Base64 en las cabeceras HTTP: cómo se eluden los filtros

Base64 en las cabeceras HTTP: cómo se eluden los filtros

Internet está lleno de filtros y sistemas de seguridad. Unos vigilan para que no pase el spam, otros —para que los atacantes no inyecten código malicioso. Pero cualquier barrera tiene vulnerabilidades. Una de las formas más sencillas y a la vez elegantes de eludir filtros está relacionada con el uso de la codificación Base64 directamente en los encabezados HTTP.

En este artículo analizaremos qué es Base64, por qué se inserta en los encabezados de las solicitudes y de qué manera esto ayuda a sortear los filtros.

Qué es Base64 y para qué sirve

Base64 es un método para convertir cualquier dato binario en un conjunto de caracteres ASCII seguros. Fue ideado no como herramienta de camuflaje, sino como un compromiso técnico práctico: facilitar el envío de archivos y adjuntos en protocolos de texto. En lugar de caracteres no imprimibles obtenemos letras, números y los símbolos "+" y "/".

En la práctica esto significa que una cadena como DROP TABLE users; se transforma en un conjunto incomprensible de caracteres RFJPUCBUQUJMRSB1c2Vyczs=. Para una persona sin preparación es simplemente jerigonza. Para un programa que sabe decodificar Base64, el original se recupera con facilidad.

Base64 se usa en muchos contextos: desde incrustar imágenes en correos hasta transmitir claves y tokens de autorización. Pero donde resulta más interesante es en los encabezados HTTP, donde no suele esperarse.

Por qué aparece Base64 en los encabezados HTTP

Los encabezados son campos de servicio de cada solicitud y respuesta. Indican al servidor y al cliente qué se está transmitiendo y cómo procesarlo. Normalmente contienen valores de texto cortos, pero en ocasiones se incluyen datos codificados.

Razones para usar Base64 en los encabezados:

  • Transmisión de datos de autorización (por ejemplo, Authorization: Basic).
  • Cifrado o enmascaramiento de cadenas con espacios y caracteres especiales.
  • Encapsulamiento de tokens, claves o identificadores únicos.
  • Intentos de eludir filtros de seguridad o bloqueos.

Así, la codificación en encabezados no es un error, sino un comportamiento esperable. La cuestión es cómo puede aprovecharse.

Eludir filtros mediante Base64

Los filtros, ya sean proxies corporativos, cortafuegos de aplicaciones web (WAF) o incluso antivirus simples, suelen inspeccionar el tráfico en busca de cadenas sospechosas. Si aparece la palabra "SELECT" o "DROP"—la solicitud puede ser bloqueada. Pero si se codifican esas palabras en Base64, el filtro no detectará nada si no sabe decodificar.

Ejemplo:

Custom-Header: DROP TABLE users;

Versión con Base64:

Custom-Header: RFJPUCBUQUJMRSB1c2Vyczs=

Un filtro que busca "DROP TABLE" no encontrará nada. Y el servidor o script que sepa decodificar encabezados obtendrá el comando original.

Escenarios típicos de elusión

  • Inyecciones SQL ocultas en encabezados.
  • Inserción de código JavaScript para XSS.
  • Elusión de bloqueos por URL o palabras clave.
  • Ocultamiento de comandos de control de botnets en encabezados de solicitudes.

Aplicaciones reales y casos

Base64 en encabezados no aparece solo en ataques. A veces es una elección consciente de los desarrolladores:

  • Pentesters lo usan para comprobar los sistemas: ¿serán capaces los filtros de decodificar?
  • Desarrolladores de API codifican tokens complejos para evitar problemas con espacios y caracteres.
  • Atacantes cifran la carga útil para atravesar IDS/IPS.

En 2020–2025, en informes de empresas de investigación se mencionaron casos en los que WAF dejaban pasar ataques simplemente porque comprobaban los encabezados en bruto. Una vez que los datos se decodificaban, el ataque resultaba evidente.

Por qué los filtros no siempre reconocen Base64

Podría parecer que la solución es simple: decodificar cada encabezado y analizarlo. Pero en la práctica es más complejo:

  1. La decodificación requiere recursos; en sistemas de alta carga puede ralentizar el funcionamiento.
  2. No todos los encabezados tienen que ser cadenas legibles: algunos servicios por defecto confían en datos codificados.
  3. Muchos administradores consideran improbable un ataque vía encabezados y no dedican esfuerzos a su análisis.

Como resultado, los encabezados con Base64 se convierten en una especie de "zona ciega" para muchos sistemas de seguridad.

Contramedidas y protección

Para evitar el uso de Base64 para eludir filtros, los especialistas recomiendan:

  • Configurar los sistemas de filtrado para que decodifiquen encabezados y verifiquen su contenido.
  • Usar IDS/IPS capaces de analizar datos codificados.
  • No confiar únicamente en el bloqueo por palabras clave, sino aplicar análisis contextual.
  • Registrar y monitorizar atentamente encabezados no estándar.

Para pruebas se pueden emplear herramientas en línea como Base64 Decode o utilidades integradas en Linux:

echo "RFJPUCBUQUJMRSB1c2Vyczs=" | base64 -d

Usos legales y útiles de Base64 en encabezados

Es importante entender: Base64 en sí no es peligroso. Resuelve tareas prácticas:

  • Autenticación básica — método estándar para transmitir el par usuario:contraseña.
  • Cacheo — codificar identificadores para uniformidad.
  • Transporte de datos binarios — por ejemplo, certificados o claves.

Lo que se usa como herramienta de seguridad o comodidad puede, en ciertas condiciones, convertirse en una brecha para ataques. Pero la raíz del problema no está en la codificación, sino en su uso no controlado.

Conclusión

Base64 en encabezados HTTP no es un error, sino una herramienta. Puede emplearse para transmitir datos de forma cómoda o para eludir filtros. Comprender su funcionamiento y prestar atención al análisis del tráfico ayuda a distinguir el uso legítimo del peligroso. Para los desarrolladores es una forma de facilitar la vida de la aplicación; para los especialistas en seguridad es un punto de control que requiere vigilancia.

Alt text
article-title

NeurosinapsES