y si se produce un robo de session/cookie y se modifica dicha session/cookie y en vez de un numero se modifica con otros parametros , ahora te pregunto no hay entrada de datos? no se lo mismo me equivoco.