Vulnerabilidad de lógica de negocio

Las vulnerabilidades de lógica de negocio son algunos de los errores más valiosos de la seguridad porque las herramientas no pueden encontrarlos por sí solas. Viven en la brecha entre lo que los desarrolladores dieron por supuesto que harían los usuarios y lo que los usuarios pueden hacer realmente. La petición parece normal, el servidor la acepta y la regla de negocio se rompe en silencio.

Por qué importa

La mayor parte de las pruebas de seguridad automáticas buscan entradas malformadas: un payload de inyección, una etiqueta de script, una secuencia de salto de directorio. Los fallos de lógica de negocio no tienen nada de eso. Cada petición está bien formada y es válida; la vulnerabilidad está en la secuencia, el contexto o la suposición de confianza que hay detrás. Esa es precisamente la razón por la que se cuelan ante los escáneres y por la que están sistemáticamente entre los hallazgos mejor pagados en bug bounty y en las pruebas de seguridad de API.

Para quien empieza, esto es una buena noticia. Los fallos de lógica recompensan la comprensión por encima de la habilidad de explotación. Si consigues captar cómo se supone que debe funcionar una aplicación, a menudo puedes encontrar el punto donde se pueden romper sus reglas, sin necesidad de payloads avanzados.

Un ejemplo clásico

Una API de pago envía el precio del artículo desde el cliente:

{
"item": "laptop",
"quantity": 1,
"price": 500
}

Un cazador cambia price a 2 y reenvía la petición. El servidor la acepta, porque el desarrollador dio por supuesto que el precio siempre vendría del frontend de confianza. Sin inyección, sin payload especial, solo un fallo de lógica con impacto crítico. Este es exactamente el tipo de error que puede encontrar quien empieza cuando entiende la aplicación en lugar de pelearse con una pila tecnológica desconocida.

Tipos habituales

Por qué los escáneres no las detectan

Un escáner puede detectar la falta de una cabecera de seguridad, pero no puede conocer tus reglas de negocio. Solo una persona que entienda el flujo de trabajo puede ver que un flujo de invitaciones permite unirse a la organización de otra persona, o que un cupón se puede aplicar infinitas veces.

Como cada petición es legítima de forma individual, no hay ningún payload malformado que una herramienta pueda marcar. El fallo solo se hace visible cuando una persona razona sobre la intención.

Cómo encontrarlas

Cartografía todos los flujos de trabajo y después ataca las suposiciones que hay detrás: cambia valores que el cliente no debería controlar, envía pasos en un orden distinto, repite acciones de un solo uso y usa dos cuentas para probar el comportamiento entre usuarios.

Las vulnerabilidades de lógica de negocio son el terreno donde el razonamiento humano sigue ganando con claridad a la automatización, y esa es exactamente la razón por la que siguen siendo tan valiosas, y tan accesibles para quien empieza, en 2026.