El OWASP Top 10 es el estándar más reconocido a nivel mundial para los riesgos de seguridad en aplicaciones web. Ya seas desarrollador, ingeniero de seguridad o líder empresarial — esta guía explica cada categoría con ejemplos reales, técnicas de detección y estrategias de remediación.
Un documento de concienciación actualizado periódicamente que clasifica los riesgos de seguridad más críticos para las aplicaciones web. Basado en el análisis de datos de cientos de organizaciones, encuestas a la comunidad y datos reales de brechas. Referenciado por PCI DSS, DORA, NIS2 y muchos estándares de la industria.
Vulnerabilidad #1 más común — encontrada en el 94% de las aplicaciones probadas.
/api/users/123/profile a /api/users/124/profile/admin/dashboardAnteriormente "Exposición de Datos Sensibles" — renombrado para centrarse en la causa raíz.
Forzar HTTPS en todas partes con HSTS. Usar AES-256, bcrypt/Argon2, SHA-256+. Nunca hardcodear secretos — usar Vault o AWS Secrets Manager. Cifrar datos en reposo. Deshabilitar TLS 1.0/1.1.
La vulnerabilidad web clásica — sigue en el top 3 después de dos décadas.
' OR 1=1 -- y ataques mucho más sofisticadosConsultas parametrizadas para todas las interacciones con BD. Validación de entrada con listas blancas. Codificación de salida según contexto. Cabeceras Content Security Policy. Cuentas de BD con mínimos privilegios. Uso consistente de ORMs.
Nueva categoría — fallos a nivel de diseño, no bugs de implementación.
Solución: Integrar modelado de amenazas (STRIDE, PASTA) en la fase de diseño. Usar patrones de diseño seguros. Escribir casos de abuso junto con los casos de uso.
Encontrada en el 90% de las aplicaciones probadas.
Proceso de hardening repetible. Eliminar todas las funciones innecesarias. Implementar todas las cabeceras de seguridad. Automatizar la gestión de configuración con IaC. Auditorías regulares de configuración. Usar CSPM para la nube.
Solución: Mantener inventario de componentes (SBOM). Monitorizar continuamente bases de datos CVE. Eliminar dependencias no utilizadas. Automatizar actualizaciones con Dependabot/Renovate.
Implementar MFA. Forzar contraseñas fuertes con verificación contra bases de datos de brechas. Limitación de tasa en endpoints de autenticación. Gestión segura de sesiones (IDs aleatorios, flags HTTPOnly/Secure). Invalidar sesiones al cerrar sesión/cambiar contraseña.
Solución: Firmas digitales en todo el software/datos. Subresource Integrity (SRI) para recursos externos. CI/CD seguro con controles de acceso y firma. Evitar deserialización insegura — usar JSON.
Tiempo promedio para identificar una brecha: 204 días (IBM 2024). Sin un registro adecuado, los atacantes pueden establecer persistencia, exfiltrar datos y expandir su acceso — todo sin activar alarmas.
Solución: Registrar todos los eventos de autenticación, fallos de control de acceso y fallos de validación de entrada. Incluir contexto (marca de tiempo, usuario, IP, acción). Centralizar logs en un SIEM a prueba de manipulaciones. Implementar alertas automatizadas. Probar las capacidades de detección regularmente.
Nueva categoría — añadida por su creciente prevalencia en arquitecturas cloud-native.
http://169.254.169.254/ para credenciales IAMValidar todas las URLs proporcionadas por el usuario del lado del servidor. Usar listas blancas de dominios permitidos. Bloquear rangos de IP privadas (10.x, 172.16.x, 169.254.x, 127.x). Deshabilitar esquemas de URL innecesarios (file://, gopher://). Usar IMDSv2 en AWS. Segmentar los servicios de obtención de URLs.
| Categoría OWASP | Cobertura KENSAI |
|---|---|
| A01 Control de Acceso Roto | Pruebas IDOR, bypass de autorización, verificaciones CORS |
| A02 Fallos Criptográficos | Análisis TLS, verificación de cabeceras, verificación de cifrado |
| A03 Inyección | SQL, XSS, command injection, SSTI, header injection |
| A04 Diseño Inseguro | Limitación de tasa, recursos predecibles, pruebas de lógica |
| A05 Configuración Incorrecta | Cabeceras, valores por defecto, divulgación de información, métodos HTTP |
| A06 Componentes Vulnerables | Fingerprinting de tecnologías, base de datos de 332K+ CVEs |
| A07 Fallos de Autenticación | Credenciales por defecto, pruebas de sesión, análisis de cookies |
| A08 Fallos de Integridad | Verificaciones SRI, pruebas de deserialización |
| A09 Fallos de Registro | Análisis de cabeceras de seguridad, revisión de gestión de errores |
| A10 SSRF | Inyección de endpoints internos, pruebas de metadatos cloud |
Escaneo gratuito — sin compromiso, sin tarjeta de crédito. DAST potenciado por IA con informes de cumplimiento.
Iniciar Escaneo Gratuito →Control de Acceso Roto (A01) — encontrada en el 94% de las aplicaciones probadas. Pasó de la posición 5 a la posición 1, reflejando la falta generalizada de aplicación de autorización, particularmente en APIs y SPAs.
El OWASP Top 10 en sí es voluntario. Sin embargo, es referenciado por PCI DSS (requiere abordar el OWASP Top 10), NIS2 (espera gestión sistemática de vulnerabilidades), DORA (referencia pruebas según estándares de la industria) y muchas evaluaciones de proveedores. En la práctica, es efectivamente obligatorio.
Las herramientas DAST automatizadas detectan eficazmente la mayoría de las categorías — especialmente inyección (A03), fallos criptográficos (A02), configuración incorrecta (A05) y componentes vulnerables (A06). Algunas categorías como Diseño Inseguro (A04) y Fallos de Registro (A09) a menudo requieren evaluación manual. Usa escaneo automatizado para amplitud + pruebas manuales para profundidad.
Cada 3–4 años. Versiones principales: 2013, 2017, 2021. Cada actualización refleja cambios en el panorama de amenazas — la actualización de 2021 introdujo Diseño Inseguro (A04) y SSRF (A10) mientras reorganizaba otras categorías.
La seguridad no es opcional.
🗡️ El Equipo KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →