← Volver al Blog
Investigación 25 min de lectura

OWASP Top 10 2025: La Guía Completa de Riesgos de Seguridad en Aplicaciones Web

El OWASP Top 10 es el estándar más reconocido a nivel mundial para los riesgos de seguridad en aplicaciones web. Ya seas desarrollador, ingeniero de seguridad o líder empresarial — esta guía explica cada categoría con ejemplos reales, técnicas de detección y estrategias de remediación.

ℹ️ ¿Qué es el OWASP Top 10?

Un documento de concienciación actualizado periódicamente que clasifica los riesgos de seguridad más críticos para las aplicaciones web. Basado en el análisis de datos de cientos de organizaciones, encuestas a la comunidad y datos reales de brechas. Referenciado por PCI DSS, DORA, NIS2 y muchos estándares de la industria.


A01 Control de Acceso Roto

Vulnerabilidad #1 más común — encontrada en el 94% de las aplicaciones probadas.

⚠️ Ejemplos reales

  • IDOR: Cambiar /api/users/123/profile a /api/users/124/profile
  • Escalada de privilegios: Usuario normal accediendo a /admin/dashboard
  • Falta de control de acceso a nivel de función: La API verifica autenticación pero no autorización
  • Mala configuración de CORS: Permitir a sitios maliciosos realizar solicitudes autenticadas

✅ Remediación

  • Implementar control de acceso del lado del servidor — nunca confiar en el lado del cliente
  • Denegar por defecto — requerir permisos explícitos
  • Implementar RBAC o ABAC adecuados
  • Registrar y alertar sobre fallos de control de acceso
  • Limitar la tasa de acceso a la API

A02 Fallos Criptográficos

Anteriormente "Exposición de Datos Sensibles" — renombrado para centrarse en la causa raíz.

⚠️ Errores comunes

  • Páginas de inicio de sesión transmitiendo credenciales por HTTP sin cifrar
  • Soporte de TLS 1.0/1.1 o suites de cifrado débiles
  • Contraseñas almacenadas con MD5 o SHA-1 en lugar de bcrypt/Argon2
  • Claves de cifrado hardcodeadas en el código fuente
  • Copias de seguridad de bases de datos sin cifrar

✅ Remediación

Forzar HTTPS en todas partes con HSTS. Usar AES-256, bcrypt/Argon2, SHA-256+. Nunca hardcodear secretos — usar Vault o AWS Secrets Manager. Cifrar datos en reposo. Deshabilitar TLS 1.0/1.1.

A03 Inyección

La vulnerabilidad web clásica — sigue en el top 3 después de dos décadas.

Tipos de inyección

  • SQL Injection: ' OR 1=1 -- y ataques mucho más sofisticados
  • NoSQL Injection: Manipulación JSON de MongoDB/CouchDB
  • Command Injection: Comandos del SO a través de entradas de la aplicación
  • XSS: Inyección de JavaScript — reflejado, almacenado, basado en DOM
  • Template Injection (SSTI): Código en motores de plantillas del servidor
  • Header Injection: Manipulación de cabeceras HTTP

✅ Prevención

Consultas parametrizadas para todas las interacciones con BD. Validación de entrada con listas blancas. Codificación de salida según contexto. Cabeceras Content Security Policy. Cuentas de BD con mínimos privilegios. Uso consistente de ORMs.

A04 Diseño Inseguro

Nueva categoría — fallos a nivel de diseño, no bugs de implementación.

⚠️ Ejemplos

  • Flujo de restablecimiento de contraseña que permite intentos ilimitados (sin limitación de tasa)
  • Validación de reglas de negocio del lado del cliente (validación de precio en JS)
  • Una única clave API que otorga acceso de lectura y escritura a todos los recursos

Solución: Integrar modelado de amenazas (STRIDE, PASTA) en la fase de diseño. Usar patrones de diseño seguros. Escribir casos de abuso junto con los casos de uso.

A05 Configuración de Seguridad Incorrecta

Encontrada en el 90% de las aplicaciones probadas.

⚠️ Configuraciones incorrectas comunes

  • Contraseñas de administrador por defecto en bases de datos y paneles de administración
  • Listado de directorios, endpoints de depuración, mensajes de error detallados habilitados
  • Cabeceras de seguridad faltantes (CSP, X-Frame-Options, X-Content-Type-Options)
  • Buckets S3 o blobs de Azure accesibles públicamente
  • Métodos HTTP innecesarios (PUT, DELETE, TRACE) habilitados

✅ Prevención

Proceso de hardening repetible. Eliminar todas las funciones innecesarias. Implementar todas las cabeceras de seguridad. Automatizar la gestión de configuración con IaC. Auditorías regulares de configuración. Usar CSPM para la nube.

A06 Componentes Vulnerables y Desactualizados

528
Componentes promedio/App
84%
Código con vulns conocidas
48%
Vulnerabilidades de alto riesgo
252d
Tiempo promedio de corrección

⚠️ Ejemplos notables

  • Log4Shell (CVE-2021-44228): RCE crítico que afectó a millones de apps Java
  • Spring4Shell (CVE-2022-22965): RCE en Spring Framework
  • jQuery XSS: Muchas apps aún usan versiones vulnerables de jQuery

Solución: Mantener inventario de componentes (SBOM). Monitorizar continuamente bases de datos CVE. Eliminar dependencias no utilizadas. Automatizar actualizaciones con Dependabot/Renovate.

A07 Fallos de Identificación y Autenticación

⚠️ Fallos comunes

  • Credential stuffing: Ataques automatizados usando contraseñas robadas
  • Políticas de contraseñas débiles (permitir "password123")
  • Fijación de sesión e invalidación de sesión faltante
  • Tokens de sesión expuestos en URLs
  • MFA faltante para funciones críticas

✅ Prevención

Implementar MFA. Forzar contraseñas fuertes con verificación contra bases de datos de brechas. Limitación de tasa en endpoints de autenticación. Gestión segura de sesiones (IDs aleatorios, flags HTTPOnly/Secure). Invalidar sesiones al cerrar sesión/cambiar contraseña.

A08 Fallos de Integridad de Software y Datos

⚠️ Ataques reales

  • SolarWinds (2020): Código malicioso en actualización legítima de software — 18.000 organizaciones afectadas
  • Deserialización insegura: Ejecución arbitraria de código mediante datos no confiables
  • Compromiso de pipeline CI/CD: Incidentes de Codecov, ua-parser-js
  • SRI faltante: Cargar JS desde CDNs sin hashes de integridad

Solución: Firmas digitales en todo el software/datos. Subresource Integrity (SRI) para recursos externos. CI/CD seguro con controles de acceso y firma. Evitar deserialización insegura — usar JSON.

A09 Fallos de Registro y Monitorización de Seguridad

ℹ️ El coste de la ceguera

Tiempo promedio para identificar una brecha: 204 días (IBM 2024). Sin un registro adecuado, los atacantes pueden establecer persistencia, exfiltrar datos y expandir su acceso — todo sin activar alarmas.

Solución: Registrar todos los eventos de autenticación, fallos de control de acceso y fallos de validación de entrada. Incluir contexto (marca de tiempo, usuario, IP, acción). Centralizar logs en un SIEM a prueba de manipulaciones. Implementar alertas automatizadas. Probar las capacidades de detección regularmente.

A10 Server-Side Request Forgery (SSRF)

Nueva categoría — añadida por su creciente prevalencia en arquitecturas cloud-native.

⚠️ Por qué SSRF es peligroso

  • Brecha de Capital One (2019): SSRF → metadatos AWS → más de 100M de registros de clientes expuestos
  • Robo de metadatos cloud: Acceso a http://169.254.169.254/ para credenciales IAM
  • Acceso a servicios internos: Llegar a APIs, bases de datos, paneles de administración detrás del firewall

✅ Prevención

Validar todas las URLs proporcionadas por el usuario del lado del servidor. Usar listas blancas de dominios permitidos. Bloquear rangos de IP privadas (10.x, 172.16.x, 169.254.x, 127.x). Deshabilitar esquemas de URL innecesarios (file://, gopher://). Usar IMDSv2 en AWS. Segmentar los servicios de obtención de URLs.


Cómo KENSAI escanea el OWASP Top 10

Categoría OWASPCobertura KENSAI
A01 Control de Acceso RotoPruebas IDOR, bypass de autorización, verificaciones CORS
A02 Fallos CriptográficosAnálisis TLS, verificación de cabeceras, verificación de cifrado
A03 InyecciónSQL, XSS, command injection, SSTI, header injection
A04 Diseño InseguroLimitación de tasa, recursos predecibles, pruebas de lógica
A05 Configuración IncorrectaCabeceras, valores por defecto, divulgación de información, métodos HTTP
A06 Componentes VulnerablesFingerprinting de tecnologías, base de datos de 332K+ CVEs
A07 Fallos de AutenticaciónCredenciales por defecto, pruebas de sesión, análisis de cookies
A08 Fallos de IntegridadVerificaciones SRI, pruebas de deserialización
A09 Fallos de RegistroAnálisis de cabeceras de seguridad, revisión de gestión de errores
A10 SSRFInyección de endpoints internos, pruebas de metadatos cloud
332K+
CVEs rastreados
10/10
Cobertura OWASP
AI
Precisión potenciada
€990
Precio inicial/mes

Prueba tu aplicación contra el OWASP Top 10

Escaneo gratuito — sin compromiso, sin tarjeta de crédito. DAST potenciado por IA con informes de cumplimiento.

Iniciar Escaneo Gratuito →

Preguntas frecuentes

¿Cuál es la vulnerabilidad OWASP más común?

Control de Acceso Roto (A01) — encontrada en el 94% de las aplicaciones probadas. Pasó de la posición 5 a la posición 1, reflejando la falta generalizada de aplicación de autorización, particularmente en APIs y SPAs.

¿Es obligatorio el cumplimiento del OWASP Top 10?

El OWASP Top 10 en sí es voluntario. Sin embargo, es referenciado por PCI DSS (requiere abordar el OWASP Top 10), NIS2 (espera gestión sistemática de vulnerabilidades), DORA (referencia pruebas según estándares de la industria) y muchas evaluaciones de proveedores. En la práctica, es efectivamente obligatorio.

¿Pueden las herramientas automatizadas detectar todo el OWASP Top 10?

Las herramientas DAST automatizadas detectan eficazmente la mayoría de las categorías — especialmente inyección (A03), fallos criptográficos (A02), configuración incorrecta (A05) y componentes vulnerables (A06). Algunas categorías como Diseño Inseguro (A04) y Fallos de Registro (A09) a menudo requieren evaluación manual. Usa escaneo automatizado para amplitud + pruebas manuales para profundidad.

¿Con qué frecuencia se actualiza el OWASP Top 10?

Cada 3–4 años. Versiones principales: 2013, 2017, 2021. Cada actualización refleja cambios en el panorama de amenazas — la actualización de 2021 introdujo Diseño Inseguro (A04) y SSRF (A10) mientras reorganizaba otras categorías.

La seguridad no es opcional.

🗡️ El Equipo KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home