Técnico

OWASP Top 10 2025: las 10 vulnerabilidades más peligrosas en apps web

Análisis profundo de cada categoría del OWASP Top 10 con ejemplos reales, impacto de negocio y cómo mitigar cada vulnerabilidad en tu aplicación.

#OWASP #vulnerabilidades web #SQLi #XSS #seguridad web

¿Qué es el OWASP Top 10?

El OWASP Top 10 es la lista de las 10 categorías de vulnerabilidades más críticas en aplicaciones web, publicada por la Open Web Application Security Project. Es el estándar de referencia mundial para la seguridad de aplicaciones web y base de frameworks de cumplimiento como PCI DSS y ISO 27001.

En TLS Cyber Security, cubrimos el OWASP Top 10 al 100% en cada evaluación de seguridad web.

A01 — Broken Access Control

El riesgo más crítico. Ocurre cuando usuarios pueden acceder a funciones o datos que no les corresponden.

Ejemplos reales:

  • Cambiar el ID en una URL (/usuarios/1234/perfil/usuarios/1235/perfil) y ver datos de otro usuario (IDOR)
  • Acceder a rutas de administrador sin autenticación
  • Escalar privilegios de usuario normal a administrador

Impacto: exposición masiva de datos, acceso no autorizado a funciones críticas.

A02 — Cryptographic Failures

Datos sensibles expuestos por cifrado ausente o débil.

Ejemplos reales:

  • Contraseñas guardadas en MD5 o sin hash
  • Datos de tarjeta transmitidos por HTTP sin TLS
  • Tokens de sesión predecibles o cortos

A03 — Injection

Entrada maliciosa del usuario ejecutada como código por el servidor.

Ejemplos reales:

  • SQL Injection: ' OR 1=1 -- que devuelve todos los registros de la base de datos
  • Command injection: ejecución de comandos del sistema operativo desde un formulario
  • LDAP injection en sistemas de autenticación corporativa

Impacto: extracción completa de la base de datos, ejecución de comandos en el servidor.

A04 — Insecure Design

Fallas en la arquitectura y diseño que ningún control técnico puede compensar.

Ejemplos reales:

  • Flujo de recuperación de contraseña que revela si un email existe en el sistema
  • Lógica de descuentos manipulable enviando valores negativos
  • Proceso de compra que puede saltarse pasos de validación

A05 — Security Misconfiguration

Configuraciones inseguras por defecto o incompletas.

Ejemplos reales:

  • Directorio de archivos accesible públicamente
  • Stack traces con información del servidor expuestos en producción
  • Headers de seguridad faltantes (CSP, HSTS, X-Frame-Options)
  • Credenciales por defecto en paneles de administración

A06 — Vulnerable and Outdated Components

Librerías, frameworks y dependencias con CVEs conocidos.

Ejemplos reales:

  • WordPress con plugins sin actualizar con vulnerabilidades críticas
  • Log4Shell (CVE-2021-44228) en aplicaciones Java
  • jQuery versiones antiguas con XSS conocidos

A07 — Identification and Authentication Failures

Problemas en los mecanismos de autenticación.

Ejemplos reales:

  • Sin límite de intentos de login (permite fuerza bruta)
  • Sesiones que no expiran al cerrar sesión
  • Ausencia de MFA en accesos críticos
  • Tokens JWT con algoritmo “none”

A08 — Software and Data Integrity Failures

Código y datos sin verificación de integridad.

Ejemplos reales:

  • Deserialización de datos sin validar que permite ejecución de código
  • Pipeline de CI/CD comprometido que inyecta código malicioso
  • Actualizaciones de software sin verificación de firma

A09 — Security Logging and Monitoring Failures

Sin registros adecuados, los ataques pasan desapercibidos.

Ejemplos reales:

  • Sin logs de intentos de login fallidos
  • Logs que no incluyen el ID de usuario afectado
  • Sin alertas para patrones de ataque obvios
  • Logs almacenados solo localmente (pueden ser borrados)

A10 — Server-Side Request Forgery (SSRF)

El servidor hace peticiones a URLs controladas por el atacante.

Ejemplos reales:

  • Función de “previsualizar URL” que puede acceder a la red interna
  • Metadata de AWS accesible desde la aplicación (http://169.254.169.254/)
  • Bypass de firewalls internos usando el servidor como proxy

¿Cómo saber si tu aplicación tiene estas vulnerabilidades?

La única forma confiable es mediante un pentesting web realizado por especialistas certificados. Los escáneres automáticos detectan algunos problemas, pero fallan en lógica de negocio, IDOR complejos y vulnerabilidades de diseño.

En TLS Cyber Security evaluamos cada una de estas categorías manualmente en cada proyecto. Contáctanos para una evaluación de tu aplicación web.

¿Quieres evaluar la seguridad de tu empresa?

Nuestro equipo certificado (OSCP, CEH, CPTS) te entrega una propuesta técnica personalizada en menos de 48 horas. NDA incluido, retest gratuito por 6 meses.

Consulta gratuita por WhatsApp