{"id":3681,"date":"2026-04-16T17:00:11","date_gmt":"2026-04-16T15:00:11","guid":{"rendered":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/?p=3681"},"modified":"2026-04-16T17:02:54","modified_gmt":"2026-04-16T15:02:54","slug":"vulnerabilidades-informaticas","status":"publish","type":"post","link":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas","title":{"rendered":"OWASP Top 10 [2025] de vulnerabilidades inform\u00e1ticas en desarrollo web"},"content":{"rendered":"<p>Las <strong><a href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidad-en-flash-y-chrome-permitiria-usar-nuestra-webcam\">vulnerabilidades inform\u00e1ticas<\/a>\u00a0<\/strong>son fallos de seguridad que pueden comprometer sistemas, aplicaciones y datos sensibles. En 2026, con arquitecturas cloud-native, microservicios y cadenas de suministro de software cada vez m\u00e1s complejas, cada <strong>vulnerabilidad inform\u00e1tica\u00a0<\/strong>representa un riesgo directo para el negocio.<\/p>\n<div style=\"background: #e8f6f8;border-left: 5px solid #54c9d6;padding: 22px 24px;margin: 24px 0 20px 0\">\n<p><strong>Res\u00famen r\u00e1pido: <\/strong>el <strong>OWASP Top 10:2025<\/strong> es la octava edici\u00f3n del ranking oficial de vulnerabilidades inform\u00e1ticas en aplicaciones web, publicado por la OWASP Foundation en noviembre de 2025 y finalizado en enero de 2026. Introduce <strong>2 categor\u00edas nuevas<\/strong> (Software Supply Chain Failures y Mishandling of Exceptional Conditions), <strong>consolida SSRF<\/strong> dentro de Broken Access Control y se basa en el an\u00e1lisis de <strong>m\u00e1s de 175.000 registros CVE<\/strong>.<\/p>\n<\/div>\n<p>El <strong>OWASP Top 10:2025<\/strong> es la referencia global para entender cu\u00e1les son las amenazas m\u00e1s cr\u00edticas en <a href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/que-es-una-web-app\" target=\"_blank\" rel=\"noopener\">aplicaciones web<\/a>. Esta nueva edici\u00f3n introduce cambios relevantes que reflejan c\u00f3mo han evolucionado los ciberataques en los \u00faltimos a\u00f1os.<\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_72 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Table of Contents<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#%C2%BFQue_es_OWASP\" title=\"\u00bfQu\u00e9 es OWASP?\">\u00bfQu\u00e9 es OWASP?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#OWASP_Top_10\" title=\"OWASP Top 10\">OWASP Top 10<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#Cambios_entre_la_version_actual_2025_y_la_anterior_OWASP_TOP_10_2021\" title=\"Cambios entre la versi\u00f3n actual (2025) y la anterior (OWASP TOP 10 2021)\">Cambios entre la versi\u00f3n actual (2025) y la anterior (OWASP TOP 10 2021)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#OWASP_TOP_10_2025_Vulnerabilidades_informaticas_web_mas_criticas\" title=\"OWASP TOP 10:2025: Vulnerabilidades inform\u00e1ticas web m\u00e1s cr\u00edticas\">OWASP TOP 10:2025: Vulnerabilidades inform\u00e1ticas web m\u00e1s cr\u00edticas<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#1_Broken_Access_Control_A01_2025_%E2%80%93_Control_de_acceso_roto\" title=\"1. Broken Access Control (A01:2025) &#8211; Control de acceso roto\u00a0\">1. Broken Access Control (A01:2025) &#8211; Control de acceso roto\u00a0<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#2_Security_Misconfiguration_A02_2025_%E2%80%93_Configuracion_incorrecta_de_seguridad\" title=\"2. Security Misconfiguration (A02:2025) \u2013 Configuraci\u00f3n incorrecta de seguridad\">2. Security Misconfiguration (A02:2025) \u2013 Configuraci\u00f3n incorrecta de seguridad<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#3_Software_Supply_Chain_Failures_A03_2025_%E2%80%93_Fallos_en_la_cadena_de_suministro\" title=\"3. Software Supply Chain Failures (A03:2025) \u2013 Fallos en la cadena de suministro\">3. Software Supply Chain Failures (A03:2025) \u2013 Fallos en la cadena de suministro<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#4_Cryptographic_Failures_A04_2025_%E2%80%93_Fallos_criptograficos\" title=\"4. Cryptographic Failures (A04:2025) \u2013 Fallos criptogr\u00e1ficos\">4. Cryptographic Failures (A04:2025) \u2013 Fallos criptogr\u00e1ficos<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#5_Injection_A05_2025_%E2%80%93_Inyeccion\" title=\"5. Injection (A05:2025) \u2013 Inyecci\u00f3n\">5. Injection (A05:2025) \u2013 Inyecci\u00f3n<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#6_Insecure_Design_A06_2025_%E2%80%93_Diseno_inseguro\" title=\"6. Insecure Design (A06:2025) \u2013 Dise\u00f1o inseguro\">6. Insecure Design (A06:2025) \u2013 Dise\u00f1o inseguro<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#7_Authentication_Failures_A07_2025_%E2%80%93_Fallos_de_autenticacion\" title=\"7. Authentication Failures (A07:2025) \u2013 Fallos de autenticaci\u00f3n\">7. Authentication Failures (A07:2025) \u2013 Fallos de autenticaci\u00f3n<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#8_Software_and_Data_Integrity_Failures_A08_2025\" title=\"8. Software and Data Integrity Failures (A08:2025)\">8. Software and Data Integrity Failures (A08:2025)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#9_Security_Logging_Alerting_Failures_A09_2025\" title=\"9. Security Logging &amp; Alerting Failures (A09:2025)\">9. Security Logging &amp; Alerting Failures (A09:2025)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\/#10_Mishandling_of_Exceptional_Conditions_A10_2025_%E2%80%93_Manejo_incorrecto_de_errores\" title=\"10. Mishandling of Exceptional Conditions (A10:2025) \u2013 Manejo incorrecto de errores\">10. Mishandling of Exceptional Conditions (A10:2025) \u2013 Manejo incorrecto de errores<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"%C2%BFQue_es_OWASP\"><\/span>\u00bfQu\u00e9 es OWASP?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><a href=\"https:\/\/owasp.org\/\" target=\"_blank\" rel=\"nofollow noopener\"><strong>OWASP (Open Web Application Security Project)<\/strong><\/a> es una fundaci\u00f3n sin \u00e1nimo de lucro creada en 2001, dedicada a mejorar la seguridad del software y prevenir vulnerabilidades inform\u00e1ticas en el desarrollo web. Funciona bajo un modelo de \u00abcomunidad abierta\u00bb, lo que significa que cualquiera puede participar y contribuir en chats en l\u00ednea, proyectos y trabajos relacionados con OWASP.<\/p>\n<p>A lo largo de los a\u00f1os, la fundaci\u00f3n ha publicado gu\u00edas de desarrollo seguro, metodolog\u00edas de<em> pentesting web<\/em> y, el <strong>OWASP Top<\/strong>, un ranking que actualiza cada tres o cuatro a\u00f1os en funci\u00f3n de c\u00f3mo evoluciona el panorama de amenazas. El peso del documento es tal que marcos normativos como <strong>ISO 27001, SOC 2, PCI DSS y HIPAA<\/strong> lo citan expl\u00edcitamente como est\u00e1ndar de codificaci\u00f3n segura, convirti\u00e9ndolo en una pieza clave tanto para equipos t\u00e9cnicos como para responsables de cumplimiento.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"OWASP_Top_10\"><\/span>OWASP Top 10<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>El <strong>OWASP Top 10<\/strong> es una lista publicada por la OWASP Foundation que clasifica las <strong>10 categor\u00edas de vulnerabilidades inform\u00e1ticas m\u00e1s cr\u00edticas<\/strong> en aplicaciones web, ordenadas por prevalencia, explotabilidad e impacto.<\/p>\n<p>Su primera edici\u00f3n se public\u00f3 en 2003 y desde entonces ha marcado el ritmo de la seguridad aplicada al desarrollo: la versi\u00f3n anterior era la de 2021, y la edici\u00f3n actual es el <strong>OWASP Top 10:2025<\/strong>, construida a partir del an\u00e1lisis de m\u00e1s de 175.000 registros CVE y un total de 248 CWEs distribuidos en sus diez categor\u00edas.<\/p>\n<p>Lo que diferencia a este ranking de otros listados es su<strong> metodolog\u00eda h\u00edbrida<\/strong>: aproximadamente el 80% del peso proviene de datos reales aportados por empresas y auditor\u00edas, mientras que el 20% restante se obtiene de una encuesta comunitaria que permite incluir amenazas emergentes todav\u00eda no reflejadas en las m\u00e9tricas autom\u00e1ticas.<\/p>\n<p>Gracias a ese enfoque, el <strong>top 10 OWASP<\/strong> resulta \u00fatil para perfiles muy diversos, desde desarrolladores y equipos DevSecOps hasta auditores, CISOs y responsables de cumplimiento normativo, todos ellos necesitan un lenguaje com\u00fan para hablar de riesgo en aplicaciones web y este ranking lo proporciona.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Cambios_entre_la_version_actual_2025_y_la_anterior_OWASP_TOP_10_2021\"><\/span>Cambios entre la versi\u00f3n actual (2025) y la anterior (OWASP TOP 10 2021)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>La versi\u00f3n <strong>OWASP Top 10 2025<\/strong> introduce dos categor\u00edas nuevas, una consolidaci\u00f3n importante y varios reajustes de posici\u00f3n respecto al OWASP Top 10 2021.<\/p>\n<p>OWASP ha decidido focalizar el ranking en la <strong>causa ra\u00edz<\/strong> de las vulnerabilidades y no tanto en sus s\u00edntomas, lo que explica por qu\u00e9 algunas categor\u00edas cl\u00e1sicas aparecen ahora redistribuidas o renombradas.<\/p>\n<table style=\"border-collapse: collapse;margin: 28px 0px;font-size: 15px;border: 1px solid #e0e0e0;height: 644px\" width=\"1264\">\n<tbody>\n<tr>\n<th style=\"color: #ffffff;padding: 14px 16px;font-weight: bold;font-size: 13px;text-transform: uppercase;letter-spacing: 0.4px;text-align: center\" bgcolor=\"#192b5d\">Posici\u00f3n<\/th>\n<th style=\"color: #ffffff;padding: 14px 16px;font-weight: bold;font-size: 13px;text-transform: uppercase;letter-spacing: 0.4px;text-align: center\" bgcolor=\"#192b5d\">owasp tOP 10 2021<\/th>\n<th style=\"color: #ffffff;padding: 14px 16px;font-weight: bold;font-size: 13px;text-transform: uppercase;letter-spacing: 0.4px;text-align: center\" bgcolor=\"#192b5d\">owasp tOP 10 2025<\/th>\n<th style=\"color: #ffffff;padding: 14px 16px;font-weight: bold;font-size: 13px;text-transform: uppercase;letter-spacing: 0.4px;text-align: center\" bgcolor=\"#192b5d\">Cambio<\/th>\n<\/tr>\n<tr bgcolor=\"#ffffff\">\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;color: #192b5d;vertical-align: top;text-align: center\"><strong>A01<\/strong><\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Control de acceso averiado<\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Control de acceso defectuoso<\/td>\n<td style=\"padding: 12px 16px;border-bottom: 1px solid #d6e8ec;color: #192b5d;font-weight: bold;vertical-align: top;text-align: center\">=<\/td>\n<\/tr>\n<tr bgcolor=\"#ffffff\">\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;color: #192b5;vertical-align: top;text-align: center\"><strong>A02<\/strong><\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Fallos criptogr\u00e1ficos<\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Configuraci\u00f3n de seguridad incorrecta<\/td>\n<td style=\"padding: 12px 16px;border-bottom: 1px solid #d6e8ec;color: #192b5d;font-weight: bold;vertical-align: top;text-align: center\">sube desde #5<\/td>\n<\/tr>\n<tr bgcolor=\"#ffffff\">\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;color: #192b5;vertical-align: top;text-align: center\"><strong>A03<\/strong><\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Inyecci\u00f3n<\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Fallos en la cadena de suministros de software<\/td>\n<td style=\"padding: 12px 16px;border-bottom: 1px solid #d6e8ec;color: #192b5d;font-weight: bold;vertical-align: top;text-align: center\">Nueva<\/td>\n<\/tr>\n<\/tbody>\n<tbody>\n<tr bgcolor=\"#ffffff\">\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;color: #192b5;vertical-align: top;text-align: center\"><strong>A04<\/strong><\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Dise\u00f1o inseguro<\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Fallos criptogr\u00e1ficos<\/td>\n<td style=\"padding: 12px 16px;border-bottom: 1px solid #d6e8ec;color: #192b5d;font-weight: bold;vertical-align: top;text-align: center\">Baja desde #02<\/td>\n<\/tr>\n<tr bgcolor=\"#ffffff\">\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;color: #192b5;vertical-align: top;text-align: center\"><strong>A05<\/strong><\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Configuraci\u00f3n de seguridad incorrecta<\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Inyecci\u00f3n<\/td>\n<td style=\"padding: 12px 16px;border-bottom: 1px solid #d6e8ec;color: #192b5d;font-weight: bold;vertical-align: top;text-align: center\">Baja desde #03<\/td>\n<\/tr>\n<tr bgcolor=\"#ffffff\">\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;color: #192b5;vertical-align: top;text-align: center\"><strong>A06<\/strong><\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Componentes vulnerables y obsoletos<\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Dise\u00f1o inseguro<\/td>\n<td style=\"padding: 12px 16px;border-bottom: 1px solid #d6e8ec;color: #192b5d;font-weight: bold;vertical-align: top;text-align: center\">Baja desde #04<\/td>\n<\/tr>\n<tr bgcolor=\"#ffffff\">\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;color: #192b5;vertical-align: top;text-align: center\"><strong>A07<\/strong><\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Fallos de identificaci\u00f3n y autenticaci\u00f3n<\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Fallos de autenticaci\u00f3n<\/td>\n<td style=\"padding: 12px 16px;border-bottom: 1px solid #d6e8ec;color: #192b5d;font-weight: bold;vertical-align: top;text-align: center\">=<\/td>\n<\/tr>\n<tr bgcolor=\"#ffffff\">\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;color: #192b5;vertical-align: top;text-align: center\"><strong>A08<\/strong><\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Fallos en la integridad del software y los datos<\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Fallos en la integridad del software o de los datos<\/td>\n<td style=\"padding: 12px 16px;border-bottom: 1px solid #d6e8ec;color: #192b5d;font-weight: bold;vertical-align: top;text-align: center\">=<\/td>\n<\/tr>\n<tr bgcolor=\"#ffffff\">\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;color: #192b5;vertical-align: top;text-align: center\"><strong>A09<\/strong><\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Fallos en el registro y la monitorizaci\u00f3n de seguridad<\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Fallos en el registro y las alertas de seguridad<\/td>\n<td style=\"padding: 12px 16px;border-bottom: 1px solid #d6e8ec;color: #192b5d;font-weight: bold;vertical-align: top;text-align: center\">=<\/td>\n<\/tr>\n<tr bgcolor=\"#ffffff\">\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;color: #192b5;vertical-align: top;text-align: center\"><strong>A10<\/strong><\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Falsificaci\u00f3n de solicitud del lado del servidor (SSRF)<\/td>\n<td style=\"padding: 14px 16px;border-bottom: 1px solid #eeeeee;vertical-align: top;text-align: center\">Mala gesti\u00f3n de situaciones excepcionales<\/td>\n<td style=\"padding: 12px 16px;border-bottom: 1px solid #d6e8ec;color: #192b5d;font-weight: bold;vertical-align: top;text-align: center\">Nueva<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2><span class=\"ez-toc-section\" id=\"OWASP_TOP_10_2025_Vulnerabilidades_informaticas_web_mas_criticas\"><\/span>OWASP TOP 10:2025: Vulnerabilidades inform\u00e1ticas web m\u00e1s cr\u00edticas<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<h3><span class=\"ez-toc-section\" id=\"1_Broken_Access_Control_A01_2025_%E2%80%93_Control_de_acceso_roto\"><\/span>1. Broken Access Control (A01:2025) &#8211; Control de acceso roto\u00a0<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>El <strong>control de acceso roto<\/strong> es el fallo que permite a un usuario actuar fuera de sus permisos autorizados, accediendo a recursos, datos o funciones que deber\u00edan estar restringidas. Mantiene su posici\u00f3n en el <strong>n\u00famero uno del ranking<\/strong>, con una <strong>incidencia media del 3,73%<\/strong> en las aplicaciones testeadas y <strong>40 CWEs asociados<\/strong>, el m\u00e1ximo permitido en esta edici\u00f3n.<\/p>\n<p>La gran novedad de 2025 es que esta categor\u00eda <strong>absorbe SSRF (Server-Side Request Forgery)<\/strong>, antes categor\u00eda independiente en el puesto 10.<\/p>\n<details style=\"border: 1px solid #e0e0e0;border-radius: 6px;margin-bottom: 8px;overflow: hidden\">\n<summary style=\"padding: 16px 20px;font-weight: bold;font-size: 16px;color: #192b5d;background: #f6f6f6;cursor: pointer\"><strong>Ejemplo pr\u00e1ctico<\/strong><\/summary>\n<ul>\n<li>\u00a0Una API permite cambiar el ID de usuario en la URL (<code>\/api\/user\/123<\/code>) sin validar permisos, de modo que un atacante accede a cuentas ajenas simplemente modificando el n\u00famero. Es el caso cl\u00e1sico de <strong>IDOR (Insecure Direct Object Reference)<\/strong>.<\/li>\n<\/ul>\n<\/details>\n<h3><span class=\"ez-toc-section\" id=\"2_Security_Misconfiguration_A02_2025_%E2%80%93_Configuracion_incorrecta_de_seguridad\"><\/span>2. Security Misconfiguration (A02:2025) \u2013 Configuraci\u00f3n incorrecta de seguridad<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>La <strong>configuraci\u00f3n incorrecta de seguridad<\/strong> ocurre cuando un sistema est\u00e1 mal configurado y deja expuestas partes que deber\u00edan estar protegidas. En 2025 sube al puesto 2 porque es uno de los problemas m\u00e1s frecuentes en entornos cloud y sistemas modernos.<\/p>\n<p>Entre los casos habituales se encuentran:<\/p>\n<ul>\n<li>Cuentas con credenciales por defecto activas.<\/li>\n<li>Almacenamiento en la nube accesible p\u00fablicamente.<\/li>\n<li>Paneles de administraci\u00f3n visibles en internet.<\/li>\n<li>Permisos m\u00e1s amplios de lo necesario.<\/li>\n<\/ul>\n<details style=\"border: 1px solid #e0e0e0;border-radius: 6px;margin-bottom: 8px;overflow: hidden\">\n<summary style=\"padding: 16px 20px;font-weight: bold;font-size: 16px;color: #192b5d;background: #f6f6f6;cursor: pointer\"><strong>Ejemplo pr\u00e1ctico<\/strong><\/summary>\n<ul>\n<li>Una aplicaci\u00f3n mantiene una cuenta de administrador con usuario y contrase\u00f1a \u201cadmin\/admin\u201d. Un atacante puede acceder directamente sin explotar ning\u00fan fallo t\u00e9cnico.<\/li>\n<\/ul>\n<\/details>\n<h3><span class=\"ez-toc-section\" id=\"3_Software_Supply_Chain_Failures_A03_2025_%E2%80%93_Fallos_en_la_cadena_de_suministro\"><\/span>3. Software Supply Chain Failures (A03:2025) \u2013 Fallos en la cadena de suministro<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Esta vulnerabilidad se produce cuando el<strong> software se ve comprometido a trav\u00e9s de componentes externos<\/strong>, como librer\u00edas, paquetes o herramientas de terceros. <strong>Entra directamente en el puesto 3<\/strong> porque hoy casi todas las aplicaciones dependen de m\u00faltiples componentes externos.<\/p>\n<p>No se limita a librer\u00edas antiguas. Tambi\u00e9n incluye:<\/p>\n<ul>\n<li>Dependencias directas y transitivas.<\/li>\n<li>Herramientas de CI\/CD.<\/li>\n<li>Repositorios como npm o PyPI.<\/li>\n<li>Cuentas de desarrolladores que publican paquetes.<\/li>\n<\/ul>\n<details style=\"border: 1px solid #e0e0e0;border-radius: 6px;margin-bottom: 8px;overflow: hidden\">\n<summary style=\"padding: 16px 20px;font-weight: bold;font-size: 16px;color: #192b5d;background: #f6f6f6;cursor: pointer\"><strong>Ejemplo pr\u00e1ctico<\/strong><\/summary>\n<ul>\n<li>Un atacante compromete un paquete popular y publica una versi\u00f3n maliciosa. Todos los proyectos que lo usan lo instalan autom\u00e1ticamente, incluso sin saberlo.<\/li>\n<\/ul>\n<\/details>\n<h3><span class=\"ez-toc-section\" id=\"4_Cryptographic_Failures_A04_2025_%E2%80%93_Fallos_criptograficos\"><\/span>4. Cryptographic Failures (A04:2025) \u2013 Fallos criptogr\u00e1ficos<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Los <strong>fallos criptogr\u00e1ficos<\/strong> ocurren cuando los datos sensibles no est\u00e1n correctamente protegidos, ya sea por <strong>ausencia de cifrado o por el uso de mecanismos inseguros<\/strong>. Son especialmente cr\u00edticos porque <strong>afectan directamente a la confidencialidad<\/strong> de la informaci\u00f3n, como datos personales o financieros, y pueden derivar en sanciones legales adem\u00e1s del da\u00f1o reputacional. Aunque baja al puesto 4, sigue siendo muy grave por su impacto directo en la confidencialidad.<\/p>\n<p>Errores comunes:<\/p>\n<ul>\n<li>Contrase\u00f1as almacenadas sin cifrar.<\/li>\n<li>Uso de algoritmos obsoletos como MD5 o SHA-1.<\/li>\n<li>Uso de protocolos antiguos (TLS 1.0).<\/li>\n<li>Claves expuestas en el c\u00f3digo.<\/li>\n<\/ul>\n<details style=\"border: 1px solid #e0e0e0;border-radius: 6px;margin-bottom: 8px;overflow: hidden\">\n<summary style=\"padding: 16px 20px;font-weight: bold;font-size: 16px;color: #192b5d;background: #f6f6f6;cursor: pointer\"><strong>Ejemplo pr\u00e1ctico<\/strong><\/summary>\n<ul>\n<li>Una empresa almacena n\u00fameros de tarjeta sin cifrar. Si hay una filtraci\u00f3n, los datos pueden usarse directamente para fraude.<\/li>\n<\/ul>\n<\/details>\n<h3><span class=\"ez-toc-section\" id=\"5_Injection_A05_2025_%E2%80%93_Inyeccion\"><\/span>5. Injection (A05:2025) \u2013 Inyecci\u00f3n<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>La <strong>inyecci\u00f3n<\/strong> ocurre cuando una aplicaci\u00f3n ejecuta datos introducidos por el usuario sin validarlos correctamente, permitiendole al atacante insertar c\u00f3digos maliciosos.Sigue siendo una vulnerabilidad cr\u00edtica porque\u00a0<strong>puede dar acceso directo a sistemas<\/strong>, bases de datos o funcionalidades internas. Adem\u00e1s, OWASP advierte qu\u00e9 el c\u00f3digo generado por IA puede reproducir este tipo de errores si no se revisa adecuadadamente.<\/p>\n<details style=\"border: 1px solid #e0e0e0;border-radius: 6px;margin-bottom: 8px;overflow: hidden\">\n<summary style=\"padding: 16px 20px;font-weight: bold;font-size: 16px;color: #192b5d;background: #f6f6f6;cursor: pointer\"><strong>Ejemplo pr\u00e1ctico<\/strong><\/summary>\n<ul>\n<li>Una consulta SQL mal construida permite a un atacante introducir \u201c&#8217; OR 1=1&#8211;\u201d y acceder a toda la base de datos.<\/li>\n<\/ul>\n<\/details>\n<h3><span class=\"ez-toc-section\" id=\"6_Insecure_Design_A06_2025_%E2%80%93_Diseno_inseguro\"><\/span>6. Insecure Design (A06:2025) \u2013 Dise\u00f1o inseguro<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>El <strong>dise\u00f1o inseguro<\/strong> hace referencia a problemas que nacen en c\u00f3mo se ha planteado el sistema, no en c\u00f3mo se ha programado.<\/p>\n<p>Es una vulnerabilidad cr\u00edtica porque no puede solucionarse f\u00e1cilmente con parches: el problema est\u00e1 en la l\u00f3gica o arquitectura del sistema. Aunque en 2025 su posici\u00f3n baja, sigue siendo relevante porque muchos de estos errores no son detectables autom\u00e1ticamente.<\/p>\n<p>Suelen aparecer en:<\/p>\n<ul>\n<li>L\u00f3gica de negocio mal definida.<\/li>\n<li>Falta de controles de autorizaci\u00f3n.<\/li>\n<li>Ausencia de l\u00edmites o validaciones.<\/li>\n<\/ul>\n<details style=\"border: 1px solid #e0e0e0;border-radius: 6px;margin-bottom: 8px;overflow: hidden\">\n<summary style=\"padding: 16px 20px;font-weight: bold;font-size: 16px;color: #192b5d;background: #f6f6f6;cursor: pointer\"><strong>Ejemplo pr\u00e1ctico<\/strong><\/summary>\n<ul>\n<li>Una plataforma permite hacer reservas masivas sin l\u00edmite. Un atacante automatiza el proceso y bloquea el sistema, generando p\u00e9rdidas sin necesidad de hackearlo.<\/li>\n<\/ul>\n<\/details>\n<h3><span class=\"ez-toc-section\" id=\"7_Authentication_Failures_A07_2025_%E2%80%93_Fallos_de_autenticacion\"><\/span>7. Authentication Failures (A07:2025) \u2013 Fallos de autenticaci\u00f3n<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Los\u00a0<strong>fallos de autenticaci\u00f3n\u00a0<\/strong>se producen cuando los mecanismos para verificar la identidad de los usuarios son d\u00e9biles o est\u00e1n mal implementados, permitiendo que un atacante acceda a cuentas leg\u00edtimas.<\/p>\n<p>Problemas habituales:<\/p>\n<ul>\n<li>Contrase\u00f1as d\u00e9biles.<\/li>\n<li>Falta de autenticaci\u00f3n multifactor (MFA).<\/li>\n<li>Gesti\u00f3n incorrecta de sesiones.<\/li>\n<li>Tokens predecibles.<\/li>\n<\/ul>\n<details style=\"border: 1px solid #e0e0e0;border-radius: 6px;margin-bottom: 8px;overflow: hidden\">\n<summary style=\"padding: 16px 20px;font-weight: bold;font-size: 16px;color: #192b5d;background: #f6f6f6;cursor: pointer\"><strong>Ejemplo pr\u00e1ctico<\/strong><\/summary>\n<ul>\n<li>Una aplicaci\u00f3n no limita intentos de login. Un atacante prueba miles de combinaciones hasta acceder a cuentas reales.<\/li>\n<\/ul>\n<\/details>\n<h3><span class=\"ez-toc-section\" id=\"8_Software_and_Data_Integrity_Failures_A08_2025\"><\/span>8. Software and Data Integrity Failures (A08:2025)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Esta vulnerabilidad aparece cuando <strong>una aplicaci\u00f3n conf\u00eda en datos o software sin verificar su integridad<\/strong>, lo que puede permitir la ejecuci\u00f3n de c\u00f3digo malicioso.<\/p>\n<p>Casos habituales:<\/p>\n<ul>\n<li>Actualizaciones sin firma digital.<\/li>\n<li>Dependencias no verificadas.<\/li>\n<li>Deserializaci\u00f3n insegura.<\/li>\n<\/ul>\n<details style=\"border: 1px solid #e0e0e0;border-radius: 6px;margin-bottom: 8px;overflow: hidden\">\n<summary style=\"padding: 16px 20px;font-weight: bold;font-size: 16px;color: #192b5d;background: #f6f6f6;cursor: pointer\"><strong>Ejemplo pr\u00e1ctico<\/strong><\/summary>\n<ul>\n<li>\u00a0Una aplicaci\u00f3n acepta objetos externos sin validaci\u00f3n y ejecuta c\u00f3digo enviado por el atacante.<\/li>\n<\/ul>\n<\/details>\n<h3><span class=\"ez-toc-section\" id=\"9_Security_Logging_Alerting_Failures_A09_2025\"><\/span>9. Security Logging &amp; Alerting Failures (A09:2025)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Estos fallos ocurren cuando<strong> el sistema no registra correctamente los eventos de seguridad<\/strong> o no genera alertas \u00fatiles, dificultando la detecci\u00f3n de ataques. Esto es especialmente cr\u00edtico cuando no se sabe c\u00f3mo <a href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/como-monitorizar-tu-sitio-web\">monitorizar tu sitio web<\/a> de forma continua.<\/p>\n<p>Adem\u00e1s, muchos de estos ataques automatizados se parecen al tr\u00e1fico generado por herramientas de <a href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/web-scraping\">web scraping<\/a>, lo que dificulta diferenciar entre actividad l\u00e9gitima y maliciosa.<\/p>\n<p>Problemas habituales:<\/p>\n<ul>\n<li>No registrar eventos importantes.<\/li>\n<li>No generar alertas.<\/li>\n<li>No analizar los logs.<\/li>\n<\/ul>\n<details style=\"border: 1px solid #e0e0e0;border-radius: 6px;margin-bottom: 8px;overflow: hidden\">\n<summary style=\"padding: 16px 20px;font-weight: bold;font-size: 16px;color: #192b5d;background: #f6f6f6;cursor: pointer\"><strong>Ejemplo pr\u00e1ctico<\/strong><\/summary>\n<ul>\n<li>Miles de intentos de login fallidos no generan ninguna alerta, permitiendo ataques prolongados.<\/li>\n<\/ul>\n<\/details>\n<h3><span class=\"ez-toc-section\" id=\"10_Mishandling_of_Exceptional_Conditions_A10_2025_%E2%80%93_Manejo_incorrecto_de_errores\"><\/span>10. Mishandling of Exceptional Conditions (A10:2025) \u2013 Manejo incorrecto de errores<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Esta nueva categor\u00eda recoge los <strong>fallos en la gesti\u00f3n de errores y situaciones excepcionales<\/strong> dentro del sistema. Es cr\u00edtica porque los atacantes suelen aprovechar estos escenarios poco controlados para obtener informaci\u00f3n o provocar comportamientos inseguros.<\/p>\n<p>Problemas habituales:<\/p>\n<ul>\n<li>Mostrar mensajes de error con informaci\u00f3n sensible.<\/li>\n<li>Sistemas que \u201cfallan abierto\u201d (permiten acceso en caso de error).<\/li>\n<li>Errores no controlados.<\/li>\n<\/ul>\n<details style=\"border: 1px solid #e0e0e0;border-radius: 6px;margin-bottom: 8px;overflow: hidden\">\n<summary style=\"padding: 16px 20px;font-weight: bold;font-size: 16px;color: #192b5d;background: #f6f6f6;cursor: pointer\"><strong>Ejemplo pr\u00e1ctico<\/strong><\/summary>\n<ul>\n<li>Una API devuelve un error con credenciales o rutas internas, que el atacante puede usar para avanzar en el ataque.<\/li>\n<\/ul>\n<\/details>\n","protected":false},"excerpt":{"rendered":"<p>Qu\u00e9 ha cambiado en el OWASP Top 10 2025 vs 2021: descubre riesgos clave, novedades y medidas de seguridad para proteger tus aplicaciones web.<\/p>\n","protected":false},"author":90976,"featured_media":3683,"comment_status":"open","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"class_list":["post-3681","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-desarrollo-de-aplicaciones"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v23.5 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>OWASP Top 10 [2025] de vulnerabilidades web<\/title>\n<meta name=\"description\" content=\"Qu\u00e9 ha cambiado en el OWASP Top 10 2025 vs 2021: descubre riesgos clave, novedades y medidas de seguridad para proteger tus aplicaciones web.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"OWASP Top 10 [2025] de vulnerabilidades web\" \/>\n<meta property=\"og:description\" content=\"Qu\u00e9 ha cambiado en el OWASP Top 10 2025 vs 2021: descubre riesgos clave, novedades y medidas de seguridad para proteger tus aplicaciones web.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\" \/>\n<meta property=\"og:site_name\" content=\"Canal Inform\u00e1tica y TICS\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/InesemBusinessSchool\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-04-16T15:00:11+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-04-16T15:02:54+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1680\" \/>\n\t<meta property=\"og:image:height\" content=\"1080\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Rafael Mar\u00edn\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@inesem\" \/>\n<meta name=\"twitter:site\" content=\"@inesem\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Rafael Mar\u00edn\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"8 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\"},\"author\":{\"name\":\"Rafael Mar\u00edn\",\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#\/schema\/person\/ec323f7b4aed4a9f5ba04f2df32e0673\"},\"headline\":\"OWASP Top 10 [2025] de vulnerabilidades inform\u00e1ticas en desarrollo web\",\"datePublished\":\"2026-04-16T15:00:11+00:00\",\"dateModified\":\"2026-04-16T15:02:54+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\"},\"wordCount\":1769,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg\",\"articleSection\":[\"Desarrollo de Aplicaciones\"],\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\",\"url\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\",\"name\":\"OWASP Top 10 [2025] de vulnerabilidades web\",\"isPartOf\":{\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg\",\"datePublished\":\"2026-04-16T15:00:11+00:00\",\"dateModified\":\"2026-04-16T15:02:54+00:00\",\"description\":\"Qu\u00e9 ha cambiado en el OWASP Top 10 2025 vs 2021: descubre riesgos clave, novedades y medidas de seguridad para proteger tus aplicaciones web.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#primaryimage\",\"url\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg\",\"contentUrl\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg\",\"width\":1680,\"height\":1080,\"caption\":\"Portada vulnerabilidades inform\u00e1ticas owasp\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Desarrollo de Aplicaciones\",\"item\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/categorias\/desarrollo-de-aplicaciones\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"OWASP Top 10 [2025] de vulnerabilidades inform\u00e1ticas en desarrollo web\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#website\",\"url\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/\",\"name\":\"Canal Inform\u00e1tica y TICS\",\"description\":\"Canal de Noticias gestionado por el Departamento Docente de Inform\u00e1tica y TICS de INESEM\",\"publisher\":{\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"es\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#organization\",\"name\":\"Canal Inform\u00e1tica y TICS\",\"url\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#\/schema\/logo\/image\/\",\"url\":\"\",\"contentUrl\":\"\",\"caption\":\"Canal Inform\u00e1tica y TICS\"},\"image\":{\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/InesemBusinessSchool\/\",\"https:\/\/x.com\/inesem\",\"http:\/\/www.linkedin.com\/company\/2370697\",\"https:\/\/www.youtube.com\/user\/inesembusinesschool\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#\/schema\/person\/ec323f7b4aed4a9f5ba04f2df32e0673\",\"name\":\"Rafael Mar\u00edn\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2023\/11\/Foto-Claustro-Educa-Open-recortada-revista-digital-96x96.jpg\",\"contentUrl\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2023\/11\/Foto-Claustro-Educa-Open-recortada-revista-digital-96x96.jpg\",\"caption\":\"Rafael Mar\u00edn\"},\"description\":\"Ingeniero T\u00e9cnico en Inform\u00e1tica de Sistemas. Amante de las nuevas tecnolog\u00edas, la creaci\u00f3n de aplicaciones y el desarrollo web. Desarrolla sus habilidades en el Departamento de Inform\u00e1tica de INESEM.\",\"url\":\"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/autores\/rafael-marin\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"OWASP Top 10 [2025] de vulnerabilidades web","description":"Qu\u00e9 ha cambiado en el OWASP Top 10 2025 vs 2021: descubre riesgos clave, novedades y medidas de seguridad para proteger tus aplicaciones web.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas","og_locale":"es_ES","og_type":"article","og_title":"OWASP Top 10 [2025] de vulnerabilidades web","og_description":"Qu\u00e9 ha cambiado en el OWASP Top 10 2025 vs 2021: descubre riesgos clave, novedades y medidas de seguridad para proteger tus aplicaciones web.","og_url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas","og_site_name":"Canal Inform\u00e1tica y TICS","article_publisher":"https:\/\/www.facebook.com\/InesemBusinessSchool\/","article_published_time":"2026-04-16T15:00:11+00:00","article_modified_time":"2026-04-16T15:02:54+00:00","og_image":[{"width":1680,"height":1080,"url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg","type":"image\/jpeg"}],"author":"Rafael Mar\u00edn","twitter_card":"summary_large_image","twitter_creator":"@inesem","twitter_site":"@inesem","twitter_misc":{"Escrito por":"Rafael Mar\u00edn","Tiempo de lectura":"8 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#article","isPartOf":{"@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas"},"author":{"name":"Rafael Mar\u00edn","@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#\/schema\/person\/ec323f7b4aed4a9f5ba04f2df32e0673"},"headline":"OWASP Top 10 [2025] de vulnerabilidades inform\u00e1ticas en desarrollo web","datePublished":"2026-04-16T15:00:11+00:00","dateModified":"2026-04-16T15:02:54+00:00","mainEntityOfPage":{"@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas"},"wordCount":1769,"commentCount":0,"publisher":{"@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#organization"},"image":{"@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#primaryimage"},"thumbnailUrl":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg","articleSection":["Desarrollo de Aplicaciones"],"inLanguage":"es","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas","name":"OWASP Top 10 [2025] de vulnerabilidades web","isPartOf":{"@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#primaryimage"},"image":{"@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#primaryimage"},"thumbnailUrl":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg","datePublished":"2026-04-16T15:00:11+00:00","dateModified":"2026-04-16T15:02:54+00:00","description":"Qu\u00e9 ha cambiado en el OWASP Top 10 2025 vs 2021: descubre riesgos clave, novedades y medidas de seguridad para proteger tus aplicaciones web.","breadcrumb":{"@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#primaryimage","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg","contentUrl":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg","width":1680,"height":1080,"caption":"Portada vulnerabilidades inform\u00e1ticas owasp"},{"@type":"BreadcrumbList","@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/vulnerabilidades-informaticas#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/"},{"@type":"ListItem","position":2,"name":"Desarrollo de Aplicaciones","item":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/categorias\/desarrollo-de-aplicaciones"},{"@type":"ListItem","position":3,"name":"OWASP Top 10 [2025] de vulnerabilidades inform\u00e1ticas en desarrollo web"}]},{"@type":"WebSite","@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#website","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/","name":"Canal Inform\u00e1tica y TICS","description":"Canal de Noticias gestionado por el Departamento Docente de Inform\u00e1tica y TICS de INESEM","publisher":{"@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#organization","name":"Canal Inform\u00e1tica y TICS","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#\/schema\/logo\/image\/","url":"","contentUrl":"","caption":"Canal Inform\u00e1tica y TICS"},"image":{"@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/InesemBusinessSchool\/","https:\/\/x.com\/inesem","http:\/\/www.linkedin.com\/company\/2370697","https:\/\/www.youtube.com\/user\/inesembusinesschool\/"]},{"@type":"Person","@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#\/schema\/person\/ec323f7b4aed4a9f5ba04f2df32e0673","name":"Rafael Mar\u00edn","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/#\/schema\/person\/image\/","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2023\/11\/Foto-Claustro-Educa-Open-recortada-revista-digital-96x96.jpg","contentUrl":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2023\/11\/Foto-Claustro-Educa-Open-recortada-revista-digital-96x96.jpg","caption":"Rafael Mar\u00edn"},"description":"Ingeniero T\u00e9cnico en Inform\u00e1tica de Sistemas. Amante de las nuevas tecnolog\u00edas, la creaci\u00f3n de aplicaciones y el desarrollo web. Desarrolla sus habilidades en el Departamento de Inform\u00e1tica de INESEM.","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/autores\/rafael-marin"}]}},"autor_name":{"name":"Rafael Mar\u00edn"},"featured_image":{"attachment_meta":{"width":1680,"height":1080,"file":"2022\/09\/Portada-vulnerabilidades-informaticas-owasp.jpg","sizes":{"medium":{"file":"Portada-vulnerabilidades-informaticas-owasp-175x113.jpg","width":175,"height":113,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-175x113.jpg"},"large":{"file":"Portada-vulnerabilidades-informaticas-owasp-1020x656.jpg","width":1020,"height":656,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-1020x656.jpg"},"thumbnail":{"file":"Portada-vulnerabilidades-informaticas-owasp-345x180.jpg","width":345,"height":180,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-345x180.jpg"},"medium_large":{"file":"Portada-vulnerabilidades-informaticas-owasp-768x494.jpg","width":768,"height":494,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-768x494.jpg"},"wysija-newsletters-max":{"file":"Portada-vulnerabilidades-informaticas-owasp-600x386.jpg","width":600,"height":386,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-600x386.jpg"},"1536x1536":{"file":"Portada-vulnerabilidades-informaticas-owasp-1536x987.jpg","width":1536,"height":987,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-1536x987.jpg"},"thumb-small":{"file":"Portada-vulnerabilidades-informaticas-owasp-80x80.jpg","width":80,"height":80,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-80x80.jpg"},"thumb-standard":{"file":"Portada-vulnerabilidades-informaticas-owasp-320x320.jpg","width":320,"height":320,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-320x320.jpg"},"thumb-medium":{"file":"Portada-vulnerabilidades-informaticas-owasp-520x245.jpg","width":520,"height":245,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-520x245.jpg"},"thumb-large":{"file":"Portada-vulnerabilidades-informaticas-owasp-720x340.jpg","width":720,"height":340,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-720x340.jpg"},"thumb-anteriores":{"file":"Portada-vulnerabilidades-informaticas-owasp-230x163.jpg","width":230,"height":163,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-230x163.jpg"},"thumb-inverso":{"file":"Portada-vulnerabilidades-informaticas-owasp-369x261.jpg","width":369,"height":261,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-369x261.jpg"},"thumb-cercano":{"file":"Portada-vulnerabilidades-informaticas-owasp-650x200.jpg","width":650,"height":200,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-650x200.jpg"},"thumb-slider":{"file":"Portada-vulnerabilidades-informaticas-owasp-574x430.jpg","width":574,"height":430,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-574x430.jpg"},"thumb-busqueda":{"file":"Portada-vulnerabilidades-informaticas-owasp-580x375.jpg","width":580,"height":375,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-580x375.jpg"},"thumb-formacion-continua":{"file":"Portada-vulnerabilidades-informaticas-owasp-440x336.jpg","width":440,"height":336,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-440x336.jpg"},"thumb-xlarge":{"file":"Portada-vulnerabilidades-informaticas-owasp-980x450.jpg","width":980,"height":450,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-980x450.jpg"},"thumb-xxlarge":{"file":"Portada-vulnerabilidades-informaticas-owasp-1320x500.jpg","width":1320,"height":500,"mime_type":"image\/jpeg","url":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/files\/2022\/09\/Portada-vulnerabilidades-informaticas-owasp-1320x500.jpg"}},"image_meta":{"aperture":"0","credit":"","camera":"","caption":"","created_timestamp":"0","copyright":"","focal_length":"0","iso":"0","shutter_speed":"0","title":"","orientation":"0","keywords":[]}}},"_links":{"self":[{"href":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/wp-json\/wp\/v2\/posts\/3681"}],"collection":[{"href":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/wp-json\/wp\/v2\/users\/90976"}],"replies":[{"embeddable":true,"href":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/wp-json\/wp\/v2\/comments?post=3681"}],"version-history":[{"count":0,"href":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/wp-json\/wp\/v2\/posts\/3681\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/wp-json\/wp\/v2\/media\/3683"}],"wp:attachment":[{"href":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/wp-json\/wp\/v2\/media?parent=3681"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.inesem.es\/revistadigital\/informatica-y-tics\/wp-json\/wp\/v2\/categories?post=3681"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}