Servicios
Contáctanos

Top 10 Herramientas DAST de código abierto / Gratuitas Comparadas

Cem Dilmegani
Cem Dilmegani
actualizado el 26 de feb. de 2026
Loading Chart

Confiamos en nuestra investigación sobre herramientas de escaneo de vulnerabilidades y DAST para seleccionar las principales herramientas DAST de código abierto y versiones gratuitas de software DAST propietario. Consulta nuestra justificación siguiendo los enlaces en los nombres de los productos:

A medida que aumentan el costo y la frecuencia de los ciberataques, las empresas están adoptando cada vez más herramientas DAST para mejorar su postura de seguridad.

El software DAST de código abierto o gratuito es el punto de entrada de menor costo al software DAST y puede ser adecuado para

  • PYMES
  • empresas que inician su viaje de ciberseguridad
  • empresas que buscan herramientas DAST adicionales para complementar su postura de ciberseguridad

Herramientas DAST gratuitas

Ordenamiento: Según el número de estrellas en GitHub.

Fuentes: La organización OWASP mantiene una lista de herramientas DAST, muchas con versiones gratuitas (consulta la columna "Licencia").6

Criterios de inclusión para:

  • Proyectos de código abierto: 900+ estrellas en GitHub
  • Software propietario: Debe ser un paquete gratuito proporcionado por un proveedor de software DAST

ZAP

ZAP es la herramienta DAST de código abierto más utilizada según las estrellas de GitHub. Cubre el escaneo automatizado de vulnerabilidades, las pruebas de penetración manuales de aplicaciones web y las pruebas de API REST, lo que lo convierte en la opción predeterminada práctica para equipos nuevos en DAST.

ZAP funciona como un proxy transparente, interceptando el tráfico entre un navegador y una aplicación web para análisis en tiempo real, y también puede ejecutarse en modo de escaneo activo contra reglas de vulnerabilidad predefinidas. Es mantenido por la comunidad bajo OWASP, desarrollado activamente y cuenta con un amplio ecosistema de complementos y documentación.

ZAP agregó la integración de primera fase con el OWASP PenTest Kit (PTK), una extensión del navegador que ahora está preinstalada en los navegadores lanzados por ZAP. Esto habilita flujos de trabajo de pruebas de sesión autenticada, particularmente relevantes para aplicaciones de una sola página, al conectar el estado de la sesión a nivel de navegador directamente en la tubería de escaneo de ZAP.

Nikto

Nikto es un escáner de servidores web de código abierto que prueba archivos y CGIs peligrosos, software de servidor desactualizado, configuraciones incorrectas y otros problemas comunes. Es solo de línea de comandos sin interfaz gráfica.

Actualizaciones recientes:

  • Escaneos significativamente más rápidos
  • Nuevo lenguaje de dominio específico (DSL) para definir comprobaciones
  • Cambios en el formato de informe; cookies habilitadas de forma predeterminada
  • User-Agent aleatorizado para reducir la huella digital
  • Reescritura del módulo de prueba de LFI (inclusión de archivos locales)
  • Cambio de licencia a GPLv37

Limitación: Sin GUI; opera completamente desde la línea de comandos, lo que aumenta la barrera para los usuarios no técnicos.

Arachni

El repositorio de GitHub de Arachni ahora marca explícitamente el proyecto como obsoleto. La fecha del último lanzamiento es 2022 (era v1.6.1.3) y el proyecto ya no se mantiene activamente. Su diseño modular y capacidades avanzadas de rastreo fueron notables durante sus años activos, pero los equipos deben tratarlo como fin de vida útil y evaluar ZAP o Wapiti como reemplazos.

OpenVAS

OpenVAS es un escáner de vulnerabilidades de código abierto diseñado para detectar problemas de seguridad en sistemas informáticos y redes, formando el núcleo del marco de Gestión de Vulnerabilidades Greenbone (GVM). Escanea CVEs conocidos, configuraciones incorrectas y software desactualizado en entornos tanto pequeños como empresariales.

Nota de clasificación: OpenVAS es principalmente un escáner de vulnerabilidades de red y host, no una herramienta DAST de aplicaciones web en el sentido tradicional. Pertenece a esta lista como una herramienta adyacente de uso frecuente, pero no reemplaza a ZAP o Wapiti para pruebas dinámicas específicas de aplicaciones web (inyección de formularios, manejo de sesiones, lógica del lado del cliente). Úsalo para cobertura de host/red; usa ZAP o Wapiti para cobertura de superficie de aplicación web.

Wapiti

Wapiti es un escáner de vulnerabilidades web de caja negra. Funciona rastreando una aplicación web desplegada, extrayendo enlaces, formularios y scripts, e inyectando cargas útiles en los parámetros descubiertos para detectar comportamientos anormales de la aplicación que indican vulnerabilidades. También admite un modo pasivo para el análisis de tráfico sin fuzzing activo.

Wapiti admite scripts personalizados para extender sus capacidades de detección de vulnerabilidades, lo que lo hace útil en entornos especializados donde el conjunto de reglas predeterminado necesita ampliación.

Herramientas propietarias que son gratuitas para proyectos de código abierto

CI Fuzz (Code Intelligence)

Una herramienta de prueba de fuzzing de línea de comandos centrada en aplicaciones embebidas, principalmente en contextos automotrices y de dispositivos médicos. Gratuito para proyectos de código abierto.

StackHawk (HawkScan)

StackHawk es la herramienta de pruebas de seguridad de API gratuita más establecida en esta lista y uno de los pocos productos comerciales DAST con pruebas de API dedicadas como su enfoque principal. Los mantenedores de proyectos de código abierto pueden usarlo sin costo.

El posicionamiento actual de la plataforma de StackHawk se ha expandido más allá de las pruebas solo de API para incluir el descubrimiento de la superficie de ataque desde el código fuente, pruebas en tiempo de ejecución y capacidades del Modern AJAX Spider (rastreo consciente del framework SPA). La capa gratuita para OSS sigue disponible mientras la plataforma comercial crece a su alrededor.

Lanzamientos recientes:

  • v5.3.0 (17 de febrero de 2026): Se agregó el escaneo JSON-RPC; se reescribió el Modern AJAX Spider para la conciencia del framework SPA; se agregó la detección de sumideros DOM XSS; se migró a Chrome/Puppeteer para la automatización del navegador; inicialización más rápida
  • v5.2.0 (15 de enero de 2026): Mejora del flujo de trabajo de triaje de alertas; reducción de la tasa de falsos positivos de SQLi8

Herramientas propietarias con ediciones comunitarias gratuitas

Para más información sobre estas herramientas, consulta alternativas de Tenable Nessus o una lista completa de herramientas DAST.

Otras herramientas de seguridad de aplicaciones gratuitas

DAST es un componente de un programa de seguridad de aplicaciones más amplio. Las herramientas SAST de código abierto y gratuitas proporcionan análisis estático complementario, detectando problemas a nivel de código que DAST no puede ver en tiempo de ejecución. Una postura de seguridad madura combina ambos.

En 2026, el mercado se está moviendo hacia la correlación de hallazgos de DAST y SAST, exponiendo una vulnerabilidad en tiempo de ejecución y rastreándola de vuelta a la ubicación específica del código simultáneamente. El "AI Security Fabric" de Snyk es un ejemplo de esta dirección convirtiéndose en una característica del producto en lugar de un proceso manual.9

Beneficios de las herramientas DAST de código abierto

Proporcionan una forma rápida y rentable de abordar la amenaza presente de actores externos al ofrecer capacidades de prueba accesibles para organizaciones de todos los tamaños y presupuestos:

  • Menor costo inicial: Sin negociación de licencias ni proceso de adquisición. Descarga, configura y escanea.
  • Despliegue rápido: Para equipos sin una tubería de pruebas de seguridad establecida, una herramienta como ZAP o Nikto puede estar ejecutándose contra un entorno de staging en cuestión de horas de una decisión de probar.
  • Configuración más sencilla para casos de uso estándar: Varias herramientas en esta lista funcionan bien fuera de la caja para patrones comunes de aplicaciones web sin requerir un ajuste profundo.
  • Comunidades activas: Las herramientas más establecidas (ZAP en particular) tienen grandes comunidades de usuarios, documentación pública y ecosistemas de complementos mantenidos. Los foros de la comunidad sustituyen al soporte del proveedor que viene con las herramientas pagas.
  • Sin bloqueo del proveedor: Los resultados te pertenecen. La integración con tuberías CI/CD es flexible ya que las herramientas son abiertas y scriptables.

Recomendaciones para elegir una herramienta DAST de código abierto

Puedes probar fácilmente estas soluciones en pruebas de ejecución en las aplicaciones de tu empresa y comparar alternativas. Es importante medir esto para diferentes soluciones:

  • % de vulnerabilidades correctamente identificadas
  • % de falsos positivos en todas las vulnerabilidades identificadas
  • Guía de remediación: ¿Qué tan útil es la herramienta al describir cómo resolver problemas?
  • Integración CI/CD: ¿Puede ejecutarse sin cabeza en una tubería sin intervención manual?
  • Velocidad de escaneo: Si bloquea implementaciones, un escaneo de 45 minutos en una aplicación grande es un problema de flujo de trabajo
  • Uso de recursos: Los escaneos activos profundos son computacionalmente intensivos; asegúrate de que la infraestructura de prueba tenga el tamaño adecuado
  • Personalización: ¿La herramienta admite extensiones o reglas personalizadas para la pila tecnológica específica de tu aplicación?
No te pierdas nuestros análisis comparativos e insights basados en datos. El botón abre Google; seleccionar AIMultiple confirma que deseas ver AIMultiple con más frecuencia en los resultados de búsqueda de Google.
GoogleAñadir como fuente preferida

¿Por qué invertir en DAST en absoluto?

DAST detecta una clase de vulnerabilidades que el análisis estático y la revisión de código pasan por alto rutinariamente, específicamente, problemas que solo se manifiestan cuando la aplicación se está ejecutando y procesando solicitudes reales. Las debilidades de autenticación, los defectos de gestión de sesiones y las configuraciones incorrectas en la infraestructura desplegada son los ejemplos más comunes.

Los tres vectores de ataque principales que enfrentan las organizaciones son credenciales comprometidas, phishing y explotación de vulnerabilidades. Los datos no cifrados en tránsito se encuentran en la intersección de los tres. DAST prueba directamente:

  • Si los datos sensibles están expuestos en tránsito
  • Si los tokens de sesión pueden ser secuestrados o falsificados
  • Si los controles de autenticación (políticas de contraseñas, bloqueo de cuentas, comprobaciones de autorización) resisten la manipulación activa

Las consecuencias de fallos en estas áreas, como robo financiero, exposición de PII y interrupción operativa, están bien documentadas y están aumentando en costo año tras año.

Más sobre pruebas DAST y AppSec

Cita esta investigación

Elige el formato que se ajuste al lugar donde vas a publicar. Pegar la versión con enlace en tu CMS conserva el enlace de retroceso.

Cem Dilmegani and Sena Sezer (2026) - "Top 10 Herramientas DAST de código abierto / Gratuitas Comparadas". Publicado en línea en AIMultiple.com. Recuperado el 26 de Febrero de 2026, de: https://aimultiple.com/free-dast-tools [Recurso en línea]

Dilmegani, C., & Sezer, S. (2026, 26 de Febrero). Top 10 Herramientas DAST de código abierto / Gratuitas Comparadas. AIMultiple. https://aimultiple.com/free-dast-tools

@misc{dilmegani2026,
  author = {Dilmegani, Cem and Sezer, Sena},
  title  = {{Top 10 Herramientas DAST de código abierto / Gratuitas Comparadas}},
  year   = {2026},
  month  = feb,
  howpublished    = {\url{https://aimultiple.com/free-dast-tools}},
  note   = {AIMultiple. Recuperado el 26 de Febrero de 2026}
}
Cem Dilmegani
Cem Dilmegani
Analista principal
Cem ha sido el analista principal de AIMultiple desde 2017. AIMultiple informa a cientos de miles de empresas (según similarWeb), incluyendo el 55% de las empresas Fortune 500 cada mes. El trabajo de Cem ha sido citado por importantes publicaciones globales como Business Insider, Forbes, Washington Post, firmas globales como Deloitte, HPE y ONG como el Foro Económico Mundial y organizaciones supranacionales como la Comisión Europea. Puede consultar más empresas y recursos de renombre que citan a AIMultiple. A lo largo de su carrera, Cem se desempeñó como consultor, comprador y emprendedor tecnológico. Asesoró a empresas en sus decisiones tecnológicas en McKinsey & Company y Altman Solon durante más de una década. También publicó un informe de McKinsey sobre digitalización. Lideró la estrategia y adquisición de tecnología de una empresa de telecomunicaciones, reportando directamente al CEO. Asimismo, lideró el crecimiento comercial de la empresa de tecnología avanzada Hypatos, que alcanzó ingresos recurrentes anuales de siete cifras y una valoración de nueve cifras partiendo de cero en tan solo dos años. El trabajo de Cem en Hypatos fue reseñado por importantes publicaciones tecnológicas como TechCrunch y Business Insider. Cem participa regularmente como ponente en conferencias internacionales de tecnología. Se graduó en ingeniería informática por la Universidad de Bogazici y posee un MBA de la Columbia Business School.
Ver perfil completo
Investigado por
Sena Sezer
Sena Sezer
Analista de la industria
Sena es analista del sector en AIMultiple. Se licenció en la Universidad de Bogazici.
Ver perfil completo

Sé el primero en comentar

Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios. Los comentarios se dejan en su idioma original.

0/450