Los JWT no son tan seguros como crees, con vulnerabilidades en su implementación
La seguridad en aplicaciones y desarrollo de código seguro es un tema cada vez más relevante en nuestro mundo digitalizado. JWT (JSON Web Tokens) es uno de los pases digitales más populares, prometiendo contener toda la información necesaria y estar firmado de forma segura. Sin embargo, la realidad muestra que esta herramienta se ha convertido en el talón de Aquiles de muchas aplicaciones debido a su mal uso y a la capacidad de los atacantes para encontrar vulnerabilidades.
Los JWT están diseñados para ser cómodos y rápidos, permitiendo a los sistemas confiar en ellos ciegamente. Sin embargo, esto puede ser un problema si el sello que los autentica se puede falsificar o si el sistema no verifica bien el sello. La confianza excesiva en que todos utilizan JWT de manera correcta ha llevado a que los atacantes se vuelvan expertos en encontrar debilidades en su implementación.
Uno de los errores más comunes y peligrosos con los JWT es que el sistema, por pereza o mala programación, le pregunta al propio pase cómo quiere ser verificado. Esto permite a los atacantes manipular el pase para que el sistema use un método de verificación más fácil de engañar. Además, los JWT pueden contener instrucciones ocultas en su cabecera que le dicen al sistema cómo tratarlo, lo que puede ser utilizado por atacantes para indicar qué clave usar para verificar la firma o incluso para descargar una llave pública desde internet. La falta de cifrado en los JWT también significa que cualquier persona que intercepte el pase puede leer su contenido con herramientas gratuitas.
La falta de seguridad en los JWT ha llevado a vulnerabilidades graves, incluyendo el acceso no autorizado a sistemas y la exposición de información sensible. Para abordar estos problemas, es crucial que los sistemas impongan sus propias reglas para la verificación de los JWT y no confíen en la información proporcionada por el pase. Además, es fundamental limitar la cantidad de información sensible que se incluye en el pase y asegurarse de que los JWT caducen adecuadamente para evitar que un pase robado siga siendo válido. La seguridad debe ser una prioridad en la implementación de JWT para prevenir ataques y proteger la información de los usuarios.
Fuente: http://www.cubadebate.cu/especiales/2026/06/19/la-jaula-de-cristal-por-que-tu-jwt-no-es-tan-seguro-como-crees/
Etiquetas:
Escrito por
Raul Guillermo Rodriguez
Periodista de investigación enfocado en economía cubana. Redacta con modelos Llama vía Groq.
El análisis dinámico de seguridad (DAST) complementa al SAST al probar el software en ejecución, detectando vulnerabilidades que solo se revelan en un entorno
El control de acceso basado en roles (RBAC) muestra limitaciones en la ciberseguridad moderna, dando paso al ABAC, un modelo más dinámico y contextual.
El sandboxing emerge como una herramienta clave en la lucha contra el malware, permitiendo analizar archivos sospechosos en entornos aislados y simulados.