OWASP Top 10 2025

A01:2025 - Control de acceso roto
A02:2025 - Configuración de seguridad incorrecta
A03:2025 - Fallas en la cadena de suministro de software
A04:2025 - Fallas criptográficas
A05:2025 - Inyección
A06:2025 - Diseño inseguro
A07:2025 - Fallas de autenticación
A08:2025 - Fallas en la integridad del software o los datos
A09:2025 - Fallas en el registro y la alerta de seguridad
A10:2025 - Manejo inadecuado de condiciones excepcionales

A01:2025 Control de acceso roto - El control de acceso hace cumplir la política para que los usuarios no puedan actuar fuera de sus permisos asignados. Las fallas generalmente conducen a la divulgación no autorizada de información, modificación o destrucción de todos los datos, o a la realización de funciones comerciales fuera de los límites del usuario.

A02:2025 Configuración de seguridad incorrecta - La configuración de seguridad incorrecta ocurre cuando un sistema, aplicación o servicio en la nube está configurado de manera incorrecta desde una perspectiva de seguridad, generando vulnerabilidades.

A03:2025 Fallas en la cadena de suministro de software - Las fallas en la cadena de suministro de software son interrupciones o compromisos en el proceso de construcción, distribución o actualización del software. A menudo son causadas por vulnerabilidades o cambios maliciosos en código, herramientas o dependencias de terceros de las que depende el sistema.

A04:2025 Fallas criptográficas - En términos generales, todos los datos en tránsito deben estar cifrados en la capa de transporte (capa 4 del modelo OSI). Antiguos obstáculos, como el rendimiento de la CPU y la gestión de claves privadas o certificados, ahora se resuelven gracias a CPUs con instrucciones diseñadas para acelerar el cifrado (por ejemplo, soporte AES) y a servicios como LetsEncrypt.org que simplifican la gestión de claves y certificados, además de que los principales proveedores de servicios en la nube ofrecen servicios de gestión de certificados aún más integrados para sus plataformas específicas. Más allá de asegurar la capa de transporte, es importante determinar qué datos requieren cifrado en reposo y qué datos necesitan un cifrado adicional en tránsito (en la capa de aplicación, capa 7 del modelo OSI). Por ejemplo, contraseñas, números de tarjetas de crédito, registros de salud, información personal y secretos comerciales requieren protección adicional, especialmente si esos datos están sujetos a leyes de privacidad, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, o regulaciones como el Estándar de Seguridad de Datos PCI (PCI DSS).

A05:2025 Inyección - Una vulnerabilidad de inyección es un defecto del sistema que permite a un atacante insertar código o comandos maliciosos (como SQL o código de shell) en los campos de entrada de un programa, engañando al sistema para que ejecute ese código o comandos como si fueran parte legítima del sistema. Esto puede tener consecuencias realmente graves.

A06:2025 Diseño inseguro - El diseño inseguro es una categoría amplia que representa diferentes debilidades, expresadas como "diseño de control ausente o ineficaz". El diseño inseguro no es la fuente de todas las demás categorías de riesgo del Top Ten. Es importante notar que existe una diferencia entre diseño inseguro e implementación insegura. Distinguimos entre defectos de diseño y defectos de implementación por una razón: tienen causas raíz diferentes, ocurren en momentos distintos del proceso de desarrollo y requieren remediaciones diferentes. Un diseño seguro aún puede tener defectos de implementación que generen vulnerabilidades explotables. Un diseño inseguro no puede corregirse mediante una implementación perfecta, ya que nunca se crearon los controles de seguridad necesarios para defenderse de ataques específicos. Uno de los factores que contribuyen al diseño inseguro es la falta de perfilado de riesgos de negocio inherente al software o sistema en desarrollo, y por ende, la incapacidad de determinar qué nivel de diseño de seguridad es necesario.

A07:2025 Fallas de autenticación - Esta vulnerabilidad se presenta cuando un atacante logra engañar al sistema para que reconozca a un usuario inválido o incorrecto como legítimo.

A08:2025 Fallas en la integridad del software o los datos - Las fallas en la integridad del software y los datos se relacionan con código e infraestructura que no protegen contra la consideración de código o datos inválidos o no confiables como seguros y válidos. Un ejemplo de esto es cuando una aplicación depende de complementos, bibliotecas o módulos provenientes de fuentes, repositorios y redes de entrega de contenido (CDN) no confiables. Una pipeline de CI/CD insegura, que no consume ni proporciona verificaciones de integridad del software, puede introducir el riesgo de acceso no autorizado, código inseguro o malicioso, o compromisos del sistema. Otro ejemplo es una pipeline de CI/CD que obtiene código o artefactos de lugares no confiables y/o no los verifica antes de su uso (mediante la verificación de firmas o mecanismos similares).

A09:2025 Fallas en el registro y la alerta de seguridad - Sin registro y monitoreo, los ataques y las brechas no pueden detectarse, y sin alertas es muy difícil responder de manera rápida y efectiva durante un incidente de seguridad. La insuficiencia en el registro, el monitoreo continuo, la detección y la alerta para iniciar respuestas activas ocurre en cualquier momento.

A10:2025 Manejo inadecuado de condiciones excepcionales - El manejo inadecuado de condiciones excepcionales en el software ocurre cuando los programas no previenen, detectan ni responden a situaciones inusuales e impredecibles, lo que provoca fallos, comportamientos inesperados y, en ocasiones, vulnerabilidades. Esto puede involucrar uno o más de los siguientes tres fallos: la aplicación no previene que ocurra una situación inusual, no identifica la situación mientras ocurre y/o responde de manera deficiente o nada ante la situación posterior.

Discutiremos y presentaremos aspectos prácticos de:

Control de acceso roto
- Ejemplos prácticos de controles de acceso rotos
- Controles de acceso seguros y mejores prácticas

Configuración de seguridad incorrecta
- Ejemplos del mundo real de configuraciones incorrectas
- Pasos para prevenir configuraciones incorrectas, incluyendo gestión de configuración y herramientas de automatización

Fallas criptográficas
- Análisis detallado de fallas criptográficas, como algoritmos de cifrado débiles o gestión inadecuada de claves
- Importancia de mecanismos criptográficos robustos, protocolos seguros (SSL/TLS) y ejemplos de criptografía moderna en seguridad web

Ataques de inyección
- Desglose detallado de inyecciones SQL, NoSQL, OS y LDAP
- Técnicas de mitigación mediante declaraciones preparadas, consultas parametrizadas y escape de entradas

Diseño inseguro
- Exploraremos defectos de diseño que pueden generar vulnerabilidades, como la validación inadecuada de entradas
- Estudiaremos estrategias para arquitecturas seguras y principios de diseño seguro

Fallas de autenticación
- Problemas comunes de autenticación
- Estrategias de autenticación segura, como la autenticación de múltiples factores y el manejo adecuado de sesiones

Fallas en la integridad del software y los datos
- Enfoque en problemas como actualizaciones de software no confiables y manipulación de datos
- Mecanismos seguros de actualización y verificaciones de integridad de datos

Fallas en el registro y monitoreo de seguridad
- Importancia de registrar información relevante para la seguridad y monitorear actividades sospechosas
- Herramientas y prácticas para un registro adecuado y monitoreo en tiempo real con el fin de detectar brechas de manera temprana