Las cookies de sesión son el mecanismo estándar para mantener el estado en el protocolo HTTP (que es stateless). Su compromiso equivale al compromiso de la cuenta del usuario.
La Tríada de Seguridad de Cookies
- HttpOnly: Instruye al navegador para que la cookie no sea accesible a través de APIs del lado del cliente como
document.cookie. Esto mitiga significativamente el impacto de vulnerabilidades XSS, ya que el atacante no puede leer el identificador de sesión. - Secure: Garantiza que la cookie solo se transmita a través de conexiones cifradas (HTTPS). Esto previene la interceptación de la sesión en ataques Man-in-the-Middle (MitM) en redes inseguras.
- SameSite (Lax/Strict): Controla cuándo se envían las cookies en peticiones cross-site. Es la defensa principal contra ataques de Falsificación de Peticiones en Sitios Cruzados (CSRF).
Auditoría en Cadel Academy
En el Modo Vulnerable, estas banderas están desactivadas, permitiendo la demostración de robo de sesiones. En el Modo Seguro, se fuerzan todas las banderas y se utiliza Nginx para garantizar el transporte HTTPS.