OWASP Top 10 2025

A01:2025 - Control de acceso roto
A02:2025 - Configuración de seguridad incorrecta
A03:2025 - Fallos en la cadena de suministro de software
A04:2025 - Fallos criptográficos
A05:2025 - Inyección
A06:2025 - Diseño inseguro
A07:2025 - Fallos de autenticación
A08:2025 - Fallos de integridad del software o de los datos
A09:2025 - Fallos en el registro de seguridad y las alertas
A10:2025 - Manejo inadecuado de condiciones excepcionales

A01:2025 Control de acceso roto - El control de acceso aplica una política para que los usuarios no puedan actuar fuera de sus permisos permitidos. Estos fallos suelen provocar la divulgación, modificación o destrucción no autorizada de toda la información, o la ejecución de una función empresarial fuera de los límites del usuario.

A02:2025 Configuración de seguridad incorrecta - La configuración de seguridad incorrecta ocurre cuando un sistema, aplicación o servicio en la nube está configurado incorrectamente desde una perspectiva de seguridad, lo que crea vulnerabilidades.

A03:2025 Fallos en la cadena de suministro de software - Los fallos en la cadena de suministro de software son interrupciones u otras comprometimientos en el proceso de construcción, distribución o actualización del software. A menudo están causados por vulnerabilidades o cambios maliciosos en el código de terceros, herramientas u otras dependencias en las que se basa el sistema.

A04:2025 Fallos criptográficos - En términos generales, todos los datos en tránsito deben estar cifrados en la capa de transporte (capa 4 del modelo OSI). Obstáculos anteriores, como el rendimiento de la CPU y la gestión de claves privadas y certificados, ahora se manejan mediante instrucciones de la CPU diseñadas para acelerar el cifrado (por ejemplo, soporte para AES) y la simplificación de la gestión de claves privadas y certificados mediante servicios como LetsEncrypt.org, con los principales proveedores de nube ofreciendo servicios de gestión de certificados aún más integrados para sus plataformas específicas. Además de asegurar la capa de transporte, es importante determinar qué datos necesitan cifrado en reposo y qué datos requieren cifrado adicional en tránsito (en la capa de aplicación, capa 7 del modelo OSI). Por ejemplo, las contraseñas, los números de tarjetas de crédito, los expedientes de salud, la información personal y los secretos comerciales requieren protección adicional, especialmente si esos datos están sujetos a leyes de privacidad, como el Reglamento General de Protección de Datos (GDPR) de la UE, o regulaciones como la norma PCI DSS (PCI Data Security Standard).

A05:2025 Inyección - Una vulnerabilidad de inyección es un defecto del sistema que permite a un atacante insertar código o comandos maliciosos (como código SQL o de shell) en los campos de entrada de un programa, engañando al sistema para que ejecute el código o los comandos como si formaran parte del mismo. Esto puede llevar a consecuencias verdaderamente desastrosas.

A06:2025 Diseño inseguro - El diseño inseguro es una categoría amplia que representa diferentes debilidades, expresadas como "diseño de controles faltantes o ineficaces". El diseño inseguro no es la fuente de todas las demás categorías de riesgo del Top Ten. Tenga en cuenta que hay una diferencia entre el diseño inseguro y la implementación insegura. Diferenciamos entre defectos de diseño y defectos de implementación por una razón: tienen causas raíz diferentes, ocurren en diferentes momentos del proceso de desarrollo y requieren diferentes soluciones correctivas. Un diseño seguro aún puede tener defectos de implementación que conducen a vulnerabilidades que podrían ser explotadas. Un diseño inseguro no puede solucionarse con una implementación perfecta, ya que los controles de seguridad necesarios nunca se crearon para defenderse de ataques específicos. Uno de los factores que contribuyen al diseño inseguro es la falta de perfilado de riesgos empresariales inherente al software o sistema que se está desarrollando, y por lo tanto, la falta de determinación del nivel de diseño de seguridad requerido.

A07:2025 Fallos de autenticación - Esta vulnerabilidad está presente cuando un atacante logra engañar a un sistema para que reconozca a un usuario inválido o incorrecto como legítimo.

A08:2025 Fallos de integridad del software o de los datos - Los fallos de integridad del software y de los datos se refieren al código y a la infraestructura que no protege contra el tratamiento de código o datos no válidos o no confiables como si fueran de confianza y válidos. Un ejemplo de esto es cuando una aplicación depende de complementos, bibliotecas o módulos de fuentes, repositorios y redes de distribución de contenido (CDN) no confiables. Una tubería CI/CD (Integración Continua/Despliegue Continuo) insegura que no consume ni proporciona verificaciones de integridad del software puede introducir el potencial de acceso no autorizado, código inseguro o malicioso, o compromiso del sistema. Otro ejemplo de esto es una tubería CI/CD que extrae código o artefactos de lugares no confiables y/o no los verifica antes de su uso (mediante la comprobación de la firma o mecanismo similar). 

A09:2025 Fallos en el registro de seguridad y las alertas - Sin registro y monitoreo, los ataques y las infracciones no pueden ser detectados, y sin alertas es muy difícil responder rápida y eficazmente durante un incidente de seguridad. El registro insuficiente, el monitoreo continuo, la detección y las alertas para iniciar respuestas activas ocurren cada vez que

A10:2025 Manejo inadecuado de condiciones excepcionales - El manejo inadecuado de condiciones excepcionales en el software ocurre cuando los programas fallan al prevenir, detectar y responder a situaciones inusuales e impredecibles, lo que conduce a interrupciones, comportamiento inesperado y, a veces, vulnerabilidades. Esto puede implicar uno o más de los siguientes tres fallos: la aplicación no evita que ocurra una situación inusual, no identifica la situación mientras está ocurriendo, y/o responde de manera inadecuada o no responde en absoluto a la situación posteriormente.

Discutiremos y presentaremos aspectos prácticos de:

Control de acceso roto
- Ejemplos prácticos de controles de acceso rotos
- Controles de acceso seguros y mejores prácticas

Configuración de seguridad incorrecta
- Ejemplos del mundo real de configuraciones incorrectas
- Pasos para prevenir configuraciones incorrectas, incluyendo herramientas de gestión y automatización de configuraciones

Fallos criptográficos
- Análisis detallado de fallos criptográficos como algoritmos de cifrado débiles o gestión inadecuada de claves
- Importancia de mecanismos criptográficos fuertes, protocolos seguros (SSL/TLS) y ejemplos de criptografía moderna en la seguridad web

Ataques de inyección
- Desglose detallado de inyecciones SQL, NoSQL, de SO y LDAP
- Técnicas de mitigación utilizando instrucciones preparadas, consultas parametrizadas y escape de entradas

Diseño inseguro
- Exploraremos defectos de diseño que pueden conducir a vulnerabilidades, como la validación inadecuada de entradas
- Estudiaremos estrategias para una arquitectura segura y principios de diseño seguro

Fallos de autenticación
- Problemas comunes de autenticación
- Estrategias de autenticación seguras, como la autenticación multifactor y el manejo adecuado de sesiones

Fallos de integridad del software y de los datos
- Enfoque en problemas como actualizaciones de software no confiables y manipulación de datos
- Mecanismos de actualización seguros y comprobaciones de integridad de datos

Fallos en el registro de seguridad y monitoreo
- Importancia de registrar información relevante para la seguridad y monitorear actividades sospechosas
- Herramientas y prácticas para un registro adecuado y monitoreo en tiempo real para detectar infracciones tempranamente