Tras múltiples promesas a lo largo del año, OWASP ha lanzado la versión RC de
OWASP Top 10 2025. Aunque no hay grandes sorpresas ni cambios drásticos, se han añadido dos nuevos conjuntos de vulnerabilidades a la lista.
OWASP Top 10 es un documento clave para desarrolladores y especialistas en seguridad de aplicaciones web, que refleja el consenso general sobre los riesgos de seguridad más críticos en este ámbito.
El nuevo listado se presenta de la siguiente manera:
A01:2025 – Control de Acceso Roto
El control de acceso deficiente sigue siendo el riesgo de seguridad más grave para las aplicaciones. Según los datos, el 3,73% de las aplicaciones analizadas mostraron una o más de las 40 vulnerabilidades comunes (CWE) en esta categoría. La figura anterior resalta que la falsificación de solicitudes del lado del servidor (SSRF) ha sido incorporada a esta sección.
A02:2025 – Configuración Incorrecta de Seguridad
La configuración incorrecta de seguridad ha avanzado del quinto al segundo lugar en 2025. Este ciclo ha presentado una mayor frecuencia de configuraciones erróneas, con un 3,00% de las aplicaciones mostrando una o más de las 16 vulnerabilidades comunes (CWE) en esta categoría. Este incremento no es sorprendente, dado que la ingeniería de software continúa aumentando la dependencia del comportamiento de las aplicaciones en configuraciones.
A03:2025 – Fallos en la Cadena de Suministro de Software
Esta categoría amplía el concepto de la anterior «A06:2021 – Componentes vulnerables y obsoletos», abarcando un espectro más amplio de vulnerabilidades dentro del ecosistema de dependencias de software. Esta categoría fue elegida como una de las principales preocupaciones en la encuesta comunitaria, aunque cuenta con una presencia limitada en los datos recopilados, lo que podría deberse a dificultades en las pruebas. Presenta la menor cantidad de incidencias, pero las puntuaciones promedio más altas de explotación e impacto de las CVE.
A04:2025 – Fallos Criptográficos
Los fallos criptográficos han descendido del segundo al cuarto puesto en la lista, con un 3,80% de las aplicaciones mostrando una o más de las 32 CWE de esta categoría. Este tipo de fallos puede llevar a la exposición de datos sensibles o comprometer el sistema.
A05:2025 – Inyección
La categoría de inyección ha bajado del tercer al quinto lugar, manteniendo su relación con los fallos criptográficos y el diseño inseguro. Es una de las categorías más estudiadas, con el mayor número de CVE asociadas a las 38 CWE en esta área, abarcando problemas desde Cross-site Scripting (de alta frecuencia y bajo impacto) hasta vulnerabilidades de Inyección SQL (menos frecuentes pero de alto impacto).
A06:2025 – Diseño Inseguro
El diseño inseguro ha bajado del cuarto al sexto puesto. Introducido en 2021, se han observado mejoras significativas en el sector relacionadas con el modelado de amenazas y un mayor enfoque en el diseño seguro.
A07:2025 – Fallos de Autenticación
Los fallos de autenticación se mantienen en el séptimo lugar, con un ligero cambio en su denominación (anteriormente «Fallos de Identificación y Autenticación»), para reflejar más adecuadamente las 36 CWE en esta categoría. Aunque sigue siendo crítica, el uso creciente de marcos estandarizados para la autenticación parece contribuir a una reducción en estos fallos.
A08:2025 – Fallos de Integridad de Software o Datos
Los fallos de integridad de software o datos ocupan el octavo lugar. Esta categoría se enfoca en el mantenimiento de los límites de confianza y la verificación de la integridad del software, el código y los datos, por debajo de los fallos de la cadena de suministro de software.
A09:2025 – Fallos en el Registro y Alertas
Los fallos de registro y alertas mantienen su posición en el noveno lugar. Esta categoría ha experimentado un ligero cambio en su nombre (anteriormente «Fallos en el registro y la monitorización de seguridad») para resaltar la necesidad de contar con un sistema de alertas eficaz para tomar acciones ante eventos de registro pertinentes. Un registro exhaustivo sin alertas resulta poco útil para la identificación de incidentes de seguridad. Este tema típicamente recibe menos atención en los datos, pero fue incluido en la lista tras la votación de la comunidad.
A10:2025 – Manejo Inadecuado de Condiciones Excepcionales
El manejo inadecuado de condiciones excepcionales es una incorporación nueva para 2025, abarcando 24 CWE vinculadas a la gestión deficiente de errores, fallos lógicos y otros escenarios que pueden derivarse de condiciones anómalas en los sistemas.
Con Información de blog.segu-info.com.ar