INESEM Business School
Identifícate
Contactar por whatsappWhatsapp

Contacta con nosotros

Teléfono de INESEM 958 050 205
Portada vulnerabilidades informáticas owasp

OWASP Top 10 [2025] de vulnerabilidades informáticas en desarrollo web

Comparte este artículo en facebook Comparte este artículo en linkedin Comparte este artículo por correo electrónico Comparte este artículo por whatsapp

Las vulnerabilidades informáticas son fallos de seguridad que pueden comprometer sistemas, aplicaciones y datos sensibles. En 2026, con arquitecturas cloud-native, microservicios y cadenas de suministro de software cada vez más complejas, cada vulnerabilidad informática representa un riesgo directo para el negocio.

Resúmen rápido: el OWASP Top 10:2025 es la octava edición del ranking oficial de vulnerabilidades informáticas en aplicaciones web, publicado por la OWASP Foundation en noviembre de 2025 y finalizado en enero de 2026. Introduce 2 categorías nuevas (Software Supply Chain Failures y Mishandling of Exceptional Conditions), consolida SSRF dentro de Broken Access Control y se basa en el análisis de más de 175.000 registros CVE.

El OWASP Top 10:2025 es la referencia global para entender cuáles son las amenazas más críticas en aplicaciones web. Esta nueva edición introduce cambios relevantes que reflejan cómo han evolucionado los ciberataques en los últimos años.

¿Qué es OWASP?

OWASP (Open Web Application Security Project) es una fundación sin ánimo de lucro creada en 2001, dedicada a mejorar la seguridad del software y prevenir vulnerabilidades informáticas en el desarrollo web. Funciona bajo un modelo de «comunidad abierta», lo que significa que cualquiera puede participar y contribuir en chats en línea, proyectos y trabajos relacionados con OWASP.

A lo largo de los años, la fundación ha publicado guías de desarrollo seguro, metodologías de pentesting web y, el OWASP Top, un ranking que actualiza cada tres o cuatro años en función de cómo evoluciona el panorama de amenazas. El peso del documento es tal que marcos normativos como ISO 27001, SOC 2, PCI DSS y HIPAA lo citan explícitamente como estándar de codificación segura, convirtiéndolo en una pieza clave tanto para equipos técnicos como para responsables de cumplimiento.

OWASP Top 10

El OWASP Top 10 es una lista publicada por la OWASP Foundation que clasifica las 10 categorías de vulnerabilidades informáticas más críticas en aplicaciones web, ordenadas por prevalencia, explotabilidad e impacto.

Su primera edición se publicó en 2003 y desde entonces ha marcado el ritmo de la seguridad aplicada al desarrollo: la versión anterior era la de 2021, y la edición actual es el OWASP Top 10:2025, construida a partir del análisis de más de 175.000 registros CVE y un total de 248 CWEs distribuidos en sus diez categorías.

Lo que diferencia a este ranking de otros listados es su metodología híbrida: aproximadamente el 80% del peso proviene de datos reales aportados por empresas y auditorías, mientras que el 20% restante se obtiene de una encuesta comunitaria que permite incluir amenazas emergentes todavía no reflejadas en las métricas automáticas.

Gracias a ese enfoque, el top 10 OWASP resulta útil para perfiles muy diversos, desde desarrolladores y equipos DevSecOps hasta auditores, CISOs y responsables de cumplimiento normativo, todos ellos necesitan un lenguaje común para hablar de riesgo en aplicaciones web y este ranking lo proporciona.

Cambios entre la versión actual (2025) y la anterior (OWASP TOP 10 2021)

La versión OWASP Top 10 2025 introduce dos categorías nuevas, una consolidación importante y varios reajustes de posición respecto al OWASP Top 10 2021.

OWASP ha decidido focalizar el ranking en la causa raíz de las vulnerabilidades y no tanto en sus síntomas, lo que explica por qué algunas categorías clásicas aparecen ahora redistribuidas o renombradas.

Posición owasp tOP 10 2021 owasp tOP 10 2025 Cambio
A01 Control de acceso averiado Control de acceso defectuoso =
A02 Fallos criptográficos Configuración de seguridad incorrecta sube desde #5
A03 Inyección Fallos en la cadena de suministros de software Nueva
A04 Diseño inseguro Fallos criptográficos Baja desde #02
A05 Configuración de seguridad incorrecta Inyección Baja desde #03
A06 Componentes vulnerables y obsoletos Diseño inseguro Baja desde #04
A07 Fallos de identificación y autenticación Fallos de autenticación =
A08 Fallos en la integridad del software y los datos Fallos en la integridad del software o de los datos =
A09 Fallos en el registro y la monitorización de seguridad Fallos en el registro y las alertas de seguridad =
A10 Falsificación de solicitud del lado del servidor (SSRF) Mala gestión de situaciones excepcionales Nueva

OWASP TOP 10:2025: Vulnerabilidades informáticas web más críticas

1. Broken Access Control (A01:2025) – Control de acceso roto 

El control de acceso roto es el fallo que permite a un usuario actuar fuera de sus permisos autorizados, accediendo a recursos, datos o funciones que deberían estar restringidas. Mantiene su posición en el número uno del ranking, con una incidencia media del 3,73% en las aplicaciones testeadas y 40 CWEs asociados, el máximo permitido en esta edición.

La gran novedad de 2025 es que esta categoría absorbe SSRF (Server-Side Request Forgery), antes categoría independiente en el puesto 10.

Ejemplo práctico
  •  Una API permite cambiar el ID de usuario en la URL (/api/user/123) sin validar permisos, de modo que un atacante accede a cuentas ajenas simplemente modificando el número. Es el caso clásico de IDOR (Insecure Direct Object Reference).

2. Security Misconfiguration (A02:2025) – Configuración incorrecta de seguridad

La configuración incorrecta de seguridad ocurre cuando un sistema está mal configurado y deja expuestas partes que deberían estar protegidas. En 2025 sube al puesto 2 porque es uno de los problemas más frecuentes en entornos cloud y sistemas modernos.

Entre los casos habituales se encuentran:

  • Cuentas con credenciales por defecto activas.
  • Almacenamiento en la nube accesible públicamente.
  • Paneles de administración visibles en internet.
  • Permisos más amplios de lo necesario.
Ejemplo práctico
  • Una aplicación mantiene una cuenta de administrador con usuario y contraseña “admin/admin”. Un atacante puede acceder directamente sin explotar ningún fallo técnico.

3. Software Supply Chain Failures (A03:2025) – Fallos en la cadena de suministro

Esta vulnerabilidad se produce cuando el software se ve comprometido a través de componentes externos, como librerías, paquetes o herramientas de terceros. Entra directamente en el puesto 3 porque hoy casi todas las aplicaciones dependen de múltiples componentes externos.

No se limita a librerías antiguas. También incluye:

  • Dependencias directas y transitivas.
  • Herramientas de CI/CD.
  • Repositorios como npm o PyPI.
  • Cuentas de desarrolladores que publican paquetes.
Ejemplo práctico
  • Un atacante compromete un paquete popular y publica una versión maliciosa. Todos los proyectos que lo usan lo instalan automáticamente, incluso sin saberlo.

4. Cryptographic Failures (A04:2025) – Fallos criptográficos

Los fallos criptográficos ocurren cuando los datos sensibles no están correctamente protegidos, ya sea por ausencia de cifrado o por el uso de mecanismos inseguros. Son especialmente críticos porque afectan directamente a la confidencialidad de la información, como datos personales o financieros, y pueden derivar en sanciones legales además del daño reputacional. Aunque baja al puesto 4, sigue siendo muy grave por su impacto directo en la confidencialidad.

Errores comunes:

  • Contraseñas almacenadas sin cifrar.
  • Uso de algoritmos obsoletos como MD5 o SHA-1.
  • Uso de protocolos antiguos (TLS 1.0).
  • Claves expuestas en el código.
Ejemplo práctico
  • Una empresa almacena números de tarjeta sin cifrar. Si hay una filtración, los datos pueden usarse directamente para fraude.

5. Injection (A05:2025) – Inyección

La inyección ocurre cuando una aplicación ejecuta datos introducidos por el usuario sin validarlos correctamente, permitiendole al atacante insertar códigos maliciosos.Sigue siendo una vulnerabilidad crítica porque puede dar acceso directo a sistemas, bases de datos o funcionalidades internas. Además, OWASP advierte qué el código generado por IA puede reproducir este tipo de errores si no se revisa adecuadadamente.

Ejemplo práctico
  • Una consulta SQL mal construida permite a un atacante introducir “’ OR 1=1–” y acceder a toda la base de datos.

6. Insecure Design (A06:2025) – Diseño inseguro

El diseño inseguro hace referencia a problemas que nacen en cómo se ha planteado el sistema, no en cómo se ha programado.

Es una vulnerabilidad crítica porque no puede solucionarse fácilmente con parches: el problema está en la lógica o arquitectura del sistema. Aunque en 2025 su posición baja, sigue siendo relevante porque muchos de estos errores no son detectables automáticamente.

Suelen aparecer en:

  • Lógica de negocio mal definida.
  • Falta de controles de autorización.
  • Ausencia de límites o validaciones.
Ejemplo práctico
  • Una plataforma permite hacer reservas masivas sin límite. Un atacante automatiza el proceso y bloquea el sistema, generando pérdidas sin necesidad de hackearlo.

7. Authentication Failures (A07:2025) – Fallos de autenticación

Los fallos de autenticación se producen cuando los mecanismos para verificar la identidad de los usuarios son débiles o están mal implementados, permitiendo que un atacante acceda a cuentas legítimas.

Problemas habituales:

  • Contraseñas débiles.
  • Falta de autenticación multifactor (MFA).
  • Gestión incorrecta de sesiones.
  • Tokens predecibles.
Ejemplo práctico
  • Una aplicación no limita intentos de login. Un atacante prueba miles de combinaciones hasta acceder a cuentas reales.

8. Software and Data Integrity Failures (A08:2025)

Esta vulnerabilidad aparece cuando una aplicación confía en datos o software sin verificar su integridad, lo que puede permitir la ejecución de código malicioso.

Casos habituales:

  • Actualizaciones sin firma digital.
  • Dependencias no verificadas.
  • Deserialización insegura.
Ejemplo práctico
  •  Una aplicación acepta objetos externos sin validación y ejecuta código enviado por el atacante.

9. Security Logging & Alerting Failures (A09:2025)

Estos fallos ocurren cuando el sistema no registra correctamente los eventos de seguridad o no genera alertas útiles, dificultando la detección de ataques. Esto es especialmente crítico cuando no se sabe cómo monitorizar tu sitio web de forma continua.

Además, muchos de estos ataques automatizados se parecen al tráfico generado por herramientas de web scraping, lo que dificulta diferenciar entre actividad légitima y maliciosa.

Problemas habituales:

  • No registrar eventos importantes.
  • No generar alertas.
  • No analizar los logs.
Ejemplo práctico
  • Miles de intentos de login fallidos no generan ninguna alerta, permitiendo ataques prolongados.

10. Mishandling of Exceptional Conditions (A10:2025) – Manejo incorrecto de errores

Esta nueva categoría recoge los fallos en la gestión de errores y situaciones excepcionales dentro del sistema. Es crítica porque los atacantes suelen aprovechar estos escenarios poco controlados para obtener información o provocar comportamientos inseguros.

Problemas habituales:

  • Mostrar mensajes de error con información sensible.
  • Sistemas que “fallan abierto” (permiten acceso en caso de error).
  • Errores no controlados.
Ejemplo práctico
  • Una API devuelve un error con credenciales o rutas internas, que el atacante puede usar para avanzar en el ataque.
Categorizado en: Informática y TICS

Categorías

¿Quieres más artículos de Informática y TICS ?

Selecciona la categoría que más te interese

¡Descubre los secretos de inesem en nuestro canal de Telegram!

ÚNETE

Artículos más leídos

Informática y TICS Los gestores de bases de datos más usados en la actualidad Rafael Marín ¿Todavía no sabes qué es un gestor de base de
Informática y TICS ¿Qué es la huella digital en Internet y por qué debemos cuidarla? Paula Rochina A todos nos preocupa el rastro que podemos dejar en
Informática y TICS Convertir filas en columnas y columnas en filas en SQL Server Juan Iruela En este post quiero hablar de los operadores relacionales PIVOT
Informática y TICS Que son los archivos Thumbs.db y como se eliminan Juan Iruela En algún momento nos hemos encontrado dentro de alguna de

Descubre Territorio Inesem

Disfruta del mejor contenido con los últimos podcast y webinars

Ir a Territorio INESEM ❯

ES EL MOMENTO

Comienza tu futuro de la mano de INESEM Business School con el programa de

EXECUTIVE MASTERS

Descubre los Executive Masters

Únete al selecto grupo de alumnos que han conseguido alcanzar una carrera de éxito en las profesiones más demandadas.

ÚNETE AL EQUIPO DE REDACCIÓN

Comparte tu conocimiento con otros profesionales

Saber más