkins" o similares, lo que indica que es un patrón común.
• StackHawk - Creado específicamente para CI: StackHawk (aunque comercial) es básicamente DAST para DevOps. Se integra con pipelines utilizando un enfoque de configuración como código. Para los equipos de DevSecOps que pueden presupuestarlo, StackHawk suaviza algunas asperezas del uso de ZAP en CI (StackHawk se basa en ZAP, pero tiene una mejor experiencia y soporte para los desarrolladores). Es digno de mención porque DevSecOps es exactamente su caso de uso objetivo. Genera resultados en formatos aptos para CI y la empresa hace hincapié en que DAST no ralentice CI (con orientación de ajuste).
• Invicti/Acunetix - Plugins de CI: Las tiendas DevSecOps empresariales que utilizan Invicti tienen acceso a sus capacidades de integración. Invicti puede ejecutarse en modo headless y dispone de plugins para Jenkins, etc. Puede marcar las exploraciones como aprobadas/no aprobadas en función de una política (como la ausencia de vulnerabilidades críticas). La ventaja de Invicti es que se obtiene un escaneo completo con la precisión basada en pruebas, pero el reto es el tiempo de ejecución - los escaneos completos de Invicti pueden ser demasiado lentos para cada compilación. Muchos resuelven esto haciendo un escaneo nocturno completo y un escaneo rápido dirigido en cada compilación (dirigido a componentes cambiados o usando pruebas de humo + DAST).
• Burp Suite Enterprise - Integración con Pipeline: Burp Suite Enterprise Edition (diferente de Burp Pro) está diseñado para ejecutar escaneos en un horario o desencadenar a través de CI. Tiene una API REST y plugins CI. Un equipo DevSecOps podría utilizarlo para programar escaneos después de los despliegues y luego alimentar los resultados en JIRA. Si bien no es tan comúnmente conectado a CI como ZAP (debido al costo), se utiliza en algunas configuraciones DevSecOps en empresas que se estandarizaron en Burp.
• Tenable.io WAS - Ganchos en la nube: Si su canalización puede implementar un entorno de prueba accesible para los escáneres en la nube de Tenable, puede activar un escaneo a través de la API y sondear los resultados. Algunos equipos de DevSecOps hacen esto para las compilaciones nocturnas. No es tan instantáneo como un escaneo ZAP local, pero descarga el escaneo a un servicio en la nube.

En resumen, la automatización es el rey aquí. Las herramientas que no se crearon para la automatización pueden seguir utilizándose en canalizaciones (mediante secuencias de comandos creativas), pero las que reconocen DevSecOps con funciones e integraciones ahorrarán tiempo. Las opciones anteriores son o bien inherentemente amigables con la automatización (ZAP, Aikido, StackHawk) o han evolucionado para soportarla debido a la demanda del mercado (Invicti, Burp Enterprise).

Los equipos de DevSecOps también suelen utilizar varias etapas de DAST: un escaneo rápido y ligero en CI (para detectar cosas obvias en cuestión de minutos) y un escaneo más profundo después del despliegue (que puede llevar más tiempo pero no bloquea a los desarrolladores). Las herramientas elegidas deben ser compatibles con esta estrategia.

Las mejores herramientas DAST para la seguridad de las API

Público: Equipos que necesitan probar específicamente las API web (REST, SOAP, GraphQL) en busca de vulnerabilidades. Esto incluye desarrolladores de backend, ingenieros de plataforma API y probadores de seguridad centrados en microservicios. Las pruebas de seguridad de API son ligeramente diferentes de las pruebas de interfaz de usuario web: no hay interfaz de navegador, por lo que se necesitan herramientas que puedan analizar esquemas de API, manejar cargas útiles JSON/XML y comprender cosas como tokens de autenticación y llamadas a API de varios pasos.

Capacidades clave para el DAST centrado en la API:

• Importación de especificaciones de API: La herramienta debe importar colecciones Swagger/OpenAPI o Postman para saber qué puntos finales existen y sus formatos. Esto ahorra tiempo y garantiza la cobertura de todos los puntos finales de API, incluso de aquellos que no son fáciles de descubrir.
• Compatibilidad con GraphQL: Las API GraphQL son ahora comunes; probarlas requiere un manejo especial (consultas de introspección, consultas anidadas). Un buen DAST de API debe tener módulos para GraphQL (por ejemplo, comprobación de vulnerabilidades específicas de GraphQL como la denegación de servicio de consultas anidadas en profundidad).
• Soporte de SOAP y API heredadas: Todavía relevante en empresas - herramientas que pueden probar servicios SOAP importando WSDL o grabando llamadas SOAP. También se podría considerar el manejo de cosas como gRPC (aunque el soporte de DAST para gRPC es todavía incipiente; algunas herramientas convierten gRPC en pruebas tipo REST a través de proxies).
• Autenticación y tokens: Las pruebas de API necesitan manejar claves de API, tokens OAuth, JWTs, etc. La herramienta debe facilitar el suministro de estos datos (tal vez mediante un archivo de configuración o un script de inicio de sesión) para poder probar los puntos finales autorizados. Bonificación si también puede probar la lógica de autorización, por ejemplo, IDOR (Insecure Direct Object References) mediante la manipulación de IDs.
• Gestión de respuestas no HTML: Las API devuelven JSON o XML. El escáner no debe esperar páginas HTML; debe analizar JSON y aún así encontrar problemas (como XSS en contexto JSON, o errores SQL en respuestas API). Algunos escáneres antiguos sólo analizan las respuestas HTML, lo que no es suficiente para las API.
• Concienciación sobre la limitación de tarifas: Golpear las APIs con demasiada fuerza puede disparar los límites de velocidad o incluso bloquear la IP. Los escáneres centrados en API pueden incluir ajustes para respetar los límites de velocidad o acelerar de forma adecuada, para evitar interrumpir el servicio (importante si se prueban API de producción).

Herramientas principales para la seguridad de las API (DAST):

• Invicti (y Acunetix) - Descubrimiento y comprobación de API: Invicti es fuerte en la exploración de API. Puede importar definiciones de API (REST, SOAP, GraphQL) y tiene comprobaciones especializadas para ellas. Por ejemplo, puede detectar vulnerabilidades GraphQL y probar muchas consultas autogeneradas. También gestiona bien la autenticación. Si una organización tiene numerosas API (microservicios), Invicti puede analizarlas sistemáticamente. Acunetix, su hermano, comparte esta capacidad y es más accesible para equipos más pequeños.
• Qualys WAS - Soporte de API y OpenAPI v3: Qualys WAS anuncia específicamente la detección de "desviación de la especificación OpenAPI", lo que implica que no sólo prueba las API, sino que también encuentra puntos finales no documentados comparando los puntos finales observados con la especificación. Esto es muy valioso para la seguridad de las API, ya que los puntos finales no documentados pueden ser un punto ciego para la seguridad. Qualys también cubre las API SOAP y puede recibir WSDL. Es una opción sólida para una empresa con muchas API, especialmente porque se integra con su plataforma general.
• OWASP ZAP - Con complementos para APIs: ZAP por sí mismo puede fuzz y probar puntos finales JSON, pero realmente brilla para APIs cuando se utiliza con complementos. Hay un complemento OpenAPI para importar archivos Swagger y un complemento GraphQL también. Con ellos, ZAP puede crear automáticamente solicitudes para cada operación de API y luego analizarlas activamente. Al ser de código abierto, es una de las pocas formas gratuitas de probar APIs a fondo. Es posible que tengas que ajustar algunas cosas (como proporcionar autentificadores a través de scripts), pero existen muchas guías de la comunidad.
• Burp Suite - Excelente para pruebas manuales de API: El escáner de Burp se puede utilizar en las API, pero a menudo las pruebas de API con Burp implican un esfuerzo manual o semiautomatizado. Puede enviar el tráfico de la aplicación móvil o las solicitudes de Postman a través de Burp para capturar las llamadas a la API y, a continuación, utilizar el escáner Burp en ellas. Burp también tiene una extensión llamada "Upload Scanner" que puede "fuzz" APIs de carga de archivos, etc. Para GraphQL, hay extensiones Burp para ayudar. Así que, aunque no es un escáner de API automatizado, Burp es una potente plataforma para pruebas de API si uno está dispuesto a manejarla. Las capacidades de escaneo de la edición Profesional de hecho probarán las respuestas JSON y similares en busca de vulnerabilidades al igual que lo hace con HTML.
• Postman + Colecciones de Seguridad - (Aumentar DAST): Postman en sí mismo no es un DAST, pero hay colecciones como "API Security Audit" que la gente ha creado y que pueden actuar como comprobaciones DAST rudimentarias (por ejemplo, enviando cadenas de inyección SQL comunes en cada endpoint). Un desarrollador preocupado por la seguridad podría escribir pruebas Postman para hacer un fuzz básico de sus puntos finales de API. Este enfoque es gratuito (Postman tiene un nivel gratuito) y se puede integrar en CI a través de Newman (CLI de Postman). No es tan completo como un escáner completo, pero es un enfoque creciente en el mundo DevSecOps para las pruebas de seguridad de la API.
• Seguridad de Aikido - Escaneo de API integrado: la plataforma de Aikido incluye escaneo de API donde puede introducir sus puntos finales de API (o dejar que los descubra junto con un escaneo web). Es especialmente compatible con REST y GraphQL. Para un equipo que ya utiliza Aikido para la web, tener el escaneo de la API en el mismo lugar es conveniente. Intentará cosas como pruebas de acceso no autorizado (mediante la repetición de solicitudes sin autenticación para ver si hay fugas de datos), que es un problema común de la API. Esta consolidación significa menos cambios de contexto: los desarrolladores ven las vulnerabilidades de la API y de la web en un solo panel.

Por qué: Los puntos finales de API a menudo contienen datos confidenciales y son propensos a problemas como la omisión de autenticación, la exposición excesiva de datos, etc. Históricamente, las herramientas DAST tradicionales se centraban en las páginas web, pero las que se enumeran a continuación se han adaptado a la tendencia API-first. Su uso garantiza que las API del backend se someten a las mismas pruebas que las del frontend. Teniendo en cuenta el gran número de infracciones que afectan a las API (recuerde la filtración de datos de usuarios de Facebook a través de una API, o los problemas con la API de T-Mobile), es fundamental centrarse en la seguridad de las API. Las herramientas que pueden simular el consumo malicioso de la API son la forma de descubrir esos fallos.

Las mejores herramientas DAST para aplicaciones web

Audiencia: Esto puede sonar amplio (ya que la mayoría de DAST es para aplicaciones web), pero aquí lo interpretamos como organizaciones centradas específicamente en probar aplicaciones web tradicionales (sitios web, portales, sitios de comercio electrónico) - posiblemente aquellos con interfaces de usuario ricas. Quieren las herramientas que mejor funcionen a la hora de encontrar vulnerabilidades de aplicaciones web en estos entornos. Esta categoría básicamente pregunta: si su principal preocupación es la seguridad de las aplicaciones web (con navegadores, formularios, cuentas de usuario, etc.), ¿qué herramientas son las más eficaces en general?

Aspectos importantes para la exploración de aplicaciones web puras (en contraposición a las API u otros nichos):

• Rastreo y cobertura: Un escáner de aplicaciones web debe rastrear eficazmente todos los enlaces, incluidos los generados por scripts o eventos de usuario. Las herramientas con mejores algoritmos de rastreo (navegador sin cabeza, manejo de SPA) cubrirán más partes de la aplicación.
• Gestión de sesiones: Las aplicaciones web suelen tener inicios de sesión y estados complejos (carrito de la compra, flujos de trabajo de varios pasos). Las mejores herramientas DAST para aplicaciones web pueden gestionarlas mediante macros grabadas o lógica de secuencias de comandos.
• Profundidad de la vulnerabilidad: Para las aplicaciones web, aspectos como XSS, SQLi, CSRF, inclusión de archivos, etc., son clave. Algunas herramientas tienen comprobaciones más exhaustivas que otras para XSS (reflejado, almacenado, basado en DOM), por ejemplo. La capacidad de una herramienta para detectar XSS almacenado (que puede implicar el envío de una página y la activación de otra) puede diferenciar a las mejores de las mejores.
• Gestión de falsos positivos: En una aplicación web de gran tamaño, es posible que obtenga cientos de resultados: las herramientas que verifican o priorizan claramente la explotabilidad ayudan a centrarse en los problemas reales.
• Comprobaciones de seguridad del lado del cliente: Las aplicaciones web modernas pueden tener problemas como el uso inseguro del almacenamiento del lado del cliente o vulnerabilidades en scripts de terceros. Algunas herramientas DAST ahora indican si su sitio está cargando un script con una vulnerabilidad conocida o si falta la Política de Seguridad de Contenidos. Se trata de comprobaciones más "específicas de la aplicación web" que van más allá de las vulneraciones en bruto.

Las mejores herramientas para aplicaciones web:

• Invicti (Netsparker): Como DAST de aplicaciones web de primer nivel, el rastreo y la detección de vulnerabilidades de Invicti en aplicaciones web típicas es excelente. Es conocido por encontrar XSS y SQLi de forma muy fiable, incluso en escenarios complejos. Su verificación de problemas como XSS (por ejemplo, podría insertar una carga útil segura y luego detectar que se ejecuta) da confianza. Por su amplia cobertura y profundidad, Invicti suele recibir buenas puntuaciones en los análisis comparativos de vulnerabilidades web.
• Suite Eructo Pro: Para pruebas prácticas de aplicaciones web, Burp Pro no tiene rival. Su escáner, combinado con la capacidad de navegar manualmente por las partes difíciles y luego volver a escanear, significa que puede manejar la lógica extraña de la aplicación web. La ventaja de Burp es que si el rastreo automatizado falla en alguna parte, un humano puede intervenir, superar el obstáculo y dejar que Burp continúe. Este modelo de pruebas interactivas a menudo resulta en más problemas encontrados en aplicaciones complicadas. Burp también tiene numerosas opciones de ajuste de escaneo para el rendimiento frente a la minuciosidad, lo que ayuda a optimizar para grandes aplicaciones web.
• Acunetix: Acunetix siempre se ha promocionado como una empresa centrada en tecnologías web (incluyendo muchas comprobaciones específicas de CMS, WordPress, Drupal, etc.). Para los sitios web típicos, especialmente los que utilizan plataformas comerciales, Acunetix brilla por la identificación de vulnerabilidades conocidas y configuraciones erróneas. Es un sólido escáner web completo y tiende a tener una curva de aprendizaje más baja, lo que significa que puede lanzarlo a una aplicación web y obtener buenos resultados sin muchos ajustes.
• OWASP ZAP: Es gratuito pero en manos expertas puede rendir al nivel de las herramientas comerciales para muchas aplicaciones web. El escaneo activo de ZAP tiene una amplia gama de ataques. Si se configura bien (con contexto como tokens de sesión iniciada, etc.), puede encontrar mucho. ZAP también se beneficia de las reglas de la comunidad; por ejemplo, alguien puede contribuir con un script que compruebe específicamente una vulnerabilidad común del comercio electrónico y cualquiera puede utilizarlo. Para las organizaciones que no pueden permitirse herramientas comerciales, ZAP es la mejor apuesta para la seguridad de aplicaciones web.
• HCL AppScan Estándar: Tiene un largo historial de escaneado de aplicaciones web. Puede configurarse en profundidad para aplicaciones complicadas (como personalizar las cadenas de inyección para evitar que se rompan ciertas páginas, o hacer pausas entre ciertos pasos). El motor heurístico de AppScan a veces también encuentra problemas lógicos menos obvios. Para evaluaciones web puras, es una herramienta veterana utilizada por muchos probadores de seguridad profesionales (especialmente aquellos que vinieron de los días de IBM AppScan). Tienen una gran base de conocimientos sobre vulnerabilidades y sus manifestaciones en aplicaciones web, lo que se traduce en casos de prueba exhaustivos en el escáner.

Por qué estos: Ofrecen la mejor oportunidad de encontrar una amplia variedad de vulnerabilidades en aplicaciones web típicas. Una aplicación web puede ser algo extenso con varias características; estas herramientas están probadas en el escaneo de sitios web enteros de extremo a extremo. Herramientas como Invicti y Burp se utilizan a menudo en tándem: una para la amplitud, otra para la profundidad. Acunetix o AppScan, en manos de un analista, proporcionan un enfoque estructurado del escaneado en el que confían muchos equipos de seguridad para sus evaluaciones periódicas de aplicaciones web corporativas. Y ZAP, al ser de código abierto, democratiza esa capacidad.

En resumen, si tu objetivo es "tengo este portal web, quiero encontrar tantos problemas de seguridad en él como sea posible", las herramientas anteriores están entre las primeras que deberías considerar.

Mejores herramientas DAST para API REST

Audiencia: Este es un enfoque más estrecho en las API RESTful (que podría considerarse un subconjunto de la Seguridad de la API anterior, pero aquí específicamente REST). Se trata probablemente de equipos que desarrollan API REST (JSON sobre HTTP, diseño sin estado), incluyendo backends de aplicaciones móviles o backends SPA, que quieren asegurarse de que esas API no son vulnerables.

Áreas de interés de la API REST DAST:

• Integración Swagger/OpenAPI: Muy importante para REST. Las herramientas que pueden ingerir una especificación Swagger para una API REST pueden enumerar todos los puntos finales, métodos y parámetros esperados, lo que hace que la exploración sea más eficaz.
• Vulnerabilidades específicas de REST: Pruebas de cosas como el manejo inadecuado de verbos HTTP (por ejemplo, confusión entre GET y POST), falta de limitación de velocidad y errores de configuración típicos de REST (como HTTP PUT permitido donde no debería, o métodos que deberían ser idempotentes pero no lo son).
• Fuzzing de parámetros: Los puntos finales REST a menudo toman cuerpos JSON. El escáner debería probar parámetros JSON con cargas de inyección, objetos JSON anidados, etc. Además, probar parámetros de consulta en URLs para puntos finales REST (como /users?filter=<script>).
• Autenticación/Autorización: Muchas API REST utilizan tokens (Bearer tokens). Las herramientas necesitan manejar el adjuntarlos a cada solicitud. Además, probar authZ en REST (como cambiar un ID en la URL por el ID de otro usuario) es algo que intentan algunas herramientas DAST (aunque las verdaderas pruebas de lógica de autorización podrían ir más allá de DAST).
• CSRF en APIs: Muchos piensan que las APIs no se ven afectadas por CSRF si no utilizan cookies para la autenticación, pero algunas sí lo hacen (o algunas permiten tanto cookies como tokens). Los escáneres podrían comprobar si los puntos finales que cambian de estado tienen protecciones CSRF cuando se utilizan cookies, por ejemplo.

Herramientas principales para REST API DAST:

• OWASP ZAP con el complemento OpenAPI: Para una API REST pura (digamos que tienes un JSON Swagger), usando el complemento OpenAPI de ZAP importarás todos los endpoints. ZAP puede entonces atacar cada uno de ellos con las inyecciones pertinentes. Puede que necesites escribir un script para manejar las cabeceras de autenticación, pero el scripting de ZAP lo hace posible. Al ser de código abierto, es probablemente lo primero que muchos prueban en una API REST porque se puede automatizar. La comunidad también ha compartido ejemplos de scripts específicos para el escaneo de APIs.
• Sinergia Postman + OWASP ZAP: Un enfoque libre interesante es utilizar Postman para conducir la autenticación y el uso normal de la API (tal vez a través de una colección de puntos finales), mientras que el proxy de Postman a través de ZAP. Al hacer esto, ZAP observa la API y entonces puedes iniciar un escaneo activo desde ZAP en esos endpoints observados. Esta combinación puede probar eficazmente los puntos finales REST que requieren secuencias específicas o pasos de autenticación no triviales gestionados por las secuencias de comandos de Postman. Muchos profesionales utilizan este método porque Postman es genial para golpear todos los puntos finales correctamente (con datos correctos), y ZAP puede entonces hacer la parte de pruebas de seguridad.
• Invicti/Acunetix: Ambos tienen un fuerte soporte para REST. Por ejemplo, pueden tomar un archivo Swagger y realizar pruebas exhaustivas, incluida la detección de cosas como Problemas de acceso a nivel de recursos RESTful (como comprobar si GET /usuarios/123 puede obtener los datos de otro usuario cambiando el ID, es decir, autorización a nivel de objeto rota). También comprueban los problemas de negociación de contenidos (por ejemplo, si la API admite la entrada XML, podrían probar XXE a través de ella), algo que a menudo se pasa por alto en las API REST. Estos productos se mantienen al día de los últimos problemas de seguridad de las API (como el OWASP API Top 10) e incorporan comprobaciones en consecuencia.
• Suite Eructo Pro: Con Burp, probar APIs REST normalmente significa alimentarlo con peticiones (a través de Repeater o Spider) y luego dejar que Scanner haga lo suyo. Si tienes una API REST grande, puedes importar un Swagger a Burp a través de una extensión (hay una en BApp Store) que creará peticiones Burp para cada operación. A continuación, puede lanzar el escáner en esos. La ventaja de Burp es que si algo necesita un ajuste fino (como ajustar un formato de parámetro en particular), puede hacerlo manualmente y volver a enviarlo. El control manual garantiza una cobertura completa, aunque requiere más trabajo que una herramienta automatizada.
• Wapiti: Wapiti tiene un soporte decente para REST (como para cualquier interfaz HTTP). Puede analizar cargas JSON y parámetros URL. Puede que no analice un archivo Swagger automáticamente, pero si le proporcionas algunas URLs de entrada o dejas que arañe una página de documentación, aún puede encontrar puntos finales. Si uno quisiera una tubería completamente de código abierto para el escaneo de la API REST, Wapiti combinado con un script para alimentar los puntos finales de un Swagger es una solución viable.
• Tenable.io WAS: La solución de Tenable, de nuevo, puede importar Swagger. A continuación, pondrá a prueba cada punto final. Destacan en sus documentos cómo probar las API, incluyendo la adición de cabeceras personalizadas o tokens de autenticación en la configuración del escaneo. Tenable probablemente también utiliza su repositorio de vulnerabilidades para buscar errores de configuración conocidos en los servidores API. Por ejemplo, podría comprobar si su servidor API tiene habilitado el listado de directorios en determinadas rutas o si sus firmas detectan algún marco API vulnerable conocido.

Por qué éstas: Las API REST están por todas partes (cualquier aplicación web/móvil moderna tiene una). Las inyecciones en las API REST pueden ser igual de devastadoras (por ejemplo, una inyección SQL en un endpoint REST es tan mala como una en un formulario web). Las herramientas mencionadas han demostrado su capacidad para probar REST específicamente. Como prueba, muchas herramientas ahora se alinean con OWASP API Security Top 10 - que es en gran medida sobre REST. Herramientas como Invicti y Qualys WAS mencionan explícitamente la cobertura de estos (como BOLA - Broken Object Level Authorization - que es #1 en API Top 10, algunos escáneres intentan detectar por ID fuzzing).

El uso de estas herramientas en las API REST ayuda a detectar problemas que el análisis estático del código podría no detectar (especialmente problemas de configuración o errores en el control de acceso). Simulan llamadas de clientes reales, que es como los atacantes se acercan a las API.

Las mejores herramientas DAST para aplicaciones móviles

Audiencia: Cuando hablamos de aplicaciones móviles en el contexto de DAST, nos referimos principalmente a los servicios backend con los que se comunican las aplicaciones móviles, así como a cualquier vista web o navegador integrado en la aplicación móvil. La seguridad binaria pura de las aplicaciones móviles (como la comprobación del APK en busca de claves codificadas) es un ámbito diferente (tal vez SAST móvil), pero DAST para móviles significa probar las interfaces del lado del servidor de la aplicación móvil y posiblemente la comunicación de red. Los destinatarios podrían ser desarrolladores móviles o evaluadores de seguridad que garanticen que la interacción móvil cliente-servidor es segura.

Aspectos clave:

• Comprobación de puntos finales de API utilizados por móviles: Muchas aplicaciones móviles utilizan API REST/GraphQL, lo que nos lleva de nuevo a la exploración de API. Sin embargo, la diferencia es que si se trata de una API interna, es posible que no se disponga de documentación al respecto. Así que interceptar el tráfico móvil es el primer paso.
• Gestión de flujos de autenticación: Las aplicaciones móviles pueden utilizar flujos OAuth o autenticación personalizada con tokens. Una herramienta DAST para móviles necesita capturar y reutilizar esos tokens. A menudo, la forma más sencilla es hacer un proxy de la aplicación móvil y capturar una sesión autenticada.
• Pruebas de webviews: Algunas aplicaciones móviles son híbridas o tienen componentes webview. Se pueden probar como aplicaciones web normales si se pueden obtener las URL. Por ejemplo, una aplicación bancaria puede tener una sección de preguntas frecuentes que es básicamente una vista web de una página web, que debe analizarse en busca de XSS, etc., porque si es vulnerable podría ser un vector de ataque a través de la aplicación.
• Comprobación de protocolos inseguros: Un DAST que examine el tráfico móvil puede detectar si la aplicación llama a una URL HTTP en lugar de HTTPS, o si acepta certificados SSL no válidos (algunas herramientas pueden realizar pruebas MITM con un certificado no válido para ver si la aplicación sigue conectándose).
• Flujos de trabajo y estado: Algunas interacciones móviles son secuencias con estado (añadir artículo al carrito, luego comprar). Para simularlas puede ser necesario programar la aplicación móvil o reproducir las llamadas mediante un script automatizado. Esto es complejo, por lo que resultan útiles las herramientas que pueden grabar y reproducir este tipo de secuencias.

Mejores herramientas/métodos para la aplicación móvil DAST:

• Burp Suite - Estándar de pruebas para móviles: Burp se utiliza ampliamente para probar aplicaciones móviles. Usted ejecuta el proxy de Burp en su PC, configura el dispositivo móvil para utilizar ese proxy (e instala el certificado CA de Burp en el dispositivo para que HTTPS pueda ser interceptado). A continuación, al utilizar la aplicación móvil, Burp captura todas las llamadas a la API. A partir de ahí, puede analizarlas y escanearlas activamente. Burp también puede resaltar si la aplicación está haciendo algo como certificate pinning (en cuyo caso verá fallos de conexión en Burp). Muchos problemas específicos de los móviles (como la validación incorrecta de certificados) se pueden evaluar con Burp viendo lo que se puede interceptar o manipular. La capacidad de Burp para repetir y modificar peticiones es crucial para probar la confianza del lado del servidor en la entrada móvil.
• OWASP ZAP - Mobile Proxy y Scan: Del mismo modo, ZAP puede proxy móvil de tráfico. Puede requerir algún esfuerzo manual para configurarlo en el dispositivo, pero una vez hecho, se trata como un escaneo web normal de los endpoints capturados. ZAP no tiene funciones específicas para móviles, pero su escaneado general de web y API funciona bien para backends móviles. Es gratuito, lo que es genial para investigadores individuales que prueban aplicaciones Android.
• HCL AppScan con Mobile Analyzer: AppScan Standard tiene funciones para facilitar las pruebas móviles. Puede observar el tráfico de una aplicación móvil (si se ejecuta la aplicación a través de un proxy o emulador) y, a continuación, ejecutar pruebas. Además, IBM (y ahora HCL) ofrecía AppScan Mobile Analyzer, que realizaba una introspección de los binarios de las aplicaciones móviles y algunos análisis dinámicos. Pero si nos centramos en DAST, AppScan sin duda puede probar los puntos finales web a los que accede una aplicación móvil, e incluso ofrece un cliente para automatizar un emulador móvil, aunque se trata de un uso avanzado.
• Seguridad Aikido - Plataforma AppSec completa (móvil incluido): Aunque Aikido no es una herramienta de pruebas móviles per se, cubre la seguridad de las aplicaciones móviles en el sentido de que escanea las API (a través de su escaneo de API) y también puede hacer un análisis estático en el código móvil (si una empresa tiene la fuente). Por ejemplo, si tienes un backend móvil, puedes introducir su URL en el DAST de Aikido y obtener resultados. Si tienes el código móvil, el SAST de Aikido puede detectar cosas como la generación insegura de números aleatorios o secretos codificados. La combinación es útil para los equipos móviles que quieren una plataforma única tanto para el código de su aplicación como para los servicios web de la misma.
• Postman para Mobile API + ZAP: Similar a la mención anterior, si puedes capturar las llamadas a la API móvil (a través de proxy o mediante ingeniería inversa de la aplicación para obtener los endpoints), puedes recrearlas en Postman y probarlas con ZAP o manualmente. También hay un proyecto OWASP llamado MobSF (Mobile Security Framework) que realiza algunos análisis dinámicos ejecutando un emulador. MobSF realiza principalmente análisis estáticos, pero vale la pena mencionarlo como una herramienta de seguridad móvil de código abierto; para DAST puede hacer algunos fuzzing API básicos si proporcionas puntos finales.
• Nessus / Nexpose etc. - comprobaciones del entorno: Aunque no se trata de probar directamente la aplicación, realizar un análisis de vulnerabilidades en los servidores que alojan el backend móvil o comprobar las configuraciones SSL (por ejemplo, con Qualys SSL Labs o Nessus) suele formar parte de las pruebas de aplicaciones móviles. Esto garantiza que los servidores con los que se comunica la aplicación están configurados correctamente (sin versiones antiguas de TLS, etc.). Menciono esto porque en los compromisos móviles, herramientas como Nessus a menudo complementan el DAST cubriendo problemas del lado del servidor más allá de la lógica de la aplicación.

Por qué: Las aplicaciones móviles presentan retos únicos, como la fijación de certificados, que puede dificultar el DAST. Pero los enfoques anteriores son los que utilizan los profesionales de la seguridad para entrar en la conversación entre la aplicación móvil y el servidor. Burp Suite es básicamente la herramienta de facto para el pentesting de aplicaciones móviles debido a su flexibilidad. ZAP puede lograr mucho de lo mismo con un poco más de configuración, pero sin coste alguno. Estas herramientas permiten detectar problemas como: ¿confía la API en los identificadores proporcionados por el usuario (lo que conduce a la exposición de datos)? ¿Falla la aplicación móvil a la hora de validar SSL (permitiendo el man-in-the-middle)? ¿Existen puntos finales ocultos a los que la aplicación llama y que no son obvios?

Al utilizar DAST en los backends móviles, se puede simular lo que haría un atacante si destrozara la aplicación móvil y empezara a enviar solicitudes de API manipuladas. Esto es crítico; muchas brechas móviles (piense en la fuga de la API de Uber o los problemas pasados de la API de Snapchat) provienen de alguien que invierte la aplicación móvil y abusa de la API. Las herramientas DAST aplicadas de la forma descrita anteriormente a menudo pueden detectar estas debilidades antes de que lo haga un atacante.

Conclusión

La seguridad de las aplicaciones web en 2025 exige un enfoque proactivo: los atacantes están constantemente sondeando nuestros sitios web, API y aplicaciones móviles en busca de puntos débiles. Las herramientas de pruebas dinámicas de seguridad de aplicaciones (DAST ) son la piedra angular de esa defensa proactiva, ya que ofrecen una visión de hacker de las vulnerabilidades de su aplicación. Mediante la simulación dinámica de ataques, las herramientas DAST le ayudan a identificar y solucionar problemas que las revisiones estáticas de código podrían pasar por alto, desde inyecciones SQL en un formulario olvidado hasta servidores mal configurados que aceptan cifrados débiles.

¿Está preparado para llevar la seguridad de sus aplicaciones al siguiente nivel? Empiece gratis con la plataforma todo en uno de Aikido.

‍

TL;DR: Estamos lanzando Opengrep, una bifurcación de SemgrepCE, en respuesta a su cierre de código abierto.

Somos los iniciadores de Opengrep. Entremos en materia: El mes pasado, Semgrep anunció cambios importantes en su proyecto OSS -estratégicamente programados para un viernes, por supuesto ;)

Desde 2017, Semgrep ha sido una piedra angular de la comunidad de seguridad de código abierto, ofreciendo un motor de análisis de código y un repositorio de reglas junto con su producto SaaS. Pero sus recientes movimientos plantean la pregunta: ¿qué significa realmente "abierto"?

Los cambios clave incluyen el bloqueo de las reglas aportadas por la comunidad bajo una licencia restrictiva y la migración de características críticas como el seguimiento de ignorados, LOC, huellas dactilares y metavariables esenciales fuera del proyecto abierto.

Esto no es sorprendente, Semgrep ha estado abandonando silenciosamente el motor de código abierto durante algún tiempo. El cambio de marca de "Semgrep OSS" a "Semgrep Community Edition" parece el último clavo en el ataúd.

¿Por qué?

¿Quizá la presión de los inversores de capital riesgo, que consideran que las contribuciones de código abierto "canibalizan" los ingresos de SaaS, o la protección frente a la competencia? Semgrep afirma que la medida tenía por objeto impedir que los proveedores utilizaran las reglas y el motor en ofertas SaaS de la competencia. Sin embargo, ayer mismo, con su anuncio de "IA", el fundador declaró que "el motor original de Semgrep se está quedando obsoleto".

Sea como fuere, aunque respetamos el espíritu competitivo, esta represión del código abierto hace poco por detener a las organizaciones rivales. Más que nada, esta medida socava la confianza de la comunidad, no sólo en Semgrep, sino en todos los proyectos de código abierto.

"Este tipo de cambio también perjudica a todos los proyectos similares de código abierto. Ahora, todas las empresas y todos los desarrolladores deben pensárselo dos veces antes de adoptar un proyecto de código abierto e invertir en él, por si el creador decide de repente cambiar la licencia"... o amputar la funcionalidad (Opentofu).

Este patrón es familiar: El cambio de licencia de Elasticsearch llevó a AWS a crear OpenSearch. El movimiento Opentofu surgió tras la retirada de Terraform de HashiCorp. El código abierto liderado por vendedores a menudo prioriza los intereses comerciales sobre la comunidad para llegar a las "grandes ligas". Y eso apesta.

Así que estamos tomando medidas.

Nos hemos unido a 10 competidores directos para lanzar Opengrep, una postura coordinada de todo el sector para mantener vivo un gran proyecto de código abierto y hacer del desarrollo de software seguro un estándar compartido y neutral para los proveedores.

Me acompañan Nir Valtman (CEO, Arnica), Ali Mesdaq (CEO, Amplify Security), Varun Badhwar (CEO, Endor Labs), Aviram Shmueli (CIO, Jit), Pavel Furman (CTO, Kodem), Liav Caspi (CTO, Legit), Eitan Worcel (CEO, Mobb) y Yoav Alon (CTO, Orca Security).

¿Qué puede esperar de Opengrep?

Mejoras de rendimiento, desbloqueo de funciones exclusivas para profesionales, ampliación de la compatibilidad de idiomas, migración de funciones críticas al motor y nuevos avances: compatibilidad con Windows, análisis de archivos cruzados... La hoja de ruta es larga.

Juntos, estamos aunando el capital comprometido y los recursos de desarrollo de OCAML para avanzar y comercializar las pruebas estáticas de seguridad de las aplicaciones.

Porque admitámoslo, hay cosas más interesantes que construir. Encontrar es una cosa... centrémonos en el futuro, en cómo podemos encontrar y solucionar vulnerabilidades de seguridad de forma rápida y automática. Centrémonos en hacer que los desarrolladores vuelvan a construir.

¿Quiere saber más sobre Opengrep?

Lee el Manifiesto Opengrep. Aprovecha y contribuye a Opengrep hoy mismo.
Para contribuir o unirte como patrocinador, abre una incidencia en GitHub.

Para la comunidad y los contribuidores, únete a la sesión abierta sobre la hoja de ruta el 20 de febrero.
Síguenos en X. Linkedin.

"Garantizar que el futuro del SAST sea abierto" En Opengrep con Mackenzie Jackson