OWASP Top 10 2025: Las Vulnerabilidades Web Más Críticas

OWASP (Open Web Application Security Project) es la organización de referencia mundial en seguridad de aplicaciones web. Su Top 10 es una clasificación de las vulnerabilidades más críticas que afectan a las aplicaciones web, actualizada periódicamente con datos de miles de auditorías reales. Para las empresas chilenas, conocer y prevenir estas vulnerabilidades es esencial para proteger datos, cumplir con la Ley 21.719 y evitar brechas costosas.

A01: Broken Access Control (Control de Acceso Roto)

Es la vulnerabilidad más prevalente, presente en el 94% de las aplicaciones evaluadas. Ocurre cuando los usuarios pueden acceder a datos o funciones fuera de sus permisos. Un empleado regular podría ver datos de otros clientes, un usuario podría escalar a administrador o un atacante podría manipular IDs en URLs para acceder a registros ajenos.

Prevención: Implementar control de acceso en el servidor (nunca confiar solo en el frontend). Aplicar el principio de mínimo privilegio. Denegar acceso por defecto. Registrar y alertar sobre intentos de acceso no autorizado.

A02: Cryptographic Failures (Fallas Criptográficas)

Antes conocida como "Exposición de Datos Sensibles". Incluye transmisión de datos sin cifrado TLS, uso de algoritmos obsoletos como MD5 o SHA-1 para hash de contraseñas, claves de cifrado débiles o hardcodeadas, y almacenamiento en texto plano de datos sensibles como contraseñas, tarjetas de crédito o datos personales.

Prevención: Cifrar todos los datos en tránsito con TLS 1.2+ y en reposo con AES-256. Usar bcrypt o Argon2 para contraseñas. Rotar claves de cifrado periódicamente. Clasificar los datos según sensibilidad y aplicar controles proporcionales.

A03: Injection (Inyección)

Incluye SQL Injection, NoSQL Injection, OS Command Injection y LDAP Injection. Ocurre cuando datos no confiables se envían a un intérprete como parte de un comando o consulta. Un atacante puede leer, modificar o eliminar toda la base de datos, ejecutar comandos en el servidor o evadir la autenticación.

Prevención: Usar consultas parametrizadas (prepared statements) en lugar de concatenación de strings. Validar y sanitizar toda entrada del usuario. Usar ORMs que protegen contra inyección por defecto. Implementar un WAF (Web Application Firewall) como capa adicional.

A04: Insecure Design (Diseño Inseguro)

Una categoría introducida para diferenciar problemas de diseño de problemas de implementación. Incluye falta de modelado de amenazas, ausencia de patrones de diseño seguro, flujos de negocio que no consideran escenarios de abuso y falta de límites en operaciones sensibles.

Prevención: Integrar seguridad desde el diseño (Security by Design). Realizar modelado de amenazas en la fase de arquitectura. Definir user stories de abuso junto con las user stories funcionales. Establecer límites de negocio que no puedan ser evadidos.

A05: Security Misconfiguration (Configuración de Seguridad Incorrecta)

Incluye permisos por defecto demasiado permisivos, funciones innecesarias habilitadas, cuentas por defecto activas, mensajes de error que revelan información interna, headers de seguridad faltantes y software desactualizado. Es la vulnerabilidad más fácil de prevenir y una de las más frecuentes.

Prevención: Hardening de todos los entornos (desarrollo, staging, producción). Deshabilitar funciones no utilizadas. Implementar headers de seguridad: HSTS, X-Content-Type-Options, X-Frame-Options, CSP. Automatizar la verificación de configuraciones con herramientas como Ansible o Terraform.

A06: Vulnerable and Outdated Components (Componentes Vulnerables y Desactualizados)

Usar librerías, frameworks o dependencias con vulnerabilidades conocidas (CVEs). Es especialmente prevalente en ecosistemas como npm (JavaScript) donde un proyecto promedio tiene cientos de dependencias directas e indirectas. Una sola librería vulnerable puede comprometer toda la aplicación.

Prevención: Mantener un inventario de todas las dependencias y sus versiones. Usar herramientas de análisis como npm audit, Snyk, Dependabot o OWASP Dependency-Check. Automatizar alertas de nuevas vulnerabilidades. Establecer un proceso de actualización periódica.

A07: Identification and Authentication Failures (Fallas de Identificación y Autenticación)

Incluye permitir contraseñas débiles, ataques de fuerza bruta sin rate limiting, almacenamiento inseguro de credenciales, ausencia de MFA, tokens de sesión predecibles y recuperación de contraseñas insegura.

Prevención: Implementar MFA en todos los accesos críticos. Aplicar rate limiting y bloqueo temporal tras intentos fallidos. Usar bcrypt/Argon2 para almacenar contraseñas. Invalidar tokens de sesión al logout y cambio de contraseña.

A08: Software and Data Integrity Failures (Fallas de Integridad de Software y Datos)

Ocurre cuando el código o la infraestructura no protegen contra violaciones de integridad. Incluye actualizaciones de software sin verificación de firma, pipelines CI/CD inseguros, deserialización no segura y dependencias de fuentes no confiables.

Prevención: Verificar firmas digitales en actualizaciones y dependencias. Proteger los pipelines CI/CD con controles de acceso estrictos. Evitar deserialización de datos no confiables. Usar herramientas de integridad como Subresource Integrity (SRI) para recursos externos.

A09: Security Logging and Monitoring Failures (Fallas en Logging y Monitoreo)

Sin logging adecuado, los ataques pasan desapercibidos. Estudios muestran que el tiempo promedio de detección de una brecha es de 197 días. Esto ocurre porque eventos críticos no se registran, los logs no se analizan, no existen alertas configuradas y los logs se almacenan solo localmente donde un atacante puede eliminarlos.

Prevención: Registrar todos los eventos de autenticación, autorización y acceso a datos sensibles. Centralizar logs en un sistema externo (SIEM). Configurar alertas para patrones sospechosos como múltiples intentos de login fallidos, acceso fuera de horario o exportaciones masivas de datos. Retener logs por al menos 12 meses.

A10: Server-Side Request Forgery (SSRF)

Ocurre cuando una aplicación web realiza requests a URLs proporcionadas por el usuario sin validación adecuada. Un atacante puede hacer que el servidor acceda a recursos internos como bases de datos, servicios en la nube o metadatos de infraestructura, eludiendo firewalls y controles de red.

Prevención: Validar y sanitizar todas las URLs proporcionadas por usuarios. Implementar allowlists de dominios y protocolos permitidos. Segmentar la red para limitar el acceso del servidor web a recursos internos. Bloquear requests a direcciones IP privadas y metadatos de nube.

Relevancia para empresas chilenas

Con la entrada en vigencia de la Ley 21.719 en diciembre de 2026, las empresas que sufran brechas de datos personales por no prevenir estas vulnerabilidades enfrentarán multas de hasta 20.000 UTM. Además, el Art. 36 de la ley considera como atenuante haber implementado medidas diligentes de seguridad, lo que convierte al pentesting basado en OWASP en una inversión de protección legal y operativa.

En StrixSoft realizamos auditorías de seguridad basadas en OWASP Top 10 que evalúan cada una de estas vulnerabilidades en tus aplicaciones. Nuestro equipo combina metodología OWASP Testing Guide con herramientas de IA para entregar evaluaciones exhaustivas con recomendaciones priorizadas. Solicita tu evaluación de seguridad y conoce el estado real de tus aplicaciones.