OWASP Top 10 2025

A01:2025 - Control de Acceso Roto
A02:2025 - Configuración de Seguridad Incorrecta
A03:2025 - Fallos en la Cadena de Suministro de Software
A04:2025 - Fallos Criptográficos
A05:2025 - Inyección
A06:2025 - Diseño Inseguro
A07:2025 - Fallos de Autenticación
A08:2025 - Fallos de Integridad del Software o los Datos
A09:2025 - Fallos en el Registro y Alerta de Seguridad
A10:2025 - Manejo Incorrecto de Condiciones Excepcionales

A01:2025 Control de Acceso Roto - El control de acceso enforce la política para que los usuarios no puedan actuar fuera de sus permisos previstos. Los fallos generalmente conducen a divulgación de información no autorizada, modificación o destrucción de todos los datos, o realización de una función empresarial fuera de los límites del usuario.

A02:2025 Configuración de Seguridad Incorrecta - La configuración incorrecta de seguridad ocurre cuando un sistema, aplicación o servicio en la nube está configurado incorrectamente desde una perspectiva de seguridad, creando vulnerabilidades.

A03:2025 Fallos en la Cadena de Suministro de Software - Los fallos en la cadena de suministro de software son fallas u otras compromisiones en el proceso de construcción, distribución o actualización de software. Estos a menudo se causan por vulnerabilidades o cambios maliciosos en código de terceros, herramientas u otras dependencias en las que el sistema confía.

A04:2025 Fallos Criptográficos - En general, todos los datos en tránsito deben estar cifrados a nivel de transporte (capa 4 del modelo OSI). Los obstáculos anteriores como el rendimiento de la CPU y la gestión de claves privadas y certificados ya se manejan con instrucciones diseñadas para acelerar el cifrado (por ejemplo, soporte AES) y la gestión simplificada de claves privadas y certificados a través de servicios como LetsEncrypt.org, y los principales proveedores en la nube ofrecen servicios de gestión de certificados aún más integrados para sus plataformas específicas. Más allá de asegurar el nivel de transporte, es importante determinar qué datos necesitan cifrado en reposo y qué datos necesitan un cifrado adicional en tránsito (a nivel de la aplicación, capa 7 del modelo OSI). Por ejemplo, contraseñas, números de tarjetas de crédito, registros de salud, información personal y secretos comerciales requieren una protección adicional, especialmente si ese dato está sujeto a leyes de privacidad, como el Reglamento General de Protección de Datos (GDPR) de la UE o reglamentos como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

A05:2025 Inyección - Una vulnerabilidad de inyección es un fallo del sistema que permite a un atacante insertar código o comandos maliciosos (como SQL o shell code) en los campos de entrada de un programa, engañando al sistema para ejecutar el código o los comandos como si fueran parte del sistema. Esto puede llevar a consecuencias realmente graves.

A06:2025 Diseño Inseguro - El diseño inseguro es una categoría amplia que representa diferentes debilidades, expresadas como “diseño de controles ausentes o ineficaces”. El diseño inseguro no es la fuente de todas las demás categorías de riesgo del Top Ten. Nota que hay una diferencia entre diseño inseguro e implementación insegura. Diferenciamos entre fallas de diseño y defectos de implementación por una razón: tienen causas raíz diferentes, ocurren en tiempos diferentes del proceso de desarrollo y tienen remedios diferentes. Un diseño seguro aún puede tener defectos de implementación que conduzcan a vulnerabilidades explotables. Un diseño inseguro no se puede corregir con una implementación perfecta ya que los controles de seguridad necesarios nunca fueron creados para defender contra ataques específicos. Uno de los factores que contribuye al diseño inseguro es la falta de perfilado de riesgos empresariales inherente en el software o sistema que se está desarrollando, y por lo tanto, el fracaso en determinar qué nivel de diseño de seguridad es necesario.

A07:2025 Fallos de Autenticación - Cuando un atacante logra hacer que un sistema reconozca a un usuario no válido o incorrecto como legítimo, esta vulnerabilidad está presente.

A08:2025 Fallos de Integridad del Software o los Datos - Los fallos de integridad del software y los datos se refieren a código e infraestructura que no protegen contra código o datos no válidos o no confiables tratados como confiables y válidos. Un ejemplo de esto es cuando una aplicación depende de complementos, bibliotecas o módulos de fuentes no confiables, repositorios y redes de entrega de contenido (CDNs). Una tubería CI/CD insegura que no consume ni proporciona verificaciones de integridad del software puede introducir la posibilidad de acceso no autorizado, código inseguro o malicioso, o compromiso del sistema. Otro ejemplo es una tubería CI/CD que extrae código u artefactos de lugares no confiables y/o no los verifica antes de su uso (por verificar la firma o un mecanismo similar).

A09:2025 Fallos en el Registro y Alerta de Seguridad  - Sin registro y monitoreo, los ataques y las violaciones no pueden ser detectados, y sin alertas es muy difícil responder rápidamente y efectivamente durante un incidente de seguridad. La insuficiente logging, monitoreo continuo, detección y alerta para iniciar respuestas activas ocurre en cualquier momento

A10:2025 Manejo Incorrecto de Condiciones Excepcionales - El manejo incorrecto de condiciones excepcionales en el software ocurre cuando los programas fallan para prevenir, detectar y responder a situaciones inusuales e impredecibles, lo que lleva a bloqueos, comportamiento inesperado y a veces vulnerabilidades. Esto puede involucrar uno o más de los siguientes 3 fallos: la aplicación no previene una situación inusual de ocurrir, no identifica la situación mientras está ocurriendo, y/o responde mal o no en absoluto a la situación después.

Discutiremos y presentaremos aspectos prácticos de:

Control de Acceso Roto
- Ejemplos prácticos de controles de acceso rotos
- Controles de acceso seguros y mejores prácticas

Configuración de Seguridad Incorrecta
- Ejemplos del mundo real de malas configuraciones
- Pasos para prevenir la mala configuración, incluyendo herramientas de gestión y automatización de configuración

Fallos Criptográficos
- Análisis detallado de fallos criptográficos como algoritmos de cifrado débiles o una gestión incorrecta de claves
- Importancia de los mecanismos criptográficos fuertes, protocolos seguros (SSL/TLS), y ejemplos de criptografía moderna en la seguridad web

Ataques de Inyección
- Desglose detallado de inyecciones SQL, NoSQL, OS y LDAP
- Técnicas de mitigación utilizando declaraciones preparadas, consultas parametrizadas y escapado de entradas

Diseño Inseguro
- Exploraremos fallas en el diseño que pueden llevar a vulnerabilidades, como la validación incorrecta de entradas
- Estudiaremos estrategias para arquitecturas y principios de diseño seguros

Fallos de Autenticación
- Problemas comunes de autenticación
- Estrategias de autenticación segura, como la autenticación multifactor y el manejo adecuado de sesiones

Fallos de Integridad del Software o los Datos
- Enfoque en problemas como actualizaciones no confiables y manipulación de datos
- Mecanismos seguros de actualización y verificaciones de integridad de datos

Fallos en el Registro y Monitoreo de Seguridad
- Importancia del registro de información relevante para la seguridad y monitoreo de actividades sospechosas
- Herramientas y prácticas para un registro adecuado y monitoreo en tiempo real para detectar violaciones temprano