Comparativa de las 10 mejores herramientas DAST de código abierto/gratuitas

Nos basamos en nuestra investigación sobre herramientas de escaneo de vulnerabilidades y DAST para seleccionar las principales herramientas DAST de código abierto y versiones gratuitas de software DAST propietario. Consulte nuestra justificación siguiendo los enlaces en los nombres de los productos:

A medida que aumentan el coste y la frecuencia de los ciberataques, las empresas están adoptando cada vez más herramientas DAST para mejorar su nivel de seguridad.

El software DAST de código abierto o gratuito es el punto de entrada de menor costo al software DAST y puede ser adecuado para

• PYMES
• empresas que inician su andadura en ciberseguridad
• empresas que buscan herramientas DAST adicionales para complementar su postura de ciberseguridad

Herramientas DAST gratuitas

Ordenación : Según el número de estrellas en GitHub.

Fuentes: La organización OWASP mantiene una lista de herramientas DAST, muchas de ellas con versiones gratuitas (consulte la columna "Licencia"). ⁶

Criterios de inclusión para:

• Proyectos de código abierto: más de 900 estrellas en GitHub
• Software propietario: Debe ser un paquete de uso gratuito proporcionado por un proveedor de software DAST.

BORRAR

ZAP es la herramienta DAST de código abierto más utilizada por los desarrolladores estrella de GitHub. Cubre el escaneo automatizado de vulnerabilidades, las pruebas manuales de penetración de aplicaciones web y las pruebas de API REST, lo que la convierte en la opción predeterminada para los equipos que se inician en DAST.

ZAP funciona como un proxy transparente, interceptando el tráfico entre un navegador y una aplicación web para su análisis en tiempo real. También puede ejecutarse en modo de escaneo activo contra reglas de vulnerabilidad predefinidas. Cuenta con el mantenimiento de la comunidad bajo OWASP, se desarrolla activamente y dispone de un amplio ecosistema de complementos y documentación.

ZAP ha incorporado la integración inicial con OWASP PenTest Kit (PTK) , una extensión de navegador que ahora viene preinstalada en los navegadores que ejecutan ZAP. Esto permite flujos de trabajo de pruebas con sesión autenticada, especialmente relevantes para aplicaciones de una sola página, al conectar directamente el estado de la sesión del navegador con el proceso de escaneo de ZAP.

Nikto

Nikto es un escáner de servidores web de código abierto que detecta archivos y CGI peligrosos, software de servidor obsoleto, configuraciones incorrectas y otros problemas comunes. Funciona únicamente mediante línea de comandos y no tiene interfaz gráfica.

Actualizaciones recientes:

• Escaneos significativamente más rápidos
• Nuevo lenguaje específico de dominio (DSL) para definir comprobaciones.
• Cambios en el formato del informe; cookies habilitadas por defecto
• Agente de usuario aleatorio para reducir la huella digital.
• Se reescribió el módulo de prueba LFI (inclusión de archivos locales).
• La licencia se cambió a GPLv3. ⁷

Limitación: No tiene interfaz gráfica de usuario; funciona completamente desde la línea de comandos, lo que supone una barrera para los usuarios no técnicos.

Arácnidos

El repositorio de Arachni en GitHub ahora marca explícitamente el proyecto como obsoleto. La última fecha de lanzamiento es de 2022 (versión 1.6.1.3) y el proyecto ya no recibe mantenimiento activo. Su diseño modular y sus avanzadas capacidades de rastreo fueron destacables durante sus años de actividad, pero los equipos deberían considerarlo obsoleto y evaluar ZAP o Wapiti como alternativas.

OpenVAS

OpenVAS es un escáner de vulnerabilidades de código abierto diseñado para detectar problemas de seguridad en sistemas informáticos y redes, y constituye el núcleo del marco de gestión de vulnerabilidades Greenbone (GVM). Escanea en busca de vulnerabilidades CVE conocidas, configuraciones incorrectas y software obsoleto en entornos tanto pequeños como empresariales.

Nota de clasificación: OpenVAS es principalmente un escáner de vulnerabilidades de red y host, no una herramienta DAST para aplicaciones web en el sentido tradicional. Se incluye en esta lista como una herramienta complementaria de uso frecuente, pero no reemplaza a ZAP ni a Wapiti para pruebas dinámicas específicas de aplicaciones web (inyección de formularios, gestión de sesiones, lógica del lado del cliente). Úselo para la cobertura de host/red; use ZAP o Wapiti para la cobertura de la superficie de la aplicación web.

Wapiti

Wapiti es un escáner de vulnerabilidades web de caja negra. Funciona rastreando una aplicación web desplegada, extrayendo enlaces, formularios y scripts, e inyectando cargas útiles en los parámetros detectados para identificar comportamientos anómalos de la aplicación que indiquen vulnerabilidades. También admite un modo pasivo para el análisis de tráfico sin fuzzing activo.

Wapiti admite la creación de scripts personalizados para ampliar sus capacidades de detección de vulnerabilidades, lo que resulta útil en entornos especializados donde es necesario complementar el conjunto de reglas predeterminado.

Herramientas propietarias que son gratuitas para proyectos de código abierto.

CI Fuzz (Código Intelligencia)

Herramienta de prueba de fuzzing por línea de comandos, enfocada en aplicaciones embebidas, principalmente en el sector automotriz y de dispositivos médicos. Gratuita para proyectos de código abierto.

StackHawk (HawkScan)

StackHawk es la herramienta gratuita de pruebas de seguridad de API más consolidada de esta lista y uno de los pocos productos DAST comerciales centrados principalmente en las pruebas de API. Los responsables del mantenimiento de proyectos de código abierto pueden usarla sin coste alguno.

La plataforma StackHawk se ha expandido más allá de las pruebas exclusivas de API para incluir el descubrimiento de la superficie de ataque a partir del código fuente, pruebas en tiempo de ejecución y capacidades de rastreo AJAX moderno (rastreo compatible con frameworks SPA). La versión gratuita para software de código abierto sigue disponible mientras la plataforma comercial se desarrolla a su alrededor.

Lanzamientos recientes:

• v5.3.0 (17 de febrero de 2026): Se agregó escaneo JSON-RPC; se reescribió el Modern AJAX Spider para que sea compatible con el framework SPA; se agregó detección de sumidero DOM XSS; se migró a Chrome/Puppeteer para la automatización del navegador; inicialización más rápida.
• v5.2.0 (15 de enero de 2026): Flujo de trabajo de clasificación de alertas mejorado; tasa de falsos positivos de SQLi reducida ⁸

Herramientas propietarias con ediciones comunitarias gratuitas.

Para obtener más información sobre estas herramientas, consulte las alternativas a Tenable Nessus o la lista completa de herramientas DAST .

Otras herramientas gratuitas de seguridad para aplicaciones

DAST es un componente de un programa de seguridad de aplicaciones más amplio. Las herramientas SAST de código abierto y gratuitas proporcionan análisis estático complementario, detectando problemas a nivel de código que DAST no puede ver en tiempo de ejecución. Una estrategia de seguridad madura combina ambas.

En 2026, el mercado se orienta hacia la correlación de los resultados de DAST y SAST, lo que permite detectar vulnerabilidades en tiempo de ejecución y rastrearlas hasta la ubicación específica del código simultáneamente. La solución "AI Security Fabric" de Snyk es un ejemplo de cómo esta tendencia se está convirtiendo en una funcionalidad del producto en lugar de un proceso manual. ⁹

Ventajas de las herramientas DAST de código abierto

Proporcionan una forma rápida y rentable de abordar la amenaza actual de los agentes externos, ofreciendo capacidades de prueba accesibles a organizaciones de todos los tamaños y presupuestos:

• Menor coste inicial : Sin negociación de licencias ni proceso de adquisición. Descarga, configura y escanea.
• Despliegue rápido: Para los equipos que no cuentan con un proceso de pruebas de seguridad establecido, una herramienta como ZAP o Nikto puede estar funcionando en un entorno de prueba a las pocas horas de tomar la decisión de realizar las pruebas.
• Configuración más sencilla para casos de uso estándar : varias herramientas de esta lista funcionan bien de forma inmediata para patrones comunes de aplicaciones web sin necesidad de ajustes profundos.
• Comunidades activas : Las herramientas más consolidadas (ZAP en particular) cuentan con grandes comunidades de usuarios, documentación pública y ecosistemas de complementos con mantenimiento. Los foros de la comunidad sustituyen el soporte del proveedor que ofrecen las herramientas de pago.
• Sin dependencia de un proveedor : los resultados son suyos. La integración con pipelines de CI/CD es flexible, ya que las herramientas son abiertas y programables mediante scripts.

Recomendaciones para elegir una herramienta DAST de código abierto

Puedes probar fácilmente estas soluciones en pruebas con las aplicaciones de tu empresa y comparar alternativas. Es importante medir estos aspectos para las diferentes soluciones:

• % de vulnerabilidades identificadas correctamente
• % de falsos positivos en todas las vulnerabilidades identificadas
• Guía de remediación: ¿Qué tan útil es la herramienta para describir cómo resolver los problemas?
• Integración de CI/CD : ¿Puede ejecutarse sin interfaz gráfica en una canalización sin intervención manual?
• Velocidad de escaneo : Si limita las implementaciones, un escaneo de 45 minutos en una aplicación grande es un problema de flujo de trabajo.
• Uso de recursos : Los escaneos activos profundos requieren mucha capacidad de cálculo; asegúrese de que la infraestructura de prueba tenga el tamaño adecuado.
• Personalización : ¿La herramienta admite extensiones o reglas personalizadas para la pila tecnológica específica de su aplicación?

¿Por qué invertir en DAST?

DAST detecta una clase de vulnerabilidades que el análisis estático y la revisión de código suelen pasar por alto; en concreto, problemas que solo se manifiestan cuando la aplicación está en ejecución y procesando solicitudes reales. Las debilidades en la autenticación, los fallos en la gestión de sesiones y las configuraciones incorrectas en la infraestructura desplegada son los ejemplos más comunes.

Los tres vectores de ataque principales a los que se enfrentan las organizaciones son las credenciales comprometidas, el phishing y la explotación de vulnerabilidades. Los datos no cifrados en tránsito se encuentran en la intersección de los tres. DAST prueba directamente:

• Si los datos confidenciales quedan expuestos durante el tránsito.
• Si los tokens de sesión pueden ser secuestrados o falsificados.
• Si los controles de autenticación (políticas de contraseñas, bloqueo de cuentas, comprobaciones de autorización) resisten la manipulación activa.

Las consecuencias de los fallos en estas áreas, como el robo financiero, la exposición de información personal identificable y la interrupción de las operaciones, están bien documentadas y su coste aumenta año tras año.

Más información sobre DAST y las pruebas de seguridad de aplicaciones.

• Las 10 mejores herramientas de seguridad para aplicaciones
• Las 10 mejores soluciones PAM gratuitas
• Casos de uso, ejemplos, ventajas y desventajas de DAST
• Herramientas IAST

Enlaces de referencia

1.

ZAP

2.

Nikto

3.

Arachni

4.

OpenVAS

5.

Wapiti

6.

Free for Open Source Application Security Tools | OWASP Foundation

7.

Release Nikto 2.6.0 · sullo/nikto · GitHub

8.

Changelog | StackHawk Documentation

StackHawk

9.

Snyk Unveils the AI Security Fabric: An Adaptive System to Unleash AI Innovators Securely | Snyk

Snyk

Cem Dilmegani

Analista principal

Síguenos

Cem ha sido el analista principal de AIMultiple desde 2017. AIMultiple informa a cientos de miles de empresas (según similarWeb), incluyendo el 55% de las empresas Fortune 500 cada mes. El trabajo de Cem ha sido citado por importantes publicaciones globales como Business Insider, Forbes, Washington Post, firmas globales como Deloitte, HPE y ONG como el Foro Económico Mundial y organizaciones supranacionales como la Comisión Europea. Puede consultar más empresas y recursos de renombre que citan a AIMultiple. A lo largo de su carrera, Cem se desempeñó como consultor, comprador y emprendedor tecnológico. Asesoró a empresas en sus decisiones tecnológicas en McKinsey & Company y Altman Solon durante más de una década. También publicó un informe de McKinsey sobre digitalización. Lideró la estrategia y adquisición de tecnología de una empresa de telecomunicaciones, reportando directamente al CEO. Asimismo, lideró el crecimiento comercial de la empresa de tecnología avanzada Hypatos, que alcanzó ingresos recurrentes anuales de siete cifras y una valoración de nueve cifras partiendo de cero en tan solo dos años. El trabajo de Cem en Hypatos fue reseñado por importantes publicaciones tecnológicas como TechCrunch y Business Insider. Cem participa regularmente como ponente en conferencias internacionales de tecnología. Se graduó en ingeniería informática por la Universidad de Bogazici y posee un MBA de la Columbia Business School.

Ver perfil completo

Investigado por

Sena Sezer

Analista de la industria

Síguenos

Sena es analista del sector en AIMultiple. Se licenció en la Universidad de Bogazici.

Ver perfil completo

Sé el primero en comentar

Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios.

Nombre

Dirección de correo electrónico

Comentario

0/450

Publicar comentario