¿Qué es el OWASP Top 10?
El OWASP Top 10 es la lista de las 10 categorías de vulnerabilidades más críticas en aplicaciones web, publicada por la Open Web Application Security Project. Es el estándar de referencia mundial para la seguridad de aplicaciones web y base de frameworks de cumplimiento como PCI DSS y ISO 27001.
En TLS Cyber Security, cubrimos el OWASP Top 10 al 100% en cada evaluación de seguridad web.
A01 — Broken Access Control
El riesgo más crítico. Ocurre cuando usuarios pueden acceder a funciones o datos que no les corresponden.
Ejemplos reales:
- Cambiar el ID en una URL (
/usuarios/1234/perfil→/usuarios/1235/perfil) y ver datos de otro usuario (IDOR) - Acceder a rutas de administrador sin autenticación
- Escalar privilegios de usuario normal a administrador
Impacto: exposición masiva de datos, acceso no autorizado a funciones críticas.
A02 — Cryptographic Failures
Datos sensibles expuestos por cifrado ausente o débil.
Ejemplos reales:
- Contraseñas guardadas en MD5 o sin hash
- Datos de tarjeta transmitidos por HTTP sin TLS
- Tokens de sesión predecibles o cortos
A03 — Injection
Entrada maliciosa del usuario ejecutada como código por el servidor.
Ejemplos reales:
- SQL Injection:
' OR 1=1 --que devuelve todos los registros de la base de datos - Command injection: ejecución de comandos del sistema operativo desde un formulario
- LDAP injection en sistemas de autenticación corporativa
Impacto: extracción completa de la base de datos, ejecución de comandos en el servidor.
A04 — Insecure Design
Fallas en la arquitectura y diseño que ningún control técnico puede compensar.
Ejemplos reales:
- Flujo de recuperación de contraseña que revela si un email existe en el sistema
- Lógica de descuentos manipulable enviando valores negativos
- Proceso de compra que puede saltarse pasos de validación
A05 — Security Misconfiguration
Configuraciones inseguras por defecto o incompletas.
Ejemplos reales:
- Directorio de archivos accesible públicamente
- Stack traces con información del servidor expuestos en producción
- Headers de seguridad faltantes (CSP, HSTS, X-Frame-Options)
- Credenciales por defecto en paneles de administración
A06 — Vulnerable and Outdated Components
Librerías, frameworks y dependencias con CVEs conocidos.
Ejemplos reales:
- WordPress con plugins sin actualizar con vulnerabilidades críticas
- Log4Shell (CVE-2021-44228) en aplicaciones Java
- jQuery versiones antiguas con XSS conocidos
A07 — Identification and Authentication Failures
Problemas en los mecanismos de autenticación.
Ejemplos reales:
- Sin límite de intentos de login (permite fuerza bruta)
- Sesiones que no expiran al cerrar sesión
- Ausencia de MFA en accesos críticos
- Tokens JWT con algoritmo “none”
A08 — Software and Data Integrity Failures
Código y datos sin verificación de integridad.
Ejemplos reales:
- Deserialización de datos sin validar que permite ejecución de código
- Pipeline de CI/CD comprometido que inyecta código malicioso
- Actualizaciones de software sin verificación de firma
A09 — Security Logging and Monitoring Failures
Sin registros adecuados, los ataques pasan desapercibidos.
Ejemplos reales:
- Sin logs de intentos de login fallidos
- Logs que no incluyen el ID de usuario afectado
- Sin alertas para patrones de ataque obvios
- Logs almacenados solo localmente (pueden ser borrados)
A10 — Server-Side Request Forgery (SSRF)
El servidor hace peticiones a URLs controladas por el atacante.
Ejemplos reales:
- Función de “previsualizar URL” que puede acceder a la red interna
- Metadata de AWS accesible desde la aplicación (
http://169.254.169.254/) - Bypass de firewalls internos usando el servidor como proxy
¿Cómo saber si tu aplicación tiene estas vulnerabilidades?
La única forma confiable es mediante un pentesting web realizado por especialistas certificados. Los escáneres automáticos detectan algunos problemas, pero fallan en lógica de negocio, IDOR complejos y vulnerabilidades de diseño.
En TLS Cyber Security evaluamos cada una de estas categorías manualmente en cada proyecto. Contáctanos para una evaluación de tu aplicación web.